El malware Ande Loader se propaga mediante phishing
Se ha observado que el actor de amenazas Blind Eagle emplea un cargador de malware llamado Ande Loader para distribuir troyanos de acceso remoto (RAT) como Remcos RAT y NjRAT. Estos ataques, iniciados a través de correos electrónicos de phishing, estaban dirigidos específicamente a personas de habla hispana dentro del sector manufacturero ubicado en América del Norte, según informes de eSentire.
Blind Eagle, también conocido como APT-C-36, es un actor de amenazas motivado financieramente con un historial de realizar ataques cibernéticos contra objetivos en Colombia y Ecuador, entregando varios RAT, incluidos AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT y RATA Cuásar. Los hallazgos recientes indican una expansión en la estrategia de ataque del actor de amenazas, utilizando tácticas de phishing con archivos RAR y BZ2 para iniciar el proceso de infección.
Método de infiltración de Ande Loader
Los archivos RAR, protegidos por contraseñas, contienen un archivo malicioso de Visual Basic Script (VBScript) responsable de establecer la persistencia en la carpeta de inicio de Windows e iniciar Ande Loader, que luego carga la carga útil Remcos RAT. Alternativamente, en otro método de ataque observado, un archivo BZ2 que contiene un archivo VBScript se distribuye a través de un enlace de la red de entrega de contenido (CDN) de Discord, y Ande Loader elimina NjRAT en lugar de Remcos RAT.
eSentire señaló que Blind Eagle ha estado utilizando criptas desarrolladas por personas conocidas como Roda y Pjoao1578. Uno de los criptadores de Roda contiene un servidor codificado que aloja tanto los componentes del inyector del criptador como el malware adicional utilizado en la campaña Blind Eagle.
Estos desarrollos coinciden con la divulgación por parte de SonicWall de otra familia de malware de carga llamada DBatLoader, que explota un controlador legítimo pero vulnerable asociado con el software RogueKiller AntiMalware (truesight.sys) para desactivar soluciones de seguridad en un ataque Bring Your Own Vulnerable Driver (BYOVD), en última instancia. entregando Remcos RAT.