Dark Caracal: Neue Cyberangriffe auf spanischsprachige Unternehmen in Lateinamerika

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung in der digitalen Welt hat spanischsprachige Unternehmen in Lateinamerika ins Visier genommen. Der berüchtigte Bedrohungsakteur Dark Caracal hat eine Kampagne gestartet, die den Remote-Access-Trojaner Poco RAT einsetzt, um gezielt Unternehmen in dieser Region anzugreifen.

Dark Caracal, eine bekannte Bedrohungsgruppe, die seit mindestens 2012 aktiv ist, hat erneut zugeschlagen. Diesmal richtet sich ihre Aufmerksamkeit auf spanischsprachige Unternehmen in Lateinamerika. Der Einsatz des Remote-Access-Trojaners Poco RAT ermöglicht es den Angreifern, eine Vielzahl von Spionageaktivitäten durchzuführen. Dazu gehören das Hochladen von Dateien, das Erstellen von Screenshots, das Ausführen von Befehlen und die Manipulation von Systemprozessen.

Die russische Cybersicherheitsfirma Positive Technologies hat diese Aktivitäten aufgedeckt und berichtet, dass die Malware mit einer vollständigen Suite von Spionagefunktionen ausgestattet ist. Poco RAT wurde erstmals im Juli 2024 von Cofense dokumentiert, als es in Phishing-Angriffen auf Branchen wie Bergbau, Fertigung, Gastgewerbe und Versorgungsunternehmen eingesetzt wurde. Die Angriffe nutzen finanzbezogene Köder, um die Malware in einem mehrstufigen Prozess zu installieren.

Positive Technologies konnte die Kampagne nun Dark Caracal zuordnen, indem sie Überschneidungen in der Vorgehensweise mit früheren Angriffen dieser Gruppe feststellten. Dark Caracal ist bekannt für den Einsatz von Malware-Familien wie CrossRAT und Bandook. Bereits 2021 war die Gruppe in eine Cyber-Spionage-Kampagne verwickelt, die als Bandidos bekannt wurde und sich gegen spanischsprachige Länder in Südamerika richtete.

Die aktuellen Angriffe konzentrieren sich weiterhin auf spanischsprachige Nutzer und nutzen Phishing-E-Mails mit rechnungsbezogenen Themen, die bösartige Anhänge in spanischer Sprache enthalten. Diese Anhänge täuschen verschiedene Branchen vor, darunter Banken, Fertigung, Gesundheitswesen, Pharmazeutika und Logistik, um den Angriff glaubwürdiger erscheinen zu lassen.

Beim Öffnen der Dateien werden die Opfer zu einem Link weitergeleitet, der den Download eines .rev-Archivs von legitimen File-Sharing-Diensten oder Cloud-Speicherplattformen wie Google Drive und Dropbox auslöst. Diese Archive, die ursprünglich zur Wiederherstellung fehlender oder beschädigter Volumes in mehrteiligen Archiven entwickelt wurden, werden von den Angreifern als unauffällige Nutzlastcontainer verwendet, um Sicherheitsmaßnahmen zu umgehen.

Innerhalb des Archivs befindet sich ein auf Delphi basierender Dropper, der für das Starten von Poco RAT verantwortlich ist. Dieser stellt eine Verbindung zu einem entfernten Server her und gewährt den Angreifern die vollständige Kontrolle über die kompromittierten Hosts. Der Name Poco RAT leitet sich von der Verwendung von POCO-Bibliotheken in seinem C++-Code ab.

Einige der von Poco RAT unterstützten Befehle umfassen das Senden gesammelter Systemdaten an den Command-and-Control-Server, das Abrufen und Übertragen des aktiven Fenstertitels, das Herunterladen und Ausführen von ausführbaren Dateien sowie das Ausführen von Befehlen in cmd.exe. Interessanterweise verfügt Poco RAT nicht über einen eingebauten Persistenzmechanismus, was darauf hindeutet, dass die Angreifer möglicherweise andere Methoden verwenden, um die Kontrolle über die Systeme aufrechtzuerhalten.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.903 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen