По данным Глобального центра исследований и анализа угроз «Лаборатории Касперского», известная с 2018 года хакерская группировка BlindEagle совершенствует свои кампании кибершпионажа. Среди обновлений — новый плагин для шпионажа и использование в процессе заражения легитимных бразильских файлообменников.
Группировка использует простые, но эффективные методы кибератак. В числе её жертв — организации и частные лица из стран Латинской Америки (в мае и июне 2024 года 87% жертв находились в Колумбии). В сферу интересов хакеров входят правительственные учреждения, энергетические и нефтегазовые организации, а также финансовые компании.
Основные цели группы — шпионаж и кража финансовой информации. Для этого используются различные трояны удалённого доступа с открытым исходным кодом, в том числе njRAT, Lime-RAT, BitRAT.
В майской кампании в качестве основного инструмента использовался njRAT — троянец, который позволяет записывать все нажатия клавиш на клавиатуре, получать изображения с камер, собирать информацию о системе и запущенных приложениях, делать снимки экрана и совершать другие шпионские действия. В последних версиях зловред может расширять свою функциональность с помощью плагинов в виде сборок .net или других бинарных файлов. Эти плагины позволяют запускать дополнительные шпионские модули для сбора конфиденциальной информации (включая определение местоположения жертвы, подробную информацию о системе и установленных приложениях), обходить антивирусы и устанавливать вредонос Meterpreter.
Внедрение вредоносного софта начинается с целевой фишинговой рассылки. Электронные письма якобы от представителей госорганизации содержат вложение, которое выглядит как PDF-файл, при запуске загружающее шпионское ПО на целевое устройство в несколько этапов.
Изначально испаноязычный BlindEagle всё чаще использует португальский язык и бразильские домены для многоступенчатой загрузки ВПО, что говорит о возможном сотрудничестве с другими акторами, подчеркивают эксперты ЛК. Для распространения вредоносного кода группа использовала бразильский сайт хостинга изображений, а ранее использовались сервисы Discord или Google Drive.
В июне хакеры запустили отдельную кампанию, в которой использовался ранее нехарактерный для них метод DLL sideloading — способ выполнения вредоносного кода через библиотеки Windows. Для первичного заражения группировка рассылала вредоносные файлы под видом фиктивных судебных документов в формате PDF и DOCX, которые находились в составе ZIP-архива. В него же злоумышленники добавляли исполняемый файл, инициировавший заражение через DLL sideloading, и другие вредоносные файлы для продолжения атаки. В этой кампании был использован троянец удалённого доступа AsyncRAT.
