Pesquisadores de segurança cibernética lançaram luz sobre um ator de ameaça conhecido como A águia cega tem orientado empresas e indivíduos na Colômbia, Equador, Chile, Panamá e outros países da América Latina.
Os alvos destes ataques abrangem vários setores, incluindo agências governamentais, empresas financeiras, empresas de energia e de petróleo e gás.
“A Blind Eagle demonstrou flexibilidade no planejamento de seus alvos para ataques cibernéticos e flexibilidade para alternar entre ataques de phishing e atividades de espionagem”, disse Kaspersky em um relatório de segunda-feira.
Também chamado de APT-C-36, acredita-se que o Blind Eagle esteja operacional pelo menos a partir de 2018. O suposto grupo de língua espanhola é conhecido por usar threads de phishing para distribuir vários trojans remotos disponíveis publicamente, como AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT e Remcos RAT.
No início de março, eSentire detalhou o uso pelo inimigo de um carregador de malware chamado Ande Loader para espalhar o Remcos RAT e o NjRAT.
O início é um e-mail de phishing que se faz passar por agências governamentais legítimas, empresas financeiras e bancos que avisa sutilmente os destinatários para tomarem medidas urgentes clicando em um link que pretende levá-los ao site legítimo de uma empresa falsa.
As mensagens de e-mail também incluem anexos em PDF ou Microsoft Word contendo o mesmo URL e, em alguns casos, alguns detalhes adicionais projetados para transmitir um alto grau de urgência e dar um sinal de legitimidade.
O primeiro conjunto de URLs direciona os usuários para sites controlados por atores que hospedam o primeiro conta-gotas, mas somente após determinar que a vítima faz parte do país alvo do grupo. Alternativamente, eles são conduzidos ao local da organização por atacantes simulados.
“Este redirecionamento do país evita que novos sites maliciosos sejam sinalizados e impede a caça e análise desses ataques”, disse o fornecedor russo de segurança cibernética.
O primeiro dropper vem na forma de um arquivo ZIP compactado, que, por sua vez, incorpora um Visual Basic Script (VBS) responsável por recuperar a carga útil do próximo estágio em um servidor remoto codificado. Esses servidores podem variar desde sites de hospedagem de imagens até Pastebin até serviços oficiais como Discord e GitHub.
O malware de segundo estágio, muitas vezes ofuscado por métodos esteganográficos, é um injetor DLL ou .NET que se comunica com outro servidor malicioso para receber o trojan de último estágio.
“O grupo costuma usar técnicas de injeção de processo para criar um RAT na memória de um processo legítimo, evitando assim defesas baseadas em processo”, disse Kaspersky.
“A estratégia preferida da equipe é pit. Esse processo envolve criar um processo legítimo em um estado padrão, depois mapear sua memória, substituí-lo por uma carga de força bruta e, finalmente, reiniciar o processo para iniciar a execução.”
O uso de versões modificadas de RATs de código aberto dá à Blind Eagle a capacidade de alterar suas campanhas à vontade, usando-as para espionagem cibernética ou capturando informações de serviços financeiros colombianos do navegador da vítima se os cabeçalhos das janelas corresponderem a uma lista predefinida de strings. em malware.
Por outro lado, versões modificadas do NjRAT foram detectadas com recursos de keylogging e captura de tela para coletar informações confidenciais. Além disso, a versão atualizada suporta a instalação de plugins adicionais enviados do servidor para melhorar seu desempenho.
As mudanças também se estendem às cadeias de ataque. Recentemente, em junho de 2024, o AsyncRAT foi distribuído com um carregador de malware chamado Hijack Loader, o que sugere um alto nível de adaptabilidade por parte dos atores da ameaça. Serve também para destacar a adição de novos métodos para apoiar o seu desempenho.
“Por mais simples que as técnicas e processos do BlindEagle possam parecer, a sua eficiência permite à equipa apoiar um trabalho de alto nível”, concluiu Kaspersky. “Ao continuar a realizar campanhas de espionagem cibernética e a roubar garantias financeiras, a Águia Cega continua a ser uma grande ameaça na região.
