Hackers brasileiros visam usuários de mais de 30 bancos portugueses

Hackers brasileiros visam usuários de mais de 30 bancos portuguese

Um agente de ameaças brasileiro tem como alvo mais de 30 instituições financeiras portuguesas com malware para roubo de informações como parte de uma campanha de longa duração iniciada em 2021.

Aleksandar Milenkoski e Tom Hegel, pesquisadores do SentinelOne, “Os invasores podem roubar credenciais e exfiltrar dados e informações pessoais dos usuários, que podem ser aproveitados para atividades maliciosas além do ganho financeiro”, disseram em um novo relatório compartilhado com o The Hacker News.

A empresa de segurança cibernética, que começou a rastrear a “Operação Magalenha” no início deste ano, disse que as invasões culminam na implantação de duas variantes de um backdoor chamado PeepingTitle para “maximizar a potência do ataque”.

Os links para o Brasil decorrem do uso do idioma português do Brasil nos artefatos detectados, bem como das sobreposições do código-fonte com outro trojan bancário conhecido como Maxtrilha , que foi divulgado pela primeira vez em setembro de 2021.

O PeepingTitle, como o Maxtrilha, é escrito na linguagem de programação Delphi e está equipado para conceder ao invasor controle total sobre os hosts comprometidos, além de capturar capturas de tela e descartar cargas adicionais.

As cadeias de ataque começam com e-mails de phishing e sites desonestos que hospedam instaladores falsos de softwares populares projetados para iniciar um script do Visual Basic responsável pela execução de um carregador de malware. O carregador subseqüentemente baixa e executa os backdoors PeepingTitle.

O PeepingTitle monitora a atividade de navegação na web dos usuários e, se uma guia do navegador correspondente a uma das instituições financeiras de destino for aberta, ele extrai capturas de tela e organiza outros executáveis ​​de malware de um servidor remoto.

Isso é obtido comparando o título da janela com um conjunto predefinido de strings relacionadas às organizações-alvo, mas não antes de transformá-lo em uma string minúscula sem quaisquer caracteres de espaço em branco.

“Com a primeira variante PeepingTitle capturando a tela inteira e a segunda capturando cada janela com a qual um usuário interage, essa dupla de malware fornece ao agente da ameaça uma visão detalhada da atividade do usuário”, explicaram os pesquisadores.

Um aspecto importante do Magalenha é a mudança de DigitalOcean e Dropbox em 2022 para Timeweb Cloud, um provedor de serviços de nuvem russo que tem uma abordagem mais branda em relação ao abuso de infraestrutura, para hospedagem de malware e comando e controle.

O sofisticado esforço de hacking representa a mais recente iteração em uma longa linha de campanhas de malware motivadas financeiramente originárias da América Latina. No início de março, Metabase Q descobriu uma onda de ataque Mispadu visando Bolívia, Chile, México, Peru e Portugal.

“A Operação Magalenha indica a natureza persistente dos agentes de ameaças brasileiros”, disseram os pesquisadores. “Esses grupos representam uma ameaça em evolução para organizações e indivíduos em seus países-alvo e demonstraram uma capacidade consistente de atualizar seu arsenal e táticas de malware, permitindo que permaneçam eficazes em suas campanhas”.

“Sua capacidade de orquestrar ataques em países de língua portuguesa e espanhola na Europa, América Central e América Latina sugere uma compreensão do cenário financeiro local e uma disposição de investir tempo e recursos no desenvolvimento de campanhas direcionadas.”