Según una nueva investigación, una campaña de spam que envía correos electrónicos de phishing dirigido a organizaciones sudamericanas ha rediseñado sus técnicas para incluir una amplia gama de troyanos básicos para acceso remoto (RAT) y filtrado de geolocalización para evitar la detección.

Trend Micro, una empresa de seguridad cibernética, ha acreditado los ataques con Advanced Persistent Threat (APT) rastreado como APT-C-36 (también conocido como Blind Eagle), un sospechoso grupo de espionaje sudamericano que ha estado activo desde al menos 2018 y que anteriormente se sabía que Objetivo Colombia Instituciones gubernamentales y corporaciones, incluidos los sectores financiero, petrolero y manufacturero.

La cadena de infección, que se propaga principalmente a través de correos electrónicos fraudulentos que se hacen pasar por agencias gubernamentales colombianas como la Dirección Nacional de Impuestos y Aduanas (DIAN), comienza cuando los destinatarios de un informe abren un cebo en PDF o un documento de Word que afirma ser una orden de incautaciones asociadas. con sus cuentas bancarias y hacer clic en el enlace que generó el servicio de acortamiento de URL como cort.as, acortaurl.com y gtly.to.

«Estos truncadores de URL tienen orientación geográfica, por lo que si un usuario de un país no amenazado hace clic en un enlace, será redirigido a un sitio web legítimo», dijeron los investigadores de Trend Micro en un informe publicado la semana pasada. «Los truncadores de URL también tienen la capacidad de detectar los principales servicios VPN, en cuyo caso un enlace abreviado lleva al usuario a un sitio web legítimo en lugar de redirigirlo a un enlace malicioso».

Si la víctima cumple con los criterios de ubicación, el usuario es redirigido al servidor que aloja los archivos y descarga automáticamente un archivo protegido con contraseña cuya contraseña se encuentra en el correo electrónico o archivo adjunto, lo que eventualmente conduce a un troyano C ++ basado en acceso remoto. llamado BitRAT, que apareció por primera vez en agosto de 2020.

Según los informes, varios sectores verticales se han visto afectados, incluido el gobierno, las finanzas, la atención médica, las telecomunicaciones y la energía, el petróleo y el gas, y la mayoría de los objetivos de la última campaña se encuentran en Colombia y una minoría también proviene de Ecuador y España. en Panamá

«APT-C-36 selecciona sus objetivos en función de la ubicación y, muy probablemente, de la situación financiera del destinatario del correo electrónico», dijeron los investigadores. «Estos y los correos electrónicos generalizados nos llevan a concluir que el objetivo final del actor de amenazas es la ganancia financiera en lugar del espionaje».