Una nueva ola de ataques de malware, dirigida a organizaciones en Sudamérica

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Especialista en Tecnología #Ciberseguridad #CTO #PMO #Adviser #CoachPolitico #Podcasting

Una campaña de spam que envía correos electrónicos de spear-phishing dirigidos a organizaciones sudamericanas ha reajustado sus técnicas para incluir una amplia gama de troyanos de acceso remoto (RAT) y filtrado de geolocalización para evitar su detección, según una nueva investigación.

La empresa de ciberseguridad Trend Micro atribuyó los ataques a una amenaza persistente avanzada (APT) rastreada como APT-C-36 (también conocida como Blind Eagle), un presunto grupo de espionaje de América del Sur que ha estado activo desde al menos 2018 y previamente conocido por poner sus ojos en las instituciones gubernamentales colombianas y las corporaciones que abarcan los sectores financiero, petrolero y de fabricación.

Principalmente se propaga a través de correos electrónicos fraudulentos haciéndose pasar por organismos gubernamentales colombianos, como la Dirección de Impuestos y Aduanas Nacionales (DIAN), la cadena de infección comienza cuando los destinatarios del mensaje abren un documento PDF o Word señuelo que dice ser una orden de embargo vinculada a sus cuentas bancarias y hacen clic en un enlace que ha sido generado desde un servicio de acortador de URL como cort.as, acortaurl.com y gtly.to.

Si la víctima cumple los criterios de localización, el usuario es redirigido a un servidor de alojamiento de archivos, y se descarga automáticamente un archivo comprimido protegido por contraseña, cuya contraseña se especifica en el correo electrónico o en el archivo adjunto, lo que en última instancia conduce a la ejecución de un troyano de acceso remoto basado en C++ llamado BitRAT que salió a la luz por primera vez en agosto de 2020.

Se dice que se han visto afectados múltiples sectores verticales, como el gubernamental, el financiero, el sanitario, el de las telecomunicaciones y el de la energía, el petróleo y el gas, y que la mayoría de los objetivos de la última campaña se encuentran en Colombia, mientras que una fracción menor procede también de Ecuador, España y Panamá.

Info – Ciberseguridad Latam