São Paulo — InkDesign News — A Trustwave SpiderLabs estabeleceu uma conexão entre o grupo de ameaças cibernéticas Blind Eagle e a empresa russa Proton66, especializada em serviços de hospedagem à prova de balas, após meses de monitoramento de sua infraestrutura.
Incidente e vulnerabilidade
Blind Eagle, conhecido por atacar instituições financeiras na América Latina, especialmente na Colômbia, utilizou a infraestrutura da Proton66 para executar suas operações. Investigadores da SpiderLabs identificaram que os ataques foram facilitados por um conjunto interconectado de domínios e endereços IP que se tornaram ativos a partir do verão de 2024, com registros de domínio iniciando em 12 de agosto de 2024. O método de ataque inicial emprega arquivos de Visual Basic Script (VBS) como juízes de carga para Trojans de Acesso Remoto (RATs), que permitem o controle remoto de sistemas comprometidos. Programas como Vbs-Crypter, que oculta e empacota cargas maliciosas, foram utilizados no processo. Segundo o relatório, “o código VBS em uso sobrepõe-se a amostras previamente identificadas” (
“the VBS code in use overlaps with previously identified samples”
(“o código VBS em uso sobrepõe-se a amostras previamente identificadas”)— Trustwave SpiderLabs
).
Impacto e resposta
A análise revelou que o Blind Eagle não ocultou eficazmente sua infraestrutura, levando a descobertas de diretórios abertos contendo arquivos maliciosos e páginas de phishing projetadas para imitar bancos colombianos como Bancolombia e Davivienda. A falta de medidas de segurança resultou na coleta de dados sensíveis através dessas páginas falsas, enquanto os RATs conectavam-se a servidores de comando e controle (C2), permitindo que os invasores gerenciassem máquinas comprometidas e extraíssem informações. Destaque-se que um painel de gerenciamento de botnet foi observado com uma interface em português, sugerindo uma gerência centralizada em máquinas infeccionadas, predominantemente na Argentina.
Mitigações recomendadas
Em resposta à situação, a Trustwave recomenda que as organizações na América Latina, especialmente no setor financeiro, adotem medidas rigorosas de proteção, incluindo o fortalecimento dos sistemas de filtragem de e-mails e a capacitação de funcionários para reconhecer tentativas de phishing. “É crucial que as empresas reforcem suas defesas contra essas ameaças emergentes” (
“It’s crucial for companies to bolster their defenses against these emerging threats”
(“É crucial que as empresas reforcem suas defesas contra essas ameaças emergentes”)— Trustwave SpiderLabs
). Além disso, a monitorização proativa de indicadores de comprometimento e infraestrutura específica da região é fundamental para mitigar futuros ataques.
Os riscos residuais permanecem elevados, já que a infraestrutura da Proton66 continua sendo explorada para atividades maliciosas, exigindo um acompanhamento contínuo das ameaças para uma resposta eficaz.
Fonte: Hack Read – Segurança Cibernética
