Resumo
Pesquisadores relataram uma nova operação do grupo BlindEagle direcionada a instituições do governo colombiano, com uma cadeia de ataque que abusa da confiança interna para contornar controles de e‑mail e executar payloads em memória.
Descoberta e alvo
De acordo com a matéria que documentou a campanha, a atividade mirou uma agência vinculada ao Ministério de Comércio, Indústria e Turismo da Colômbia. O ator explorou uma conta de e‑mail interna comprometida para enviar mensagens que pareciam originar‑se de fontes legítimas dentro da organização.
Vetor e técnica de bypass
O relatório descreve que, ao utilizar uma conta interna comprometida, os e‑mails maliciosos passaram por verificações SPF, DKIM e DMARC sem disparar alertas, pois aparentavam ser comunicações internas. As mensagens foram formatadas para simular comunicações do judiciário e mencionavam um processo trabalhista inventado, induzindo urgência para que os destinatários baixassem um anexo SVG.
Vetor de entrega e cadeia de infecção
Ao interagir com o anexo SVG, a vítima era redirecionada a um portal falso que imitava um site governamental. Esse portal entregava automaticamente um arquivo JavaScript malicioso que iniciava uma sequência de execução em memória (fileless), dificultando a detecção por soluções antivírus tradicionais.
Mecanismo técnico detalhado
Os analistas apontaram que a cadeia é multi‑estágio e emprega obfuscação e uso de serviços legítimos para ocultar atividades. Fragmentos iniciais de JavaScript deobfuscavam payloads subsequentes por meio de um algoritmo que reconstrói código a partir de arrays de inteiros. Posteriormente, a execução acionava um comando PowerShell via Windows Management Instrumentation.
Esse PowerShell recuperava uma imagem PNG hospedada no Internet Archive contendo um payload oculto. O downloader identificado como Caminho (variant de origem lusófona, segundo evidência nos nomes internos) era responsável por buscar o artefato final — um arquivo de texto hospedado em um CDN do Discord (AGT27.txt) — e decodificá‑lo apenas em memória.
O estágio final da operação, conforme o relatório, injeta o RAT denominado DCRAT em um processo MSBuild.exe oco, concedendo ao atacante capacidades de keylogging, exfiltração e controle remoto, enquanto a presença maliciosa fica camuflada dentro de um processo Windows confiável.
Evidências e limites
A investigação citada relaciona a cadeia a serviços e artefatos específicos (Internet Archive, CDN do Discord, nomenclatura interna do downloader) e refere explicitamente análises da equipe da Zscaler. A matéria não fornece números de vítimas ou extensão geográfica além do alvo governamental mencionado.
Implicações para defesa
- Contas internas comprometidas representam risco elevado: o caso ilustra como uma conta legítima pode ser usada para contornar controles de autenticação e filtros de e‑mail.
- Anexos SVG e recursos web aparentemente benignos podem hospedar vetores de entrega — equipes de defesa devem tratar formatos vetoriais e imagens com cautela quando vinculados a comunicações inesperadas.
- Execução em memória e uso de processos confiáveis (process hollowing) complicam detecção baseada em assinatura; estratégias de monitoramento comportamental e proteção de endpoint são indicadas.
Referência
Fonte: Cyber Security News, citando análise da Zscaler — "BlindEagle Hackers Attacking Organization to Abuse Trust and Bypass Email Security Controls".