Un actor de amenazas motivado financieramente rastreado como Águila ciega ha resurgido con un conjunto de herramientas refinado y una cadena de infección elaborada como parte de sus ataques dirigidos a organizaciones en Colombia y Ecuador.
punto de control últimas investigaciones ofrece nuevos conocimientos sobre las tácticas y técnicas del grupo de habla hispana, incluido el uso de herramientas sofisticadas y señuelos con temas gubernamentales para activar la cadena de muerte.
También rastreado bajo el nombre APT-C-36, Blind Eagle se destaca por su enfoque geográfico estrecho y por lanzar ataques indiscriminados contra naciones sudamericanas desde al menos 2018.
Trend Micro documentó las operaciones de Blind Eagle en septiembre de 2021 y descubrió una campaña de phishing dirigido principalmente a entidades colombianas diseñadas para entregar un malware conocido como BitRAT, con un enfoque menor hacia objetivos en Ecuador, España y Panamá.
Las cadenas de ataques comienzan con correos electrónicos de phishing que contienen un enlace con una trampa explosiva que, cuando se hace clic, conduce al despliegue de un troyano de código abierto llamado Quasar RAT con el objetivo final de obtener acceso a las cuentas bancarias de la víctima.
Algunos de los bancos objetivo son Banco AV Villas, Banco Caja Social, Banco de Bogotá, Banco Popular, Bancoomeva, BBVA, Colpatria, Davivienda y TransUnion.
Si el destinatario del correo electrónico se encuentra fuera de Colombia, la secuencia de ataque se cancela y la víctima es redirigida al sitio web oficial de la agencia de control fronterizo de Colombia, Migración Colombia.
Una campaña relacionada que destaca tanto a Colombia como a Ecuador se hace pasar por el Servicio de Impuestos Internos (SRI) de este último y utiliza una tecnología de bloqueo geográfico similar para filtrar las solicitudes que se originan en otros países.
Este ataque, en lugar de lanzar un malware RAT, emplea un proceso de varias etapas más complejo que abusa del legítimo mshta.exe binario para ejecutar VBScript incrustado dentro de un archivo HTML para finalmente descargar dos scripts de Python.
El primero de los dos, ByAV2.py, es un cargador en memoria diseñado para ejecutar un Carga útil de Meterpreter en formato DLL. mp.py también es un artefacto de Meterpreter, solo que está programado en Python, lo que indica que el actor de amenazas podría estar usando uno de ellos como un método redundante para retener el acceso de puerta trasera al host.
“Blind Eagle es un pájaro extraño entre los grupos APT”, concluyeron los investigadores. “A juzgar por su conjunto de herramientas y operaciones habituales, claramente está más interesado en el delito cibernético y las ganancias monetarias que en el espionaje”.
El desarrollo se produce días después de que Qualys revelara que un adversario desconocido está aprovechando la información personal robada de un banco cooperativo colombiano para crear correos electrónicos de phishing que resultan en el despliegue de BitRAT.
About the Author
