O ator de espionagem cibernética rastreado como Blind Eagle foi vinculado a uma nova cadeia de ataque de várias etapas que leva à implantação do trojan de acesso remoto NjRAT em sistemas comprometidos.
"O grupo é conhecido por usar uma variedade de técnicas sofisticadas de ataque, incluindo malware personalizado, táticas de engenharia social e ataques de spear-phishing", disse o ThreatMon em um relatório na terça-feira.
Blind Eagle, também referido como APT-C-36, é um grupo suspeito de falar espanhol que ataca principalmente entidades do setor privado e público na Colômbia.
Os ataques orquestrados pelo grupo também visaram o Equador, o Chile e a Espanha.
As cadeias de infecção documentadas pela Check Point e BlackBerry este ano revelaram o uso de iscas de spear-phishing para entregar famílias de malware comuns como BitRAT e AsyncRAT, bem como carregadores de Python em memória capazes de lançar um payload Meterpreter.
A última descoberta do ThreatMon envolve o uso de um downloader JavaScript para executar um script PowerShell hospedado no Discord CDN.
O script, por sua vez, deixa cair outro script PowerShell e um arquivo de lote do Windows, e salva um arquivo VBScript na pasta de inicialização do Windows para alcançar a persistência.
O código VBScript é então executado para lançar o arquivo em lote, que é posteriormente desofuscado para executar o script PowerShell que foi entregue anteriormente junto com ele.
Na etapa final, o script PowerShell é usado para executar o njRAT.
"njRAT, também conhecido como Bladabindi, é uma ferramenta de acesso remoto (RAT) com interface do usuário ou trojan que permite ao detentor do programa controlar o computador do usuário final", disse a empresa de cibersegurança.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...