.jpg?w=780&resize=780,470&ssl=1)
.jpg "Carregador de malware")
O ator de ameaça conhecido como Blind Eagle foi observado usando um malware carregador chamado Ande Loader para entregar trojans de acesso remoto (RATs) como Remcos RAT e NjRAT.
Os ataques, que assumem a forma de e-mails de phishing, tiveram como alvo usuários de língua espanhola na indústria manufatureira com sede na América do Norte, disse a eSentire.
Blind Eagle (também conhecido como APT-C-36) é um ator de ameaças com motivação financeira que tem um histórico de orquestrar ataques cibernéticos contra entidades na Colômbia e no Equador para fornecer uma variedade de RATs, incluindo AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT, e Quasar RAT.
As últimas descobertas marcam uma expansão da presença de alvos do agente da ameaça, ao mesmo tempo que aproveitam o phishing contendo arquivos RAR e BZ2 para ativar a cadeia de infecção.
Os arquivos RAR protegidos por senha vêm com um arquivo Visible Fundamental Script (VBScript) malicioso que é responsável por estabelecer persistência na pasta de inicialização do Home windows e iniciar o Ande Loader, que, por sua vez, carrega a carga útil do Remcos RAT.
Em uma sequência de ataque alternativa observada pela empresa canadense de segurança cibernética, um arquivo BZ2 contendo um arquivo VBScript é distribuído por meio de um hyperlink da rede de distribuição de conteúdo (CDN) do Discord. O malware Ande Loader, neste caso, descarta o NjRAT em vez do Remcos RAT.
“Os atores da ameaça Blind Eagle têm usado criptografadores escritos por Roda e Pjoao1578”, disse eSentire. “Um dos criptografadores desenvolvidos pela Roda possui um servidor codificado que hospeda os componentes injetores do criptografador e malware adicional que foi usado na campanha Blind Eagle.”
O desenvolvimento ocorre no momento em que a SonicWall lança luz sobre o funcionamento interno de outra família de malware de carregador chamada DBatLoader, detalhando seu uso de um driver legítimo, mas vulnerável, associado ao software program RogueKiller AntiMalware (truesight.sys) para encerrar o software program de segurança como parte de um Convey Your Próprio ataque de driver vulnerável (BYOVD) e, por fim, entregar Remcos RAT.
“O malware é recebido dentro de um arquivo como anexo de e-mail e é altamente ofuscado, contendo múltiplas camadas de dados criptografados”, observou a empresa no início deste mês.
