La seguridad en línea enfrenta amenazas cada vez más sofisticadas, y recientemente, una nueva variante de troyano de acceso remoto (RAT) llamada Poco ha surgido, específicamente diseñada para atacar a usuarios de habla hispana. Utilizando tácticas de phishing, los atacantes engañan a las víctimas para que descarguen y ejecuten malware, comprometiendo así la seguridad de sus sistemas.
Las víctimas de habla hispana son el objetivo de una campaña de phishing por correo electrónico que distribuye un nuevo troyano de acceso remoto (RAT) llamado Poco RAT desde al menos febrero de 2024. Los ataques se centran principalmente en los sectores de minería, manufactura, hotelería y servicios públicos.
"La mayoría del código personalizado en el malware parece estar enfocado en el antianálisis, la comunicación con su centro de comando y control (C2) y la descarga y ejecución de archivos con un enfoque limitado en el monitoreo o la recolección de credenciales", según los expertos.
Las cadenas de infección comienzan con mensajes de phishing que contienen señuelos con temas financieros que engañan a los destinatarios para que hagan clic en una URL incrustada que apunta a un archivo 7-Zip alojado en Google Drive.
Otros métodos observados incluyen el uso de archivos HTML o PDF adjuntos directamente a los correos electrónicos o descargados a través de otro enlace integrado de Google Drive. El abuso de servicios legítimos por parte de actores de amenazas no es un fenómeno nuevo, ya que les permite eludir las puertas de enlace de correo electrónico seguras (SEG).
Los archivos HTML que propagan Poco RAT contienen un enlace que, al hacer clic, descarga el archivo con el ejecutable del malware. Esta táctica es más efectiva que proporcionar una URL directa, ya que cualquier SEG que analice la URL solo verificaría el archivo HTML, que parecería legítimo. Los archivos PDF también contienen un enlace de Google Drive que aloja Poco RAT.
Una vez ejecutado, el malware basado en Delphi establece persistencia en el host de Windows comprometido y se comunica con un servidor C2 para entregar cargas útiles adicionales. El uso de Delphi sugiere un enfoque en América Latina, una región conocida por troyanos bancarios escritos en este lenguaje.
Poco RAT tiene la capacidad de entregar y descargar archivos que pueden incluir malware adicional, como ransomware o software especializado para la recopilación de datos. La primera campaña de este malware se detectó a principios de febrero, inicialmente dirigida al sector minero. Durante el segundo trimestre del año, la campaña se expandió a otros sectores principales, incluyendo servicios públicos, hotelería y manufactura.
Te podrá interesar leer: México: Epicentro de Ciberataques en América Latina
Protegerse contra Poco RAT y amenazas similares requiere una combinación de medidas preventivas y reactivas. Aquí hay algunas recomendaciones clave:
1. Educación y Conciencia: Educar a los trabajadores y usuarios sobre los riesgos del phishing y cómo identificar correos electrónicos sospechosos es fundamental. La concienciación sobre la ciberseguridad puede reducir significativamente las posibilidades de que un usuario caiga en una trampa de phishing.
2. Seguridad del Correo Electrónico: Implementar soluciones de seguridad de correo electrónico que puedan detectar y bloquear intentos de phishing es esencial. Los filtros de spam avanzados y las herramientas de análisis de correo electrónico pueden identificar y detener correos electrónicos maliciosos antes de que lleguen a los usuarios finales.
3. Software de Seguridad: Utilizar software de seguridad robusto y mantenerlo actualizado es crucial. Las soluciones antivirus y antimalware pueden detectar y eliminar amenazas antes de que causen daños.
4. Actualización Regular: Mantener el software y los sistemas operativos actualizados con los últimos parches de seguridad es vital para protegerse contra vulnerabilidades conocidas que pueden ser explotadas por malware.
5. Respuestas a Incidentes: Desarrollar y practicar un plan de respuesta a incidentes ayuda a las organizaciones a reaccionar rápidamente ante una infección de malware. Esto incluye la identificación, contención y eliminación del malware, así como la restauración de sistemas afectados.
6. Copias de Seguridad Realizar copias de seguridad periódicas de datos críticos asegura que, en caso de una infección por malware, se puedan recuperar los datos sin grandes pérdidas. Las copias de seguridad deben almacenarse de forma segura y probarse regularmente para garantizar su integridad y disponibilidad. Con nuestro TecnetProtect, tienes una solución de ciberprotección y copias de seguridad que garantiza la seguridad y disponibilidad de tus datos.
Conoce más sobre: Características clave de TecnetProtect: BaaS
Poco RAT representa una amenaza significativa para los usuarios hispanohablantes, especialmente en sectores críticos como la minería, la manufactura y los servicios públicos. Comprender cómo funciona este malware y tomar medidas proactivas para protegerse es esencial para mitigar los riesgos asociados. La educación, la implementación de herramientas de seguridad avanzadas y la preparación ante incidentes son claves para una defensa efectiva contra este y otros tipos de malware.