O grupo de ciberespionagem BlindEagle (também conhecido como APT-C-36) intensificou suas operações com o uso de um novo plugin espião, explorando sites brasileiros legítimos para disseminar arquivos maliciosos na Colômbia. A descoberta foi realizada pelo time de Pesquisa e Análise Global da Kaspersky (GReAT), que também observou um aumento no uso do português nos códigos maliciosos do grupo, idioma até então predominado pelo espanhol.
Desde 2018, o BlindEagle tem sido ativo principalmente na Colômbia e recentemente adaptou suas táticas, utilizando sites brasileiros para hospedar conteúdo malicioso, substituindo serviços mais comuns como Discord e Google Drive. “A crescente presença do português sugere que o BlindEagle pode estar colaborando com outros agentes maliciosos”, afirma Leandro Cuozzo, analista de segurança do time GReAT na América Latina.
Novas ferramentas e métodos de infecção
Em uma campanha de maio de 2024, o grupo adotou o trojan njRAT, que permite registrar teclas, acessar webcams, roubar dados, capturar telas e monitorar aplicativos, além de suportar módulos de espionagem adicionais. A distribuição desse malware ocorre por phishing direcionado, onde as vítimas recebem e-mails falsos em nome do governo sobre supostas multas de trânsito. O anexo, disfarçado de PDF, é um script que baixa o malware espião.
Outra campanha identificada em junho trouxe a técnica de DLL sideloading, uma tática que explora bibliotecas DLL do Windows para execução de código malicioso. E-mails com links para arquivos ZIP contendo executáveis maliciosos foram enviados para vítimas sob o pretexto de ações judiciais.
“A evolução contínua das táticas maliciosas exige uma abordagem proativa de cibersegurança, incluindo inteligência robusta e tecnologias de detecção avançadas”, comenta Cuozzo.
Recomendações de segurança da Kaspersky
- Cuidado com e-mails suspeitos: Órgãos governamentais geralmente não enviam notificações legais por e-mail. Verifique a autenticidade do remetente.
- Verifique mensagens de empresas: Atenção a erros de português ou formatação em mensagens de bancos, lojas online e outras empresas.
- Use uma solução de segurança confiável: Mantenha sua solução de segurança sempre atualizada para bloquear ameaças automaticamente.
