Η ομάδα hacking γνωστή ως Blind Eagle, χρησιμοποιεί ένα malware φόρτωσης με την ονομασία Ande Loader για την παράδοση Remote Access Trojans (RATs) όπως τα Remcos RAT και NjRAT.
Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware
Οι επιθέσεις, οι οποίες παίρνουν τη μορφή απάτης μέσω ηλεκτρονικού ταχυδρομείου, εστιάστηκαν σε χρήστες που μιλούν ισπανικά, στη βιομηχανία κατασκευών και έχουν έδρα τη Βόρεια Αμερική, δήλωσε η eSentire.
Η Blind Eagle (επίσης γνωστή ως APT-C-36) είναι ένας απειλητικός παράγοντας με οικονομικά κίνητρα που έχει ιστορία στη διεξαγωγή κυβερνοεπιθέσεων εναντίον οντοτήτων στην Κολομβία και τον Ισημερινό, με σκοπό την αποστολή μιας ποικιλίας RATs, συμπεριλαμβανομένων των AsyncRAT, BitRAT, Lime RAT, NjRAT, Remcos RAT και Quasar RAT.
Τα πιο πρόσφατα ευρήματα σηματοδοτούν μια διεύρυνση του πεδίου επίθεσης του δράστη, χρησιμοποιώντας επίσης την απάτη μέσω αρχείων RAR και BZ2 για την ενεργοποίηση της αλυσίδας μολύνσεων.
Τα αρχεία RAR με κωδικό πρόσβασης, περιέχουν ένα κακόβουλο αρχείο Visual Basic Script (VBScript) που είναι υπεύθυνο για τη δημιουργία επιμονής στον φάκελο εκκίνησης των Windows και για την εκκίνηση του Ande Loader malware, το οποίο αντίστοιχα, φορτώνει το φορτίο του Remcos RAT.
Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware
Άλλες οικογένειες malware
Σε μια εναλλακτική αλυσίδα επίθεσης που παρατηρήθηκε από την καναδική εταιρεία κυβερνοασφάλειας, ένα αρχείο BZ2 που περιέχει ένα άλλο αρχείο VBScript διανέμεται μέσω ενός συνδέσμου παροχής περιεχομένου Discord (CDN). Το Ande Loader malware, σε αυτήν την περίπτωση, αντί να αφήνει το Remcos RAT, αφήνει το NjRAT.
Η SonicWall φώτισε τη λειτουργία μιας άλλης οικογένειας κακόβουλου λογισμικού φόρτωσης που ονομάζεται DBatLoader, αναλύοντας τη χρήση ενός νόμιμου αλλά ευάλωτου προγράμματος οδηγού που σχετίζεται με το λογισμικό RogueKiller AntiMalware (truesight.sys) για τον τερματισμό προγραμμάτων ασφαλείας ως μέρος μίας επίθεσης Bring Your Own Vulnerable Driver (BYOVD) και τελικά για την παράδοση του Remcos RAT.
“Το Ande Loader malware λαμβάνεται μέσα σε ένα αρχείο ως συνημμένο email και μπορεί να μετατρέπεται, περιέχοντας πολλαπλά στρώματα δεδομένων κρυπτογράφησης,” σημείωσε η εταιρεία νωρίτερα αυτό το μήνα.
Δείτε επίσης: Οικογένειες malware προσαρμόζονται στην τεχνική COM Hijacking
Συμβουλές για προστασία από malware
Ένας από τους πιο αποτελεσματικούς τρόπους προστασίας από malware, όπως το Ande Loader, είναι η χρήση ενός αξιόπιστου λογισμικού antivirus. Αυτό το λογισμικό είναι σε θέση να ανιχνεύσει και να απομακρύνει το malware πριν αυτό μπορέσει να προκαλέσει ζημιά στον υπολογιστή σας. Είναι επίσης σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλα τα λογισμικά σας ενημερωμένα. Η προσεκτική χρήση του διαδικτύου είναι άλλη μία κρίσιμη μέθοδος προστασίας. Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία από τις απειλές malware. Οι κακόβουλοι χρήστες συχνά εκμεταλλεύονται τους αδύναμους κωδικούς πρόσβασης για να εισβάλλουν σε συστήματα και να εγκαταστήσουν malware.
Πηγή: thehackernews
