Image contenant un code obfusqué téléchargé sur les machines des victimes
Le groupe de cybercriminels BlindEagle a intégré à sa stratégie d’attaque de nouvelles capacités d’espionnage, selon une étude de l’équipe de recherche de Kaspersky.
L’aigle aveugle veut frapper juste. D’après des recherches de l’équipe Global Research and Analysis Team (GReAT) de Kaspersky, le groupe APT (menace persistante avancée) BlindEagle, particulièrement actif en Amérique du Sud, a intégré des mises à jour et un nouveau plugin d’espionnage lors de campagnes récentes menées contre des organisations colombiennes.
Connu pour utiliser des trojans open-source d’accès à distance (RAT), le groupe a intégré l’outil njRAT pour l’une de ses campagnes, menée en mai 2024. Véritable couteau suisse du cybercriminel, ce malware est capable de réaliser une multitude d’actions telles que l’enregistrement des frappes, l’accès à la webcam, le vol des informations contenues sur les appareils, la réalisation de captures d’écran et la surveillance des applications, entre autres.
Un large éventail de données sensibles visées
Comme si cela ne suffisait pas, njRAT a été mis à jour pour prendre en charge une extension de plugin permettant l’exécution de fichiers binaires et .NET, ce qui pourrait permettre l’exécution d’autres modules d’espionnage pour collecter encore plus de données.
Pour l’heure, Leandro Cuozzo, chercheur en sécurité du GReAT de Kaspersky, explique que les conséquences de cette mise à jour « restent à évaluer ». Cependant, l’expert suppose que les pirates pourraient viser un éventail plus large de données sensibles.
Pour déployer leur nouveau jouet, les cybercriminels recourent d’abord à des techniques de spear phishing (hameçonnage ciblé) en envoyant de faux emails d’une entité gouvernementale informant d’une amende à payer. En pièce jointe, un PDF qui, une fois ouvert, exécute un script Visual Basic (VBS) téléchargeant le malware.