Ande Loader Malware

Se ha observado que el actor de amenazas cibernéticas identificado como Blind Eagle emplea un cargador de malware llamado Ande Loader para distribuir troyanos de acceso remoto (RAT), como Remcos RAT y NJ RAT . Estos ataques, ejecutados a través de correos electrónicos de phishing, estaban dirigidos específicamente a personas de habla hispana del sector manufacturero ubicado en América del Norte.

Blind Eagle, también conocido como APT-C-36, es un actor de amenazas impulsado financieramente con un historial de realizar ataques cibernéticos contra organizaciones en Colombia y Ecuador. Su modus operandi implica implementar varias RAT, incluidas AsyncRAT , BitRAT , Lime RAT , NjRAT , Remcos RAT y Quasar RAT .

El malware Ande Loader se transmite a través de varias cadenas de infección

La expansión del alcance del actor de amenazas es evidente en la operación de ataque Ande Loader, que emplea archivos RAR y BZ2 cargados de phishing para iniciar el proceso de infección.

Los archivos RAR, protegidos con contraseñas, contienen un archivo malicioso de Visual Basic Script (VBScript) responsable de establecer la persistencia en la carpeta de inicio de Windows. Este archivo también desencadena la ejecución de Ande Loader, que posteriormente carga la carga útil Remcos RAT.

En un escenario de ataque alternativo observado por investigadores de ciberseguridad, un archivo BZ2 que contiene un archivo VBScript se difunde a través de un enlace de la red de entrega de contenido (CDN) de Discord. En este caso, el malware Ande Loader elimina NjRAT en lugar de Remcos RAT.

El actor de amenazas Blind Eagle ha estado utilizando criptas diseñadas por Roda y Pjoao1578. En particular, uno de los criptadores de Roda cuenta con un servidor codificado que aloja tanto los componentes del inyector del criptador como el malware adicional utilizado en la campaña Blind Eagle.

Las infecciones por ratas pueden tener consecuencias devastadoras

Los RAT son programas de software amenazantes diseñados para proporcionar acceso y control no autorizados sobre la computadora o red de una víctima. Estas infecciones pueden tener consecuencias devastadoras para las víctimas por varias razones:

• Acceso no autorizado : las RAT otorgan a los atacantes control remoto sobre los sistemas infectados, permitiéndoles ejecutar comandos, acceder a archivos, ver la pantalla e incluso controlar periféricos como cámaras y micrófonos. Este nivel de acceso puede comprometer información confidencial, incluidos datos personales, registros financieros, propiedad intelectual y credenciales.

• Robo de datos y espionaje : con acceso al sistema de la víctima, los atacantes pueden recopilar datos valiosos como planes comerciales, algoritmos propietarios, bases de datos de clientes o información personal. Estos datos recopilados pueden explotarse para obtener ganancias financieras, espionaje industrial o robo de identidad.

• Manipulación del sistema : las RAT permiten a los atacantes manipular el sistema de la víctima de varias maneras, incluida la instalación de malware adicional, la modificación o eliminación de archivos, la alteración de las configuraciones del sistema o la interrupción de servicios críticos. Estas manipulaciones pueden provocar inestabilidad del sistema, corrupción de datos o pérdida de funcionalidad.

• Vigilancia y monitoreo : las RAT a menudo incluyen funciones para vigilancia y monitoreo encubiertos, lo que permite a los atacantes escuchar conversaciones, capturar pulsaciones de teclas, registrar la actividad de la pantalla o acceder a transmisiones de cámaras web. Esta invasión de la privacidad puede tener importantes impactos psicológicos en las víctimas y puede ser particularmente devastadora en casos de comunicaciones personales o sensibles.

• Propagación y compromiso de la red : las infecciones RAT pueden servir como puntos de entrada para una mayor infiltración en la red y propagación de malware dentro de la infraestructura de una organización. Los atacantes pueden utilizar los sistemas comprometidos como puntos de apoyo para pivotar hacia segmentos de red más seguros, escalar privilegios y lanzar ataques adicionales, lo que podría causar daños e interrupciones generalizados.

• Pérdidas financieras y consecuencias legales : las víctimas de infecciones RAT pueden sufrir pérdidas financieras debido al robo, la extorsión o el fraude perpetrados por los atacantes. Además, las organizaciones pueden incurrir en costos significativos relacionados con la respuesta a incidentes, remediación, honorarios legales, multas regulatorias y daños a la reputación y la confianza del cliente.

En general, las infecciones por RAT representan una grave amenaza para personas, empresas e instituciones, con consecuencias potenciales que van desde pérdidas financieras y daños a la reputación hasta responsabilidades legales y riesgos para la seguridad nacional. Subraya la importancia de medidas sólidas de ciberseguridad, incluidas actualizaciones periódicas de software, monitoreo de redes, educación de los usuarios y el despliegue de tecnologías avanzadas de detección y mitigación de amenazas.