Nueva campaña de robo de datos Poco RAT dirigida a hispanohablantes

Iniciado por AXCESS, Julio 15, 2024, 11:35:37 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cofense Intelligence ha descubierto una nueva campaña de malware dirigida específicamente a hispanohablantes. Este malware, llamado Poco RAT, se envía por correo electrónico y está hábilmente disfrazado de documentos financieros. Los correos electrónicos maliciosos contienen un enlace a un archivo de Google Drive que, al hacer clic, descarga el malware en la computadora de la víctima.

El archivo se puede entregar de tres maneras: directamente en el correo electrónico utilizando una URL de Google Drive (53 % de los correos electrónicos), incrustado en un archivo HTML (40 % de los correos electrónicos) o adjunto a un PDF con un enlace para descargar desde Google Drive. (visto en el 7% de los correos electrónicos). El archivo HTML se puede adjuntar o descargar a través de otro enlace integrado alojado en Google Drive.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Los actores de amenazas suelen utilizar servicios legítimos de alojamiento de archivos, como Google Drive, para evitar las puertas de enlace de correo electrónico seguras (SEG)", explicaron los investigadores de Cofense en su informe compartido con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Sin embargo, una vez descargado, Poco RAT establece persistencia en la máquina infectada y se inyecta en un proceso legítimo para permanecer oculto y operar sin ser detectado durante períodos prolongados.

Luego, Poco RAT se conecta a un servidor de comando y control (C2), recibiendo instrucciones del atacante, que siempre está alojado en 94131119126 y conectado a al menos uno de tres puertos: 6541, 6542 o 6543.

Para su información, Poco RAT es un troyano de acceso remoto dirigido a hablantes de español que utilizan la biblioteca POCO C++. Se observó por primera vez a principios de 2024 y se le asignó una familia de malware en febrero de 2024.

Inicialmente entregado a través de enlaces integrados a archivos 7zip que contienen ejecutables alojados en Google Drive, se dirige principalmente a empresas del sector minero (que representan el 67% de los ataques), pero con el tiempo amplió sus operaciones a tres sectores más, incluidos los servicios públicos, la manufactura y la hotelería.

El código personalizado del malware se centra en el antianálisis, la comunicación con su centro C2 y la descarga y ejecución de archivos, lo que lo hace capaz de entregar malware más especializado para el robo de información o ransomware.

Esta campaña de malware es peligrosa porque puede robar su información financiera o tomar el control total de su computadora. Para mantenerse a salvo del malware, tenga cuidado con los correos electrónicos no solicitados, evite abrir correos electrónicos de remitentes desconocidos, mantenga su software actualizado y habilite la autenticación de dos factores siempre que sea posible.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta