Plugin espião usa sites brasileiros para fazer vítimas na Colômbia, aponta laboratório

Organização BlindEagle traz táticas aprimoradas que ampliam seus ataques e coleta de informações

Compartilhar:

O grupo de ciberespionagem BlindEagle (também conhecido como APT-C-36) atualizou suas táticas com um novo plugin espião e o uso de sites brasileiros legítimos para hospedar arquivos maliciosos. A descoberta é do time de Pesquisa e Análise Global da Kaspersky (GReAT), que também observou um aumento no uso do português nos códigos maliciosos do grupo, que antes predominava o espanhol.

 

Ativo desde 2018 e com foco na Colômbia, o grupo BlindEagle aprimorou suas táticas, utilizando agora um site brasileiro de hospedagem de imagens para ocultar código malicioso, em vez de serviços como Discord e Google Drive. O script malicioso baixa imagens contendo o código, para extraí-lo e executá-lo no computador da vítima. A Kaspersky também observou o aumento do uso de português no código.

 

Outra novidade é que, após alternar entre diferentes trojans de acesso remoto (RATs) de código aberto, o grupo adotou o njRAT como sua principal ferramenta em uma campanha de maio de 2024. O njRAT é conhecido por registrar teclas digitadas, acessar a webcam, roubar dados do computador, capturar telas e monitorar aplicativos, mas a versão utilizada pelo BlindEagle amplia o potencial de ataque do grupo, abrindo caminho para a execução de módulos de espionagem adicionais e coleta de informações ainda mais sensíveis.

 

Para distribuir o malware e o novo plugin, os invasores utilizam phishing direcionado. As vítimas recebem e-mails falsos em nome do governo, notificando sobre uma suposta multa de trânsito. O arquivo anexo, disfarçado de PDF, é, na verdade, um script Visual Basic (VBS) que, ao ser executado, baixa o malware espião no computador.

 

“A crescente presença do português sugere que o BlindEagle pode estar colaborando com outros agentes maliciosos. No passado, o espanhol era predominante, mas nas campanhas do ano passado, o grupo começou a usar algumas funções e nomes de variáveis em português. Desta vez, o idioma é amplamente utilizado. Além disso, o grupo passou a usar domínios brasileiros para hospedar os arquivos maliciosos em várias fases do ataque, o que reforça a teoria de que eles podem estar trabalhando com alguém externo ao grupo”, explica Leandro Cuozzo, analista de segurança do Time Global de Pesquisa e Análise da Kaspersky na América Latina.

 

Ataques com DLL sideloading

A Kaspersky também observou o BlindEagle conduzindo outra campanha em junho de 2024, utilizando a técnica de DLL sideloading. Este método explora as bibliotecas de vínculo dinâmico (DLLs) do Windows para executar código malicioso, uma tática incomum para este grupo.

 

Nesta campanha, os invasores enviaram e-mails falsos contendo documentos PDF ou DOCX maliciosos. As vítimas eram induzidas a clicar em links que prometiam o download de documentos falsos de ações judiciais. Na verdade, os links levavam a arquivos ZIP contendo um executável que iniciava a infecção por DLL sideloading, juntamente com outros arquivos maliciosos.

 

“No cenário digital em constante evolução, a proliferação de campanhas de ciberespionagem sofisticadas destaca a necessidade crítica de que organizações e indivíduos permaneçam vigilantes e reforcem suas defesas contra ameaças emergentes”, afirma Cuozzo. “A evolução contínua das táticas maliciosas exige uma abordagem proativa de cibersegurança. Isso inclui aproveitar a inteligência robusta de ameaças e as tecnologias de detecção de ponta, além de fomentar uma cultura de ciberconsciência e resiliência”.

 

Recomendações de segurança

Para se proteger contra essa e outras ameaças, os pesquisadores da Kaspersky recomendam:

 

Fique atento a e-mails suspeitos: Órgãos governamentais e instituições financeiras não costumam entrar em contato por e-mail para enviar notificações legais ou solicitar dados confidenciais. Desconfie de mensagens com esse tipo de conteúdo e verifique a autenticidade do remetente antes de clicar em links ou abrir anexos.

 

Verifique a legitimidade de mensagens de empresas: Mensagens de bancos, lojas online, agências de viagens, companhias aéreas e outras empresas também exigem atenção. Verifique cuidadosamente o endereço de e-mail do remetente e procure por erros de português ou formatação suspeita.

 

Instale uma solução de segurança confiável: Uma solução de segurança robusta pode bloquear a maioria das ameaças automaticamente e alertá-lo sobre possíveis perigos. Mantenha sua solução de segurança sempre atualizada e siga as recomendações do fabricante.

 

Conteúdos Relacionados

Security Report | Overview

Proofpoint assina acordo definitivo de aquisição da Normalyze

Alinhamento de uma empresa de DSPM reforçará a plataforma de segurança centrada no ser humano da Proofpoint, com o objetivo...
Security Report | Overview

Golpes com celulares geram prejuízo de R$ 58,3 milhões no primeiro semestre

iPhone é a marca mais visada por criminosos, corresponde a 80% das fraudes no período. 70% dos golpes estão relacionados...
Security Report | Overview

Black Friday: Febraban orienta consumidores a promoverem compras seguras

Quadrilhas aproveitam ofertas da mega liquidação, que já começam no início de novembro, para roubar dados e aplicar golpes; é...
Security Report | Overview

Sophos anuncia aquisição da Secureworks

Negócio visa ampliar serviços e tecnologia de cibersegurança para empresas em todo o mundo