Žrtve španskog jezika su meta kampanje phishinga putem e-pošte koja isporučuje novi trojanac za daljinski pristup (RAT) pod nazivom Poco RAT od najmanje februara 2024. godine.
Napadi prvenstveno izdvajaju rudarski, proizvodni, ugostiteljski i komunalni sektor, navodi kompanija za cyber sigurnost Cofense.
“Čini se da je većina prilagođenog koda u zlonamjernom softveru usmjerena na anti-analizu, komunikaciju s njegovim komandno-kontrolnim centrom (C2) i preuzimanje i pokretanje datoteka s ograničenim fokusom na nadgledanje ili prikupljanje akredativa”, navodi se .
Lanci zaraze počinju s phishing porukama koje nose mamce na temu finansija koje prevare primaoce da kliknu na ugrađeni URL koji upućuje na 7-Zip arhivsku datoteku koja se nalazi na Google Drive-u.
Druge uočene metode uključuju upotrebu HTML ili PDF datoteka koje su direktno priložene e-porukama ili preuzete putem drugog ugrađenog linka na Google Drive. Zloupotreba legitimnih usluga od strane hakera nije nova pojava jer im omogućava da zaobiđu sigurne mrežne prolaze (SEG).
HTML datoteke koje propagiraju Poco RAT, zauzvrat, sadrže vezu koja nakon klika vodi do preuzimanja arhive koja sadrži izvršnu datoteku zlonamjernog softvera.
“Ova taktika bi vjerovatno bila efikasnija od jednostavnog pružanja URL-a za direktno preuzimanje zlonamjernog softvera jer bi bilo koji SEG koji bi istražio ugrađeni URL samo preuzeo i provjerio HTML datoteku, što bi se činilo legitimnim”, napomenuo je Cofense.
PDF datoteke se ne razlikuju po tome što sadrže i vezu na Google Drive koja sadrži Poco RAT.
Jednom pokrenut, zlonamjerni softver zasnovan na Delphi-u uspostavlja postojanost na kompromitovanom Windows hostu i kontaktira C2 server kako bi isporučio dodatni teret. Tako je nazvana zahvaljujući upotrebi POCO C++ biblioteka.
Upotreba Delphi-ja je znak da se neidentifikovani hakeri koji stoje iza kampanje fokusiraju na Latinsku Ameriku, za koju se zna da je meta bankarskih trojanaca napisanih na programskom jeziku.
Ova veza je ojačana činjenicom da C2 server ne odgovara na zahtjeve koji potiču od zaraženih računara koji nisu geolocirani u regionu.
Razvoj dolazi jer autori zlonamjernog softvera sve više koriste QR kodove ugrađene u PDF datoteke kako bi prevarili korisnike da posjete stranice za krađu identiteta koje su dizajnirane da prikupe Microsoft 365 vjerodajnice za prijavu.
Takođe prati kampanje društvenog inženjeringa koje koriste lažne stranice koje reklamiraju popularni softver za isporuku zlonamjernog softvera poput RAT-a i kradljivaca informacija poput AsyncRAT i RisePro.
Slični napadi na krađu podataka takođe su ciljali korisnike interneta u Indiji lažnim SMS porukama u kojima se lažno tvrdi da je isporuka paketa neuspješna i da im se navodi da kliknu na pruženu vezu kako bi ažurirali svoje detalje.
SMS phishing kampanja pripisana je hakeru koji govori kineski pod nazivom Smishing Triad, koji ima povijest korištenja kompromitovanih ili namjerno registriranih Apple iCloud računa (npr. “fredyma514@hlh-web.de”) za slanje šaljivih poruka za nošenje od finansijskih malverzacija.
“Hakeri su oko juna registrovali imena domena koji se lažno predstavljaju za Indijsku poštu, ali ih nisu aktivno koristili, vjerovatno pripremajući se za aktivnosti velikih razmjera, koje su postale vidljive u julu”, rekao je Reseccurity. “Cilj ove kampanje je krađa ogromnih količina ličnih identifikacionih podataka (PII) i podataka o plaćanju.”
Izvor:The Hacker News