至少从 2024 年 2 月开始,西班牙语受害者是电子邮件网络钓鱼活动的目标,该活动提供了一种名为 Poco RAT 的新远程访问木马 (RAT)。据网络安全公司Cofense称,这些攻击主要针对采矿、制造业、酒店业和公用事业行业。“恶意软件中的大多数自定义代码似乎都集中在反分析上,与其命令和控制中心(C2)进行通信,以及下载和运行文件,而对监控或收集凭据的关注有限,”它说。感染链始于带有金融主题诱饵的网络钓鱼消息,诱骗收件人点击指向 Google Drive 上托管的 7-Zip 存档文件的嵌入式 URL。观察到的其他方法包括使用直接附加到电子邮件的 HTML 或 PDF 文件,或通过另一个嵌入式 Google Drive 链接下载。威胁行为者滥用合法服务并不是一个新现象,因为它允许他们绕过安全电子邮件网关 (SEG)。反过来,传播 Poco RAT 的 HTML 文件包含一个链接,单击该链接后,该链接会导致下载包含恶意软件可执行文件的存档。“这种策略可能比简单地提供直接下载恶意软件的 URL 更有效,因为任何探索嵌入式 URL 的 SEG 只会下载并检查 HTML 文件,这似乎是合法的,”Cofense 指出。PDF 文件没有什么不同,因为它们还包含包含 Poco RAT 的 Google Drive 链接。一旦启动,基于 Delphi 的恶意软件就会在受感染的 Windows 主机上建立持久性,并联系 C2 服务器以提供额外的有效负载。它之所以如此命名,是因为它使用了 POCO C++ 库。Delphi 的使用表明,该活动背后的身份不明的威胁行为者正专注于拉丁美洲,众所周知,拉丁美洲是用编程语言编写的银行木马的目标。由于 C2 服务器不响应来自未地理定位到该区域的受感染计算机的请求,因此加强了这种连接。随着恶意软件作者越来越多地使用嵌入PDF文件的QR码来诱骗用户访问旨在收集Microsoft登录凭据的网络钓鱼页面。它还遵循社会工程活动,这些活动使用欺骗性网站宣传流行软件来提供恶意软件,例如 RAT 和 AsyncRAT 和 RisePro 等信息窃取程序。类似的数据盗窃攻击也针对印度的互联网用户,通过虚假的短信谎称包裹递送失败,并指示他们点击提供的链接来更新他们的详细信息。短信网络钓鱼活动被归咎于一个名为 Smishing Triad 的中文威胁行为者,该行为者有使用受感染或故意注册的 Apple iCloud 帐户(例如“fredyma514@hlh-web.de”)发送短信钓鱼消息进行金融欺诈的历史。“这些行为者在6月左右注册了冒充印度邮政的域名,但没有积极使用它们,可能是在为大规模活动做准备,该活动在7月开始可见,”Resecurity说。“该活动的目标是窃取大量个人身份信息(PII)和支付数据。
