Kampanye phishing Poco RAT targetkan korban berbahasa Spanyol

Kampanye phishing baru yang menargetkan korban berbahasa Spanyol telah diidentifikasi menggunakan remote access trojan (RAT) bernama Poco RAT sejak Februari 2024. Menurut perusahaan keamanan siber Cofense, serangan ini terutama menyasar sektor pertambangan, manufaktur, perhotelan, dan utilitas.

Dilansir dari The Hacker News (13/7), Cofense mengungkapkan bahwa sebagian besar kode kustom dalam malware ini difokuskan pada anti-analisis, komunikasi dengan pusat komando dan kontrol (C2), serta mengunduh dan menjalankan file, dengan fokus terbatas pada pemantauan atau pengambilan kredensial. 

Rantai infeksi dimulai dengan pesan phishing bertema keuangan yang menipu penerima untuk mengklik URL tersemat yang mengarah ke file arsip 7-Zip yang dihosting di Google Drive. Metode lainnya yang diamati termasuk penggunaan file HTML atau PDF yang langsung dilampirkan pada email atau diunduh melalui tautan Google Drive. Penyalahgunaan layanan sah oleh aktor ancaman bukanlah hal baru karena memungkinkan mereka untuk melewati gerbang email yang aman (SEG).

File HTML yang menyebarkan Poco RAT mengandung tautan yang, setelah diklik, mengarah ke unduhan arsip yang berisi executable malware. "Taktik ini kemungkinan lebih efektif daripada hanya memberikan URL untuk langsung mengunduh malware karena SEG yang menjelajahi URL tersemat hanya akan mengunduh dan memeriksa file HTML yang terlihat sah," kata Cofense.

File PDF juga tidak berbeda karena mengandung tautan Google Drive yang menyimpan Poco RAT. Setelah diluncurkan, malware berbasis Delphi ini menetapkan keberlanjutan pada host Windows yang terinfeksi dan menghubungi server C2 untuk mengirimkan muatan tambahan. Malware ini dinamai demikian karena menggunakan POCO C++ Libraries.

Penggunaan Delphi menunjukkan bahwa aktor ancaman yang tidak teridentifikasi di balik kampanye ini berfokus pada Amerika Latin, yang diketahui menjadi target trojan perbankan yang ditulis dalam bahasa pemrograman tersebut. Hal ini diperkuat oleh fakta bahwa server C2 tidak merespons permintaan dari komputer yang terinfeksi yang tidak berlokasi di kawasan tersebut.

Penulis malware kini semakin sering menggunakan kode QR yang disematkan dalam file PDF untuk menipu pengguna agar mengunjungi halaman phishing yang dirancang untuk mengambil kredensial login Microsoft 365. Kampanye ini juga mengikuti kampanye rekayasa sosial yang menggunakan situs penipuan yang mengiklankan perangkat lunak populer untuk menyebarkan malware seperti RAT dan pencuri informasi seperti AsyncRAT dan RisePro.

Serangan pencurian data serupa juga telah menargetkan pengguna internet di India dengan pesan SMS palsu yang mengklaim adanya kegagalan pengiriman paket dan menginstruksikan mereka untuk mengklik tautan yang disediakan untuk memperbarui detail mereka. Kampanye phishing SMS ini telah dikaitkan dengan aktor ancaman berbahasa Tionghoa yang disebut Smishing Triad, yang memiliki sejarah menggunakan akun Apple iCloud yang dikompromikan atau didaftarkan secara sengaja untuk mengirim pesan smishing guna melakukan penipuan keuangan.

Menurut Resecurity, aktor tersebut mendaftarkan nama domain yang menyamar sebagai India Post sekitar bulan Juni, tetapi tidak aktif menggunakannya, kemungkinan mempersiapkan aktivitas skala besar yang terlihat pada bulan Juli. “Tujuan dari kampanye ini adalah untuk mencuri sejumlah besar informasi identitas pribadi (PII) dan data pembayaran,” kata Resecurity.

Laporan ini menyoroti meningkatnya ancaman dari kampanye phishing yang semakin canggih dan terarah, serta pentingnya kewaspadaan dan langkah-langkah keamanan yang lebih ketat untuk melindungi diri dari serangan siber.