Ande Loader Malware sprids med nätfiske

Hotaktören Blind Eagle har observerats använda en skadlig programvara som heter Ande Loader för att distribuera fjärråtkomsttrojaner (RAT) som Remcos RAT och NjRAT. Dessa attacker, initierade genom nätfiske-e-post, var specifikt riktade mot spansktalande individer inom tillverkningssektorn i Nordamerika, enligt rapporter från eSentire.

Blind Eagle, även känd som APT-C-36, är en finansiellt motiverad hotaktör med erfarenhet av att utföra cyberattacker mot mål i Colombia och Ecuador, och levererar olika RAT:er inklusive AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT och Quasar RAT. De senaste fynden indikerar en expansion av hotaktörens inriktningsstrategi, genom att använda nätfisketaktik med RAR- och BZ2-arkiv för att initiera infektionsprocessen.

Ande Loader metod för infiltration

RAR-arkiven, skyddade av lösenord, innehåller en skadlig Visual Basic Script-fil (VBScript) som ansvarar för att etablera persistens i Windows Startup-mapp och initiera Ande Loader, som sedan laddar Remcos RAT-nyttolasten. Alternativt, i en annan observerad attackmetod, distribueras ett BZ2-arkiv som innehåller en VBScript-fil via en Discord Content Delivery Network-länk (CDN), där Ande Loader släpper NjRAT istället för Remcos RAT.

eSentire noterade att Blind Eagle har använt kryptor utvecklade av individer kända som Roda och Pjoao1578. En av Rodas krypteringsenheter innehåller en hårdkodad server som är värd för både injektorkomponenter i krypteringen och ytterligare skadlig kod som används i Blind Eagle-kampanjen.

Dessa utvecklingar sammanfaller med SonicWalls avslöjande av en annan skadlig programvara för laddare som heter DBatLoader, som utnyttjar en legitim men sårbar drivrutin förknippad med RogueKiller AntiMalware-programvara (truesight.sys) för att i slutändan inaktivera säkerhetslösningar i en Bring Your Own Vulnerable Driver (BYOVD)-attack. levererar Remcos RAT.