11 de julio de 2024Sala de prensaMalware / Inteligencia de amenazas Las víctimas de habla hispana son el objetivo de una campaña de phishing por correo electrónico que distribuye un nuevo troyano de acceso remoto (RAT) llamado Poco RAT desde al menos febrero de 2024. Los ataques se dirigen principalmente a los sectores de minería, fabricación, hostelería y servicios públicos, según la empresa de ciberseguridad Cofense. «La mayoría del código personalizado del malware parece estar centrado en el antianálisis, la comunicación con su centro de comando y control (C2) y la descarga y ejecución de archivos con un enfoque limitado en la monitorización o la recopilación de credenciales», dijo. Las cadenas de infección comienzan con mensajes de phishing con señuelos con temática financiera que engañan a los destinatarios para que hagan clic en una URL incrustada que apunta a un archivo comprimido 7-Zip alojado en Google Drive. Otros métodos observados incluyen el uso de archivos HTML o PDF adjuntos directamente a los correos electrónicos o descargados a través de otro enlace incrustado de Google Drive. El abuso de servicios legítimos por parte de actores de amenazas no es un fenómeno nuevo, ya que les permite eludir las pasarelas de correo electrónico seguras (SEG). Los archivos HTML que propagan Poco RAT, a su vez, contienen un enlace que, al hacer clic, lleva a la descarga del archivo que contiene el ejecutable del malware. «Esta táctica probablemente sería más efectiva que simplemente proporcionar una URL para descargar directamente el malware, ya que cualquier SEG que explore la URL incorporada solo descargaría y verificaría el archivo HTML, que parecería ser legítimo», señaló Cofense. Los archivos PDF no son diferentes, ya que también contienen un enlace de Google Drive que alberga Poco RAT. Una vez lanzado, el malware basado en Delphi establece persistencia en el host de Windows comprometido y se comunica con un servidor C2 para entregar cargas útiles adicionales. Se llama así debido a su uso de las bibliotecas POCO C++. El uso de Delphi es una señal de que los actores de amenazas no identificados detrás de la campaña se están centrando en América Latina, que se sabe que es el objetivo de los troyanos bancarios escritos en el lenguaje de programación. Esta conexión se fortalece por el hecho de que el servidor C2 no responde a las solicitudes que se originan en computadoras infectadas que no están geolocalizadas en la región. El desarrollo se produce en un momento en que los autores de malware utilizan cada vez más códigos QR incrustados en archivos PDF para engañar a los usuarios para que visiten páginas de phishing diseñadas para recopilar credenciales de inicio de sesión de Microsoft 365. También sigue a las campañas de ingeniería social que utilizan sitios engañosos que publicitan software popular para distribuir malware, como RAT y ladrones de información como AsyncRAT y RisePro. Ataques de robo de datos similares también se han dirigido a usuarios de Internet en la India con mensajes SMS falsos que afirman falsamente fallas en la entrega de paquetes y les indican que hagan clic en un enlace proporcionado para actualizar sus datos. La campaña de phishing por SMS se ha atribuido a un actor de amenazas de habla china llamado Smishing Triad, que tiene un historial de uso de cuentas de iCloud de Apple comprometidas o registradas a propósito (por ejemplo, «fredyma514@hlh-web.de») para enviar mensajes de smishing para llevar a cabo fraude financiero. «Los actores registraron nombres de dominio haciéndose pasar por India Post alrededor de junio, pero no los estaban usando activamente, probablemente preparándose para una actividad a gran escala, que se hizo visible en julio», dijo Resecurity. «El objetivo de esta campaña es robar cantidades masivas de información personal identificable (PII) y datos de pago». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.