Киберпреступная группа Dark Caracal обновила свои методы и программное обеспечение. Это было выявлено специалистами компании Positive Technologies при изучении программы Poco RAT.
Ранее этот вредоносный программный код не был связан с какой-либо конкретной группой, но дополнительный анализ показал, что он был связан именно с Dark Caracal.
В течение 2024 года внутренние системы мониторинга PT Expert Security Center обнаружили кампанию, в которой использовался Poco RAT — программа, которая позволяет злоумышленникам получать удаленный доступ к устройству жертвы.
Атаки были направлены в основном на испаноязычных пользователей, что подтверждается содержанием фишинговых писем на испанском языке. Вредоносные файлы загружались из разных стран, таких как Венесуэла, Чили, Доминиканская Республика и Колумбия.
Злоумышленники отправляли письма, в которых просили оплатить счет, а во вложении был вредоносный файл. Его название делало его похожим на финансовые документы, что могло обмануть получателя и заставить его открыть файл.
Затем автоматически скачивался файл, содержащий программу Poco RAT, которая запускалась на устройстве жертвы без видимых следов на диске.
Dark Caracal известна своими атаками на государственные организации, активистов, журналистов и коммерческие компании. Ранее они использовали троян Bandook, но сейчас они перешли на Poco RAT.
Это свидетельствует о том, что группа адаптируется к новым методам защиты и увеличивает масштабы атак. За последние восемь месяцев было обнаружено 483 образца Poco RAT, что гораздо больше, чем образцов Bandook. Это может означать, что группа меняет тактику и использует новые инструменты для своих атак.
Метка: Poco RAT
-
Dark Caracal заменила троян Bandook на Poco
-
Caracal с Poco RAT: 483 атаки за полгода
Группа киберпреступников Dark Caracal, которая работает с 2012 года, улучшила свои инструменты и изменила свои методы атак. Эксперты из Positive Technologies (PT Expert Security Center) обнаружили, что они используют вредоносное программное обеспечение Poco RAT. Раньше этот вредоносный код не был связан ни с одной конкретной группировкой, но дополнительные исследования показали, что его связывают с Dark Caracal.
С начала 2024 года специалисты PT Expert Security Center обнаружили кампанию, в которой использовался Poco RAT. Этот вредоносный код позволяет злоумышленникам удаленно получать доступ к устройствам жертв. Атаки были направлены на испаноязычных пользователей, что подтверждалось содержанием вредоносных вложений и языком писем. Вирус активно распространялся в различные страны Латинской Америки.
Жертвам отправлялись письма с уведомлением о необходимости оплаты счета. Во вложении находился файл, который создавал иллюзию финансовых отношений. Эти файлы обходили антивирусную защиту и могли быть легко открыты. После открытия файла на устройстве жертвы автоматически загружался вредоносный код Poco RAT, который работал без оставления следов на диске.
Dark Caracal атакует правительственные структуры, военные учреждения, активистов, журналистов и коммерческие организации по заказу. Раньше они использовали троян Bandook, но последние данные показывают, что они перешли на Poco RAT. Оба вредоносных кода имеют схожие функции и используют похожую сетевую инфраструктуру.
Специалисты считают, что использование Poco RAT является новым этапом в деятельности Dark Caracal и свидетельствует о их стремлении адаптироваться к современным методам защиты. С начала июня 2024 года было зафиксировано 483 случая использования Poco RAT, что значительно больше, чем использование Bandook за предыдущий период. Это может означать, что киберпреступники перешли на массовые фишинговые атаки с помощью нового вредоносного кода.