BlindEagle vise le secteur des assurances colombien avec BlotchyQuasar

En juin 2024, Zscaler ThreatLabz a détecté de nouvelles activités de BlindEagle, un acteur de menace persistante avancée (APT) ciblant des organisations et des individus dans le secteur gouvernemental et financier en Amérique du Sud, en particulier en Colombie et en Équateur. La méthode principale d'accès aux systèmes ciblés est via des courriels de phishing. Une fois accédé, l'acteur de menace emploie généralement des Trojans d'accès à distance (RAT) .NET de commodité, comme AsyncRAT, RemcosRAT, et d'autres, pour voler des informations d'identification auprès de divers fournisseurs de services bancaires. BlindEagle est également connu pour exploiter des variantes reprises ou personnalisées de RAT de commodité, comme BlotchyQuasar. La chaîne d'attaque commence généralement par un courriel de phishing contenant un fichier PDF en pièce jointe et un lien vers un fichier ZIP. Le fichier ZIP contient un exécutable .NET BlotchyQuasar. La communication C2 pour ce exemple utilisait le port 9057 codé en dur. BlotchyQuasar met en œuvre une multitude de fonctionnalités, y compris la capacité de surveiller les interactions d'une victime avec des services bancaires et de paiement spécifiques. Il cible les applications de navigateur et de client FTP pour des fins de vol d'informations. Le malware accède à Pastebin pour récupérer le domaine C2 actuel. En déchiffrant avec succès ces pastes, nous avons découvert trois autres domaines C2 : equipo.linkpc[.]net, perfect5.publicvm[.]com, et d'autres.