Blind Eagle

Компания

Содержание

СМ. ТАКЖЕ (1)

История

2023: Создание одной из самых сложных цепочек заражения компьютеров в истории

5 января 2023 года эксперты Check Point Research (CPR) рассказали об одной из самых сложных цепочек заражения в истории кибератак, которую группировка Blind Eagle использует для организации нападений на жертв в Южной Америке.

Злоумышленники атакуют испаноязычные цели в Колумбии и Эквадоре. К примеру, пользователю может прийти фишинговое электронное письмо от государственного ведомства Колумбии, в частности, Министерства иностранных дел. В нём получателю угрожают проблемами при выезде из страны, если он не решит «бюрократический вопрос». Письма содержат ссылку и PDF-файл, направляющий жертву по той же ссылке. При попытке перехода анализируется входящий HTTP-запрос: если он исходит из-за пределов Колумбии, сервер обрывает цепочку заражения и перенаправляет пользователя на настоящий сайт миграционного отдела МИД Колумбии. Однако если запрос поступает из Колумбии, атака продолжается.

Группировка Blind Eagle использует модифицированный троян QuasarRAT

Сервер предлагает пользователю скачать некий файл. Это вредоносный исполняемый модуль, размещённый на файловом хостинге MediaFire. Файл сжат с использованием алгоритма LHA и защищён паролем, который содержится как в электронном письме, так и в прикреплённом PDF-документе. При распаковке в систему жертвы проникает модифицированный троян QuasarRAT. Конечная цель киберпреступников заключается в том, чтобы перехватить данные для доступа к банковским счетам жертв и впоследствии похитить их средства.

Похожая атака нацелена на жителей Эквадора: в данном случае злоумышленники действуют от имени налоговой службы этой страны. Список банков и других организаций, на клиентов которых нацелена киберкампания, включает Banco AV Villas, Banco Caja Social, Banco de Bogotá, Banco Popular, Bancoomeva, BBVA Net Cash, Colpatria, Davivienda и TransUnion.[1]

Примечания