Las actualizaciones incluyen un nuevo plugin de espionaje y el uso de sitios brasileños legítimos de alojamiento de archivos durante el proceso de infección. El grupo está incluyendo cada vez más archivos en portugués, mientras que antes utilizaba predominantemente el español. Además, Kaspersky ha observado que BlindEagle ha lanzado otra campaña que emplea la técnica DLL sideloading.
Este grupo, conocido desde 2018, ha evolucionado recientemente en sus métodos de espionaje. Tras alternar entre diferentes troyanos de acceso remoto (RAT) de código abierto, el actor de la amenaza ha elegido njRAT como su herramienta principal en una de las últimas campañas de mayo de 2024. Este malware permite el registro de pulsaciones de teclas, el acceso a la cámara web, el robo de detalles del equipo, capturas de pantalla, la monitorización de aplicaciones y otras actividades de espionaje.
Sin embargo, esto no es lo único que puede realizar. Mediante una actualización, cuenta con capacidades de ataque adicionales: el troyano ahora admite una extensión de plugin especial que permite la ejecución de binarios y archivos .NET.
“El impacto real de esta actualización aún está por verse. Los actores de la amenaza pueden tener como objetivo una amplia gama de información sensible. En campañas anteriores, el grupo ha utilizado módulos para filtrar la ubicación de la víctima, obtener información detallada del sistema, como las aplicaciones instaladas, desactivar las soluciones de ciberseguridad e inyectar cargas útiles maliciosas como Meterpreter”, explica Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Nuevo proceso de infección y tendencia creciente a utilizar el código malicioso en portugués
Para distribuir el malware y el nuevo plugin, los atacantes infectan primero el sistema mediante phishing selectivo. Para ello, envían correos electrónicos haciéndose pasar por una entidad gubernamental, notificando a las víctimas de una falsa multa de tráfico. El correo electrónico incluye un archivo adjunto malicioso que parece ser un PDF, pero en realidad es un Visual Basic Script (VBS) malicioso que descarga un malware espía en el equipo de la víctima en una serie de acciones.
“Hay una tendencia creciente de BlindEagle a utilizar el portugués, lo que sugiere que el grupo está posiblemente colaborando con actores de amenazas externos. Anteriormente, el español predominaba en sus artefactos, pero en las campañas del año pasado, el grupo empezó a utilizar cada vez más algunas funciones y nombres de variables en portugués”, sostuvo Cuozzo. Además, agregó que en esta campaña el grupo también ha comenzado a utilizar dominios brasileños para la carga de malware en varias fases.
La compañía logró observar que BlindEagle lanzó otra campaña en junio de 2024, empleando la técnica DLL sideloading, un método utilizado para ejecutar código malicioso a través de las bibliotecas de vínculos dinámicos (DLL) de Windows. Como vector inicial, el grupo enviaba supuestos documentos que en realidad eran archivos PDF o DOCX maliciosos, engañando a las víctimas para que hicieran click en los enlaces incrustados para descargar documentos ficticios de demandas judiciales.
“En el panorama digital actual, en rápida evolución, la proliferación de sofisticadas campañas de ciberespionaje subraya la necesidad crítica de que las organizaciones y los individuos se mantengan siempre alerta y se fortalezcan frente a las amenazas emergentes”, afirma el integrante de Kaspersky.
Para permanecer protegido frente a la amenaza, los investigadores recomiendan mantenerse alerta en cuanto a la legitimidad de los remitentes de correos. En relación a las tecnologías, desde Kaspersky alientan a instalar una solución de seguridad que resuelva los problemas de manera automática y alerten en caso de ser necesario.
