Los investigadores de ciberseguridad han arrojado luz sobre un actor de amenazas conocido como Águila ciega que se ha dirigido consistentemente a entidades e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.
Los objetivos de estos ataques abarcan múltiples industrias, incluidas instituciones gubernamentales, empresas financieras, empresas de energía y empresas de petróleo y gas.
“Blind Eagle ha demostrado adaptabilidad a la hora de definir los objetivos de sus ciberataques y versatilidad a la hora de pasar de ataques puramente motivados financieramente a operaciones de espionaje”, afirma Kaspersky. dicho en un informe del lunes.
También conocido como APT-C-36, se cree que Blind Eagle ha estado activo desde al menos 2018. El presunto grupo de habla hispana es conocido por utilizar señuelos de phishing para distribuir varios troyanos de acceso remoto disponibles públicamente, como AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT y Remcos RAT.
A principios de marzo, eSentire detalló el uso por parte del adversario de un cargador de malware llamado Ande Loader para propagar Remcos RAT y NjRAT.
El punto de partida es un correo electrónico de phishing que se hace pasar por instituciones gubernamentales legítimas y entidades financieras y bancarias y que advierte engañosamente a los destinatarios que tomen medidas urgentes haciendo clic en un enlace que pretende llevarlos al sitio web oficial de la entidad imitada.
Los mensajes de correo electrónico también incluyen un archivo adjunto en PDF o Microsoft Word que contiene la misma URL y, en algunos casos, algunos detalles adicionales destinados a transmitir una mayor sensación de urgencia y darle una apariencia de legitimidad.
El primer conjunto de URL dirige a los usuarios a sitios controlados por el actor que alberga un cuentagotas inicial, pero sólo después de determinar si la víctima es de un país que se encuentra entre los objetivos del grupo. De lo contrario, se les dirige al sitio de la organización que los atacantes se hacen pasar.
“Esta redirección geográfica impide la notificación de nuevos sitios maliciosos y frustra el seguimiento y análisis de estos ataques”, dijo el proveedor ruso de ciberseguridad.
El dropper inicial viene en forma de un archivo ZIP comprimido, que, a su vez, incorpora un script de Visual Basic (VBS) responsable de recuperar la carga útil del siguiente paso desde un servidor remoto codificado. Estos servidores pueden variar desde sitios de alojamiento de imágenes hasta Pastebin y servicios legítimos como Discord y GitHub.
El malware de segunda etapa, a menudo oculto mediante métodos esteganográficos, es un inyector DLL o .NET que luego contacta con otro servidor malicioso para recuperar el troyano de última etapa.
“El grupo a menudo utiliza técnicas de inyección de procesos para ejecutar el RAT en la memoria de un proceso legítimo, evadiendo así las defensas basadas en procesos”, dijo Kaspersky.
“La técnica favorita del grupo es proceso de excavación. Esta técnica implica crear un proceso legítimo en un estado suspendido, luego desasignar su memoria, reemplazarla con una carga útil maliciosa y, finalmente, reanudar el proceso para iniciar la ejecución.
El uso de versiones modificadas de RAT de código abierto le da a Blind Eagle la flexibilidad de modificar sus campañas a voluntad, usándolas para ciberespionaje o para capturar credenciales de servicios financieros colombianos del navegador de la víctima cuando los títulos de Windows se comparan con una lista predefinida de cadenas en el malware. .
Por otro lado, se han observado versiones modificadas de NjRAT, equipadas con funciones de registro de teclas y captura de pantalla para recopilar información sensible. Además, la versión actualizada admite la instalación de complementos adicionales enviados desde un servidor para aumentar su funcionalidad.
Los cambios también se extienden a las cadenas de ataque. En junio de 2024, AsyncRAT se distribuyó a través de un cargador de malware denominado Hijack Loader, lo que sugiere un alto nivel de adaptabilidad por parte de los actores de amenazas. Esto también sirve para resaltar la incorporación de nuevas técnicas para respaldar sus operaciones.
“Las técnicas y procedimientos de BlindEagle son sencillos a primera vista, pero su eficacia permite al grupo mantener un alto nivel de actividad”, concluye Kaspersky. “Al realizar periódicamente campañas de ciberespionaje y robo de información financiera, Blind Eagle sigue siendo una amenaza importante en la región.