Группировка Dark Caracal заменила троян Bandook бэкдором Poco

Группировка Dark Caracal заменила троян Bandook бэкдором Poco

Группировка Dark Caracal заменила троян Bandook бэкдором Poco

Киберпреступная группировка Dark Caracal, действующая с 2012 года, адаптировала свои методы и обновила используемый софт. К такому выводу пришли специалисты Positive Technologies в ходе исследования программы Poco RAT.

Ранее этот бэкдор не был связан с конкретной группой, однако дополнительный анализ атак позволил экспертам установить его связь с Dark Caracal.

В течение 2024 года внутренние системы мониторинга PT Expert Security Center фиксировали кампанию, в которой применялся Poco RAT — бэкдор, обеспечивающий удаленный доступ к устройству жертвы.

Атаки были нацелены преимущественно на испаноязычных пользователей, что подтверждается языком фишинговых писем и содержанием вредоносных вложений. Образцы кода загружались в публичные песочницы из таких стран, как Венесуэла, Чили, Доминиканская Республика и Колумбия.

Злоумышленники рассылали письма, в которых указывалось на необходимость оплаты квитанции, а во вложении находился документ-приманка. Его название имитировало финансовые документы, создавая иллюзию легитимности. Такие файлы часто не определялись антивирусами и имели размытое визуальное оформление, что побуждало получателей открыть вложение.

При этом автоматически скачивался .rev-архив, содержащий дроппер — исполняемый файл с тем же названием, что и документ-приманка. Этот прием повышал уровень доверия жертвы. Основной задачей дроппера было развертывание и запуск Poco RAT без создания заметных следов на диске устройства.

Группировка Dark Caracal, как известно, осуществляет атаки на государственные и военные структуры, активистов, журналистов и коммерческие организации. Ранее основным инструментом для таких операций служил троян удаленного доступа Bandook, который использовался исключительно этой группировкой.

Примечательно, что появление образцов Poco RAT совпало с прекращением распространения Bandook. Оба инструмента обладают схожим функционалом и используют аналогичную сетевую инфраструктуру, что может свидетельствовать о переходе группировки на новый набор инструментов.

«Исходя из выявленных данных, можно предположить, что текущая кампания является продолжением деятельности Dark Caracal и представляет собой попытку адаптации к современным механизмам киберзащиты. За восемь месяцев, начиная с июня 2024 года, было зафиксировано 483 образца Poco RAT, что значительно превышает число обнаруженных образцов Bandook (355 с февраля 2023 года по сентябрь 2024 года). Этот сдвиг может указывать на изменение тактики группировки и увеличение масштабов атак с использованием нового инструмента», — отметил Денис Казаков, специалист группы киберразведки TI-департамента PT Expert Security Center.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Google срочно обновляет Chrome — в деле новая опасная 0-day

Google выпустила экстренное обновление для стабильной версии браузера Chrome из-за новой критической уязвимости — CVE-2025-6554. И это не просто теоретическая дыра: баг уже активно эксплуатируется хакерами.

Проблема связана с движком V8 — это та часть Chrome, которая отвечает за выполнение JavaScript.

Уязвимость — типовая путаница в типах данных (type confusion), что может позволить злоумышленнику выполнить произвольный код. Проще говоря, можно обмануть браузер и заставить его сделать то, чего пользователь не хотел — например, загрузить и запустить вредонос.

Обнаружил баг специалист из команды Google TAG (Threat Analysis Group) Клеман Лесинь 25 июня. Эксплойт уже гуляет по интернету, так что обновляться стоит как можно скорее.

Под ударом все платформы: Windows, macOS и Linux. Обновление уже начали выкатывать:

  • для Windows: версии 138.0.7204.96/.9;
  • для macOS: 138.0.7204.92/.93;
  • для Linux: 138.0.7204.96.

Технические подробности пока не раскрываются — Google ждёт, пока большинство пользователей получат патч. Это стандартная мера, чтобы не дать злоумышленникам дополнительной информации.

Так что если у вас Chrome — проверьте наличие обновлений и перезапустите браузер. Особенно если вы часто посещаете незнакомые сайты — такие уязвимости часто используются для скрытой загрузки вредоносов, обхода песочниц и других не самых приятных вещей.

Без паники, но с апдейтом — срочно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru