Cyberthreat.id – Pakar keamanan dari Check Point Research (CPR) mengatakan bahwa kelompok peretasan Blind Eagle (juga dikenal sebagai APT-C-36) telah terlihat menargetkan individu di seluruh Amerika Selatan dengan rantai infeksi baru yang melibatkan perangkat canggih.

“Selama beberapa bulan terakhir, kami telah mengamati kampanye yang sedang berlangsung yang diatur oleh Blind Eagle, yang sebagian besar mengikuti [taktik, teknik, dan prosedur] TTP dengan email phishing yang berpura-pura berasal dari pemerintah Kolombia,” kata Check Point, sesuai yang dikutip dari Info Security Magazine.

Check Point mengatakan, salah satu contoh tipikal adalah email yang konon dari Kementerian Luar Negeri, yang mengancam penerima dengan masalah saat meninggalkan negara kecuali mereka menyelesaikan masalah birokrasi. Email jahat tersebut menyertakan tautan dan file PDF yang mengarahkan korban yang malang ke tautan yang sama.

Permintaan HTTP yang masuk dianalisis setelah mengeklik tautan untuk memeriksa apakah itu berasal dari luar Kolombia. Jika ya, server membatalkan rantai infeksi dan mengarahkan klien ke situs web sebenarnya untuk departemen migrasi Kementerian Luar Negeri Kolombia. Namun, jika permintaan masuk datang dari Kolombia, rantai infeksi berjalan sesuai jadwal.

“Server merespons klien dengan file untuk diunduh. Ini adalah malware yang dapat dieksekusi yang dihosting di layanan berbagi file MediaFire,” jelas Check Point.

File dikompresi, mirip dengan file ZIP, menggunakan algoritma LHA. Itu dilindungi kata sandi, membuatnya tahan terhadap analisis statis yang naif dan bahkan emulasi kotak pasir yang naif. Kata sandi ditemukan di email dan di PDF terlampir. Yang dapat dieksekusi di dalam arsip adalah sampel QuasarRAT yang dimodifikasi yang menampilkan beberapa fitur baru, termasuk fungsi untuk mengaktifkan dan menonaktifkan proxy sistem.

Varian lain terlihat oleh CPR yang menargetkan Ekuador dan menyamar sebagai Layanan Pendapatan Internal Ekuador. Kampanye terbaru yang menargetkan Ekuador menyoroti bagaimana, selama beberapa tahun terakhir, Blind Eagle telah matang sebagai ancaman, menyempurnakan alat mereka, menambahkan fitur ke basis kode yang bocor, dan bereksperimen dengan rantai infeksi yang rumit dan 'Living off the Land.

“Jika apa yang kami lihat adalah indikasi, kelompok ini layak untuk diawasi sehingga para korban tidak dibutakan oleh hal pintar apa pun yang mereka coba selanjutnya,” tambah Check Point.

Nasihat tersebut muncul beberapa minggu setelah penyedia layanan kesehatan Kolombia Keralty melaporkan serangan ransomware pada Desember 2022.