Brazilski hakeri ciljaju na više od 30 portugalskih finansijskih institucija malware-om za krađu informacija u sklopu dugotrajne kampanje koja je započela 2021. godine.
“Napadači mogu ukrasti kredencijale i eksfiltrovati podatke i lične podatke korisnika, koji se mogu iskoristiti za maliciozne aktivnosti izvan finansijske dobiti” rekli su istraživači SentinelOne-a Aleksandar Milenkoski i Tom Hegel u novom izvještaju objavljenom za The Hacker News.
Kompanija za kibernetičku bezbjednost, koja je počela pratiti “Operaciju Magalenha” ranije ove godine, rekla je da upadi kulminiraju primjenom dvije varijante backdoor-a pod nazivom PeepingTitle kako bi se “maksimizovala moć napada”.
Veze sa Brazilom proizlaze iz upotrebe brazilsko-portugalskog jezika u okviru otkrivenih artefakata, kao i preklapanja izvornog koda sa drugim bankarskim trojancem poznatim kao Maxtrilha, koji je prvi put otkriven u septembru 2021. godine.
PeepingTitle, kao i Maxtrilha, napisan je u programskom jeziku Delphi i opremljen je da napadaču pruži potpunu kontrolu nad kompromitovanim hostovima, kao i da napravi snimke ekrana i ispusti dodatne payload-ove.
Lanci napada počinju s phishing email-ovima i lažnim web stranicama koje hostuju lažne instalatere popularnog softvera koji su dizajnirani da pokrenu Visual Basic Script odgovornu za izvršavanje učitavača malicioznog softvera. Loader zatim preuzima i izvršava PeepingTitle backdoor.
PeepingTitle prati aktivnost pregledavanja web-a korisnika, a ako se otvori kartica pretraživača koja odgovara jednoj od ciljnih finansijskih institucija, eksfiltruje snimke ekrana i vrši daljnje izvršne datoteke malicioznog softvera sa udaljenog servera.
Ovo se postiže poređenjem naslova prozora sa unapred definisanim skupom nizova koji se odnose na bankarske organizacije, ali ne pre nego što se transformiše u niz malih slova bez bilo kakvih razmaka.
“Sa prvom varijantom PeepingTitle-a koja snima cijeli ekran, i drugom koja hvata svaki prozor s kojim korisnik komunicira, ovaj dvojac malicioznog softvera pruža hakeru detaljan uvid u aktivnosti korisnika” objasnili su istraživači.
Važan aspekt Magalenhe je prelazak sa DigitalOcean-a i Dropbox-a 2022. godine na Timeweb Cloud, ruskog provajdera Cloud usluga koji ima blaži pristup prema zloupotrebi infrastrukture, za hostovanje malicioznog softvera i upravljanje i kontrolu.
Sofistikovani pokušaj hakovanja predstavlja najnoviju iteraciju u dugom nizu finansijski motivisanih malicioznih kampanja koje potiču iz Latinske Amerike. Ranije ovog marta, Metabase Q je otkrio talas napada Mispadu usmjeren na Boliviju, Čile, Meksiko, Peru i Portugal.
“Operacija Magalenha ukazuje na upornu prirodu brazilskih hakera” rekli su istraživači. “Ove grupe predstavljaju rastuću pretnju organizacijama i pojedincima u njihovim ciljnim zemljama i pokazale su dosljedan kapacitet da ažuriraju svoj arsenal malicioznog softvera i taktike, omogućavajući im da ostanu efikasni u svojim kampanjama.”
“Njihov kapacitet da orkestruju napade u zemljama portugalskog i španskog govornog područja u Evropi, Centralnoj i Latinskoj Americi sugeriše razumijevanje lokalnog finansijskog pejzaža i spremnost da ulože vrijeme i resurse u razvoj ciljanih kampanja.”
Izvor: The Hacker News