BlindEagle se ha aferrado firmemente a las organizaciones brasileñas

Los investigadores de Kaspersky Lab han informado sobre la nueva actividad del grupo cibernético BlindEagle, que desde 2018 ha llevado a cabo campañas de ciberespionaje dirigidas a organizaciones e individuos en América Latina. En junio de 2024, el grupo actualizó sus métodos, implementando un nuevo complemento para el espionaje y utilizando repositorios de archivos legítimos de Brasil para distribuir malware.

El objetivo principal de BlindEagle siguen siendo las agencias gubernamentales, las empresas de energía y petróleo, y las instituciones financieras, especialmente en Colombia. Según los expertos, el 87% de los ataques en mayo y junio de 2024 se dirigieron a este país. Las principales tareas del grupo son el espionaje y el robo de información financiera. Para ello, utilizan troyanos de acceso remoto (RAT), como njRAT, Lime-RAT y BitRAT.

Durante la campaña de mayo de 2024, BlindEagle utilizó activamente el troyano njRAT, que permite monitorear las acciones del usuario en el dispositivo infectado, incluyendo el registro de pulsaciones de teclado, la captura de capturas de pantalla y la recopilación de información del sistema.

A las últimas versiones del malware se le han agregado complementos que amplían su funcionalidad, lo que permite a los atacantes recopilar aún más información confidencial e instalar software malicioso adicional.

El proceso de infección comienza con el envío de correos electrónicos de phishing dirigidos, que se disfrazan de notificaciones oficiales de organismos gubernamentales. Estos correos a menudo contienen archivos adjuntos, disfrazados de archivos PDF, que en realidad ejecutan secuencias de comandos maliciosas que infectan los dispositivos de las víctimas.

Además, BlindEagle ha comenzado a utilizar más el idioma portugués y los dominios de Brasil, lo que puede indicar una colaboración con otros grupos de delincuencia cibernética. Para distribuir el código malicioso, el grupo utiliza alojamientos de imágenes brasileños, y anteriormente también utilizaba servicios como Discord y Google Drive.

En junio de 2024, el grupo cibernético aplicó una nueva táctica: la infección a través de DLL Sideloading, algo poco común en sus operaciones anteriores. En esta campaña, los archivos maliciosos se disfrazaban de documentos judiciales, distribuidos a través de archivos ZIP. Dentro de los archivos ZIP se encontraban archivos ejecutables que iniciaban la infección, así como componentes maliciosos adicionales.

Los expertos de Kaspersky Lab continúan monitoreando la actividad de BlindEagle y recomiendan que las organizaciones de América Latina refuercen las medidas de seguridad para protegerse de estas amenazas.