Home Ciberguerra El grupo de hacking, Blind Eagle, apunta a Sudamérica, con nuevas herramientas

El grupo de hacking, Blind Eagle, apunta a Sudamérica, con nuevas herramientas

Campañas de hacking orquestadas por el grupo Blind Eagle (también conocido como APT-C-36) han sido detectadas apuntando a individuos en Sudamérica.

Expertos en seguridad de Check Point Research (CPR) revelaron los hallazgos en un nuevo aviso publicado el jueves, describiendo una novedosa cadena de infección que involucra un conjunto de herramientas avanzadas.

“Durante los últimos meses, hemos estado observando las campañas en curso orquestadas por Blind Eagle, que en su mayoría se han adherido a las [tácticas, técnicas y procedimientos] TTPs descritas anteriormente – correos electrónicos de phishing simulando ser del gobierno colombiano”, escribió el equipo.

Según CPR, los correos maliciosos incluían un enlace y un archivo PDF que dirigía a la desafortunada víctima al mismo enlace.

Al hacer clic en el enlace, se analiza la petición HTTP entrante para comprobar si procede de fuera de Colombia.

En caso afirmativo, el servidor aborta la cadena de infección y redirige al cliente al sitio web real del departamento de migración del Ministerio de Asuntos Exteriores de Colombia. En cambio, si la solicitud procede de Colombia, la cadena de infección sigue su curso.

“El servidor responde al cliente con un archivo para descargar. Se trata de un ejecutable de malware alojado en el servicio de intercambio de archivos MediaFire”, explica CPR.

“El archivo está comprimido, de forma similar a un archivo ZIP, utilizando el algoritmo LHA. Está protegido por contraseña, lo que lo hace inmune al análisis estático ingenuo e incluso a la emulación ingenua de sandbox. La contraseña se encuentra tanto en el correo electrónico como en el PDF adjunto”.

El ejecutable dentro del archivo es una muestra modificada de QuasarRAT con varias características nuevas, incluyendo funciones para activar y desactivar el proxy del sistema.

Otra variante fue detectada por CPR dirigida a Ecuador y suplantando la identidad del Servicio de Rentas Internas ecuatoriano.

Esta última campaña dirigida a Ecuador pone de relieve cómo, en los últimos años, Blind Eagle ha madurado como amenaza, refinando sus herramientas, añadiendo funciones a las bases de código filtradas y experimentando con elaboradas cadenas de infección y “viviendo de la tierra””, se lee en el aviso de CPR.

“Si lo que hemos visto sirve de indicación, vale la pena vigilar a este grupo para que las víctimas no se vean sorprendidas por cualquier cosa inteligente que intenten a continuación”.