Pesquisadores de cibersegurança lançaram luz sobre um ator de ameaça conhecido como Blind Eagle, que tem visado persistentemente entidades e indivíduos na Colômbia, Equador, Chile, Panamá e outras nações da América Latina.
Os alvos desses ataques abrangem vários setores, incluindo instituições governamentais, empresas financeiras, empresas de energia e de petróleo e gás.
"Blind Eagle demonstrou adaptabilidade na definição dos objetivos de seus ciberataques e a versatilidade para alternar entre ataques puramente motivados financeiramente e operações de espionagem", disse a Kaspersky em um relatório de segunda-feira(19).
Também referido como APT-C-36, acredita-se que o Blind Eagle esteja ativo desde pelo menos 2018.
O grupo suspeito de falar espanhol é conhecido por usar iscas de spear-phishing para distribuir vários trojans de acesso remoto disponíveis publicamente, como AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT e Remcos RAT.
Em março deste ano, a eSentire detalhou o uso de um malware loader chamado Ande Loader pelo adversário para propagar o Remcos RAT e o NjRAT.
O ponto de partida é um e-mail de phishing que se passa por instituições governamentais legítimas e entidades financeiras e bancárias, que adverte os destinatários de maneira enganosa a tomar uma ação urgente clicando em um link que supostamente os levaria ao site oficial da entidade sendo imitada.
As mensagens de e-mail também incluem um anexo em PDF ou Microsoft Word que contém o mesmo URL e, em alguns casos, alguns detalhes adicionais projetados para transmitir um sinal de urgência elevado e emprestá-lo um verniz de legitimidade.
O primeiro conjunto de URLs direciona os usuários para sites controlados pelo ator que hospedam um dropper inicial, mas apenas depois de determinar se a vítima pertence a um país que está entre os alvos do grupo.
Caso contrário, eles são levados ao site da organização que os atacantes estão se passando.
"Essa redireção geográfica impede que novos sites maliciosos sejam marcados e frustra a caça e análise desses ataques", disse o fornecedor de cibersegurança russo.
O dropper inicial vem na forma de um arquivo ZIP comprimido, que, por sua vez, embute um Script Visual Basic (VBS) responsável por recuperar o payload da próxima fase de um servidor remoto codificado.
Esses servidores podem variar de sites de hospedagem de imagens ao Pastebin e para serviços legítimos como Discord e GitHub.
O malware da segunda fase, frequentemente ofuscado usando métodos esteganográficos, é um DLL ou um injector .NET que subsequentemente contata outro servidor malicioso para recuperar o trojan da fase final.
"O grupo frequentemente usa técnicas de injeção de processo para executar o RAT na memória de um processo legítimo, evitando assim defesas baseadas em processo", disse a Kaspersky.
A técnica preferida do grupo é o process hollowing.
Essa técnica consiste em criar um processo legítimo em um estado suspenso, depois desmapear sua memória, substituindo-o com um payload malicioso e, finalmente, retomando o processo para iniciar a execução.
O uso de versões modificadas de RATs de código aberto dá ao Blind Eagle a flexibilidade para modificar suas campanhas à vontade, usando-as para espionagem cibernética ou captura de credenciais para serviços financeiros colombianos do navegador da vítima quando os títulos das janelas correspondem a uma lista pré-definida de strings no malware.
Por outro lado, versões alteradas do NjRAT foram observadas equipadas com capacidades de keylogging e captura de tela para colher informações sensíveis.
Além disso, a versão atualizada suporta a instalação de plugins adicionais enviados de um servidor para aumentar sua funcionalidade.
As mudanças também se estendem às cadeias de ataque.
Tão recentemente quanto junho de 2024, AsyncRAT foi distribuído através de um malware loader denominado Hijack Loader, sugerindo um alto nível de adaptabilidade por parte dos atores de ameaça.
Isso também serve para destacar a adição de novas técnicas para sustentar suas operações.
"Por mais simples que as técnicas e procedimentos do BlindEagle possam parecer, sua eficácia permite que o grupo mantenha um alto nível de atividade", concluiu a Kaspersky.
Executando consistentemente campanhas de espionagem cibernética e roubo de credenciais financeiras, o Blind Eagle permanece uma ameaça significativa na região.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...