Un actor de amenazas motivado financieramente rastreado como \u00c1guila ciega<\/strong> ha resurgido con un conjunto de herramientas refinado y una cadena de infecci\u00f3n elaborada como parte de sus ataques dirigidos a organizaciones en Colombia y Ecuador.<\/p>\n punto de control \u00faltimas investigaciones<\/a> ofrece nuevos conocimientos sobre las t\u00e1cticas y t\u00e9cnicas del grupo de habla hispana, incluido el uso de herramientas sofisticadas y se\u00f1uelos con temas gubernamentales para activar la cadena de muerte.<\/p>\n Tambi\u00e9n rastreado bajo el nombre APT-C-36, Blind Eagle se destaca por su enfoque geogr\u00e1fico estrecho y por lanzar ataques indiscriminados contra naciones sudamericanas desde al menos 2018.<\/p>\n Trend Micro document\u00f3 las operaciones de Blind Eagle en septiembre de 2021 y descubri\u00f3 una campa\u00f1a de phishing dirigido principalmente a entidades colombianas dise\u00f1adas para entregar un malware conocido como BitRAT, con un enfoque menor hacia objetivos en Ecuador, Espa\u00f1a y Panam\u00e1.<\/p>\n Las cadenas de ataques comienzan con correos electr\u00f3nicos de phishing que contienen un enlace con una trampa explosiva que, cuando se hace clic, conduce al despliegue de un troyano de c\u00f3digo abierto llamado Quasar RAT con el objetivo final de obtener acceso a las cuentas bancarias de la v\u00edctima.<\/p>\n Algunos de los bancos objetivo son Banco AV Villas, Banco Caja Social, Banco de Bogot\u00e1, Banco Popular, Bancoomeva, BBVA, Colpatria, Davivienda y TransUnion.<\/p>\n Si el destinatario del correo electr\u00f3nico se encuentra fuera de Colombia, la secuencia de ataque se cancela y la v\u00edctima es redirigida al sitio web oficial de la agencia de control fronterizo de Colombia, Migraci\u00f3n Colombia.<\/p>\n Una campa\u00f1a relacionada que destaca tanto a Colombia como a Ecuador se hace pasar por el Servicio de Impuestos Internos (SRI) de este \u00faltimo y utiliza una tecnolog\u00eda de bloqueo geogr\u00e1fico similar para filtrar las solicitudes que se originan en otros pa\u00edses.<\/p>\n Este ataque, en lugar de lanzar un malware RAT, emplea un proceso de varias etapas m\u00e1s complejo que abusa del leg\u00edtimo mshta.exe binario<\/a> para ejecutar VBScript incrustado dentro de un archivo HTML para finalmente descargar dos scripts de Python.<\/p>\n![\"Hackers](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEh9OWfp-qpw7Lb3NSmaSfoEmNkBQ3ulSPCVj0vq5nB3tpNGe-gY6H8l0ydxYOOGfBnWyfGjVZbbiJdhZyNf8pFmEVNojzng1uprTj904XVF7hoo66vjFXTIAtIvHGFOX9Ww-Ah94gx3OTmHeq2mjKFFYcSgnWNs874V-CzeOigd8L7Hyy4tTo7VhCfM\/s728-rj-e3650\/emails.png\" "\\"Hackers")
<\/div>\n