Kaspersky identifica novo plugin espião do grupo BlindEagle

Kaspersky identifica novo plugin espião do grupo BlindEagle que utiliza sites brasileiros para fazer vítimas na Colômbia
Organização traz táticas aprimoradas que ampliam seus ataques e coleta de informações

O grupo de ciberespionagem BlindEagle (também conhecido como APT-C-36) atualizou suas táticas com um novo plugin espião e o uso de sites brasileiros legítimos para hospedar arquivos maliciosos. A descoberta é do time de Pesquisa e Análise Global da Kaspersky (GReAT), que também observou um aumento no uso do português nos códigos maliciosos do grupo, que antes predominava o espanhol.

Ativo desde 2018 e com foco na Colômbia, o grupo BlindEagle aprimorou suas táticas, utilizando agora um site brasileiro de hospedagem de imagens para ocultar código malicioso, em vez de serviços como Discord e Google Drive. O script malicioso baixa imagens contendo o código, para extraí-lo e executá-lo no computador da vítima. A Kaspersky também observou o aumento do uso de português no código.

Outra novidade é que, após alternar entre diferentes trojans de acesso remoto (RATs) de código aberto, o grupo adotou o njRAT como sua principal ferramenta em uma campanha de maio de 2024. O njRAT é conhecido por registrar teclas digitadas, acessar a webcam, roubar dados do computador, capturar telas e monitorar aplicativos, mas a versão utilizada pelo BlindEagle amplia o potencial de ataque do grupo, abrindo caminho para a execução de módulos de espionagem adicionais e coleta de informações ainda mais sensíveis.

Para distribuir o malware e o novo plugin, os invasores utilizam phishing direcionado. As vítimas recebem e-mails falsos em nome do governo, notificando sobre uma suposta multa de trânsito. O arquivo anexo, disfarçado de PDF, é na verdade um script Visual Basic (VBS) que, ao ser executado, baixa o malware espião no computador.

A crescente presença do português sugere que o BlindEagle pode estar colaborando com outros agentes maliciosos. No passado, o espanhol era predominante, mas nas campanhas do ano passado, o grupo começou a usar algumas funções e nomes de variáveis em português. Desta vez, o idioma é amplamente utilizado. Além disso, o grupo passou a usar domínios brasileiros para hospedar os arquivos maliciosos em várias fases do ataque, o que reforça a teoria de que eles podem estar trabalhando com alguém externo ao grupo”, explica Leandro Cuozzo, analista de segurança do Time Global de Pesquisa e Análise da Kaspersky na América Latina.

Uma das imagens com código oculto baixada nos computadores das vítimas

 

Ataques com DLL sideloading

A Kaspersky também observou o BlindEagle conduzindo outra campanha em junho de 2024, utilizando a técnica de DLL sideloading. Este método explora as bibliotecas de vínculo dinâmico (DLLs) do Windows para executar código malicioso, uma tática incomum para este grupo.

Nesta campanha, os invasores enviaram e-mails falsos contendo documentos PDF ou DOCX maliciosos. As vítimas eram induzidas a clicar em links que prometiam o download de documentos falsos de ações judiciais. Na verdade, os links levavam a arquivos ZIP contendo um executável que iniciava a infecção por DLL sideloading, juntamente com outros arquivos maliciosos.

No cenário digital em constante evolução, a proliferação de campanhas de ciberespionagem sofisticadas destaca a necessidade crítica de que organizações e indivíduos permaneçam vigilantes e reforcem suas defesas contra ameaças emergentes”, afirma Cuozzo. “A evolução contínua das táticas maliciosas exige uma abordagem proativa de cibersegurança. Isso inclui aproveitar a inteligência robusta de ameaças e as tecnologias de detecção de ponta, além de fomentar uma cultura de ciberconsciência e resiliência”.

Recomendações de segurança

Para se proteger contra essa e outras ameaças, os pesquisadores da Kaspersky recomendam:

  • Fique atento a e-mails suspeitos: Órgãos governamentais e instituições financeiras não costumam entrar em contato por e-mail para enviar notificações legais ou solicitar dados confidenciais. Desconfie de mensagens com esse tipo de conteúdo e verifique a autenticidade do remetente antes de clicar em links ou abrir anexos.
  • Verifique a legitimidade de mensagens de empresas: Mensagens de bancos, lojas online, agências de viagens, companhias aéreas e outras empresas também exigem atenção. Verifique cuidadosamente o endereço de e-mail do remetente e procure por erros de português ou formatação suspeita.
  • Instale uma solução de segurança confiável: Uma solução de segurança robusta pode bloquear a maioria das ameaças automaticamente e alertá-lo sobre possíveis perigos. Mantenha sua solução de segurança sempre atualizada e siga as recomendações do fabricante.

Veja também:

About mindsecblog 2750 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!