05 mars 2025Ravie LakshmananCyber-espionnage / malware

L’acteur de menace connue sous le nom Caracal noir a été attribué à une campagne qui a déployé un cheval de Troie à distance appelé Poco Rat dans des attaques ciblant les cibles hispanophones en Amérique latine en 2024.

Les résultats proviennent de la société russe de cybersécurité Positive Technologies, qui a décrit le malware comme chargé d’une “suite complète de fonctionnalités d’espionnage”.

“Il pourrait télécharger des fichiers, capturer des captures d’écran, exécuter des commandes et manipuler les processus du système”, les chercheurs Denis Kazakov et Sergey Samokhin dit Dans un rapport technique publié la semaine dernière.

Poco Rat a été précédemment documenté par Cofense en juillet 2024, détaillant les attaques de phishing destinées aux secteurs de l’exploitation minière, de la fabrication, de l’hospitalité et des services publics. Les chaînes d’infection sont caractérisées par l’utilisation de leurres sur le thème des finances qui déclenchent un processus en plusieurs étapes pour déployer le malware.

Cybersécurité

Bien que la campagne n’ait été attribuée à aucune menace à l’époque, Positive Technologies a déclaré qu’elle a identifié des chevauchements commerciaux avec Dark Caracal, une menace persistante avancée (APT) connue pour faire fonctionner des familles de logiciels malveillants comme Crossrat et Bandook. C’est opérationnel depuis au moins 2012.

En 2021, le groupe de cyber-mercenaires a été lié à une campagne de cyber-espionnage surnommée Bandidos qui a livré une version mise à jour du malware bandook contre les pays hispanophones d’Amérique du Sud.

Le dernier ensemble d’attaques continue de se concentrer sur les utilisateurs hispanophones, tirant parti des e-mails de phishing avec des thèmes liés à la facture qui portent des pièces jointes malveillantes écrites en espagnol comme point de départ. Une analyse des artefacts de rat Poco indique que les intrusions ciblent principalement les entreprises au Venezuela, au Chili, à la République dominicaine, à la Colombie et à l’Équateur.

Les documents de leurre ci-joints se font passer pour un large éventail de verticaux de l’industrie, notamment la banque, la fabrication, les soins de santé, les produits pharmaceutiques et la logistique, dans le but de prêter un peu plus de crédibilité du programme.

Lorsqu’ils sont ouverts, les fichiers redirigent les victimes vers un lien qui déclenche le téléchargement d’une archive .rev à partir de services de partage de fichiers légitimes ou de plates-formes de stockage cloud comme Google Drive et Dropbox.

“Les fichiers avec l’extension .rev sont générés à l’aide de Winrar et ont été initialement conçus pour reconstruire des volumes manquants ou corrompus dans des archives en plusieurs parties”, ont expliqué les chercheurs. “Les acteurs de la menace les réorientent en tant que conteneurs de charge utile furtifs, aidant les logiciels malveillants à échapper à la détection de sécurité.”

Dans l’archive se trouve un compte-gouttes basé à Delphi responsable du lancement de Poco Rat, qui, à son tour, établit un contact avec un serveur distant et accorde aux attaquants un contrôle complet sur les hôtes compromis. Le malware tire son nom de l’utilisation des bibliothèques POCO dans sa base de code C ++.

Cybersécurité

Certaines des commandes prises en charge de POCO Rat sont répertoriées ci-dessous –

  • T-01 – Envoyer des données système collectées au serveur de commande et de contrôle (C2)
  • T-02 – Récupérer et transmettre le titre de fenêtre actif sur le serveur C2
  • T-03 – Téléchargez et exécutez un fichier exécutable
  • T-04 – Téléchargez un fichier sur la machine compromise
  • T-05 – Capturez une capture d’écran et envoyez-la au serveur C2
  • T-06 – Exécutez une commande dans cmd.exe et envoyez la sortie au serveur C2

“Poco Rat ne vient pas avec un mécanisme de persistance intégré”, ont déclaré les chercheurs. “Une fois la reconnaissance initiale terminée, le serveur émet probablement une commande pour établir la persistance, ou les attaquants peuvent utiliser Poco Rat comme tremplin pour déployer la charge utile principale.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57