Poco RAT: el troyano depredador clava sus garras digitales en los negocios latinoamericanos
Bajo ataque están los sectores minero, manufacturero, hotelero y de servicios públicos.
Desde febrero de 2024, los usuarios hispanohablantes se han convertido en el objetivo de una nueva campaña de phishing que distribuye un troyano de acceso remoto (RAT) llamado Poco RAT. Los ataques están dirigidos a empresas de los sectores minero, manufacturero, hotelero y de servicios públicos ubicadas en países de América Latina.
El código del malware se centra principalmente en evadir el análisis, comunicarse con el servidor de comando y control (C2) y cargar archivos, mientras que la recolección de datos y credenciales no es una prioridad. Esto, según informa Cofense, una empresa especializada en ciberseguridad.
La infección comienza con mensajes de phishing que contienen enlaces a archivos 7-Zip alojados en Google Drive. Otros métodos de distribución incluyen el uso de archivos HTML o PDF adjuntos a correos electrónicos o descargados a través de enlaces de Google Drive. El uso del servicio legítimo de Google Drive en este caso no es accidental, sino intencional para evadir los sistemas de protección de correo electrónico (Secure Email Gateway, SEG).
Los archivos HTML y PDF utilizados en el ataque, a su vez, también contienen un enlace que, al hacer clic, lleva a la descarga de un archivo que contiene el ejecutable del malware. Una vez ejecutado, el troyano Poco RAT, escrito en Delphi, establece persistencia en el ordenador infectado y se comunica con el servidor C2 para entregar módulos maliciosos adicionales. El nombre del troyano está relacionado con el uso de las bibliotecas POCO C++.
El uso de Delphi indica que el ataque está orientado a América Latina, donde los troyanos bancarios en este lenguaje son comúnmente utilizados. Esta suposición se ve reforzada por el hecho de que el servidor C2 no responde a solicitudes de ordenadores fuera de esta región.
Este caso demuestra claramente cómo los ciberdelincuentes adaptan sus métodos a regiones y grupos lingüísticos específicos. El empleo del español y el enfoque en empresas latinoamericanas muestran que los hackers están adoptando cada vez más un enfoque localizado para aumentar la eficacia de sus ataques.
Las organizaciones de todo el mundo deben mejorar constantemente su ciberseguridad y formar a sus empleados, prestando especial atención a las amenazas específicas de su ubicación geográfica y sector. La colaboración global en materia de ciberseguridad se está convirtiendo en un factor clave para contrarrestar este tipo de ataques dirigidos.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla