Brezilyalı bir tehdit aktörü, 2021’de başlayan uzun soluklu bir kampanyanın parçası olarak bilgi çalan kötü amaçlı yazılımlarla Portekiz finans kurumlarını hedefliyor.
SentinelOne araştırmacıları Aleksandar Milenkoski ve Tom Hegel, The Hacker News ile paylaşılan yeni bir raporda, “Saldırganlar kimlik bilgilerini çalabilir ve kullanıcıların verilerini ve kişisel bilgilerini çalabilir, bu da finansal kazancın ötesinde kötü niyetli faaliyetler için kullanılabilir.”
Bu yılın başlarında “Magalenha Operasyonu”nu izlemeye başlayan siber güvenlik firması, izinsiz girişlerin, adı verilen bir arka kapının iki çeşidinin konuşlandırılmasıyla sonuçlandığını söyledi. gözetlemeBaşlığı “saldırı gücünü en üst düzeye çıkarmak” için.
Brezilya’ya bağlantılar, tespit edilen yapılarda Brezilya-Portekizce dilinin kullanılmasından ve kaynak kodunun, ilk olarak Eylül 2021’de açıklanan Maxtrilha olarak bilinen başka bir bankacılık truva atı ile çakışmasından kaynaklanmaktadır.
Maxtrilha gibi PeepingTitle, Delphi programlama dilinde yazılmıştır ve saldırgana ele geçirilen ana bilgisayarlar üzerinde tam denetim sağlamanın yanı sıra ekran görüntüleri yakalar ve ek yükler bırakır.
Saldırı zincirleri, kimlik avı e-postaları ve kötü amaçlı yazılım yükleyiciyi yürütmekten sorumlu bir Visual Basic Komut Dosyası başlatmak üzere tasarlanmış popüler yazılımlar için sahte yükleyiciler barındıran sahte web siteleri ile başlar. Yükleyici daha sonra PeepingTitle arka kapılarını indirir ve yürütür.
PeepingTitle, kullanıcıların web’de gezinme etkinliğini izler ve hedef finansal kurumlardan biriyle eşleşen bir tarayıcı sekmesi açılırsa, ekran görüntülerini sızdırır ve uzak bir sunucudan daha fazla kötü amaçlı yürütülebilir dosya hazırlar.
Bu, pencere başlığını hedeflenen kuruluşlarla ilgili önceden tanımlanmış bir dizi diziyle karşılaştırarak elde edilir, ancak daha önce herhangi bir boşluk karakteri olmadan küçük harfli dizeye dönüştürülmez.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Araştırmacılar, “Tüm ekranı yakalayan ilk PeepingTitle varyantı ve kullanıcının etkileşimde bulunduğu her pencereyi yakalayan ikincisi ile bu kötü amaçlı yazılım ikilisi, tehdit aktörüne kullanıcı etkinliği hakkında ayrıntılı bir fikir sağlıyor” dedi.
Magalenha’nın önemli bir yönü, 2022’de DigitalOcean ve Dropbox’tan, kötü amaçlı yazılım barındırma ve komuta ve kontrol için altyapının kötüye kullanılmasına karşı daha yumuşak bir yaklaşıma sahip bir Rus bulut hizmeti sağlayıcısı olan Timeweb Cloud’a geçmesidir.
Araştırmacılar, “Magalenha Operasyonu, Brezilyalı tehdit aktörlerinin ısrarcı doğasını gösteriyor” dedi. “Bu gruplar, hedef ülkelerindeki kuruluşlar ve bireyler için gelişen bir tehdidi temsil ediyor ve kötü amaçlı yazılım cephaneliğini ve taktiklerini güncelleme konusunda tutarlı bir kapasite sergileyerek kampanyalarında etkili olmalarını sağlıyor.”
“Avrupa, Orta ve Latin Amerika’daki Portekizce ve İspanyolca konuşulan ülkelerdeki saldırıları düzenleme kapasiteleri, yerel mali ortamın anlaşılmasını ve hedeflenen kampanyalar geliştirmek için zaman ve kaynak ayırmaya istekli olduklarını gösteriyor.”