Brezilyalı bir tehdit aktörü, 2021’de başlayan uzun soluklu bir kampanyanın parçası olarak bilgi çalan kötü amaçlı yazılımlarla 30’dan fazla Portekiz finans kurumunu hedefliyor.
SentinelOne araştırmacıları Aleksandar Milenkoski ve Tom Hegel, “Saldırganlar kimlik bilgilerini çalabilir ve kullanıcıların verilerini ve kişisel bilgilerini çalabilir, bu da finansal kazancın ötesinde kötü niyetli faaliyetler için kullanılabilir.” söz konusu The Hacker News ile paylaşılan yeni bir raporda.
Bu yılın başlarında “Magalenha Operasyonu”nu izlemeye başlayan siber güvenlik firması, izinsiz girişlerin, adı verilen bir arka kapının iki çeşidinin konuşlandırılmasıyla sonuçlandığını söyledi. gözetlemeBaşlığı “saldırı gücünü en üst düzeye çıkarmak” için.
Brezilya’ya olan bağlantılar, tespit edilen eserlerde Brezilya-Portekizce dilinin kullanılmasından ve ayrıca kaynak kodu olarak bilinen başka bir bankacılık truva atı ile çakışmasından kaynaklanmaktadır. Maxtrilhailk olarak Eylül 2021’de açıklandı.
Maxtrilha gibi PeepingTitle, Delphi programlama dilinde yazılmıştır ve saldırgana ele geçirilen ana bilgisayarlar üzerinde tam denetim sağlamanın yanı sıra ekran görüntüleri yakalar ve ek yükler bırakır.
Saldırı zincirleri ile başlar kimlik avı e-postaları ve hileli web siteleri Kötü amaçlı bir yükleyiciyi çalıştırmaktan sorumlu bir Visual Basic Komut Dosyası başlatmak üzere tasarlanmış popüler yazılımlar için sahte yükleyiciler barındırma. Yükleyici daha sonra PeepingTitle arka kapılarını indirir ve yürütür.
PeepingTitle, kullanıcıların web’de gezinme etkinliğini izler ve hedef finansal kurumlardan biriyle eşleşen bir tarayıcı sekmesi açılırsa, ekran görüntülerini sızdırır ve uzak bir sunucudan daha fazla kötü amaçlı yürütülebilir dosya hazırlar.
Bu, pencere başlığını bankacılık kuruluşlarıyla ilgili önceden tanımlanmış bir dizi diziyle karşılaştırarak elde edilir, ancak onu herhangi bir boşluk karakteri olmayan küçük harfli dizeye dönüştürmeden önce değil.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Araştırmacılar, “Tüm ekranı yakalayan ilk PeepingTitle varyantı ve kullanıcının etkileşimde bulunduğu her pencereyi yakalayan ikincisi ile bu kötü amaçlı yazılım ikilisi, tehdit aktörüne kullanıcı etkinliği hakkında ayrıntılı bir fikir sağlıyor” dedi.
Magalenha’nın önemli bir yönü, 2022’de DigitalOcean ve Dropbox’tan, kötü amaçlı yazılım barındırma ve komuta ve kontrol için altyapının kötüye kullanılmasına karşı daha yumuşak bir yaklaşıma sahip bir Rus bulut hizmeti sağlayıcısı olan Timeweb Cloud’a geçmesidir.
Sofistike bilgisayar korsanlığı çabası, Latin Amerika’dan kaynaklanan uzun bir finansal amaçlı kötü amaçlı yazılım kampanyaları dizisindeki en son yinelemeyi temsil ediyor. Bu Mart ayının başlarında Metabase Q, Bolivya, Şili, Meksika, Peru ve Portekiz’i hedef alan bir Mispadu saldırı dalgasını ortaya çıkardı.
Araştırmacılar, “Magalenha Operasyonu, Brezilyalı tehdit aktörlerinin ısrarcı doğasını gösteriyor” dedi. “Bu gruplar, hedef ülkelerindeki kuruluşlar ve bireyler için gelişen bir tehdidi temsil ediyor ve kötü amaçlı yazılım cephaneliğini ve taktiklerini güncelleme konusunda tutarlı bir kapasite sergileyerek kampanyalarında etkili olmalarını sağlıyor.”
“Avrupa, Orta ve Latin Amerika’daki Portekizce ve İspanyolca konuşulan ülkelerdeki saldırıları düzenleme kapasiteleri, yerel mali ortamın anlaşılmasını ve hedeflenen kampanyalar geliştirmek için zaman ve kaynak ayırmaya istekli olduklarını gösteriyor.”
