Le logiciel malveillant Ande Loader se propage à l'aide du phishing
L'acteur malveillant Blind Eagle a été observé en train d'utiliser un malware de chargement nommé Ande Loader pour distribuer des chevaux de Troie d'accès à distance (RAT) tels que Remcos RAT et NjRAT. Ces attaques, initiées par le biais d'e-mails de phishing, visaient spécifiquement des individus hispanophones du secteur manufacturier situé en Amérique du Nord, selon les rapports d'eSentire.
Blind Eagle, également connu sous le nom d'APT-C-36, est un acteur malveillant motivé par des raisons financières et ayant mené des cyberattaques contre des cibles en Colombie et en Équateur, fournissant divers RAT, notamment AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT et Quasar RAT. Les découvertes récentes indiquent une expansion de la stratégie de ciblage des acteurs malveillants, utilisant des tactiques de phishing avec les archives RAR et BZ2 pour lancer le processus d'infection.
Méthode d'infiltration du chargeur Ande
Les archives RAR, protégées par des mots de passe, contiennent un fichier Visual Basic Script (VBScript) malveillant chargé d'établir la persistance dans le dossier de démarrage de Windows et de lancer le chargeur Ande, qui charge ensuite la charge utile Remcos RAT. Alternativement, dans une autre méthode d'attaque observée, une archive BZ2 contenant un fichier VBScript est distribuée via un lien de réseau de diffusion de contenu (CDN) Discord, Ande Loader supprimant NjRAT au lieu de Remcos RAT.
eSentire a noté que Blind Eagle utilisait des crypteurs développés par des individus connus sous le nom de Roda et Pjoao1578. L'un des crypteurs de Roda contient un serveur codé en dur hébergeant à la fois les composants d'injection du crypteur et des logiciels malveillants supplémentaires utilisés dans la campagne Blind Eagle.
Ces développements coïncident avec la divulgation par SonicWall d'une autre famille de logiciels malveillants de chargement appelée DBatLoader, qui exploite un pilote légitime mais vulnérable associé au logiciel RogueKiller AntiMalware (truesight.sys) pour désactiver les solutions de sécurité lors d'une attaque BYOVD (Bring Your Own Vulnerable Driver). livrant Remcos RAT.