新的Poco RAT恶意软件通过电子邮件攻击西班牙语使用者！Poco RAT伪装成财务文件，窃取您的信息并劫持您的计算机。了解如何保持安全以及如果收到可疑电子邮件该怎么办。

Cofense Intelligence发现了一种专门针对西班牙语使用者的新型恶意软件活动。这种名为Poco RAT的恶意软件通过电子邮件传播，并巧妙地伪装成财务文件。恶意电子邮件包含指向Google Drive存档的链接，点击后会将恶意软件下载到受害者的计算机上。

存档可通过三种方式传送：直接在电子邮件中使用Google Drive URL（53%的电子邮件）、嵌入HTML文件（40%的电子邮件）或附加到PDF中，其中包含可从Google Drive下载的链接（7%的电子邮件中显示）。HTML文件可通过Google Drive上托管的另一个嵌入链接附加或下载。

Cofense研究人员在分享的报告中解释道：“威胁行为者经常使用合法的文件托管服务（例如Google Drive）来绕过安全电子邮件网关(SEG)。”

然而，一旦下载，Poco RAT就会在受感染的机器上建立持久性，并将自身注入合法进程，以保持隐藏状态并在较长时间内不被发现地运行。

然后，Poco RAT连接到命令和控制(C2)服务器，接收来自攻击者的指令，该服务器始终托管在94.131.119.126上并连接到以下三个端口中的至少一个：6541、6542或6543。有趣的是，如果受感染的计算机似乎来自拉丁美洲，则C2不会响应通信尝试。

供您参考，Poco RAT是一种使用POCO C++库针对西班牙语使用者的远程访问木马。它于2024年初首次被发现，并于2024年2月被归类为恶意软件家族。

最初，该攻击通过嵌入链接传递到托管在Google Drive上的包含可执行文件的7zip档案，主要针对采矿业的公司（占攻击总数的67%），但随着时间的推移，其业务扩展到另外三个行业，包括公用事业、制造业和酒店业。

该恶意软件的自定义代码专注于反分析、与其C2中心的通信以及下载和运行文件，这使其能够提供更专业的恶意软件来窃取信息或勒索软件。

此恶意软件活动非常危险，因为它可能会窃取您的财务信息或完全控制您的计算机。为了避免受到恶意软件的侵害，请谨慎对待未经请求的电子邮件，避免打开来自未知发件人的电子邮件，保持软件更新，并尽可能启用双重身份验证。