至少从 2024 年 2 月开始，西班牙语受害者是电子邮件网络钓鱼活动的目标，该活动提供了一种名为 Poco RAT 的新远程访问木马 （RAT）。

据网络安全公司Cofense称，这些攻击主要针对采矿、制造业、酒店业和公用事业行业。

“恶意软件中的大多数自定义代码似乎都集中在反分析上，与其命令和控制中心（C2）进行通信，以及下载和运行文件，而对监控或收集凭据的关注有限，”它说。

感染链始于带有金融主题诱饵的网络钓鱼消息，诱骗收件人点击指向 Google Drive 上托管的 7-Zip 存档文件的嵌入式 URL。

观察到的其他方法包括使用直接附加到电子邮件的 HTML 或 PDF 文件，或通过另一个嵌入式 Google Drive 链接下载。威胁行为者滥用合法服务并不是一个新现象，因为它允许他们绕过安全电子邮件网关 （SEG）。

反过来，传播 Poco RAT 的 HTML 文件包含一个链接，单击该链接后，该链接会导致下载包含恶意软件可执行文件的存档。

“这种策略可能比简单地提供直接下载恶意软件的 URL 更有效，因为任何探索嵌入式 URL 的 SEG 只会下载并检查 HTML 文件，这似乎是合法的，”Cofense 指出。

PDF 文件没有什么不同，因为它们还包含包含 Poco RAT 的 Google Drive 链接。

一旦启动，基于 Delphi 的恶意软件就会在受感染的 Windows 主机上建立持久性，并联系 C2 服务器以提供额外的有效负载。它之所以如此命名，是因为它使用了 POCO C++ 库。

Delphi 的使用表明，该活动背后的身份不明的威胁行为者正专注于拉丁美洲，众所周知，拉丁美洲是用编程语言编写的银行木马的目标。

由于 C2 服务器不响应来自未地理定位到该区域的受感染计算机的请求，因此加强了这种连接。

随着恶意软件作者越来越多地使用嵌入PDF文件的QR码来诱骗用户访问旨在收集Microsoft登录凭据的网络钓鱼页面。

它还遵循社会工程活动，这些活动使用欺骗性网站宣传流行软件来提供恶意软件，例如 RAT 和 AsyncRAT 和 RisePro 等信息窃取程序。

类似的数据盗窃攻击也针对印度的互联网用户，通过虚假的短信谎称包裹递送失败，并指示他们点击提供的链接来更新他们的详细信息。

短信网络钓鱼活动被归咎于一个名为 Smishing Triad 的中文威胁行为者，该行为者有使用受感染或故意注册的 Apple iCloud 帐户（例如“fredyma514@hlh-web.de”）发送短信钓鱼消息进行金融欺诈的历史。

“这些行为者在6月左右注册了冒充印度邮政的域名，但没有积极使用它们，可能是在为大规模活动做准备，该活动在7月开始可见，”Resecurity说。“该活动的目标是窃取大量个人身份信息（PII）和支付数据。