El actor de amenazas conocido como \u00c1guila ciega<\/b> se ha vinculado a una nueva campa\u00f1a dirigida a varias industrias clave en Colombia.<\/p>\n
Tambi\u00e9n se dice que la actividad, que fue detectada por el equipo de investigaci\u00f3n e inteligencia de BlackBerry el 20 de febrero de 2023, abarca Ecuador, Chile y Espa\u00f1a, lo que sugiere una lenta expansi\u00f3n de la huella de victimolog\u00eda del grupo de hackers.<\/p>\n
Las entidades objetivo incluyen salud, finanzas, aplicaci\u00f3n de la ley, inmigraci\u00f3n y una agencia a cargo de las negociaciones de paz en Colombia, dijo la compa\u00f1\u00eda canadiense de ciberseguridad.<\/p>\n
\u00c1guila ciega, tambi\u00e9n conocida como APT-C-36<\/a>fue cubierto recientemente por Check Point Research, que detalla el conjunto de herramientas avanzadas del adversario que comprende las cargas \u00fatiles de Meterpreter que se entregan a trav\u00e9s de correos electr\u00f3nicos de phishing.<\/p>\n El \u00faltimo conjunto de ataques involucra al grupo que se hace pasar por la agencia tributaria del gobierno colombiano, la Direcci\u00f3n Nacional de Impuestos y Aduanas (DIAN), para phishing a sus objetivos utilizando se\u00f1uelos que instan a los destinatarios a liquidar “obligaciones pendientes”.<\/p>\n Los mensajes de correo electr\u00f3nico ingeniosamente dise\u00f1ados vienen con un enlace que apunta a un archivo PDF que supuestamente est\u00e1 alojado en el sitio web de DIAN, pero en realidad implementa malware en el sistema objetivo, iniciando efectivamente la cadena de infecci\u00f3n.<\/p>\n \u201cLa p\u00e1gina falsa del sitio web de la DIAN contiene un bot\u00f3n que alienta a la v\u00edctima a descargar un PDF para ver lo que el sitio dice que son facturas de impuestos pendientes\u201d, investigadores de BlackBerry dicho<\/a>.<\/p>\n “Al hacer clic en el bot\u00f3n azul se inicia la descarga de un archivo malicioso de la red de entrega de contenido (CDN) de Discord, que los atacantes est\u00e1n abusando en esta estafa de phishing”.<\/p>\n La carga \u00fatil es un Visual Basic Script ofuscado (VBS), que se ejecuta al abrir el archivo “PDF” y utiliza PowerShell para recuperar un archivo DLL basado en .NET que finalmente carga AsyncRAT en la memoria.<\/p>\n “Un malicioso [remote access trojan] instalado en la m\u00e1quina de una v\u00edctima permite que el actor de amenazas se conecte al punto final infectado en cualquier momento que lo desee y realice las operaciones que desee”, dijeron los investigadores.<\/p>\n![\"\u00c1guila](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEixqlINVTM7Ymi4hSyl-AXwQtfl8FPiUdi_TP8bz5l3ggvJXUBGigGRFAPZHWe4DVlYg4nOn3W38uzW3ZZQJ9w07YyqMfwX89Xs0p3RYUdKcFHdjp8hhZFtElOr_oQU3wK9GwmVDARYXF3Ntnc3AkXpCdjJaAV1hRQQLR4Wza-2__UXJs6rcOeH67Fc\/s728-e3650\/form.png\" "\\"\u00c1guila")
<\/div>\n