Plugin espião usa sites brasileiros para fazer vítimas na Colômbia, aponta laboratório

Organização BlindEagle traz táticas aprimoradas que ampliam seus ataques e coleta de informações

Compartilhar:

O grupo de ciberespionagem BlindEagle (também conhecido como APT-C-36) atualizou suas táticas com um novo plugin espião e o uso de sites brasileiros legítimos para hospedar arquivos maliciosos. A descoberta é do time de Pesquisa e Análise Global da Kaspersky (GReAT), que também observou um aumento no uso do português nos códigos maliciosos do grupo, que antes predominava o espanhol.

 

Ativo desde 2018 e com foco na Colômbia, o grupo BlindEagle aprimorou suas táticas, utilizando agora um site brasileiro de hospedagem de imagens para ocultar código malicioso, em vez de serviços como Discord e Google Drive. O script malicioso baixa imagens contendo o código, para extraí-lo e executá-lo no computador da vítima. A Kaspersky também observou o aumento do uso de português no código.

 

Outra novidade é que, após alternar entre diferentes trojans de acesso remoto (RATs) de código aberto, o grupo adotou o njRAT como sua principal ferramenta em uma campanha de maio de 2024. O njRAT é conhecido por registrar teclas digitadas, acessar a webcam, roubar dados do computador, capturar telas e monitorar aplicativos, mas a versão utilizada pelo BlindEagle amplia o potencial de ataque do grupo, abrindo caminho para a execução de módulos de espionagem adicionais e coleta de informações ainda mais sensíveis.

 

Para distribuir o malware e o novo plugin, os invasores utilizam phishing direcionado. As vítimas recebem e-mails falsos em nome do governo, notificando sobre uma suposta multa de trânsito. O arquivo anexo, disfarçado de PDF, é, na verdade, um script Visual Basic (VBS) que, ao ser executado, baixa o malware espião no computador.

 

“A crescente presença do português sugere que o BlindEagle pode estar colaborando com outros agentes maliciosos. No passado, o espanhol era predominante, mas nas campanhas do ano passado, o grupo começou a usar algumas funções e nomes de variáveis em português. Desta vez, o idioma é amplamente utilizado. Além disso, o grupo passou a usar domínios brasileiros para hospedar os arquivos maliciosos em várias fases do ataque, o que reforça a teoria de que eles podem estar trabalhando com alguém externo ao grupo”, explica Leandro Cuozzo, analista de segurança do Time Global de Pesquisa e Análise da Kaspersky na América Latina.

 

Ataques com DLL sideloading

A Kaspersky também observou o BlindEagle conduzindo outra campanha em junho de 2024, utilizando a técnica de DLL sideloading. Este método explora as bibliotecas de vínculo dinâmico (DLLs) do Windows para executar código malicioso, uma tática incomum para este grupo.

 

Nesta campanha, os invasores enviaram e-mails falsos contendo documentos PDF ou DOCX maliciosos. As vítimas eram induzidas a clicar em links que prometiam o download de documentos falsos de ações judiciais. Na verdade, os links levavam a arquivos ZIP contendo um executável que iniciava a infecção por DLL sideloading, juntamente com outros arquivos maliciosos.

 

“No cenário digital em constante evolução, a proliferação de campanhas de ciberespionagem sofisticadas destaca a necessidade crítica de que organizações e indivíduos permaneçam vigilantes e reforcem suas defesas contra ameaças emergentes”, afirma Cuozzo. “A evolução contínua das táticas maliciosas exige uma abordagem proativa de cibersegurança. Isso inclui aproveitar a inteligência robusta de ameaças e as tecnologias de detecção de ponta, além de fomentar uma cultura de ciberconsciência e resiliência”.

 

Recomendações de segurança

Para se proteger contra essa e outras ameaças, os pesquisadores da Kaspersky recomendam:

 

Fique atento a e-mails suspeitos: Órgãos governamentais e instituições financeiras não costumam entrar em contato por e-mail para enviar notificações legais ou solicitar dados confidenciais. Desconfie de mensagens com esse tipo de conteúdo e verifique a autenticidade do remetente antes de clicar em links ou abrir anexos.

 

Verifique a legitimidade de mensagens de empresas: Mensagens de bancos, lojas online, agências de viagens, companhias aéreas e outras empresas também exigem atenção. Verifique cuidadosamente o endereço de e-mail do remetente e procure por erros de português ou formatação suspeita.

 

Instale uma solução de segurança confiável: Uma solução de segurança robusta pode bloquear a maioria das ameaças automaticamente e alertá-lo sobre possíveis perigos. Mantenha sua solução de segurança sempre atualizada e siga as recomendações do fabricante.

 

Conteúdos Relacionados

Security Report | Overview

Conectividade do programa Goiás de Fibra contará com infraestrutura própria de Segurança

Projeto envolve a instalação de mais de 10 mil quilômetros de fibra óptica e contará com a tecnologia de segurança...
Security Report | Overview

Trabalho híbrido deve demandar novas estratégias de acesso, indica análise

A Check Point Software observa que muitas infraestruturas de VPN, atualmente, já operam em média com 85% da capacidade, especialmente...
Security Report | Overview

Holambra Agroindustrial aumenta precisão da Segurança por meio de parceria

Uso de firewalls as a service SonicWall e da solução de proteção de endpoints SonicWall Capture Client facilitou padronização da...
Security Report | Overview

10% dos ambientes de cloud pública arquivam dados confidenciais

Relatório destaca a necessidade urgente de gerenciamento unificado de exposição à nuvem para conter vazamento de informações e reduzir risco...