A Check Point Research (CPR), equipe de Inteligência de Ameaças da Check Point Software, emitiu um alerta sobre a intensificação dos ataques cibernéticos do grupo Blind Eagle (APT-C-36), um dos mais ativos e perigosos da América Latina. As vítimas dessa nova campanha incluem instituições governamentais, empresas privadas e o sistema judiciário, com maior concentração de ataques na Colômbia.
O uso de técnicas avançadas de exploração
Após a Microsoft lançar uma atualização de segurança para a vulnerabilidade CVE-2024-43451, o Blind Eagle passou a explorar uma técnica similar para distribuir arquivos maliciosos. Em vez de explorar diretamente a vulnerabilidade, o grupo utiliza arquivos [.]url para rastrear vítimas e instalar malwares, sem necessidade de abrir anexos suspeitos ou ativar macros.
De acordo com os especialistas da CPR, mais de 9.000 infecções foram registradas em apenas uma semana. Além disso, os cibercriminosos estão utilizando serviços de armazenamento em nuvem, como Google Drive, Dropbox, GitHub e Bitbucket, para espalhar suas ameaças, dificultando a detecção pelas ferramentas tradicionais de segurança.
Como o Blind Eagle engana suas vítimas
O grupo Blind Eagle tem aprimorado suas técnicas de engano para evitar a detecção. Ao explorar a vulnerabilidade corrigida pela Microsoft, a intenção não é atacar diretamente, mas monitorar potenciais alvos. Quando a vítima interage com um arquivo [.]url, como ao clicar, mover ou excluir, os criminosos recebem um alerta informando que o dispositivo está vulnerável. Se o arquivo for aberto, o malware é automaticamente baixado e instalado, permitindo o controle remoto do sistema.
O malware utilizado, conhecido como Remcos RAT, é um trojan de acesso remoto que permite aos atacantes:
- Roubar senhas e capturar tudo o que o usuário digita no teclado;
- Modificar e excluir arquivos;
- Criar mecanismos para permanecer no sistema mesmo após reinicializações;
- Enviar informações sigilosas para servidores controlados pelos cibercriminosos.
Medidas de proteção recomendadas
Para evitar serem vítimas dessa ameaça, a Check Point Research recomenda que empresas e usuários adotem uma série de medidas preventivas:
- Fortalecer a segurança de e-mails: Utilizar soluções que detectem e bloqueiem anexos suspeitos antes de chegarem aos destinatários.
- Proteger dispositivos em tempo real: Ferramentas como o Check Point Harmony Endpoint ajudam a identificar e bloquear ameaças antes que causem danos.
- Monitorar tráfego e conexões na web: Analisar acessos inesperados a serviços de armazenamento em nuvem pode ajudar a identificar atividades maliciosas.
- Promover o treinamento em segurança: Educar colaboradores sobre como identificar golpes de phishing e lidar com arquivos suspeitos é essencial.
- Utilizar soluções avançadas de prevenção de ameaças: Ferramentas como Check Point Threat Emulation fornecem proteção contra os ataques mais recentes.
A Check Point Research continua a monitorar a atividade do Blind Eagle e reforça a importância de uma postura de segurança proativa para mitigar os riscos e prevenir novos ataques.
