Ande Loader Malware sprer seg ved bruk av phishing

Trusselaktøren Blind Eagle har blitt observert ved å bruke en loader malware kalt Ande Loader for å distribuere fjerntilgangstrojanere (RAT) som Remcos RAT og NjRAT. Disse angrepene, initiert gjennom phishing-e-poster, var spesifikt rettet mot spansktalende personer innenfor produksjonssektoren lokalisert i Nord-Amerika, ifølge rapporter fra eSentire.

Blind Eagle, også kjent som APT-C-36, er en økonomisk motivert trusselaktør med erfaring med å utføre cyberangrep mot mål i Colombia og Ecuador, og levere forskjellige RAT-er inkludert AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT og Quasar RAT. De nylige funnene indikerer en utvidelse av trusselaktørens målrettingsstrategi, ved å bruke phishing-taktikker med RAR- og BZ2-arkiver for å sette i gang infeksjonsprosessen.

Ande Loader metode for infiltrasjon

RAR-arkivene, beskyttet av passord, inneholder en ondsinnet Visual Basic Script-fil (VBScript) som er ansvarlig for å etablere persistens i Windows Startup-mappen og starte Ande Loader, som deretter laster Remcos RAT-nyttelasten. Alternativt, i en annen observert angrepsmetode, distribueres et BZ2-arkiv som inneholder en VBScript-fil gjennom en Discord innholdsleveringsnettverk (CDN), med Ande Loader som dropper NjRAT i stedet for Remcos RAT.

eSentire bemerket at Blind Eagle har brukt krypteringer utviklet av individer kjent som Roda og Pjoao1578. En av Rodas krypteringer inneholder en hardkodet server som er vert for både injektorkomponenter av krypteringsmaskinen og ytterligere skadelig programvare som brukes i Blind Eagle-kampanjen.

Denne utviklingen faller sammen med SonicWalls avsløring av en annen loader-skadevarefamilie kalt DBatLoader, som utnytter en legitim, men sårbar driver knyttet til RogueKiller AntiMalware-programvare (truesight.sys) for å deaktivere sikkerhetsløsninger i et Bring Your Own Vulnerable Driver (BYOVD)-angrep, til slutt. leverer Remcos RAT.