Ciberseguridad 360 | Dark Caracal utiliza malware Poco RAT para atacar a empresas en Latinoamérica

El actor de amenazas conocido como Dark Caracal ha sido atribuido a una campa�a que despleg� un troyano de acceso remoto llamado Poco RAT en ataques dirigidos a objetivos de habla hispana en Am�rica Latina en 2024.

Los hallazgos provienen de la compa��a rusa de ciberseguridad Positive Technologies, que describi� el malware como payload con un "conjunto completo de funciones de espionaje."

"Pod�a cargar archivos, capturar pantallas, ejecutar comandos y manipular procesos del sistema", explican los investigadores Denis Kazakov y Sergey Samokhin en un informe t�cnico publicado la semana pasada.

Poco RAT fue documentado previamente por Cofense en julio de 2024, detallando los ataques de phishing dirigidos a los sectores de miner�a, fabricaci�n, hosteler�a y servicios p�blicos. Las cadenas de infecci�n se caracterizan por el uso de se�uelos de tem�tica financiera que desencadenan un proceso de varios pasos para desplegar el malware.

Aunque la campa�a no se atribuy� a ninguna amenaza en ese momento, Positive Technologies dijo que identific� solapamientos con Dark Caracal, una amenaza persistente avanzada (APT) conocida por operar familias de malware como CrossRAT y Bandook. Est� operativa desde al menos 2012.

En 2021, el grupo de mercenarios cibern�ticos estuvo vinculado a una campa�a de ciberespionaje denominada Bandidos, que lanz� una versi�n actualizada del malware Bandook contra pa�ses hispanohablantes de Sudam�rica.

El �ltimo conjunto de ataques contin�a su enfoque en los usuarios de habla hispana, aprovechando correos electr�nicos de phishing con temas relacionados con facturas que llevan archivos adjuntos maliciosos escritos en espa�ol como punto de partida. Un an�lisis de los artefactos de Poco RAT indica que las intrusiones se dirigen principalmente a empresas de Venezuela, Chile, Rep�blica Dominicana, Colombia y Ecuador.

Los documentos se�uelo adjuntos se hacen pasar por una amplia gama de sectores verticales, incluyendo la banca, la fabricaci�n, la salud, los productos farmac�uticos y la log�stica, en un intento de dar al esquema un poco m�s de credibilidad.

Cuando se abren, los archivos redirigen a las v�ctimas a un enlace que activa la descarga de un archivo .rev desde servicios leg�timos de intercambio de archivos o plataformas de almacenamiento en la nube como Google Drive y Dropbox.

"Los archivos con la extensi�n .rev se generan con WinRAR y se dise�aron originalmente para reconstruir vol�menes perdidos o da�ados en archivos de varias partes", explican los investigadores. "Los actores de amenazas los reutilizan como contenedores de payload sigilosos, ayudando al malware a evadir la detecci�n de seguridad".

El archivo contiene un dropper basado en Delphi que se encarga de lanzar Poco RAT, que a su vez establece contacto con un servidor remoto y otorga a los atacantes el control total de los hosts comprometidos. El malware debe su nombre al uso de bibliotecas POCO en su c�digo C++.

Algunos de los comandos soportados por Poco RAT se enumeran a continuaci�n:

T-01 - Enviar los datos recogidos del sistema al servidor de comando y control (C2)

T-02 - Recuperar y transmitir el t�tulo de la ventana activa al servidor C2

T-03 - Descargar y ejecutar un archivo ejecutable

T-04 - Descargar un archivo a la m�quina comprometida

T-05 - Capturar una pantalla y enviarla al servidor C2

T-06 - Ejecutar un comando en cmd.exe y enviar la salida al servidor C2

"Poco RAT no viene con un mecanismo de persistencia incorporado", dijeron los investigadores. "Una vez completado el reconocimiento inicial, el servidor probablemente emite un comando para establecer la persistencia, o los atacantes pueden utilizar Poco RAT como un trampol�n para desplegar el payload principal".

Fuente: thehackernews