O grupo de ciberespionagem BlindEagle (também conhecido como APT-C-36) atualizou suas táticas com um novo plugin espião e o uso de sites brasileiros legítimos para hospedar arquivos maliciosos. A descoberta é do time de Pesquisa e Análise Global da Kaspersky (GReAT), que também observou um aumento no uso do português nos códigos maliciosos do grupo, que antes predominava o espanhol.
Ativo desde 2018 e com foco na Colômbia, o grupo BlindEagle aprimorou suas táticas, utilizando agora um site brasileiro de hospedagem de imagens para ocultar código malicioso, em vez de serviços como Discord e Google Drive. O script malicioso baixa imagens contendo o código, para extraí-lo e executá-lo no computador da vítima. A Kaspersky também observou o aumento do uso de português no código.
Outra novidade é que, após alternar entre diferentes trojans de acesso remoto (RATs) de código aberto, o grupo adotou o njRAT como sua principal ferramenta em uma campanha de maio de 2024. O njRAT é conhecido por registrar teclas digitadas, acessar a webcam, roubar dados do computador, capturar telas e monitorar aplicativos, mas a versão utilizada pelo BlindEagle amplia o potencial de ataque do grupo, abrindo caminho para a execução de módulos de espionagem adicionais e coleta de informações ainda mais sensíveis.
Para distribuir o malware e o novo plugin, os invasores utilizam phishing direcionado. As vítimas recebem e-mails falsos em nome do governo, notificando sobre uma suposta multa de trânsito. O arquivo anexo, disfarçado de PDF, é, na verdade, um script Visual Basic (VBS) que, ao ser executado, baixa o malware espião no computador.
“A crescente presença do português sugere que o BlindEagle pode estar colaborando com outros agentes maliciosos. No passado, o espanhol era predominante, mas nas campanhas do ano passado, o grupo começou a usar algumas funções e nomes de variáveis em português. Desta vez, o idioma é amplamente utilizado. Além disso, o grupo passou a usar domínios brasileiros para hospedar os arquivos maliciosos em várias fases do ataque, o que reforça a teoria de que eles podem estar trabalhando com alguém externo ao grupo”, explica Leandro Cuozzo, analista de segurança do Time Global de Pesquisa e Análise da Kaspersky na América Latina.
Ataques com DLL sideloading
A Kaspersky também observou o BlindEagle conduzindo outra campanha em junho de 2024, utilizando a técnica de DLL sideloading. Este método explora as bibliotecas de vínculo dinâmico (DLLs) do Windows para executar código malicioso, uma tática incomum para este grupo.
Nesta campanha, os invasores enviaram e-mails falsos contendo documentos PDF ou DOCX maliciosos. As vítimas eram induzidas a clicar em links que prometiam o download de documentos falsos de ações judiciais. Na verdade, os links levavam a arquivos ZIP contendo um executável que iniciava a infecção por DLL sideloading, juntamente com outros arquivos maliciosos.
“No cenário digital em constante evolução, a proliferação de campanhas de ciberespionagem sofisticadas destaca a necessidade crítica de que organizações e indivíduos permaneçam vigilantes e reforcem suas defesas contra ameaças emergentes”, afirma Cuozzo. “A evolução contínua das táticas maliciosas exige uma abordagem proativa de cibersegurança. Isso inclui aproveitar a inteligência robusta de ameaças e as tecnologias de detecção de ponta, além de fomentar uma cultura de ciberconsciência e resiliência”.
Recomendações de segurança
Para se proteger contra essa e outras ameaças, os pesquisadores da Kaspersky recomendam:
Fique atento a e-mails suspeitos: Órgãos governamentais e instituições financeiras não costumam entrar em contato por e-mail para enviar notificações legais ou solicitar dados confidenciais. Desconfie de mensagens com esse tipo de conteúdo e verifique a autenticidade do remetente antes de clicar em links ou abrir anexos.
Verifique a legitimidade de mensagens de empresas: Mensagens de bancos, lojas online, agências de viagens, companhias aéreas e outras empresas também exigem atenção. Verifique cuidadosamente o endereço de e-mail do remetente e procure por erros de português ou formatação suspeita.
Instale uma solução de segurança confiável: Uma solução de segurança robusta pode bloquear a maioria das ameaças automaticamente e alertá-lo sobre possíveis perigos. Mantenha sua solução de segurança sempre atualizada e siga as recomendações do fabricante.