Ande Loader Malware se espalha usando phishing
O agente da ameaça Blind Eagle foi observado empregando um malware carregador chamado Ande Loader para distribuir trojans de acesso remoto (RATs), como Remcos RAT e NjRAT. Estes ataques, iniciados através de e-mails de phishing, visavam especificamente indivíduos de língua espanhola no setor industrial localizado na América do Norte, de acordo com relatórios da eSentire.
Blind Eagle, também conhecido como APT-C-36, é um ator de ameaças com motivação financeira e histórico de condução de ataques cibernéticos contra alvos na Colômbia e no Equador, fornecendo vários RATs, incluindo AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT e Quasar RATO. As descobertas recentes indicam uma expansão na estratégia de direcionamento do agente da ameaça, utilizando táticas de phishing com arquivos RAR e BZ2 para iniciar o processo de infecção.
Método de infiltração Ande Loader
Os arquivos RAR, protegidos por senhas, contêm um arquivo Visual Basic Script (VBScript) malicioso responsável por estabelecer persistência na pasta de inicialização do Windows e iniciar o Ande Loader, que então carrega a carga útil do Remcos RAT. Alternativamente, em outro método de ataque observado, um arquivo BZ2 contendo um arquivo VBScript é distribuído através de um link de rede de entrega de conteúdo (CDN) Discord, com Ande Loader descartando NjRAT em vez de Remcos RAT.
eSentire observou que Blind Eagle tem utilizado criptografadores desenvolvidos por indivíduos conhecidos como Roda e Pjoao1578. Um dos criptografadores de Roda contém um servidor codificado que hospeda componentes injetores do criptografador e malware adicional usado na campanha Blind Eagle.
Esses desenvolvimentos coincidem com a divulgação pela SonicWall de outra família de malware de carregamento chamada DBatLoader, que explora um driver legítimo, mas vulnerável, associado ao software RogueKiller AntiMalware (truesight.sys) para desabilitar soluções de segurança em um ataque Traga seu próprio driver vulnerável (BYOVD), em última análise. entregando Remcos RAT.