Num desenvolvimento preocupante para a segurança cibernética, o grupo de ameaça conhecido como Blind Eagle, também identificado como APT-C-36, intensificou suas atividades maliciosas. Este coletivo orientado financeiramente tem implantado um malware avançado, apelidado de Ande Loader, infiltrar-se em sistemas com trojans de acesso remoto (RATs) como Remcos RAT e NjRAT. Esta tática marca uma evolução significativa em seu método de operação, afetando principalmente indivíduos de língua espanhola no setor manufatureiro em toda a América do Norte.
Ande Loader ataca por Blind Eagle
De acordo com a segurança cibernética especialistas da eSentire, esta última onda de ataques utiliza e-mails de phishing como seu principal vetor. Esses e-mails, habilmente disfarçado para enganar os destinatários, contêm arquivos protegidos por senha nos formatos RAR e BZ2. Quando insuspeitamente aberto, esses arquivos liberam um script malicioso do Visual Basic (VBScript) arquivo. Este script não apenas garante a persistência do malware, incorporando-se na pasta de inicialização do Windows, mas também inicia o Ande Loader., consequentemente, implantando as cargas úteis RAT.
O histórico de incursões cibernéticas da Blind Eagle revela um padrão de ataques direcionados a entidades na Colômbia e no Equador, empregando uma variedade de RATs, Incluindo AsyncRAT, BitRAT, Limão RATO, NjRAT, Remcos RAT, e Quasar RAT, para cumprir seus motivos financeiros. Esta última série de ataques significa uma expansão da segmentação geográfica e industrial do grupo, representando uma ameaça crescente para a indústria manufatureira na América do Norte.
Em um método de ataque alternativo notável, eSentire observou a distribuição de um arquivo VBScript através de um arquivo BZ2, desta vez através de um link fornecido na rede de distribuição de conteúdo Discord (CDN). Este método diverge ao entregar NjRAT em vez de Remcos RAT, mostrando a versatilidade e adaptabilidade do agente da ameaça na exploração de diversas plataformas digitais para conduzir suas operações.
Vírus de extensão SwiftSeek Chrome
Nossos pesquisadores encontraram recentemente o SwiftSeek, uma extensão de navegador encontrada em um instalador promovido por uma página enganosa durante uma verificação de rotina de sites suspeitos. Browser hijackers like SwiftSeek change…
Vírus de voz (.Voz do arquivo) Ransomware
O vírus Hlas é um novo membro da família de ransomware STOP/Djvu que tem como alvo PCs com Windows. Ele causa interrupções significativas ao criptografar arquivos e anexar um “.Voz” extensão aos seus…
Complicando ainda mais o cenário da segurança cibernética, As investigações da eSentire revelam que Blind Eagle utilizou criptadores desenvolvidos por indivíduos conhecidos como Roda e Pjoao1578. Esses criptografadores, sofisticado em seu design, desempenham um papel crucial na ocultação do malware, com um criptografador específico da Roda encontrado diretamente ligado ao malware e cargas maliciosas adicionais usadas nas campanhas da Blind Eagle.
Num contexto mais amplo de ameaças à segurança cibernética, Os insights recentes da SonicWall sobre outra família de malware, DBatLoader, destacar os métodos intrincados empregados pelos cibercriminosos. DBatLoader utiliza um software legítimo, motorista ainda vulnerável de RogueKiller AntiMalware software para contornar soluções de segurança em uma técnica conhecida como Traga seu próprio driver vulnerável (Traga sua própria vida), em última análise, facilitando a entrega do Remcos RAT.
Conclusão
Esta escalada nos ataques cibernéticos, caracterizado por métodos cada vez mais sofisticados e um escopo de segmentação mais amplo, sublinha a necessidade urgente de medidas reforçadas de cibersegurança e de sensibilização. Organizações, especialmente no setor manufatureiro, são aconselhados a permanecer vigilantes, adotar protocolos de segurança abrangentes, e educar sua força de trabalho sobre como reconhecer e mitigar ameaças de phishing para se proteger contra esses perigos digitais em evolução.