O setor de seguros colombiano é alvo de um agente de ameaças rastreado como Águia Cega com o objetivo remaining de entregar uma versão personalizada de um trojan de acesso remoto (RAT) conhecido como Quasar RAT desde junho de 2024.
“Os ataques se originaram de e-mails de phishing se passando pela autoridade fiscal colombiana”, disse o pesquisador do Zscaler ThreatLabz, Gaetano Pellegrino, em uma nova análise publicada na semana passada.
A ameaça persistente avançada (APT), também conhecida como AguilaCiega, APT-C-36 e APT-Q-98, tem um histórico de foco em organizações e indivíduos na América do Sul, particularmente relacionados aos setores governamental e financeiro na Colômbia e no Equador.
As cadeias de ataque, conforme documentado recentemente pela Kaspersky, se originam de e-mails de phishing que induzem os destinatários a clicar em hyperlinks maliciosos que servem como plataforma de lançamento para o processo de infecção.
Os hyperlinks, incorporados em um anexo em PDF ou diretamente no corpo do e-mail, apontam para arquivos ZIP hospedados em uma pasta do Google Drive associada a uma conta comprometida que pertence a uma organização governamental regional na Colômbia.
“A isca usada pela Blind Eagle envolveu o envio de uma notificação à vítima, alegando ser uma ordem de apreensão devido a pagamentos de impostos pendentes”, observou Pellegrino. “Isso tem a intenção de criar um senso de urgência e pressionar a vítima a tomar uma ação imediata.”
O arquivo contém uma variante do Quasar RAT chamada BlotchyQuasar, que reúne camadas adicionais de ofuscação usando ferramentas como DeepSea ou ConfuserEx para dificultar a análise e os esforços de engenharia reversa. Foi detalhado anteriormente pela IBM X-Pressure em julho de 2023.
O malware inclui recursos para registrar pressionamentos de tecla, executar comandos de shell, roubar dados de navegadores da internet e clientes FTP e monitorar as interações da vítima com serviços bancários e de pagamento específicos localizados na Colômbia e no Equador.
Ele também utiliza o Pastebin como um resolvedor de useless drop para buscar o domínio de comando e controle (C2), com o agente da ameaça aproveitando os serviços de DNS dinâmico (DDNS) para hospedar o domínio C2.
“A Blind Eagle normalmente protege sua infraestrutura atrás de uma combinação de nós VPN e roteadores comprometidos, localizados principalmente na Colômbia”, disse Pellegrino. “Este ataque demonstra o uso contínuo desta estratégia.”