Группа киберпреступников Dark Caracal, которая работает с 2012 года, улучшила свои инструменты и изменила свои методы атак. Эксперты из Positive Technologies (PT Expert Security Center) обнаружили, что они используют вредоносное программное обеспечение Poco RAT. Раньше этот вредоносный код не был связан ни с одной конкретной группировкой, но дополнительные исследования показали, что его связывают с Dark Caracal.
С начала 2024 года специалисты PT Expert Security Center обнаружили кампанию, в которой использовался Poco RAT. Этот вредоносный код позволяет злоумышленникам удаленно получать доступ к устройствам жертв. Атаки были направлены на испаноязычных пользователей, что подтверждалось содержанием вредоносных вложений и языком писем. Вирус активно распространялся в различные страны Латинской Америки.
Жертвам отправлялись письма с уведомлением о необходимости оплаты счета. Во вложении находился файл, который создавал иллюзию финансовых отношений. Эти файлы обходили антивирусную защиту и могли быть легко открыты. После открытия файла на устройстве жертвы автоматически загружался вредоносный код Poco RAT, который работал без оставления следов на диске.
Dark Caracal атакует правительственные структуры, военные учреждения, активистов, журналистов и коммерческие организации по заказу. Раньше они использовали троян Bandook, но последние данные показывают, что они перешли на Poco RAT. Оба вредоносных кода имеют схожие функции и используют похожую сетевую инфраструктуру.
Специалисты считают, что использование Poco RAT является новым этапом в деятельности Dark Caracal и свидетельствует о их стремлении адаптироваться к современным методам защиты. С начала июня 2024 года было зафиксировано 483 случая использования Poco RAT, что значительно больше, чем использование Bandook за предыдущий период. Это может означать, что киберпреступники перешли на массовые фишинговые атаки с помощью нового вредоносного кода.
© KiberSec.ru – 04.04.2025, обновлено 04.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
