Los piratas informáticos Blind Eagle regresan

Un actor de amenazas con motivación financiera rastreado como Blind Eagle ha resurgido con un conjunto de herramientas refinado y una cadena de infección elaborada como parte de sus ataques dirigidos a organizaciones en Colombia y Ecuador.

La última investigación de Check Point ofrece nuevos conocimientos sobre las tácticas y técnicas del grupo de habla hispana, incluido el uso de herramientas sofisticadas y señuelos con temas gubernamentales para activar la cadena de muerte.

También rastreado bajo el nombre APT-C-36, Blind Eagle se destaca por su enfoque geográfico estrecho y por lanzar ataques indiscriminados contra naciones sudamericanas desde al menos 2018.

Las operaciones de Blind Eagle fueron documentadas por Trend Micro en septiembre de 2021, cuando describió una campaña de phishing dirigido principalmente a entidades colombianas que está diseñada para entregar un malware conocido como BitRAT , con un enfoque menor hacia objetivos en Ecuador, España y Panamá.

Las cadenas de ataque comienzan con correos electrónicos de phishing que contienen un enlace con una trampa explosiva que, cuando se hace clic, conduce al despliegue de un troyano de código abierto llamado Quasar RAT con el objetivo final de obtener acceso a las cuentas bancarias de la víctima.

Algunos de los bancos objetivo son Banco AV Villas, Banco Caja Social, Banco de Bogotá, Banco Popular, Bancoomeva, BBVA, Colpatria, Davivienda y TransUnion.


Si el destinatario del correo electrónico se encuentra fuera de Colombia, la secuencia de ataque se cancela y la víctima es redirigida al sitio web oficial de la agencia de control fronterizo de Colombia, Migración Colombia.

Una campaña relacionada que destaca tanto a Colombia como a Ecuador se hace pasar por el Servicio de Impuestos Internos (SRI) de este último y utiliza una tecnología de bloqueo geográfico similar para filtrar las solicitudes que se originan en otros países.

Este ataque, en lugar de lanzar un malware RAT, emplea un proceso de múltiples etapas más complejo que abusa del binario legítimo mshta.exe para ejecutar VBScript incrustado dentro de un archivo HTML para finalmente descargar dos scripts de Python.

El primero de los dos, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, es un cargador en memoria diseñado para ejecutar una carga útil de Meterpreter en formato DLL. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta también es un artefacto de Meterpreter, solo que está programado en Python, lo que indica que el actor de amenazas podría estar usando uno de ellos como un método redundante para retener el acceso de puerta trasera al host.

"Blind Eagle es un pájaro extraño entre los grupos APT", concluyeron los investigadores. "A juzgar por su conjunto de herramientas y operaciones habituales, claramente está más interesado en el delito cibernético y las ganancias monetarias que en el espionaje".

El desarrollo se produce días después de que Qualys revelara que un adversario desconocido está aprovechando la información personal robada de un banco cooperativo colombiano para crear correos electrónicos de phishing que resultan en el despliegue de BitRAT.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta