Algumas campanhas em andamento, com a intensão de hackear pessoas, orquestradas pelo grupo Blind Eagle (também conhecidos com APT-C-36) foram percebidas, visando atacar pessoas em toda a América do Sul. Alguns especialistas nesta área divulgaram as descobertas em um novo comunicado publicado nesta última quinta-feira (05/01), descrevendo um conjunto de ferramentas avançadas e uma nova cadeia de infecção.
“Nos últimos meses, observamos as campanhas em andamento orquestradas pelo Blind Eagle, que aderiu principalmente a táticas, técnicas e procedimentos (TTPs) utilizando e-mails de phishing que fingem ser do governo colombiano”, escreveram os especialistas. “Um exemplo típico é um e-mail supostamente do Ministério das Relações Exteriores, ameaçando o destinatário com problemas ao deixar o país, a menos que ele resolva uma questão burocrática.”
De acordo ainda com os especialistas, os e-mails enviados com conteúdo malicioso incluíam um link juntamente com um arquivo PDF, direcionamento a vítima para o mesmo link. A solicitação HTTP recebida é analisada ao clicar no link para verificar se ela se origina de fora da Colômbia. Em caso afirmativo, o servidor interrompe a cadeia de infecção e redireciona o cliente para o site real do departamento de migração do Ministério das Relações Exteriores da Colômbia. Se a solicitação recebida vier da Colômbia, no entanto, a cadeia de infecção prosseguirá conforme programado.
“O servidor responde ao cliente com um arquivo para download. Este é um malware executável hospedado no serviço de compartilhamento de arquivos MediaFire”, explicou um dos especialistas. “O arquivo é compactado, semelhante a um arquivo ZIP, usando o algoritmo LHA. Ele é protegido por senha, o que o torna imune à análise estática ingênua e até mesmo à emulação ingênua de sandbox. A senha é encontrada no e-mail e no PDF anexado.” O executável dentro do arquivo é uma amostra modificada do QuasarRAT apresentando vários novos recursos, incluindo funções para ativar e desativar o proxy do sistema.
Outra variante foi detectada visando o Equador que se passou pela Receita Federal do país. “Esta última campanha direcionada ao Equador destaca como, nos últimos anos, o Blind Eagle amadureceu como uma ameaça, refinando suas ferramentas, adicionando recursos a bases de código vazadas e experimentando cadeias de infecção elaboradas e ‘Living off the Land’”, diz o texto. “Se o que vimos é alguma indicação, vale a pena ficar de olho nesse grupo para que as vítimas não sejam surpreendidas por qualquer coisa inteligente que tentem a seguir” termina o texto.
Para mais informações entre em contato nos canais abaixo, temos especialistas neste assunto.
Fone/Whatsapp: (62) 3932-1212
E-mail: contato@inntecnologia.com
www.inntecnologia.com
