20 de agosto de 2024Ravie LakshmananMalware / Ciberespionaje Los investigadores de ciberseguridad han arrojado luz sobre un actor de amenazas conocido como Blind Eagle que ha atacado de forma persistente a entidades e individuos en Colombia, Ecuador, Chile, Panamá y otras naciones latinoamericanas. Los objetivos de estos ataques abarcan varios sectores, incluidas instituciones gubernamentales, empresas financieras, empresas de energía y petróleo y gas. «Blind Eagle ha demostrado adaptabilidad a la hora de dar forma a los objetivos de sus ciberataques y la versatilidad para cambiar entre ataques con motivaciones puramente financieras y operaciones de espionaje», dijo Kaspersky en un informe del lunes. También conocido como APT-C-36, se cree que Blind Eagle está activo desde al menos 2018. El presunto grupo hispanohablante es conocido por utilizar señuelos de phishing para distribuir varios troyanos de acceso remoto disponibles públicamente, como AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT y Remcos RAT. A principios de marzo, eSentire detalló el uso que hace el adversario de un cargador de malware llamado Ande Loader para propagar Remcos RAT y NjRAT. El punto de partida es un correo electrónico de phishing que se hace pasar por instituciones gubernamentales legítimas y entidades financieras y bancarias que advierte engañosamente a los destinatarios que tomen medidas urgentes haciendo clic en un enlace que pretende llevarlos al sitio web oficial de la entidad que se está imitando. Los mensajes de correo electrónico también incluyen un archivo adjunto en formato PDF o Microsoft Word que contiene la misma URL y, en algunos casos, algunos detalles adicionales diseñados para impartir una señal de urgencia y darle un barniz de legitimidad. El primer conjunto de URL dirige a los usuarios a sitios controlados por el actor que alojan un dropper inicial, pero solo después de determinar si la víctima pertenece a un país que se encuentra entre los objetivos del grupo. De lo contrario, se los lleva al sitio de la organización a la que se hacen pasar los atacantes. «Esta redirección geográfica evita que se marquen nuevos sitios maliciosos y frustra la búsqueda y el análisis de estos ataques», dijo el proveedor de ciberseguridad ruso. El dropper inicial viene en forma de un archivo ZIP comprimido, que, a su vez, incorpora un Visual Basic Script (VBS) responsable de recuperar la carga útil de la siguiente etapa desde un servidor remoto codificado de forma rígida. Estos servidores pueden ir desde sitios de alojamiento de imágenes hasta Pastebin o servicios legítimos como Discord y GitHub. El malware de segunda etapa, a menudo ofuscado mediante métodos esteganográficos, es una DLL o un inyector .NET que posteriormente se pone en contacto con otro servidor malicioso para recuperar el troyano de la etapa final. «El grupo suele utilizar técnicas de inyección de procesos para ejecutar el RAT en la memoria de un proceso legítimo, evadiendo así las defensas basadas en procesos», dijo Kaspersky. «La técnica preferida del grupo es el vaciado de procesos. Esta técnica consiste en crear un proceso legítimo en un estado suspendido, luego anular el mapeo de su memoria, reemplazarlo con una carga útil maliciosa y, finalmente, reanudar el proceso para iniciar la ejecución». El uso de versiones modificadas de RAT de código abierto le da a Blind Eagle la flexibilidad de modificar sus campañas a voluntad, utilizándolas para espionaje cibernético o capturando credenciales de servicios financieros colombianos desde el navegador de la víctima cuando los títulos de las ventanas se comparan con una lista predefinida de cadenas en el malware. Por otro lado, se han observado versiones alteradas de NjRAT equipadas con capacidades de registro de teclas y captura de pantalla para recopilar información confidencial. Además, la versión actualizada admite la instalación de complementos adicionales enviados desde un servidor para aumentar su funcionalidad. Los cambios también se extienden a las cadenas de ataque. En junio de 2024, AsyncRAT se distribuyó a través de un cargador de malware denominado Hijack Loader, lo que sugiere un alto nivel de adaptabilidad por parte de los actores de la amenaza. También sirve para resaltar la incorporación de nuevas técnicas para sostener sus operaciones. «Por más simples que puedan parecer las técnicas y procedimientos de BlindEagle, su eficacia permite al grupo mantener un alto nivel de actividad», concluyó Kaspersky. «Al ejecutar constantemente campañas de espionaje cibernético y robo de credenciales financieras, Blind Eagle sigue siendo una amenaza importante en la región. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.