I ricercatori di Cofense hanno scoperto un nuovo malware denominato Poco RAT, un semplice Remote Access Trojan (RAT) che prende di mira principalmente utenti di lingua spagnola. Questo malware è stato osservato per la prima volta all’inizio del 2024 e si è inizialmente concentrato sulle aziende del settore minerario. Poco RAT viene distribuito tramite link incorporati in archivi 7zip contenenti eseguibili, ospitati su Google Drive. Le campagne di diffusione sono tuttora attive e continuano a seguire le stesse tecniche, tattiche e procedure (TTP).
Il codice di Poco RAT sembra essere principalmente focalizzato su funzionalità di anti-analisi, comunicazione con il server di comando e controllo (C2) e download ed esecuzione di file, con un’attenzione limitata al monitoraggio o alla raccolta di credenziali.
Mentre inizialmente Poco RAT si rivolgeva alle aziende del settore minerario, nel tempo ha ampliato il suo raggio d’azione includendo altri tre settori. Le email di phishing utilizzate nelle campagne di distribuzione del malware presentano alcune caratteristiche comuni che ne facilitano l’identificazione:
- Tematica finanziaria, evidente sia nell’oggetto che nel corpo del messaggio.
- Sia l’oggetto dell’e-mail che il corpo del messaggio erano in spagnolo.
- Presenza di un link a un archivio 7zip ospitato su Google Drive o di un file contenente un link per scaricare tale archivio.
L’archivio 7zip contenente l’eseguibile può essere distribuito in tre modi principali:
- Link diretto a Google Drive: Questo è il metodo più comune, dove un URL di Google Drive è incorporato direttamente nell’email.
- File HTML: Nel 40% dei casi, un link in un file HTML porta al download dell’archivio 7zip. Questo metodo è probabilmente più efficace poiché i Secure Email Gateway (SEG) potrebbero considerare il file HTML legittimo.
- File PDF: Anche se utilizzato solo nel 7% delle email, un PDF allegato con un link incorporato a Google Drive è il metodo più efficace per bypassare i SEG, che spesso considerano i PDF non dannosi.
Poco RAT, scritto in Delphi, viene fornito come eseguibile .exe, talvolta compresso in UPX, e include una quantità insolita di metadati Exif, come nomi aziendali casuali e vari numeri di versione. Il malware utilizza le librerie POCO C++ open source, da cui prende il nome, rendendolo meno rilevabile rispetto all’uso di codice personalizzato o librerie meno comuni.
Quando eseguito, Poco RAT stabilisce la persistenza tramite una chiave di registro e avvia il processo legittimo grpconv.exe, che viene utilizzato per iniettare il malware e connettersi al server C2 ospitato su un indirizzo IP specifico. La comunicazione avviene solo se il computer infetto si trova in America Latina. Poco RAT può anche scaricare ed eseguire altri file, rendendolo capace di distribuire ulteriori malware specializzati o ransomware.
https://cofense.com/blog/new-malware-campaign-targeting-spanish-language-victims/