{"id":1272944,"date":"2024-07-11T23:04:11","date_gmt":"2024-07-11T23:04:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-rat-de-poco-ataca-a-victimas-de-habla-hispana-en-una-campana-de-phishing\/"},"modified":"2024-07-11T23:04:16","modified_gmt":"2024-07-11T23:04:16","slug":"el-nuevo-rat-de-poco-ataca-a-victimas-de-habla-hispana-en-una-campana-de-phishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-rat-de-poco-ataca-a-victimas-de-habla-hispana-en-una-campana-de-phishing\/","title":{"rendered":"El nuevo RAT de Poco ataca a v\u00edctimas de habla hispana en una campa\u00f1a de phishing"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Malware\/Inteligencia sobre amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/El-nuevo-RAT-de-Poco-ataca-a-victimas-de-habla.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Las v\u00edctimas de habla hispana son el objetivo de una campa\u00f1a de phishing por correo electr\u00f3nico que distribuye un nuevo troyano de acceso remoto (RAT) llamado <strong>Rata peque\u00f1a<\/strong> desde al menos febrero de 2024.<\/p>\n<p>Los ataques se centran principalmente en los sectores de miner\u00eda, manufactura, hoteler\u00eda y servicios p\u00fablicos, seg\u00fan la empresa de ciberseguridad Cofense.<\/p>\n<p>&#8220;La mayor\u00eda del c\u00f3digo personalizado en el malware parece estar enfocado en el antian\u00e1lisis, la comunicaci\u00f3n con su centro de comando y control (C2) y la descarga y ejecuci\u00f3n de archivos con un enfoque limitado en el monitoreo o la recolecci\u00f3n de credenciales&#8221;, dijo. <a rel=\"nofollow noopener\" href=\"https:\/\/cofense.com\/blog\/new-malware-campaign-targeting-spanish-language-victims\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Las cadenas de infecci\u00f3n comienzan con mensajes de phishing que contienen se\u00f1uelos con temas financieros que enga\u00f1an a los destinatarios para que hagan clic en una URL incrustada que apunta a un archivo 7-Zip alojado en Google Drive.<\/p>\n<p>Otros m\u00e9todos observados incluyen el uso de archivos HTML o PDF adjuntos directamente a los correos electr\u00f3nicos o descargados a trav\u00e9s de otro enlace integrado de Google Drive. El abuso de servicios leg\u00edtimos por parte de actores de amenazas no es un fen\u00f3meno nuevo, ya que les permite eludir las puertas de enlace de correo electr\u00f3nico seguras (SEG).<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los archivos HTML que propagan Poco RAT, a su vez, contienen un enlace que, al hacer clic, conduce a la descarga del archivo que contiene el ejecutable del malware.<\/p>\n<p>&#8220;Esta t\u00e1ctica probablemente ser\u00eda m\u00e1s efectiva que simplemente proporcionar una URL para descargar directamente el malware, ya que cualquier SEG que explore la URL incorporada solo descargar\u00eda y verificar\u00eda el archivo HTML, que parecer\u00eda ser leg\u00edtimo&#8221;, se\u00f1al\u00f3 Cofense.<\/p>\n<p>Los archivos PDF no son diferentes, ya que tambi\u00e9n contienen un enlace de Google Drive que alberga Poco RAT.<\/p>\n<p>Una vez ejecutado, el malware basado en Delphi establece persistencia en el host de Windows comprometido y se comunica con un servidor C2 para entregar cargas \u00fatiles adicionales. Se llama as\u00ed debido a que utiliza el <a rel=\"nofollow noopener\" href=\"https:\/\/pocoproject.org\/\" target=\"_blank\">Bibliotecas C++ de POCO<\/a>.<\/p>\n<p>El uso de Delphi es una se\u00f1al de que los actores de amenazas no identificados detr\u00e1s de la campa\u00f1a se est\u00e1n centrando en Am\u00e9rica Latina, que se sabe que es el blanco de troyanos bancarios escritos en ese lenguaje de programaci\u00f3n.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1720739050_584_El-nuevo-RAT-de-Poco-ataca-a-victimas-de-habla.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1720739050_584_El-nuevo-RAT-de-Poco-ataca-a-victimas-de-habla.png\" alt=\"Campa\u00f1a de phishing\" border=\"0\" data-original-height=\"395\" data-original-width=\"728\" title=\"Campa\u00f1a de phishing\"\/><\/a><\/div>\n<p>Esta conexi\u00f3n se ve reforzada por el hecho de que el servidor C2 no responde a las solicitudes procedentes de ordenadores infectados que no est\u00e9n geolocalizados en la regi\u00f3n.<\/p>\n<p>El desarrollo se produce en un momento en que los autores de malware est\u00e1n&#8230; <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonicwall.com\/en-us\/2024\/07\/the-hidden-danger-of-pdf-files-with-embedded-qr-codes\/\" target=\"_blank\">utilizando cada vez m\u00e1s<\/a> C\u00f3digos QR incrustados en archivos PDF para enga\u00f1ar a los usuarios para que visiten p\u00e1ginas de phishing dise\u00f1adas para recopilar credenciales de inicio de sesi\u00f3n de Microsoft 365.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Apple-elimina-aplicaciones-VPN-de-la-App-Store-rusa-ante.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Tambi\u00e9n sigue campa\u00f1as de ingenier\u00eda social que utilizan sitios enga\u00f1osos que publicitan software popular para distribuir malware como RAT y ladrones de informaci\u00f3n como <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/exploring-the-infection-chain-screenconnects-link-to-asyncrat-deployment\" target=\"_blank\">AsyncRAT<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2024\/06\/threat-analysis-insight-risepro-information-stealer\" target=\"_blank\">RisePro<\/a>.<\/p>\n<p>Ataques similares de robo de datos tambi\u00e9n han tenido como objetivo a usuarios de Internet en India con mensajes SMS falsos que informaban falsamente sobre fallos en la entrega de paquetes y les indicaban que hicieran clic en un enlace proporcionado para actualizar sus datos.<\/p>\n<p>La campa\u00f1a de phishing por SMS se ha atribuido a un actor de amenazas de habla china llamado Smishing Triad, que tiene antecedentes de utilizar cuentas de iCloud de Apple comprometidas o registradas intencionalmente (por ejemplo, &#8220;fredyma514@hlh-web.de&#8221;) para enviar mensajes de smishing para llevar a cabo fraudes financieros.<\/p>\n<p>&#8220;Los actores registraron nombres de dominio haci\u00e9ndose pasar por India Post alrededor de junio, pero no los estaban usando activamente, probablemente prepar\u00e1ndose para una actividad a gran escala, que se hizo visible en julio&#8221;, dijo Resecurity. <a rel=\"nofollow noopener\" href=\"https:\/\/www.resecurity.com\/blog\/article\/smishing-triad-is-targeting-india-to-steal-personal-and-payment-data-at-scale\" target=\"_blank\">dicho<\/a>&#8220;El objetivo de esta campa\u00f1a es robar cantidades masivas de informaci\u00f3n personal identificable (PII) y datos de pago&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/new-poco-rat-targets-spanish-speaking.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de julio de 2024\ue804Sala de prensaMalware\/Inteligencia sobre amenazas Las v\u00edctimas de habla hispana son el objetivo de<\/p>\n","protected":false},"author":1,"featured_media":1272945,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4397,4661,3372,4664,4662,2630,166250,4668,4667,239182,4654,239508,4658,4659,4653,480,8178,555,63637,4666,4665,158,1759,239484],"class_list":["post-1272944","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataca","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-filtracion-de-datos","tag-habla","tag-hispana","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nuevo","tag-phishing","tag-poco","tag-rat","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-victimas","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1272944","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1272944"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1272944\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1272945"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1272944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1272944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1272944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}