El actor de amenazas conocido como Águila ciega se ha vinculado a una nueva campaña dirigida a varias industrias clave en Colombia.
También se dice que la actividad, que fue detectada por el equipo de investigación e inteligencia de BlackBerry el 20 de febrero de 2023, abarca Ecuador, Chile y España, lo que sugiere una lenta expansión de la huella de victimología del grupo de hackers.
Las entidades objetivo incluyen salud, finanzas, aplicación de la ley, inmigración y una agencia a cargo de las negociaciones de paz en Colombia, dijo la compañía canadiense de ciberseguridad.
Águila ciega, también conocida como APT-C-36fue cubierto recientemente por Check Point Research, que detalla el conjunto de herramientas avanzadas del adversario que comprende las cargas útiles de Meterpreter que se entregan a través de correos electrónicos de phishing.
El último conjunto de ataques involucra al grupo que se hace pasar por la agencia tributaria del gobierno colombiano, la Dirección Nacional de Impuestos y Aduanas (DIAN), para phishing a sus objetivos utilizando señuelos que instan a los destinatarios a liquidar “obligaciones pendientes”.
Los mensajes de correo electrónico ingeniosamente diseñados vienen con un enlace que apunta a un archivo PDF que supuestamente está alojado en el sitio web de DIAN, pero en realidad implementa malware en el sistema objetivo, iniciando efectivamente la cadena de infección.
“La página falsa del sitio web de la DIAN contiene un botón que alienta a la víctima a descargar un PDF para ver lo que el sitio dice que son facturas de impuestos pendientes”, investigadores de BlackBerry dicho.
“Al hacer clic en el botón azul se inicia la descarga de un archivo malicioso de la red de entrega de contenido (CDN) de Discord, que los atacantes están abusando en esta estafa de phishing”.
La carga útil es un Visual Basic Script ofuscado (VBS), que se ejecuta al abrir el archivo “PDF” y utiliza PowerShell para recuperar un archivo DLL basado en .NET que finalmente carga AsyncRAT en la memoria.
“Un malicioso [remote access trojan] instalado en la máquina de una víctima permite que el actor de amenazas se conecte al punto final infectado en cualquier momento que lo desee y realice las operaciones que desee”, dijeron los investigadores.
También cabe destacar el uso que hace el actor de la amenaza de DNS Dinámico servicios como DuckDNS para controlar de forma remota los hosts comprometidos.
Se sospecha que Blind Eagle es un grupo de habla hispana debido al uso del idioma en sus correos electrónicos de spear-phishing. Sin embargo, actualmente no está claro dónde se encuentra el actor de la amenaza y si sus ataques están motivados por espionaje o por ganancias financieras.
“El modus operandi utilizado en su mayoría se ha mantenido igual que los esfuerzos anteriores del grupo: es muy simple, lo que puede significar que este grupo se siente cómodo con su forma de lanzar campañas a través de correos electrónicos de phishing y confía en usarlos porque continúan trabajando , dijo Blackberry.