Una campaña de spam que envía correos electrónicos de phishing dirigido a organizaciones sudamericanas ha rediseñado sus técnicas para incluir una amplia gama de troyanos de acceso remoto (RAT) de productos básicos y filtrado de geolocalización para evitar la detección, según una nueva investigación.
La firma de ciberseguridad Trend Micro atribuyó los ataques a una amenaza persistente avanzada (APT) rastreada como APT-C-36 (también conocida como Blind Eagle), un presunto grupo de espionaje de América del Sur que ha estado activo desde al menos 2018 y anteriormente conocido por poner sus miras en Instituciones y corporaciones del gobierno colombiano que abarcan los sectores financiero, petrolero y manufacturero.
Difundida principalmente a través de correos electrónicos fraudulentos haciéndose pasar por agencias del gobierno colombiano, como la Dirección Nacional de Impuestos y Aduanas (DIAN), la cadena de infección comienza cuando los destinatarios del mensaje abren un documento PDF o Word señuelo que afirma ser una orden de incautación vinculada a su cuentas bancarias y haga clic en un enlace que se ha generado a partir de un servicio de acortador de URL como cort.as, acortaurl.com y gtly.to.
Sophos ofrece una protección de nivel empresarial, una visibilidad de los riesgos inigualable y toda la flexibilidad que necesita para respaldar las redes distribuidas más exigentes de la actualidad.
«Estos acortadores de URL son capaces de segmentar geográficamente, por lo que si un usuario de un país que no es el objetivo de los actores de la amenaza hace clic en el enlace, será redirigido a un sitio web legítimo», detallaron los investigadores de Trend Micro en un informe publicado la semana pasada. «Los acortadores de URL también tienen la capacidad de detectar los principales servicios de VPN, en cuyo caso, el enlace acortado lleva a los usuarios a un sitio web legítimo en lugar de redirigirlos al enlace malicioso».
Si la víctima cumple con los criterios de ubicación, el usuario es redirigido a un servidor de alojamiento de archivos y se descarga automáticamente un archivo protegido con contraseña, cuya contraseña se especifica en el correo electrónico o el archivo adjunto, lo que finalmente conduce a la ejecución de un C ++ – Troyano de acceso remoto basado en BitRAT que salió a la luz por primera vez en agosto de 2020.
Se dice que se han visto afectadas múltiples verticales, incluidas las de gobierno, finanzas, salud, telecomunicaciones y energía, petróleo y gas, y la mayoría de los objetivos de la última campaña se encuentran en Colombia y una fracción más pequeña también proviene de Ecuador, España. y Panamá.
«APT-C-36 selecciona sus objetivos en función de la ubicación y, muy probablemente, la situación financiera del destinatario del correo electrónico», dijeron los investigadores. «Estos, y la prevalencia de los correos electrónicos, nos llevan a concluir que el objetivo final del actor de la amenaza es la ganancia financiera en lugar del espionaje».
Fuente: thehackernews.com
