O ator de ameaça conhecido como Dark Caracal foi atribuído a uma campanha que implementou um trojan de acesso remoto chamado Poco RAT em ataques direcionados a alvos de língua espanhola na América Latina em 2024.
As descobertas vêm da empresa russa de cibersegurança Positive Technologies, que descreveu o malware como carregado com um "conjunto completo de recursos de espionagem".
"Ele poderia fazer upload de arquivos, capturar telas, executar comandos e manipular processos do sistema", disseram os pesquisadores Denis Kazakov e Sergey Samokhin em um relatório técnico publicado na semana passada.
Poco RAT foi previamente documentado pela Cofense em julho de 2024, detalhando os ataques de phishing voltados para os setores de mineração, manufatura, hospitalidade e utilidades.
As cadeias de infecção são caracterizadas pelo uso de iscas temáticas financeiras que acionam um processo de múltiplas etapas para implantar o malware.
Embora a campanha não tenha sido atribuída a qualquer ameaça naquele momento, a Positive Technologies disse ter identificado sobreposições de tradecraft com Dark Caracal, uma ameaça persistente avançada (APT) conhecida por operar famílias de malware como CrossRAT e Bandook.
Está operacional desde pelo menos 2012.
Em 2021, o grupo mercenário de ciberespionagem foi vinculado a uma campanha de espionagem cibernética apelidada de Bandidos que entregou uma versão atualizada do malware Bandook contra países de língua espanhola na América do Sul.
O último conjunto de ataques continua focado em usuários de língua espanhola, utilizando e-mails de phishing com temas relacionados a faturas que contêm anexos maliciosos escritos em espanhol como ponto de partida.
Uma análise dos artefatos do Poco RAT indica que as intrusões visam principalmente empresas na Venezuela, Chile, República Dominicana, Colômbia e Equador.
Os documentos isca anexados personificam uma ampla gama de setores industriais, incluindo bancário, manufatura, saúde, farmacêutico e logístico, numa tentativa de dar ao esquema um pouco mais de credibilidade.
Quando abertos, os arquivos redirecionam as vítimas para um link que aciona o download de um arquivo .rev de serviços legítimos de compartilhamento de arquivos ou plataformas de armazenamento em nuvem, como Google Drive e Dropbox.
"Arquivos com a extensão .rev são gerados usando WinRAR e foram originalmente projetados para reconstruir volumes ausentes ou corrompidos em arquivos multipartes", explicaram os pesquisadores.
"Atores de ameaças os repropõem como contêineres de payload útil furtivos, ajudando o malware a evadir a detecção de segurança." Presente no arquivo está um dropper baseado em Delphi responsável por iniciar o Poco RAT, que, por sua vez, estabelece contato com um servidor remoto e concede aos atacantes controle total sobre os hosts comprometidos.
O malware recebeu o nome do uso de bibliotecas POCO em sua base de código C++.
Alguns dos comandos suportados pelo Poco RAT estão listados abaixo:
T-01 - Enviar dados do sistema coletados para o servidor de comando e controle (C2)
T-02 - Recuperar e transmitir o título da janela ativa para o servidor C2
T-03 - Baixar e executar um arquivo executável
T-04 - Baixar um arquivo para a máquina comprometida
T-05 - Capturar uma captura de tela e enviá-la para o servidor C2
T-06 - Executar um comando em cmd.exe e enviar a saída para o servidor C2
"O Poco RAT não vem com um mecanismo de persistência embutido", disseram os pesquisadores.
Uma vez que o reconhecimento inicial esteja completo, o servidor provavelmente emite um comando para estabelecer persistência, ou os atacantes podem usar o Poco RAT como um ponto de apoio para implantar o payload útil principal.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...