Il gruppo cybercriminale noto come Blind Eagle ha recentemente intensificato le proprie attività contro istituzioni finanziarie colombiane, utilizzando il servizio di hosting bulletproof russo Proton66 per condurre campagne di phishing e distribuire Remote Access Trojan (RAT). Proton66 è un servizio ampiamente impiegato dai criminali informatici poiché ignora intenzionalmente le segnalazioni di abusi e le richieste legali di rimozione, consentendo così agli attaccanti di mantenere operativi i loro server di phishing e di comando e controllo senza interruzioni.

Uso di script Visual Basic e tecniche di elusione

Le campagne attribuite a Blind Eagle fanno ampio uso di script Visual Basic (VBS) come vettore iniziale di attacco. Nonostante VBS sia considerato da molti un linguaggio obsoleto, la sua compatibilità con Windows e la capacità di eseguire codice in background lo rendono ancora oggi uno strumento efficace per l’accesso iniziale e la distribuzione di malware. Questi script vengono impiegati per scaricare loader malevoli, eludere gli antivirus e camuffare le attività dannose tra quelle legittime dell’utente.

Impiego di DNS dinamici e infrastrutture resilienti

Una caratteristica chiave delle operazioni di Blind Eagle è l’impiego di servizi DNS dinamici, come DuckDNS. Invece di registrare nuovi domini per ogni campagna, gli attaccanti ruotano sottodomini che puntano a un singolo indirizzo IP associato a Proton66. Questo stratagemma complica notevolmente il rilevamento da parte dei sistemi di difesa, poiché i nomi dei domini cambiano frequentemente ma l’infrastruttura sottostante rimane la stessa.

Phishing contro istituzioni finanziarie colombiane

Le pagine di phishing create da Blind Eagle imitano siti di banche e istituti finanziari colombiani molto conosciuti, come Bancolombia, BBVA, Banco Caja Social e Davivienda. L’obiettivo è carpire credenziali e dati sensibili degli utenti. Gli script VBS ospitati su questi domini sono progettati per recuperare file eseguibili cifrati da server remoti e fungono da loader per RAT come AsyncRAT e Remcos RAT, strumenti noti nel panorama del cybercrime per il controllo remoto delle macchine infette.

Offuscamento, botnet e aggiornamento delle tattiche

Inoltre, l’analisi dei codici VBS ha evidenziato similitudini con Vbs-Crypter, un tool spesso utilizzato per offuscare e proteggere i payload VBS, rendendo più difficile il rilevamento da parte dei software di sicurezza. È stato anche individuato un pannello di controllo botnet che consente agli attaccanti di gestire i dispositivi compromessi, estrarre dati rubati e interagire direttamente con le vittime tramite funzionalità avanzate tipiche dei RAT commerciali.

Le indagini hanno rivelato che Blind Eagle aggiorna velocemente le proprie tattiche anche dopo la pubblicazione di patch di sicurezza, confermando come la sola gestione delle vulnerabilità non sia sufficiente a bloccare minacce persistenti e ben organizzate come questa.