Poco RAT：掠食者木马向拉丁美洲企业释放数字利爪

采矿、制造、酒店和公用事业行业受到攻击。

自 2024 年 2 月以来，西班牙语用户已成为新的网络钓鱼活动的目标，该活动分发名为 Poco RAT 的远程访问木马 (RAT)。这些攻击针对拉丁美洲的采矿、制造、酒店和公用事业行业的公司。

老鼠

恶意软件代码的重点是绕过分析、与命令和控制（C2）服务器通信以及下载文件，而收集数据和帐户不是优先事项。这是由网络安全公司 Cofense 报道的。

C2 报告 科芬斯

感染始于网络钓鱼邮件，其中包含指向 Google 云端硬盘上托管的 7-Zip 存档的链接。其他分发方法包括使用电子邮件附加的 HTML 或 PDF 文件或通过 Google Drive 链接下载。在这种情况下，合法的 Google Drive 服务并不是偶然使用的，而是故意使用的，以绕过电子邮件安全系统（安全电子邮件网关，SEG）。

SEG

攻击中使用的 HTML 和 PDF 文件还包含一个链接，单击该链接即可下载包含恶意软件可执行文件的存档。一旦启动，用 Delphi 编写的 Poco RAT 木马就会在受感染的计算机上建立持久性，并联系 C2 服务器来传递其他恶意模块。该木马的名称指的是 POCO C++ 库的使用。

德尔福

使用 Delphi 表明攻击目标是拉丁美洲，那里经常使用该语言的银行木马。 C2 服务器不会响应来自不位于该区域的计算机的请求，这一事实进一步证实了这一假设。