Kaspersky ha detectado nuevas actualizaciones en las campañas de espionaje del grupo BlindEagle, dirigidas a usuarios y organizaciones en Colombia. El grupo ha introducido un nuevo plugin de espionaje y ha comenzado a utilizar sitios brasileños de alojamiento de archivos. También se ha observado un aumento en el uso del portugués en el código malicioso.
BlindEagle introduce actualizaciones en su campaña de espionaje y usa sitios brasileños para propagar malware
(10/Oct/2024 – Panama24Horas web) LatAm.- Kaspersky ha emitido una alerta sobre las recientes actividades del grupo BlindEagle APT (Amenaza Avanzada Persistente), que ha intensificado sus campañas de espionaje dirigidas a usuarios y organizaciones en Colombia. Según el equipo de Investigación y Análisis Global (GReAT) de Kaspersky, el grupo ha introducido nuevas actualizaciones en su arsenal de ciberataques, incluyendo un nuevo plugin de espionaje y la utilización de sitios brasileños legítimos para el alojamiento de archivos durante el proceso de infección.
El grupo BlindEagle, conocido desde 2018 por sus persistentes ataques, ha evolucionado considerablemente en sus métodos de espionaje. Tras alternar entre varios troyanos de acceso remoto (RAT) de código abierto, el actor ha elegido njRAT como su herramienta principal en su última campaña, ejecutada en mayo de 2024. Este malware es capaz de registrar pulsaciones de teclas, acceder a la cámara web, robar detalles del equipo, realizar capturas de pantalla y monitorear aplicaciones. No obstante, la actualización más reciente ha añadido nuevas capacidades de ataque, permitiendo la ejecución de binarios y archivos .NET mediante un plugin especial.
Leandro Cuozzo, analista de seguridad en el Equipo Global de Investigación y Análisis para América Latina de Kaspersky, comentó sobre el alcance de estas nuevas capacidades: «El impacto real de esta actualización aún está por verse. En campañas anteriores, BlindEagle ha utilizado módulos para filtrar la ubicación de la víctima, obtener información detallada del sistema y desactivar soluciones de ciberseguridad. Con este nuevo plugin, el potencial de espionaje y robo de información sensible se amplía considerablemente».
Nuevo enfoque de infección y uso creciente del portugués
Una de las novedades más destacadas de esta campaña es el proceso de infección utilizado por BlindEagle. Los atacantes distribuyen el malware mediante correos electrónicos de phishing, haciéndose pasar por entidades gubernamentales que notifican a las víctimas sobre falsas multas de tráfico. El correo contiene un archivo adjunto malicioso, aparentemente un PDF, que en realidad es un script Visual Basic (VBS) encargado de descargar el malware espía en el equipo de la víctima.
Además, Kaspersky ha observado una tendencia creciente en el uso de archivos en portugués dentro del código malicioso. Según Cuozzo, esto sugiere una posible colaboración entre BlindEagle y actores externos de habla portuguesa. «El uso del portugués en variables, nombres de funciones y comentarios es cada vez más frecuente en las campañas recientes del grupo, lo que podría indicar una colaboración con actores de amenazas externos. Además, hemos detectado que están utilizando dominios brasileños para cargar malware en varias fases de la infección», explicó Cuozzo.
BlindEagle ha empleado un sitio brasileño de alojamiento de imágenes para distribuir código malicioso en las máquinas de las víctimas. Anteriormente, el grupo utilizaba servicios como Discord o Google Drive para este fin. El script malicioso descargaba imágenes que contenían código oculto, el cual se extraía y ejecutaba en el equipo de la víctima.
Nueva técnica de carga lateral de DLL
En junio de 2024, Kaspersky detectó otra campaña de BlindEagle que empleaba la técnica de DLL sideloading, un método utilizado para ejecutar código malicioso a través de las bibliotecas de vínculos dinámicos (DLL) de Windows. El grupo engañaba a las víctimas para que descargaran documentos ficticios de demandas judiciales, que contenían un archivo ejecutable responsable de iniciar la infección mediante la carga lateral de DLL y la ejecución de varios archivos maliciosos.
BlindEagle, también conocido como APT-C-36, se ha caracterizado por sus ataques persistentes en Colombia, Ecuador y otros países de Latinoamérica, dirigiéndose a entidades de múltiples sectores, incluyendo instituciones gubernamentales, empresas de energía, petróleo y gas, y compañías financieras. El grupo es conocido por adaptar sus ciberataques, alternando entre objetivos financieros y operaciones de espionaje.
En las campañas recientes de mayo y junio de 2024, el 87% de las personas y organizaciones afectadas estaban ubicadas en Colombia, especialmente en sectores como la administración pública, la salud, la educación y el transporte.
Recomendaciones de seguridad
Ante esta amenaza, los investigadores de Kaspersky recomiendan seguir varias pautas para mantenerse protegido:
• Es importante que todo el mundo se mantenga alerta, especialmente quienes puedan ser objeto de espionaje. Los actores de amenazas se disfrazan de organismos gubernamentales, pero estas entidades no suelen ponerse en contacto con los individuos por correo electrónico para recibir notificaciones legales. Lo mismo ocurre con los bancos y las instituciones financieras, que a menudo sirven de señuelo para que las víctimas hagan clic en contenido malicioso. Al recibir una solicitud de este tipo, compruebe siempre su legitimidad. Manténgase a salvo siendo precavido y verificando la autenticidad de cualquier correo electrónico inesperado.
• Los mensajes de organizaciones oficiales, como bancos, agencias tributarias, tiendas en línea, agencias de viajes, compañías aéreas, etc., también requieren escrutinio; incluso los mensajes internos de su propia oficina. No es tan difícil fabricar una carta falsa que parezca legítima.
• Instala una solución de seguridad de confianza y sigue sus recomendaciones. Después, las soluciones de seguridad resolverán la mayoría de los problemas automáticamente y te alertarán si es necesario
Puede encontrar más información en Securelist, la plataforma de Kaspersky dedicada a la investigación de amenazas emergentes.
Deja un comentario
Su dirección de correo electrónico no será publicada. Los campos requeridos estan marcados con *