Alertan sobre nuevo programa espía

El grupo BlindEagle APT (Amenaza Avanzada Persistente, por sus siglas en inglés) ha introducido varias actualizaciones en una de sus últimas campañas de espionaje dirigidas a usuarios y organizaciones de Colombia, según ha informado el equipo de Investigación y Análisis Global de Kaspersky (GReAT).

Las actualizaciones incluyen un nuevo plugin de espionaje y el uso de sitios brasileños legítimos de alojamiento de archivos durante el proceso de infección.

El grupo está incluyendo cada vez más archivos en portugués en su código malicioso, mientras que antes utilizaba predominantemente el español. Kaspersky también ha observado que BlindEagle ha lanzado otra campaña que emplea la técnica DLL sideloading, poco habitual en el grupo.

Este grupo, conocido desde 2018, ha evolucionado recientemente en sus métodos de espionaje. Tras alternar entre diferentes troyanos de acceso remoto (RAT) de código abierto, el actor de la amenaza ha elegido njRAT como su herramienta principal en una de las últimas campañas de mayo de 2024.

Este malware permite el registro de pulsaciones de teclas, el acceso a la cámara web, el robo de detalles del equipo, capturas de pantalla, la monitorización de aplicaciones y otras actividades de espionaje, pero se ha actualizado con capacidades de ataque adicionales: el troyano ahora admite una extensión de plugin especial que permite la ejecución de binarios y archivos .NET.

“Los actores de la amenaza pueden tener como objetivo una amplia gama de información sensible. En campañas anteriores, el grupo ha utilizado módulos para filtrar la ubicación de la víctima, obtener información detallada del sistema, como las aplicaciones instaladas, desactivar las soluciones de ciberseguridad e inyectar cargas útiles maliciosas como Meterpreter”, explica Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Nuevo proceso de infección y tendencia creciente a utilizar el código malicioso en portugués

Para distribuir el malware y el nuevo plugin, los atacantes infectan primero el sistema mediante phishing selectivo. Envían correos electrónicos haciéndose pasar por una entidad gubernamental, notificando a las víctimas de una falsa multa de tráfico.

El correo electrónico incluye un archivo adjunto malicioso que parece ser un PDF, pero en realidad es un Visual Basic Script (VBS) malicioso que descarga un malware espía en el equipo de la víctima en una serie de acciones.

En esta campaña, los investigadores de Kaspersky observaron que el dropper contiene cada vez más archivos en portugués, sobre todo en variables, nombres de funciones y comentarios.

“En el panorama digital actual, en rápida evolución, la proliferación de sofisticadas campañas de ciberespionaje subraya la necesidad crítica de que las organizaciones y los individuos se mantengan siempre alerta y se fortalezcan frente a las amenazas emergentes”, afirma Leandro Cuozzo.

En las campañas de espionaje llevadas a cabo en mayo y junio, el 87% de las personas y organizaciones objetivo se encontraban en Colombia, especialmente en los sectores de la administración pública, educación, salud y transporte, aunque sin limitarse a ellos.