Una nueva campaña de phishing ha estado apuntando a usuarios de habla hispana mediante correos electrónicos que distribuyen un troyano de acceso remoto (RAT) llamado «Poco RAT» basado en Delphi. Estos están dirigidos principalmente a los sectores de minería, fabricación, hostelería y servicios públicos.

El código personalizado del malware se centra en evitar el análisis, comunicarse con su centro de comando y control (C2), descargar y ejecutar archivos. Tiene un enfoque limitado en el monitoreo o la recolección de credenciales.

La cadena de infección comienza con correos electrónicos de phishing con temas financieros que persuaden a los destinatarios a hacer clic en una URL incrustada, esta dirige a un archivo 7-Zip alojado en Google Drive.

Otros métodos incluyen archivos HTML o PDF adjuntos directamente a los correos electrónicos. Los archivos HTML contienen un enlace que, al hacer clic, descarga el archivo que contiene el ejecutable del malware. Los archivos PDF siguen un método similar, con enlaces a Google Drive que alojan Poco RAT. Una vez ejecutado, el malware establece persistencia en el host de Windows comprometido y se comunica con un servidor C2 para entregar cargas adicionales.

Este desarrollo se produce en un momento en que los creadores de malware están utilizando cada vez más códigos QR en archivos PDF para atraer a los usuarios a páginas de phishing que buscan robar credenciales de Microsoft 365. También sigue campañas de ingeniería social que utilizan sitios falsos que anuncian software popular para distribuir RATs, AsyncRAT y RisePro.

Fuente:

New Poco RAT Targets Spanish-Speaking Victims in Phishing Campaign

New Malware Campaign Targeting Spanish Language Victims (cofense.com)