Un actor de amenazas brasileño apunta a las instituciones financieras portuguesas con malware de robo de información como parte de una campaña de larga duración que comenzó en 2021.
«Los atacantes pueden robar credenciales y exfiltrar datos e información personal de los usuarios, que pueden aprovecharse para actividades maliciosas más allá de la ganancia financiera», los investigadores de SentinelOne, Aleksandar Milenkoski y Tom Hegel. dicho en un nuevo informe compartido con The Hacker News.
La firma de ciberseguridad, que comenzó a rastrear la «Operación Magalenha» a principios de este año, dijo que las intrusiones culminan con el despliegue de dos variantes de una puerta trasera llamada PeepingTítulo para «maximizar la potencia de ataque».
Los enlaces a Brasil se derivan del uso del idioma portugués brasileño dentro de los artefactos detectados, así como de la superposición del código fuente con otro troyano bancario conocido como Maxtrilhaque se reveló por primera vez en septiembre de 2021.
PeepingTitle, como Maxtrilha, está escrito en el lenguaje de programación Delphi y está equipado para otorgar al atacante el control total sobre los hosts comprometidos, así como para capturar capturas de pantalla y soltar cargas útiles adicionales.
Las cadenas de ataque comienzan con correos electrónicos de phishing y sitios web no autorizados alojar instaladores falsos para software popular que están diseñados para iniciar un script de Visual Basic responsable de ejecutar un cargador de malware. Posteriormente, el cargador descarga y ejecuta las puertas traseras PeepingTitle.
PeepingTitle monitorea la actividad de navegación web de los usuarios, y si se abre una pestaña del navegador que coincide con una de las instituciones financieras de destino, extrae capturas de pantalla y organiza más ejecutables de malware desde un servidor remoto.
Esto se logra comparando el título de la ventana con un conjunto predefinido de cadenas relacionadas con las organizaciones objetivo, pero no antes de transformarlo en una cadena en minúsculas sin ningún espacio en blanco.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
«Con la primera variante de PeepingTitle capturando la pantalla completa, y la segunda capturando cada ventana con la que interactúa un usuario, este dúo de malware proporciona al actor de amenazas una visión detallada de la actividad del usuario», explicaron los investigadores.
Un aspecto importante de Magalenha es el cambio de DigitalOcean y Dropbox en 2022 a Timeweb Cloud, un proveedor de servicios en la nube ruso que tiene un enfoque más indulgente hacia el abuso de la infraestructura, para el alojamiento de malware y el comando y control.
«La Operación Magalenha indica la naturaleza persistente de los actores de amenazas brasileños», dijeron los investigadores. «Estos grupos representan una amenaza en evolución para las organizaciones y las personas en sus países objetivo y han demostrado una capacidad constante para actualizar su arsenal y tácticas de malware, lo que les permite seguir siendo efectivos en sus campañas».
«Su capacidad para orquestar ataques en países de habla portuguesa e hispana en Europa, América Central y América Latina sugiere una comprensión del panorama financiero local y la voluntad de invertir tiempo y recursos en el desarrollo de campañas dirigidas».