Campanhas de hackers em andamento orquestradas pelo grupo Blind Eagle — também conhecido como APT-C-36 — foram detectadas visando pessoas em toda a América do Sul. Especialistas em segurança da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software, divulgaram as descobertas em um novo comunicado publicado na quinta-feira passada, 5, descrevendo uma nova cadeia de infecção envolvendo um conjunto de ferramentas avançado.
“Nos últimos meses, observamos as campanhas em andamento orquestradas pelo Blind Eagle, que aderiu principalmente a táticas, técnicas e procedimentos (TTPs) utilizando e-mails de phishing que fingem ser do governo colombiano”, escreveu a equipe. “Um exemplo típico é um e-mail supostamente do Ministério das Relações Exteriores, ameaçando o destinatário com problemas ao deixar o país, a menos que ele resolva uma questão burocrática.”
De acordo com a CPR, os e-mails maliciosos incluíam um link e um arquivo PDF direcionando a vítima para o mesmo link. A solicitação HTTP recebida é analisada ao clicar no link para verificar se ela se origina de fora da Colômbia. Em caso afirmativo, o servidor interrompe a cadeia de infecção e redireciona o cliente para o site real do departamento de migração do Ministério das Relações Exteriores da Colômbia. Se a solicitação recebida vier da Colômbia, no entanto, a cadeia de infecção prosseguirá conforme programado.
Veja isso
PDF ‘contrabandeia’ documentos do Word para implantar malware
Grupo APT-C-36 mira América do Sul com RATs
“O servidor responde ao cliente com um arquivo para download. Este é um malware executável hospedado no serviço de compartilhamento de arquivos MediaFire”, explicou a CPR. “O arquivo é compactado, semelhante a um arquivo ZIP, usando o algoritmo LHA. Ele é protegido por senha, o que o torna imune à análise estática ingênua e até mesmo à emulação ingênua de sandbox. A senha é encontrada no e-mail e no PDF anexado.” O executável dentro do arquivo é uma amostra modificada do QuasarRAT apresentando vários novos recursos, incluindo funções para ativar e desativar o proxy do sistema.
Outra variante foi detectada pela CPR visando o Equador e se passando pela Receita Federal do país. “Esta última campanha direcionada ao Equador destaca como, nos últimos anos, o Blind Eagle amadureceu como uma ameaça, refinando suas ferramentas, adicionando recursos a bases de código vazadas e experimentando cadeias de infecção elaboradas e ‘Living off the Land’”, diz o texto. “Se o que vimos é alguma indicação, vale a pena ficar de olho nesse grupo para que as vítimas não sejam surpreendidas por qualquer coisa inteligente que tentem a seguir”, finaliza
O comunicado vem semanas depois de a provedora de saúde colombiano Keralty ter relatado um ataque de ransomware em dezembro de 2022.