Uma campanha de spam que entrega e-mails de spear-phishing direcionados a organizações sul-americanas reformulou suas técnicas para incluir uma ampla gama de trojans de acesso remoto (RATs) e filtragem de geolocalização para evitar a detecção, de acordo com uma nova pesquisa.
A empresa de segurança cibernética Trend Micro atribuiu os ataques a uma ameaça persistente avançada (APT) rastreada como APT-C-36 (também conhecida como Blind Eagle), um suspeito grupo de espionagem da América do Sul que está ativo desde pelo menos 2018 e anteriormente conhecido por mirar no Instituições governamentais colombianas e corporações que abrangem os setores financeiro, petrolífero e manufatureiro.
Principalmente espalhada por e-mails fraudulentos disfarçados de agências do governo colombiano, como a Diretoria Nacional de Impostos e Alfândegas (DIAN), a cadeia de infecção começa quando os destinatários da mensagem abrem um PDF ou documento do Word falso que afirma ser um pedido de apreensão vinculado ao seu contas bancárias e clique em um link que foi gerado a partir de um serviço encurtador de URL como cort.as, acortaurl.com e gtly.to.
“Esses encurtadores de URL são capazes de segmentação geográfica, então se um usuário de um país não visado pelos agentes da ameaça clicar no link, ele será redirecionado para um site legítimo”, detalhou os pesquisadores da Trend Micro em um relatório publicado na semana passada.
“Os encurtadores de URL também têm a capacidade de detectar os principais serviços VPN, nesse caso, o link encurtado leva os usuários a um site legítimo em vez de redirecioná-los para o link malicioso.“
Caso a vítima atenda aos critérios de localização, o usuário é redirecionado para um servidor de hospedagem de arquivos, e um arquivo protegido por senha é baixado automaticamente, cuja senha é especificada no e-mail ou anexo, levando à execução de um C ++ – trojan de acesso remoto baseado em BitRAT, que apareceu pela primeira vez em agosto de 2020.
Vários setores, incluindo governo, financeiro, saúde, telecomunicações e energia, petróleo e gás, foram afetados, com a maioria dos alvos da última campanha localizada na Colômbia e uma fração menor também vindo do Equador, Espanha e Panamá.
Vários setores, incluindo governo, financeiro, saúde, telecomunicações e energia, petróleo e gás, foram afetados, com a maioria dos alvos da última campanha localizada na Colômbia e uma fração menor também vindo do Equador, Espanha e Panamá.
“O APT-C-36 seleciona seus alvos com base na localização e, provavelmente, na situação financeira do destinatário do e-mail”, disseram os pesquisadores. “Isso, e a prevalência dos e-mails, nos levam a concluir que o objetivo final do ator da ameaça é o ganho financeiro, em vez de espionagem.”
fonte THN
