针对西班牙语使用者的新数据窃取Poco RAT活动

新的Poco RAT恶意软件通过电子邮件攻击西班牙语使用者!Poco RAT伪装成财务文件,窃取您的信息并劫持您的计算机。了解如何保持安全以及如果收到可疑电子邮件该怎么办。

Cofense Intelligence发现了一种专门针对西班牙语使用者的新型恶意软件活动。这种名为Poco RAT的恶意软件通过电子邮件传播,并巧妙地伪装成财务文件。恶意电子邮件包含指向Google Drive存档的链接,点击后会将恶意软件下载到受害者的计算机上。

存档可通过三种方式传送:直接在电子邮件中使用Google Drive URL(53%的电子邮件)、嵌入HTML文件(40%的电子邮件)或附加到PDF中,其中包含可从Google Drive下载的链接(7%的电子邮件中显示)。HTML文件可通过Google Drive上托管的另一个嵌入链接附加或下载。

Cofense研究人员在分享的报告中解释道:“威胁行为者经常使用合法的文件托管服务(例如Google Drive)来绕过安全电子邮件网关(SEG)。”

然而,一旦下载,Poco RAT就会在受感染的机器上建立持久性,并将自身注入合法进程,以保持隐藏状态并在较长时间内不被发现地运行。

然后,Poco RAT连接到命令和控制(C2)服务器,接收来自攻击者的指令,该服务器始终托管在94.131.119.126上并连接到以下三个端口中的至少一个:6541、6542或6543。有趣的是,如果受感染的计算机似乎来自拉丁美洲,则C2不会响应通信尝试。

供您参考,Poco RAT是一种使用POCO C++库针对西班牙语使用者的远程访问木马。它于2024年初首次被发现,并于2024年2月被归类为恶意软件家族。

最初,该攻击通过嵌入链接传递到托管在Google Drive上的包含可执行文件的7zip档案,主要针对采矿业的公司(占攻击总数的67%),但随着时间的推移,其业务扩展到另外三个行业,包括公用事业、制造业和酒店业。

该恶意软件的自定义代码专注于反分析、与其C2中心的通信以及下载和运行文件,这使其能够提供更专业的恶意软件来窃取信息或勒索软件。

此恶意软件活动非常危险,因为它可能会窃取您的财务信息或完全控制您的计算机。为了避免受到恶意软件的侵害,请谨慎对待未经请求的电子邮件,避免打开来自未知发件人的电子邮件,保持软件更新,并尽可能启用双重身份验证。

发表评论

评论已关闭。

相关文章