Se ha observado que el actor de amenazas conocido como Blind Eagle utiliza un cargador de malware llamado Ande Loader para entregar troyanos de acceso remoto (RAT) como Remcos RAT y NjRAT.
Los ataques, que toman la forma de correos electrónicos de phishing, estaban dirigidos a usuarios de habla hispana de la industria manufacturera con sede en Norteamérica, eSentire. dicho.
Blind Eagle (también conocido como APT-C-36) es un actor de amenaza motivado financieramente que tiene un historial de orquestar ataques cibernéticos contra entidades en Colombia y Ecuador para ofrecer un surtido de RATincluidos AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT y Quasar RAT.
Los últimos hallazgos marcan una expansión de la huella de ataque del actor de amenazas, al mismo tiempo que aprovechan el phishing con archivos RAR y BZ2 para activar la cadena de infección.
Los archivos RAR protegidos con contraseña vienen con un archivo malicioso Visual Basic Script (VBScript) que es responsable de establecer la persistencia en la carpeta de inicio de Windows e iniciar Ande Loader, que, a su vez, carga la carga útil Remcos RAT.
En una secuencia de ataque alternativa observada por la empresa canadiense de ciberseguridad, un archivo BZ2 que contiene un archivo VBScript se distribuye a través de un enlace de la red de entrega de contenido (CDN) de Discord. El malware Ande Loader, en este caso, elimina NjRAT en lugar de Remcos RAT.
«Los actores de amenazas de Blind Eagle han estado utilizando criptas «Escrito por Roda y Pjoao1578», dijo eSentire. «Uno de los cifrados desarrollados por Roda tiene el servidor codificado que aloja tanto los componentes inyectores del cifrado como el malware adicional que se utilizó en la campaña Blind Eagle».
El desarrollo se produce cuando SonicWall arroja luz sobre el funcionamiento interno de otra familia de malware de cargador llamada DBatLoaderque detalla el uso de un controlador legítimo pero vulnerable asociado con el software RogueKiller AntiMalware (truesight.sys) para finalizar el software de seguridad como parte de Traiga su propio controlador vulnerable (BYOVD) atacan y finalmente entregan Remcos RAT.
«El malware se recibe dentro de un archivo como un archivo adjunto de correo electrónico y está altamente ofuscado y contiene múltiples capas de datos cifrados», dijo la compañía. anotado a principios de este mes.