El sector asegurador colombiano ha sido atacado por un actor de amenazas conocido como Blind Eagle desde junio de 2024, con el propósito de distribuir una variante personalizada del troyano de acceso remoto (RAT) Quasar RAT.
El investigador de Zscaler ThreatLabz, Gaetano Pellegrino, mencionó en un análisis reciente publicado la semana pasada que los ataques han involucrado correos electrónicos de phishing que suplantan a la autoridad tributaria colombiana.
Esta amenaza persistente avanzada (APT), también llamada AguilaCiega, APT-C-36 y APT-Q-98, tiene historial de enfocarse en organizaciones e individuos en América del Sur, especialmente en los sectores gubernamentales y financieros de Colombia y Ecuador.
Los ataques, como reveló Kaspersky, comienzan con correos electrónicos de phishing que alientan a los destinatarios a hacer clic en enlaces maliciosos. Estos enlaces dirigen a archivos ZIP alojados en una carpeta de Google Drive asociada a una cuenta comprometida de una organización gubernamental regional en Colombia.
Blind Eagle utilizó el señuelo de enviar una notificación a la víctima, afirmado ser una orden de embargo debido a pagos de impuestos pendientes, para crear urgencia y presionar a la víctima a tomar medidas inmediatas.
El archivo contiene una variante del Quasar RAT llamada BlotchyQuasar, que tiene capas adicionales de ofuscación para dificultar los esfuerzos de análisis e ingeniería inversa. Este malware ha sido previamente documentado por IBM X-Force en julio de 2023.
El Quasar RAT BlotchyQuasar tiene capacidades para registrar pulsaciones de teclas, ejecutar comandos de shell, robar datos de navegadores web y clientes FTP, y monitorear las acciones de una víctima en servicios bancarios y de pago específicos en Colombia y Ecuador. Además, utiliza Pastebin como resolutor de dead drop para buscar el dominio de control y comando (C2), utilizando servicios de DNS dinámico (DDNS) para alojar el dominio C2.
Según Pellegrino, Blind Eagle tiende a proteger su infraestructura detrás de una combinación de nodos de VPN y enrutadores comprometidos, principalmente ubicados en Colombia. Este ataque subraya la continuidad en el uso de esta estrategia.
Vía The Hacker News
