Investigadores de ciberseguridad han descubierto la existencia de un actor amenazante conocido como Blind Eagle que ha estado llevando a cabo ataques persistentes contra entidades e individuos en Colombia, Ecuador, Chile, Panamá y otras naciones latinoamericanas.
Blind Eagle ha impactado a varios sectores, incluyendo instituciones gubernamentales, empresas financieras, energéticas y petroleras.
Según un informe publicado por Kaspersky el lunes, este actor muestra adaptabilidad al ajustar los objetivos de sus ataques y la flexibilidad para cambiar entre ataques financieros y operaciones de espionaje.
Blind Eagle, también conocido como APT-C-36, se estima que está activo desde al menos 2018. Este grupo de habla hispana emplea señuelos de spear-phishing para distribuir varios troyanos de acceso remoto públicamente conocidos como AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT y Remcos RAT.
En marzo, eSentire detalló el uso por parte de Blind Eagle de un cargador de malware llamado Ande Loader para propagar Remcos RAT y NjRAT.
Los ataques comienzan con correos electrónicos de phishing que suplantan a instituciones gubernamentales y entidades financieras, instando a los destinatarios a tomar medidas urgentes al hacer clic en un enlace que supuestamente los llevará al sitio web oficial de la entidad que se está imitando.
Los mensajes de correo electrónico también contienen un archivo PDF o de Microsoft Word que incluye la misma URL, y, en algunos casos, detalles adicionales diseñados para crear una mayor urgencia y legitimidad.
El primer conjunto de URL dirige a los usuarios a sitios controlados por los atacantes que alojan un cargador inicial, pero solo si la víctima se encuentra en un país objetivo del grupo. De lo contrario, son dirigidos al sitio de la organización que se está suplantando.
El cargador inicial es un archivo ZIP que contiene un Script de Visual Basic (VBS) responsable de recuperar la carga útil de un servidor remoto codificado en duro. Estos servidores pueden variar desde sitios de alojamiento de imágenes hasta Pastebin y servicios legítimos como Discord y GitHub.
El siguiente malware, a menudo oculto utilizando métodos esteganográficos, es un inyector DLL o .NET que se comunica con otro servidor malicioso para recuperar el troyano de la etapa final.
El grupo suele usar técnicas de inyección de proceso para ejecutar el troyano en la memoria de un proceso legítimo, evitando las defensas basadas en procesos.
Además, Blind Eagle adapta sus campañas a voluntad, utilizando los RATs para el espionaje cibernético o para capturar credenciales de servicios financieros, entre otros fines.
‘A pesar de lo simples que puedan parecer las técnicas y procedimientos de Blind Eagle, su efectividad permite al grupo mantener un alto nivel de actividad‘, concluyó Kaspersky. ‘Al ejecutar de manera constante campañas de espionaje cibernético y robo de credenciales financieras, Blind Eagle sigue siendo una amenaza significativa en la región.
Vía The Hacker News
