A divisão de Inteligência de Ameaças da Check Point Software descobriu uma série de campanhas cibernéticas direcionadas pelo Blind Eagle (APT-C-36), um dos grupos de ameaças mais perigosos da América Latina. Após a Microsoft lançar uma correção para a vulnerabilidade CVE-2024-43451, o grupo começou a empregar uma técnica semelhante envolvendo arquivos [.]url maliciosos, demonstrando como os atacantes podem transformar atualizações de segurança em armas contra suas vítimas.
A Check Point Research (CPR) identificou que uma campanha resultou em mais de 9.000 vítimas em apenas uma semana, indicando que as táticas atuais desse grupo são altamente eficazes.
Como acontecem os ataques?
Os ataques utilizam plataformas confiáveis como Google Drive, Dropbox, GitHub e Bitbucket para distribuir o malware, contornando as defesas de segurança tradicionais. A pesquisa descobriu também mais de 1.600 infecções a partir de uma única campanha, um número alarmante, considerando o caráter direcionado dos ataques APT. O malware final, o Remcos RAT, permite roubo de dados, execução remota e acesso persistente ao sistema comprometido.
Arma cibernética
Em 12 de novembro de 2024, a Microsoft lançou um patch para a CVE-2024-43451, uma vulnerabilidade que expunha hashes NTLMv2, permitindo que atacantes sequestrassem credenciais de usuários.
Em resposta, o Blind Eagle desenvolveu uma técnica usando arquivos [.]url, não para explorar diretamente a vulnerabilidade, mas para rastrear vítimas e iniciar downloads de malware. Isso permite que o Blind Eagle identifique e priorize vítimas em potencial, pois seus arquivos maliciosos enviam alertas quando acessados.
Novo mecanismo de distribuição de malware
Ao disfarçar malware como arquivos aparentemente inofensivos hospedados em serviços confiáveis, o grupo Blind Eagle consegue evadir filtros de segurança tradicionais. Quando uma vítima interage com o arquivo malicioso, o malware é baixado e executa um trojan de acesso remoto (RAT), concedendo controle total do sistema aos atacantes.
Esse método também permite que o Blind Eagle atualize rapidamente suas cargas maliciosas sem precisar modificar sua infraestrutura de ataque. Se uma conta de hospedagem for derrubada, eles podem simplesmente fazer o upload do malware em outra conta na nuvem e continuar suas operações.
O Blind Eagle já havia utilizado serviços em nuvem e continua explorando essa tática, dificultando ainda mais a detecção por ferramentas de segurança. A análise feita identificou o Blind Eagle usando: Google Drive, Dropbox, GitHub e Bitbucket.
Cadeia completa do ataque
Uma vez executado, o malware implantado pelo Blind Eagle é projetado para furtividade, persistência e exfiltração de dados. A carga final utilizada nesta campanha é o malware Remcos RAT, um trojan de acesso remoto amplamente utilizado, que concede aos atacantes controle total sobre a máquina infectada.
Após a infecção, o malware pode capturar credenciais do usuário registrando teclas digitadas e roubando senhas armazenadas. Além disso, conseguem modificar e excluir arquivos, permitindo que os atacantes sabotem sistemas ou criptografem dados para resgate. Estabelecer persistência, criando tarefas agendadas e modificações no registro. Exfiltrar informações sensíveis, enviando-as de volta para os servidores C2 (comando e controle) operados pelo Blind Eagle.
Mas quais são possíveis medidas para evitar essas ameaças? Algumas propostas foram o reforço da segurança de e-mails, proteção em tempo real nos endpoints, treinamento contínuo de equipes para conscientização em segurança, utilizar soluções avançadas de prevenção de ameaças.
