O Malware Ande Loader tem como alvo o setor de manufatura na América do Norte
14 de Março de 2024

O ator de ameaças conhecido como Blind Eagle foi observado usando um malware de carregamento chamado Ande Loader para entregar trojans de acesso remoto (RATs), como Remcos RAT e NjRAT.

Os ataques, que se apresentam na forma de e-mails de phishing, têm como alvo usuários que falam espanhol na indústria manufatureira na América do Norte, conforme informado pela eSentire.

Blind Eagle (também conhecido como APT-C-36) é um ator de ameaças motivado financeiramente que tem um histórico de orquestração de ciberataques contra entidades na Colômbia e no Equador para entregar uma variedade de RATs, incluindo AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT e Quasar RAT.

Os últimos resultados marcam uma expansão no espectro de alvos do ator de ameaças, enquanto também utiliza phishing contendo arquivos RAR e BZ2 para ativar a cadeia de infecção.

Os arquivos RAR protegidos por senha vêm com um arquivo de script Visual Basic (VBScript) malicioso responsável por estabelecer persistência na pasta de inicialização do Windows e lançar o Ande Loader que, por sua vez, carrega a payload do Remcos RAT.

Em uma sequência alternativa de ataques observada pela empresa de cibersegurança canadense, um arquivo BZ2 contendo um arquivo VBScript é distribuído por meio de um link de rede de entrega de conteúdo do Discord (CDN).

O malware Ande Loader, neste caso, coloca NjRAT em vez de Remcos RAT.

"Os atores da ameaça Blind Eagle têm usado crypters escritos por Roda e Pjoao1578", disse a eSentire.

"Um dos crypters desenvolvidos por Roda tem o servidor codificado hospedando ambos os componentes do injector do crypter e malware adicional usado na campanha do Blind Eagle."

O desenvolvimento surge à medida que a SonicWall lança luz sobre o funcionamento interno de outra família de malware de carregamento chamada DBatLoader, detalhando seu uso de um driver legítimo, mas vulnerável, associado ao software RogueKiller AntiMalware (truesight.sys) para encerrar soluções de segurança como parte de um ataque Bring Your Own Vulnerable Driver (BYOVD) e, finalmente, entregar Remcos RAT.

"O malware é recebido dentro de um arquivo como um anexo de e-mail e é altamente ofuscado, contendo múltiplas camadas de dados de criptografia", observou a empresa no início deste mês.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...