“Poco Rat” olarak adlandırılan yeni bir kötü amaçlı yazılım varyantı, Latin Amerika’da İspanyolca konuşan kullanıcıları hedefleyen bir kampanyada güçlü bir casusluk aracı olarak ortaya çıktı.
Pozitif Teknolojiler Uzman Güvenlik Merkezi’ndeki (PT ESC) güvenlik araştırmacıları, bu kötü amaçlı yazılımları siber mensener operasyonlarıyla bilinen kötü şöhretli Dark Caracal Grubuna bağladılar.
Kampanya, kurumsal ağlara sızmak ve hassas bilgileri çıkarmak için kimlik avı tuzakları olarak silahlandırılmış PDF dosyaları kullanıyor.
Silahlı PDF’ler: gizli bir giriş noktası
Saldırı, meşru finansal belgeler olarak gizlenmiş kötü niyetli PDF ekleri içeren kimlik avı e -postaları ile başlar.
Bu tuzak dosyaları genellikle faturaları veya iyi bilinen kuruluşlardan ödeme onaylarını taklit ederek, algılamadan kaçınmak için bulanık görsellerden ve meta veri manipülasyonundan yararlanır.
PDFS açıldıktan sonra, kurbanları Google Drive veya Dropbox gibi meşru bulut hizmetlerinden bir .REV arşivi indirmeye yönlendirir.
Arşivin içinde, disk yazmasından kaçınırken POCO sıçanını yürüten bir damlalık yatıyor ve geleneksel antivirüs çözümlerinin tespit etmesini zorlaştırıyor.
Poco Rat’ın Casusluk Yetenekleri
POCO Rat, POCO C ++ kütüphaneleri kullanılarak inşa edilen ve saldırganların şunları sağlayan sofistike bir arka kapıdır:
- Sistem komutlarını yürüt
- Ekran görüntüleri yakalama
- Dosya Sistemlerinde Gezin
- Sistem işlemlerini manipüle edin
Kötü amaçlı yazılım ayrıca, komut ve kontrol (C2) sunucularına aktarmadan önce kullanıcı adları, işletim sistemi sürümleri ve mevcut bellek de dahil olmak üzere ayrıntılı sistem bilgilerini toplar.
Kalıcını korumak ve tespitten kaçınmak için POCO Rat sanallaştırılmış ortamları kontrol eder ve şifreli iletişim kanallarını kullanır.
Dark Caracal’ın gelişen taktikleri
Dark Caracal, POCO sıçanını cephaneliğine entegre ederek yöntemlerini geliştirmeye devam ediyor.
Rapora göre, bu grubun Bandook tabanlı backdoors kullanma geçmişi var, ancak gelişmiş yetenekleri için POCO Rat’a geçiyor gibi görünüyor.
Her iki kötü amaçlı yazılım ailesi, proses enjeksiyonu ve dinamik API çözünürlüğü gibi benzer taktikleri paylaşarak analiz etmeyi zorlaştırıyor.
POCO faresi operasyonlarını destekleyen altyapı, çoğu saldırı Venezuela, Kolombiya ve Şili’den kaynaklanan Latin Amerika’ya odaklanıyor.
Grup, kötü niyetli yükleri daha da maskelemek için meşru hizmetler ve URL kısaltma makineleri kullanır.
POCO sıçanının ortaya çıkması, belirli bölgeleri ve endüstrileri hedefleyen siber tehditlerin gelişen sofistike olmasının altını çizmektedir.
Sağlam casusluk özellikleri ve gizli dağıtım mekanizmaları ile bu kötü amaçlı yazılım kurumsal ağlar için önemli riskler oluşturmaktadır.
Kuruluşlara, Dark Caracal’ın kampanyalarına bağlı uzlaşma göstergeleri için kimlik avı saldırılarına karşı savunmalarını güçlendirmeleri ve ağ trafiğini izlemeleri tavsiye edilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free