新型 Poco RAT 在网络钓鱼活动中瞄准讲西班牙语的受害者

阅读量58256

发布时间 : 2024-07-15 12:25:34

x
译文声明

本文是翻译文章,文章原作者 Newsroom,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/07/new-poco-rat-targets-spanish-speaking.html

译文仅供参考,具体内容表达以及含义原文为准。

至少从 2024 年 2 月开始,西班牙语受害者是电子邮件网络钓鱼活动的目标,该活动提供了一种名为 Poco RAT 的新远程访问木马 (RAT)。

据网络安全公司Cofense称,这些攻击主要针对采矿、制造业、酒店业和公用事业行业。

“恶意软件中的大多数自定义代码似乎都集中在反分析上,与其命令和控制中心(C2)进行通信,以及下载和运行文件,而对监控或收集凭据的关注有限,”它说。

感染链始于带有金融主题诱饵的网络钓鱼消息,诱骗收件人点击指向 Google Drive 上托管的 7-Zip 存档文件的嵌入式 URL。

观察到的其他方法包括使用直接附加到电子邮件的 HTML 或 PDF 文件,或通过另一个嵌入式 Google Drive 链接下载。威胁行为者滥用合法服务并不是一个新现象,因为它允许他们绕过安全电子邮件网关 (SEG)。

反过来,传播 Poco RAT 的 HTML 文件包含一个链接,单击该链接后,该链接会导致下载包含恶意软件可执行文件的存档。

“这种策略可能比简单地提供直接下载恶意软件的 URL 更有效,因为任何探索嵌入式 URL 的 SEG 只会下载并检查 HTML 文件,这似乎是合法的,”Cofense 指出。

PDF 文件没有什么不同,因为它们还包含包含 Poco RAT 的 Google Drive 链接。

一旦启动,基于 Delphi 的恶意软件就会在受感染的 Windows 主机上建立持久性,并联系 C2 服务器以提供额外的有效负载。它之所以如此命名,是因为它使用了 POCO C++ 库。

Delphi 的使用表明,该活动背后的身份不明的威胁行为者正专注于拉丁美洲,众所周知,拉丁美洲是用编程语言编写的银行木马的目标。

由于 C2 服务器不响应来自未地理定位到该区域的受感染计算机的请求,因此加强了这种连接。

随着恶意软件作者越来越多地使用嵌入PDF文件的QR码来诱骗用户访问旨在收集Microsoft登录凭据的网络钓鱼页面。

它还遵循社会工程活动,这些活动使用欺骗性网站宣传流行软件来提供恶意软件,例如 RAT 和 AsyncRAT 和 RisePro 等信息窃取程序。

类似的数据盗窃攻击也针对印度的互联网用户,通过虚假的短信谎称包裹递送失败,并指示他们点击提供的链接来更新他们的详细信息。

短信网络钓鱼活动被归咎于一个名为 Smishing Triad 的中文威胁行为者,该行为者有使用受感染或故意注册的 Apple iCloud 帐户(例如“fredyma514@hlh-web.de”)发送短信钓鱼消息进行金融欺诈的历史。

“这些行为者在6月左右注册了冒充印度邮政的域名,但没有积极使用它们,可能是在为大规模活动做准备,该活动在7月开始可见,”Resecurity说。“该活动的目标是窃取大量个人身份信息(PII)和支付数据。

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66