Plugin espião usa sites brasileiros para fazer vítimas na Colômbia, aponta laboratório

Organização BlindEagle traz táticas aprimoradas que ampliam seus ataques e coleta de informações

Compartilhar:

O grupo de ciberespionagem BlindEagle (também conhecido como APT-C-36) atualizou suas táticas com um novo plugin espião e o uso de sites brasileiros legítimos para hospedar arquivos maliciosos. A descoberta é do time de Pesquisa e Análise Global da Kaspersky (GReAT), que também observou um aumento no uso do português nos códigos maliciosos do grupo, que antes predominava o espanhol.

 

Ativo desde 2018 e com foco na Colômbia, o grupo BlindEagle aprimorou suas táticas, utilizando agora um site brasileiro de hospedagem de imagens para ocultar código malicioso, em vez de serviços como Discord e Google Drive. O script malicioso baixa imagens contendo o código, para extraí-lo e executá-lo no computador da vítima. A Kaspersky também observou o aumento do uso de português no código.

 

Outra novidade é que, após alternar entre diferentes trojans de acesso remoto (RATs) de código aberto, o grupo adotou o njRAT como sua principal ferramenta em uma campanha de maio de 2024. O njRAT é conhecido por registrar teclas digitadas, acessar a webcam, roubar dados do computador, capturar telas e monitorar aplicativos, mas a versão utilizada pelo BlindEagle amplia o potencial de ataque do grupo, abrindo caminho para a execução de módulos de espionagem adicionais e coleta de informações ainda mais sensíveis.

 

Para distribuir o malware e o novo plugin, os invasores utilizam phishing direcionado. As vítimas recebem e-mails falsos em nome do governo, notificando sobre uma suposta multa de trânsito. O arquivo anexo, disfarçado de PDF, é, na verdade, um script Visual Basic (VBS) que, ao ser executado, baixa o malware espião no computador.

 

“A crescente presença do português sugere que o BlindEagle pode estar colaborando com outros agentes maliciosos. No passado, o espanhol era predominante, mas nas campanhas do ano passado, o grupo começou a usar algumas funções e nomes de variáveis em português. Desta vez, o idioma é amplamente utilizado. Além disso, o grupo passou a usar domínios brasileiros para hospedar os arquivos maliciosos em várias fases do ataque, o que reforça a teoria de que eles podem estar trabalhando com alguém externo ao grupo”, explica Leandro Cuozzo, analista de segurança do Time Global de Pesquisa e Análise da Kaspersky na América Latina.

 

Ataques com DLL sideloading

A Kaspersky também observou o BlindEagle conduzindo outra campanha em junho de 2024, utilizando a técnica de DLL sideloading. Este método explora as bibliotecas de vínculo dinâmico (DLLs) do Windows para executar código malicioso, uma tática incomum para este grupo.

 

Nesta campanha, os invasores enviaram e-mails falsos contendo documentos PDF ou DOCX maliciosos. As vítimas eram induzidas a clicar em links que prometiam o download de documentos falsos de ações judiciais. Na verdade, os links levavam a arquivos ZIP contendo um executável que iniciava a infecção por DLL sideloading, juntamente com outros arquivos maliciosos.

 

“No cenário digital em constante evolução, a proliferação de campanhas de ciberespionagem sofisticadas destaca a necessidade crítica de que organizações e indivíduos permaneçam vigilantes e reforcem suas defesas contra ameaças emergentes”, afirma Cuozzo. “A evolução contínua das táticas maliciosas exige uma abordagem proativa de cibersegurança. Isso inclui aproveitar a inteligência robusta de ameaças e as tecnologias de detecção de ponta, além de fomentar uma cultura de ciberconsciência e resiliência”.

 

Recomendações de segurança

Para se proteger contra essa e outras ameaças, os pesquisadores da Kaspersky recomendam:

 

Fique atento a e-mails suspeitos: Órgãos governamentais e instituições financeiras não costumam entrar em contato por e-mail para enviar notificações legais ou solicitar dados confidenciais. Desconfie de mensagens com esse tipo de conteúdo e verifique a autenticidade do remetente antes de clicar em links ou abrir anexos.

 

Verifique a legitimidade de mensagens de empresas: Mensagens de bancos, lojas online, agências de viagens, companhias aéreas e outras empresas também exigem atenção. Verifique cuidadosamente o endereço de e-mail do remetente e procure por erros de português ou formatação suspeita.

 

Instale uma solução de segurança confiável: Uma solução de segurança robusta pode bloquear a maioria das ameaças automaticamente e alertá-lo sobre possíveis perigos. Mantenha sua solução de segurança sempre atualizada e siga as recomendações do fabricante.

 

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade permite espionagem a entidades de defesa no Oriente Médio, alerta relatório

Operação atribuída ao grupo Stealth Falcon explorou a CVE-2025-33053 para instalar malware furtivo via WebDAV; Microsoft corrigiu a vulnerabilidade no...
Security Report | Overview

Brasil lidera ranking de vazamento de dados com mais de 7 bilhões de registros, afirma pesquisa

Relatório aponta que 550 milhões de cookies brasileiros ainda estão ativos e podem ser usados por hackers para roubo de...
Security Report | Overview

GenAI será ferramenta crítica no enfrentamento de fraudes bancárias, alertam especialistas

Durante o Febraban Tech, marca da B3 apresentou novo recurso do Neoway Seeker, que usa GenAI para gerar resumos inteligentes...
Security Report | Overview

Organização anuncia novo VP LATAM, Fellipe Canale

Executivo retorna à companhia em que atuou como country manager entre 2020 e 2022