As vítimas de língua espanhola são alvo de uma campanha de phishing por e-mail que distribui um novo trojan de acesso remoto (RAT) chamado Ratinho desde pelo menos fevereiro de 2024.
Os ataques atingem principalmente os setores de mineração, manufatura, hospitalidade e serviços públicos, de acordo com a empresa de segurança cibernética Cofense.
“A maior parte do código personalizado no malware parece estar focada em antianálise, comunicando-se com seu centro de comando e controle (C2) e baixando e executando arquivos com foco limitado em monitorar ou coletar credenciais”, disse.
As cadeias de infecção começam com mensagens de phishing com iscas relacionadas a finanças que enganam os destinatários, fazendo-os clicar em um URL incorporado que aponta para um arquivo 7-Zip hospedado no Google Drive.
Outros métodos observados incluem o uso de arquivos HTML ou PDF anexados diretamente aos e-mails ou baixados por meio de outro hyperlink incorporado do Google Drive. O abuso de serviços legítimos por agentes de ameaças não é um fenômeno novo, pois permite que eles ignorem gateways de e-mail seguros (SEGs).
Os arquivos HTML que propagam o Poco RAT, por sua vez, contêm um hyperlink que, ao clicar, leva ao obtain do arquivo contendo o executável do malware.
“Essa tática provavelmente seria mais eficaz do que simplesmente fornecer uma URL para baixar diretamente o malware, já que qualquer SEG que explorasse a URL incorporada apenas baixaria e verificaria o arquivo HTML, o que pareceria legítimo”, observou Cofense.
Os arquivos PDF não são diferentes, pois também contêm um hyperlink do Google Drive que abriga o Poco RAT.
Uma vez lançado, o malware baseado em Delphi estabelece persistência no host Home windows comprometido e contata um servidor C2 para entregar payloads adicionais. Ele é assim chamado devido ao uso das Bibliotecas POCO C++.
O uso do Delphi é um sinal de que os agentes de ameaças não identificados por trás da campanha estão se concentrando na América Latina, que é conhecida por ser alvo de trojans bancários escritos na linguagem de programação.
Essa conexão é fortalecida pelo fato de que o servidor C2 não responde a solicitações originadas de computadores infectados que não estão geolocalizados na região.
O desenvolvimento ocorre em um momento em que autores de malware estão usando cada vez mais códigos QR incorporados em arquivos PDF para induzir usuários a visitar páginas de phishing projetadas para coletar credenciais de login do Microsoft 365.
Ele também segue campanhas de engenharia social que usam websites enganosos que anunciam softwares populares para distribuir malware, como RATs, e ladrões de informações, como AsyncRAT e RisePro.
Ataques semelhantes de roubo de dados também tiveram como alvo usuários da web na Índia, com mensagens SMS falsas alegando falhas na entrega de pacotes e instruindo-os a clicar em um hyperlink fornecido para atualizar seus dados.
A campanha de phishing por SMS foi atribuída a um agente de ameaças de língua chinesa chamado Smishing Triad, que tem um histórico de uso de contas comprometidas ou propositalmente registradas do Apple iCloud (por exemplo, “fredyma514@hlh-web.de”) para enviar mensagens de smishing para realizar fraudes financeiras.
“Os atores registraram nomes de domínio se passando pelo India Submit por volta de junho, mas não os estavam usando ativamente, provavelmente se preparando para uma atividade em larga escala, que se tornou visível em julho”, disse Resecurity. “O objetivo desta campanha é roubar grandes quantidades de informações pessoais identificáveis (PII) e dados de pagamento.”
