Kampanye phishing Poco RAT targetkan korban berbahasa Spanyol
Cofense mengungkapkan bahwa sebagian besar kode kustom dalam malware ini difokuskan pada anti-analisis.
Kampanye phishing baru yang menargetkan korban berbahasa Spanyol telah diidentifikasi menggunakan remote access trojan (RAT) bernama Poco RAT sejak Februari 2024. Menurut perusahaan keamanan siber Cofense, serangan ini terutama menyasar sektor pertambangan, manufaktur, perhotelan, dan utilitas.
Dilansir dari The Hacker News (13/7), Cofense mengungkapkan bahwa sebagian besar kode kustom dalam malware ini difokuskan pada anti-analisis, komunikasi dengan pusat komando dan kontrol (C2), serta mengunduh dan menjalankan file, dengan fokus terbatas pada pemantauan atau pengambilan kredensial.
Rantai infeksi dimulai dengan pesan phishing bertema keuangan yang menipu penerima untuk mengklik URL tersemat yang mengarah ke file arsip 7-Zip yang dihosting di Google Drive. Metode lainnya yang diamati termasuk penggunaan file HTML atau PDF yang langsung dilampirkan pada email atau diunduh melalui tautan Google Drive. Penyalahgunaan layanan sah oleh aktor ancaman bukanlah hal baru karena memungkinkan mereka untuk melewati gerbang email yang aman (SEG).
File HTML yang menyebarkan Poco RAT mengandung tautan yang, setelah diklik, mengarah ke unduhan arsip yang berisi executable malware. "Taktik ini kemungkinan lebih efektif daripada hanya memberikan URL untuk langsung mengunduh malware karena SEG yang menjelajahi URL tersemat hanya akan mengunduh dan memeriksa file HTML yang terlihat sah," kata Cofense.
File PDF juga tidak berbeda karena mengandung tautan Google Drive yang menyimpan Poco RAT. Setelah diluncurkan, malware berbasis Delphi ini menetapkan keberlanjutan pada host Windows yang terinfeksi dan menghubungi server C2 untuk mengirimkan muatan tambahan. Malware ini dinamai demikian karena menggunakan POCO C++ Libraries.