يستهدف Poco RAT الجديد الضحايا الناطقين بالإسبانية في حملة التصيد الاحتيالي
ضحايا اللغة الإسبانية هم هدف حملة التصيد الاحتيالي عبر البريد الإلكتروني التي توفر حصان طروادة جديد للوصول عن بعد (RAT) يسمى بوكو رات منذ فبراير 2024 على الأقل.
واستهدفت الهجمات في المقام الأول قطاعات التعدين والتصنيع والضيافة والمرافق، وفقًا لشركة الأمن السيبراني Cofense.
“يبدو أن غالبية التعليمات البرمجية المخصصة في البرامج الضارة تركز على مكافحة التحليل، والتواصل مع مركز القيادة والتحكم (C2)، وتنزيل الملفات وتشغيلها مع التركيز بشكل محدود على المراقبة أو جمع بيانات الاعتماد”. قال.
تبدأ سلاسل العدوى برسائل تصيد احتيالي تحمل إغراءات ذات طابع مالي تخدع المستلمين للنقر على عنوان URL مضمن يشير إلى ملف أرشيف 7-Zip مستضاف على Google Drive.
تشمل الطرق الأخرى التي تمت ملاحظتها استخدام ملفات HTML أو PDF المرفقة مباشرة برسائل البريد الإلكتروني أو التي تم تنزيلها عبر رابط Google Drive مضمن آخر. إن إساءة استخدام الخدمات المشروعة من قبل جهات التهديد ليست ظاهرة جديدة لأنها تسمح لهم بتجاوز بوابات البريد الإلكتروني الآمنة (SEGs).
تحتوي ملفات HTML التي تنشر Poco RAT بدورها على رابط يؤدي عند النقر عليه إلى تنزيل الأرشيف الذي يحتوي على البرامج الضارة القابلة للتنفيذ.
وأشار Cofense إلى أنه “من المرجح أن يكون هذا التكتيك أكثر فعالية من مجرد توفير عنوان URL لتنزيل البرامج الضارة مباشرةً، حيث إن أي مجموعات SEG تستكشف عنوان URL المضمن لن تقوم إلا بتنزيل ملف HTML والتحقق منه، والذي قد يبدو شرعيًا”.
لا تختلف ملفات PDF من حيث أنها تحتوي أيضًا على رابط Google Drive الذي يؤوي Poco RAT.
بمجرد إطلاقها، تقوم البرامج الضارة المستندة إلى دلفي بتثبيت الثبات على مضيف Windows المخترق وتتصل بخادم C2 من أجل تقديم حمولات إضافية. سميت بهذا الاسم نظراً لاستخدامها لـ مكتبات POCO C++.
يعد استخدام دلفي علامة على أن الجهات التهديدية المجهولة التي تقف وراء الحملة تركز على أمريكا اللاتينية، والتي يُعرف أنها مستهدفة من قبل أحصنة طروادة المصرفية المكتوبة بلغة البرمجة.
يتم تعزيز هذا الاتصال من خلال حقيقة أن خادم C2 لا يستجيب للطلبات الصادرة من أجهزة الكمبيوتر المصابة التي لم يتم تحديد موقعها الجغرافي في المنطقة.
يأتي التطوير كما هو الحال مع مؤلفي البرامج الضارة باستخدام بشكل متزايد رموز QR المضمنة مع ملفات PDF لخداع المستخدمين لزيارة صفحات التصيد الاحتيالي المصممة للحصول على بيانات اعتماد تسجيل الدخول إلى Microsoft 365.
كما أنه يتبع أيضًا حملات الهندسة الاجتماعية التي تستخدم مواقع خادعة تعلن عن برامج شائعة لتوصيل برامج ضارة مثل RATs وسرقة المعلومات مثل غير متزامن و رايزبرو.
كما استهدفت هجمات مماثلة لسرقة البيانات مستخدمي الإنترنت في الهند من خلال رسائل نصية قصيرة زائفة تدعي كذبًا فشل تسليم الطرود وتطلب منهم النقر على الرابط المقدم لتحديث تفاصيلهم.
تُنسب حملة التصيد الاحتيالي عبر الرسائل النصية القصيرة إلى جهة تهديد ناطقة باللغة الصينية تسمى Smishing Triad، والتي لها تاريخ في استخدام حسابات Apple iCloud المخترقة أو المسجلة عن قصد (على سبيل المثال، “fredyma514@hlh-web.de”) لإرسال رسائل التصيد الاحتيالي لحملها. خارج الاحتيال المالي.
“سجل الممثلون أسماء نطاقات تنتحل شخصية صحيفة India Post في شهر يونيو تقريبًا، لكنهم لم يستخدموها بشكل نشط، ومن المحتمل أن يكونوا يستعدون لنشاط واسع النطاق، والذي أصبح مرئيًا بحلول شهر يوليو،” Resecurity قال. “الهدف من هذه الحملة هو سرقة كميات هائلة من معلومات التعريف الشخصية (PII) وبيانات الدفع.”
إرسال التعليق