Los investigadores de ciberseguridad han arrojado luz sobre un actor de amenazas conocido como \u00c1guila ciega<\/strong> que ha atacado persistentemente a entidades e individuos en Colombia, Ecuador, Chile, Panam\u00e1 y otras naciones latinoamericanas.<\/p>\n Los objetivos de estos ataques abarcan varios sectores, incluidas instituciones gubernamentales, empresas financieras y compa\u00f1\u00edas de energ\u00eda y de petr\u00f3leo y gas.<\/p>\n “Blind Eagle ha demostrado adaptabilidad a la hora de definir los objetivos de sus ciberataques y versatilidad para alternar entre ataques con motivaciones puramente financieras y operaciones de espionaje”, afirma Kaspersky dicho<\/a> en un informe del lunes.<\/p>\n Tambi\u00e9n conocido como APT-C-36, se cree que Blind Eagle est\u00e1 activo desde al menos 2018. El presunto grupo hispanohablante es conocido por utilizar se\u00f1uelos de phishing para distribuir varios troyanos de acceso remoto disponibles p\u00fablicamente, como AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT y Remcos RAT.<\/p>\n A principios de marzo, eSentire detall\u00f3 el uso por parte del adversario de un cargador de malware llamado Ande Loader para propagar Remcos RAT y NjRAT.<\/p>\n El punto de partida es un correo electr\u00f3nico de phishing que se hace pasar por instituciones gubernamentales leg\u00edtimas y entidades financieras y bancarias y que advierte enga\u00f1osamente a los destinatarios que tomen medidas urgentes haciendo clic en un enlace que pretende llevarlos al sitio web oficial de la entidad imitada.<\/p>\n Los mensajes de correo electr\u00f3nico tambi\u00e9n incluyen un archivo adjunto en formato PDF o Microsoft Word que contiene la misma URL y, en algunos casos, algunos detalles adicionales dise\u00f1ados para impartir una mayor se\u00f1al de urgencia y darle una apariencia de legitimidad.<\/p>\n El primer conjunto de URL dirige a los usuarios a sitios controlados por el actor que alojan un dropper inicial, pero solo despu\u00e9s de determinar si la v\u00edctima pertenece a un pa\u00eds que se encuentra entre los objetivos del grupo. De lo contrario, se los dirige al sitio de la organizaci\u00f3n que los atacantes est\u00e1n suplantando.<\/p>\n “Esta redirecci\u00f3n geogr\u00e1fica impide que se detecten nuevos sitios maliciosos y frustra la b\u00fasqueda y el an\u00e1lisis de estos ataques”, dijo el proveedor ruso de ciberseguridad.<\/p>\n El dropper inicial viene en forma de un archivo ZIP comprimido, que, a su vez, incorpora un Visual Basic Script (VBS) responsable de recuperar la carga \u00fatil de la siguiente etapa desde un servidor remoto codificado de forma r\u00edgida. Estos servidores pueden ir desde sitios de alojamiento de im\u00e1genes hasta Pastebin y servicios leg\u00edtimos como Discord y GitHub.<\/p>\n El malware de segunda etapa, a menudo ofuscado mediante m\u00e9todos esteganogr\u00e1ficos, es una DLL o un inyector .NET que posteriormente contacta con otro servidor malicioso para recuperar el troyano de la etapa final.<\/p>\n “El grupo a menudo utiliza t\u00e9cnicas de inyecci\u00f3n de procesos para ejecutar la RAT en la memoria de un proceso leg\u00edtimo, evadiendo as\u00ed las defensas basadas en procesos”, dijo Kaspersky.<\/p>\n “La t\u00e9cnica preferida del grupo es proceso de vaciado<\/a>Esta t\u00e9cnica consiste en crear un proceso leg\u00edtimo en un estado suspendido, luego desasignar su memoria, reemplazarlo con una carga maliciosa y finalmente reanudar el proceso para iniciar la ejecuci\u00f3n.<\/p>\n El uso de versiones modificadas de RAT de c\u00f3digo abierto le da a Blind Eagle la flexibilidad de modificar sus campa\u00f1as a voluntad, utiliz\u00e1ndolas para espionaje cibern\u00e9tico o capturando credenciales para servicios financieros colombianos desde el navegador de la v\u00edctima cuando los t\u00edtulos de las ventanas coinciden con una lista predefinida de cadenas en el malware.<\/p>\n Por otra parte, se han observado versiones modificadas de NjRAT equipadas con capacidades de registro de teclas y captura de pantalla para recopilar informaci\u00f3n confidencial. Adem\u00e1s, la versi\u00f3n actualizada permite instalar complementos adicionales enviados desde un servidor para aumentar su funcionalidad.<\/p>\n Los cambios tambi\u00e9n se extienden a las cadenas de ataque. En junio de 2024, AsyncRAT se distribuy\u00f3 a trav\u00e9s de un cargador de malware denominado Hijack Loader, lo que sugiere un alto nivel de adaptabilidad por parte de los actores de amenazas. Tambi\u00e9n sirve para destacar la incorporaci\u00f3n de nuevas t\u00e9cnicas para sostener sus operaciones.<\/p>\n “Aunque las t\u00e9cnicas y procedimientos de BlindEagle puedan parecer simples, su eficacia permite al grupo mantener un alto nivel de actividad”, concluy\u00f3 Kaspersky. “Al ejecutar sistem\u00e1ticamente campa\u00f1as de espionaje cibern\u00e9tico y robo de credenciales financieras, Blind Eagle sigue siendo una amenaza importante en la regi\u00f3n.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-hackers-de-Blind-Eagle-aprovechan-el-spear-phishing-para-implementar.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n