Η «Επιχείρηση Magalenha» στοχεύει τα διαπιστευτήρια 30 πορτογαλικών τραπεζών
Μια βραζιλιάνικη ομάδα hacking στοχεύει τριάντα πορτογαλικά κυβερνητικά και ιδιωτικά χρηματοπιστωτικά ιδρύματα από το 2021 σε μια κακόβουλη εκστρατεία που ονομάζεται «Επιχείρηση Magalenha».
Στα παραδείγματα των στοχευόμενων οντοτήτων περιλαμβάνονται οι ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI και Novobanco.
Αυτή η καμπάνια αποκαλύφθηκε από μια αναφορά της Sentinel Labs που υπογράμμιζε τα εργαλεία που χρησιμοποιούνται από τον παράγοντα απειλής, τους διάφορους φορείς μόλυνσης και τις μεθόδους διανομής κακόβουλου λογισμικού.
Οι αναλυτές αποκάλυψαν λεπτομέρειες σχετικά με την προέλευση και τις τακτικές του παράγοντα απειλής χάρη σε μια εσφαλμένη διαμόρφωση διακομιστή που αποκάλυψε αρχεία, καταλόγους, εσωτερική αλληλογραφία και πολλά άλλα.
Η αρχική μόλυνση
Οι εισβολείς χρησιμοποιούν πολλές μεθόδους για να διανείμουν το κακόβουλο λογισμικό τους σε στόχους, συμπεριλαμβανομένων των email phishing που προσποιούνται ότι προέρχονται από την Energias de Portugal (EDP) και την Πορτογαλική Φορολογική και Τελωνειακή Αρχή (AT), την κοινωνική μηχανική και κακόβουλους ιστότοπους που μιμούνται αυτούς τους οργανισμούς.
Σε όλες τις περιπτώσεις, η μόλυνση ξεκινά με την εκτέλεση ενός σκοτεινού σεναρίου VB που ανακτά και εκτελεί έναν φορτωτή κακόβουλου λογισμικού, ο οποίος με τη σειρά του φορτώνει δύο παραλλαγές του backdoor «PeepingTitle» στο σύστημα του θύματος μετά από καθυστέρηση πέντε δευτερολέπτων.
“Τα σενάρια VB είναι ασαφή, έτσι ώστε ο κακόβουλος κώδικας είναι διάσπαρτος σε μεγάλες ποσότητες σχολίων κώδικα, το οποίο είναι συνήθως επικολλημένο περιεχόμενο δημοσίως διαθέσιμων αποθετηρίων κώδικα”, εξηγεί η Sentinel Labs στην αναφορά.
“Αυτή είναι μια απλή, αλλά αποτελεσματική τεχνική για την αποφυγή μηχανισμών στατικής ανίχνευσης – τα σενάρια που είναι διαθέσιμα στο VirusTotal διαθέτουν σχετικά χαμηλές αναλογίες ανίχνευσης.”
Οι αναλυτές εξηγούν ότι ο σκοπός αυτών των σεναρίων είναι να αποσπάσουν την προσοχή των χρηστών κατά τη λήψη κακόβουλου λογισμικού και να κλέψουν τα διαπιστευτήριά τους EDP και AT κατευθύνοντάς τους στις αντίστοιχες ψεύτικες πύλες.
Backdoor “PeepingTitle”.
Το PeepingTitle είναι ένα κακόβουλο λογισμικό γραμμένο από τους Delphi με ημερομηνία συλλογής τον Απρίλιο του 2023, το οποίο η Sentinel Labs πιστεύει ότι αναπτύχθηκε από ένα άτομο ή ομάδα.
Ο λόγος για τον οποίο οι εισβολείς ρίχνουν δύο παραλλαγές είναι να χρησιμοποιούν τη μία για τη λήψη της οθόνης του θύματος και τη δεύτερη για την παρακολούθηση των παραθύρων και τις αλληλεπιδράσεις του χρήστη με αυτά.
Επίσης, η δεύτερη παραλλαγή μπορεί να φέρει πρόσθετα ωφέλιμα φορτία μετά την εγγραφή του μηχανήματος του θύματος και την αποστολή στοιχείων αναγνώρισης στους επιτιθέμενους.
Το κακόβουλο λογισμικό ελέγχει για παράθυρα που ταιριάζουν με μια λίστα με σκληρά κωδικοποιημένα χρηματοπιστωτικά ιδρύματα και, όταν βρει ένα, καταγράφει όλα τα δεδομένα χρήστη (συμπεριλαμβανομένων των διαπιστευτηρίων) και τα στέλνει στον διακομιστή C2 του παράγοντα απειλής.
Το PeepingTitle μπορεί επίσης να καταγράψει στιγμιότυπα οθόνης, να τερματίσει τις διεργασίες στον κεντρικό υπολογιστή, να αλλάξει τις παραμέτρους του διαστήματος παρακολούθησης εν κινήσει και να σκηνοθετήσει ωφέλιμα φορτία από εκτελέσιμα αρχεία ή αρχεία DLL, χρησιμοποιώντας το Windows rundll32.
Η Sentinel Labs έχει παρατηρήσει αρκετές περιπτώσεις όπου οι παράγοντες της απειλής επέδειξαν την ικανότητα να ξεπερνούν επιχειρησιακά εμπόδια από την αρχή της Επιχείρησης Magalenha.
Στα μέσα του 2022, η ομάδα άλλαξε από την κατάχρηση του DigitalOcean Spaces για φιλοξενία και διανομή C2 και κακόβουλου λογισμικού και άρχισε να χρησιμοποιεί πιο σκοτεινούς παρόχους υπηρεσιών cloud, όπως το Timeweb που εδρεύει στη Ρωσία.
Οι αναλυτές πιστεύουν ότι αυτή η κίνηση οφείλεται στη δέουσα επιμέλεια της DigitalOcean που προκάλεσε πάρα πολλές διακοπές στην εκστρατεία και λειτουργικές δυσκολίες.
