O setor de seguros colombiano é o alvo de um ator de ameaça conhecido como Blind Eagle, que tem como objetivo final entregar uma versão personalizada de um conhecido Remote Access Trojan (RAT) commodity, referido como Quasar RAT, desde junho de 2024.
"Ataques têm origem com e-mails de phishing que se passam pela autoridade fiscal colombiana," disse o pesquisador da Zscaler ThreatLabz, Gaetano Pellegrino, em uma nova análise publicada na última semana.
A ameaça persistente avançada (APT), também conhecida como AguilaCiega, APT-C-36 e APT-Q-98, tem um histórico de foco em organizações e indivíduos na América do Sul, particularmente relacionado aos setores governamentais e financeiros na Colômbia e no Equador.
As cadeias de ataque, como recentemente documentado pela Kaspersky, começam com e-mails de phishing que atraem os destinatários a clicarem em links maliciosos que servem como trampolim para o processo de infecção.
Os links, embutidos em um anexo PDF ou diretamente no corpo do e-mail, apontam para arquivos ZIP hospedados em uma pasta do Google Drive associada a uma conta comprometida que pertence a uma organização governamental regional na Colômbia.
"A isca usada por Blind Eagle envolveu enviar uma notificação à vítima, alegando ser uma ordem de apreensão devido a pagamentos de impostos pendentes," notou Pellegrino.
Isso tem a intenção de criar um sentido de urgência e pressionar a vítima a tomar uma ação imediata.
O arquivo contém dentro dele uma variante do Quasar RAT chamada BlotchyQuasar, que inclui camadas adicionais de ofuscação usando ferramentas como DeepSea ou ConfuserEx para dificultar a análise e os esforços de engenharia reversa.
Isso foi detalhado previamente pela IBM X-Force em julho de 2023.
O malware inclui capacidades para registrar pressionamentos de tecla, executar comandos shell, roubar dados de navegadores web e clientes FTP, e monitorar as interações da vítima com serviços específicos de bancos e pagamentos localizados na Colômbia e no Equador.
Ele também aproveita o Pastebin como um resolvedor de dead drop para buscar o domínio de comando e controle (C2), com o ator de ameaça aproveitando serviços de DNS Dinâmico (DDNS) para hospedar o domínio C2.
"Blind Eagle tipicamente protege sua infraestrutura por trás de uma combinação de nós VPN e roteadores comprometidos, principalmente localizados na Colômbia," disse Pellegrino.
Este ataque demonstra a continuação do uso desta estratégia.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...