Jakarta, PCplus – BlindEagle telah memperkenalkan sejumlah pembaruan dalam kampanye mata-mata terbaru mereka. Targetnya individu dan organisasi di Kolombia. Demikian bunyi laporan terbaru dari tim Riset dan Analisis Global Kaspersky (GReAT).
Baca Juga: Kaspersky NEXT – Solusi Keamanan Cyber yang Canggih
Pembaruan ini mencakup plugin mata-mata baru dan penggunaan situs hosting file Brasil yang sah selama proses infeksi. Menariknya, kelompok ini semakin sering meninggalkan artefak dalam bahasa Portugis dalam kode berbahaya mereka. Padahal sebelumnya mereka lebih banyak menggunakan bahasa Spanyol. Kaspersky juga mencatat bahwa BlindEagle meluncurkan kampanye terpisah yang menggunakan teknik sideloading DLL. Asal tahu saja, hal ini sangat jarang mereka lakukan.
Mengembangkan mata-mata jarak jauh
Dikenal sejak 2018, BlindEagle baru-baru ini mengembangkan metode mata-matanya. Mereka berganti-ganti antara berbagai trojan akses jarak jauh (RAT) sumber terbuka. Dalam kampanye terbaru pada Mei 2024, mereka memilih njRAT sebagai alat utama. Malware ini memungkinkan pencatatan tombol, akses webcam, pencurian detail mesin, tangkapan layar, pemantauan aplikasi, dan aktivitas mata-mata lainnya.
Sekarang trojan tersebut telah diperbarui dengan kemampuan serangan tambahan. Ia mendukung ekstensi plugin khusus yang memungkinkan eksekusi biner dan file .NET. Plugin ini dapat mencakup eksekusi modul spionase tambahan dan pengumpulan informasi yang lebih sensitif.
“Dampak nyata dari pembaruan ini belum terlihat. Aktor ancaman ini dapat menargetkan berbagai informasi sensitif. Dalam kampanye sebelumnya, mereka telah menggunakan modul untuk memfilter lokasi korban, memperoleh informasi sistem terperinci seperti aplikasi yang diinstal, menonaktifkan perangkat lunak antivirus, dan menyuntikkan muatan berbahaya seperti Meterpreter,” jelas Leandro Cuozzo, Peneliti Keamanan di Kaspersky Global Research and Analysis Team (GReAT).
Proses Infeksi Baru dan Tren Penggunaan Bahasa Portugis
Untuk menyebarkan malware dan plugin baru, penyerang pertama-tama menginfeksi sistem menggunakan spear phishing. Mereka mengirim email yang menyamar sebagai badan pemerintahan, memberi tahu korban tentang denda lalu lintas palsu. Email tersebut menyertakan lampiran yang tampak seperti PDF tetapi sebenarnya adalah Visual Basic Script (VBS) berbahaya. Script ini menyebarkan malware mata-mata ke komputer korban dalam serangkaian tindakan.
Dalam kampanye ini, peneliti Kaspersky mengamati bahwa dropper tersebut semakin banyak berisi artefak dalam bahasa Portugis, terutama dalam variabel, nama fungsi, dan komentar.
“Ada tren yang berkembang bagi BlindEagle untuk menggunakan bahasa Portugis, yang menunjukkan bahwa kelompok tersebut mungkin berkolaborasi dengan pelaku ancaman eksternal. Sebelumnya, bahasa Spanyol mendominasi artefak mereka, tetapi dalam kampanye tahun lalu, mereka mulai menggunakan beberapa fungsi dan nama variabel dalam bahasa Portugis secara bertahap. Dalam kampanye ini, bahasa Portugis digunakan secara signifikan. Selain itu, mereka mulai menggunakan domain Brasil untuk memuat malware multi-tahap, yang mendukung teori bahwa mereka mungkin bekerja dengan seseorang di luar ‘tim’,” jelas Leandro Cuozzo.