A operação "Magalenha" tem como alvo as credenciais de 30 bancos portugueses
25 de Maio de 2023

Um grupo de hackers brasileiros tem como alvo desde 2021 trinta instituições financeiras governamentais e privadas portuguesas em uma campanha maliciosa chamada 'Operação Magalenha'.

Exemplos das entidades visadas incluem ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI e Novobanco.

Esta campanha foi exposta por um relatório da Sentinel Labs destacando as ferramentas utilizadas pelo ator da ameaça, os vários vetores de infecção e seus métodos de distribuição de malware.

Os analistas descobriram detalhes sobre a origem e as táticas do ator da ameaça graças a uma má configuração do servidor que expôs arquivos, diretórios, correspondência interna e mais.

Os atacantes usam muitos métodos para distribuir seu malware aos alvos, incluindo e-mails de phishing fingindo ser da Energias de Portugal (EDP) e da Autoridade Tributária e Aduaneira (AT), engenharia social e sites maliciosos que imitam essas organizações.

Em todos os casos, a infecção começa com a execução de um script VB obfuscado que busca e executa um carregador de malware, que por sua vez carrega duas variantes do backdoor 'PeepingTitle' no sistema da vítima após um atraso de cinco segundos.

"Os scripts VB são obfuscados de tal forma que o código malicioso é disperso entre grandes quantidades de comentários de código, que é normalmente conteúdo colado de repositórios de código publicamente disponíveis", explica a Sentinel Labs no relatório.

"Esta é uma técnica simples, mas eficaz para evadir mecanismos de detecção estática - os scripts disponíveis no VirusTotal apresentam taxas de detecção relativamente baixas."

Os analistas explicam que o objetivo desses scripts é distrair os usuários enquanto o malware é baixado e roubar suas credenciais da EDP e da AT direcionando-os para os portais falsos correspondentes.

PeepingTitle é um malware escrito em Delphi com data de compilação de abril de 2023, que a Sentinel Labs acredita ter sido desenvolvido por uma única pessoa ou equipe.

A razão pela qual os atacantes deixam cair duas variantes é usar uma para capturar a tela da vítima e a segunda para monitorar janelas e as interações do usuário com elas.

Além disso, a segunda variante pode buscar cargas adicionais após registrar a máquina da vítima e enviar detalhes de reconhecimento aos atacantes.

O malware verifica janelas que correspondem a uma lista de instituições financeiras codificadas e, quando encontra uma, registra todas as entradas do usuário (incluindo credenciais) e as envia para o servidor C2 do ator da ameaça.

PeepingTitle também pode capturar capturas de tela, encerrar processos no host, alterar sua configuração de intervalo de monitoramento no momento e preparar cargas de executáveis ou arquivos DLL, usando o rundll32 do Windows.

A Sentinel Labs notou vários casos em que os atores da ameaça demonstraram a capacidade de superar obstáculos operacionais desde o início da Operação Magalenha.

Em meados de 2022, o grupo mudou de abusar do DigitalOcean Spaces para C2 e hospedagem e distribuição de malware e começou a usar provedores de serviços em nuvem mais obscuros, como o Timeweb baseado na Rússia.

Os analistas acreditam que essa mudança ocorreu devido à diligência devida do DigitalOcean causando muitas interrupções de campanha e dificuldades operacionais.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...