Il malware Ande Loader si diffonde utilizzando il phishing
È stato osservato che l'autore della minaccia Blind Eagle utilizza un caricatore di malware denominato Ande Loader per distribuire trojan di accesso remoto (RAT) come Remcos RAT e NjRAT. Secondo i rapporti di eSentire, questi attacchi, avviati tramite e-mail di phishing, erano mirati specificamente a individui di lingua spagnola del settore manifatturiero situato in Nord America.
Blind Eagle, noto anche come APT-C-36, è un attore di minacce motivato finanziariamente con un'esperienza comprovata nella conduzione di attacchi informatici contro obiettivi in Colombia ed Ecuador, fornendo vari RAT tra cui AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT e RATTO Quasar. I recenti risultati indicano un'espansione della strategia di targeting degli autori delle minacce, che utilizzano tattiche di phishing con archivi RAR e BZ2 per avviare il processo di infezione.
Metodo di infiltrazione Ande Loader
Gli archivi RAR, protetti da password, contengono un file dannoso Visual Basic Script (VBScript) responsabile di stabilire la persistenza nella cartella Esecuzione automatica di Windows e di avviare Ande Loader, che quindi carica il payload Remcos RAT. In alternativa, in un altro metodo di attacco osservato, un archivio BZ2 contenente un file VBScript viene distribuito tramite un collegamento CDN (Content Delivery Network) Discord, con Ande Loader che elimina NjRAT invece di Remcos RAT.
eSentire ha notato che Blind Eagle ha utilizzato criptatori sviluppati da individui conosciuti come Roda e Pjoao1578. Uno dei crypter di Roda contiene un server hardcoded che ospita sia i componenti iniettori del crypter che malware aggiuntivo utilizzato nella campagna Blind Eagle.
Questi sviluppi coincidono con la divulgazione da parte di SonicWall di un'altra famiglia di malware di caricamento chiamata DBatLoader, che sfrutta un driver legittimo ma vulnerabile associato al software RogueKiller AntiMalware (truesight.sys) per disabilitare le soluzioni di sicurezza in un attacco Bring Your Own Vulnerable Driver (BYOVD), in ultima analisi. consegnando Remcos RAT.