Bu yılın başlarında, tehdit aktörleri özel, devlet ve kurumlar da dahil olmak üzere Portekiz bankalarının müşterilerinin kişisel ve finansal bilgilerini çalmak için bir kampanya yürüttü.
SentinelLabs’ten araştırmacılar, 25 Mayıs sabahı yayınlanan bir raporda bunu “Magalenha Operasyonu” olarak adlandırdılar. Magalenha, hem yükü, hem de Delphi programlama dilinde yazılmış çok işlevli bir arka kapı olan “PeepingTitle” ve siber casusluğa dağınık yaklaşımıyla dikkat çekiyor.
Araştırmacılar, kodlarında Brezilya tarzı Portekizce kullanmalarının yanı sıra PeepingTitle’ın Brezilyalı Maxtrilha kötü amaçlı yazılım ailesiyle örtüşmesinden de anlaşılacağı üzere, Magalenha’nın faillerinin Brezilyalı olduğunu “yüksek bir güvenle” değerlendirdiler.
Toplam olarak, kampanya bugün Brezilya’daki siber suç ekosistemine bir pencere açıyor.
SentinelOne’da kıdemli tehdit araştırmacısı olan Tom Hegel, “Bu bölge genellikle güvenlik endüstrisinde eksik rapor ediliyor veya gözden kaçırılıyor,” diyor, “ancak çok şey oluyor. Tehdit aktörlerinden oluşan çok dağınık bir ekosistem.”
Siber Suç Operasyonu Magalenha
Magalenha Operasyonu ilk aşamasında ayrım gözetmeksizin gerçekleştirildi, hedefleri cezbetmek için kimlik avı e-postaları, sahte uygulama yükleyicileri olan kötü amaçlı web siteleri ve ilgili sosyal mühendislik biçimleri kullanıldı. Hedefler farkında olmadan kötü amaçlı bir Visual Basic komut dosyası çalıştırdığında enfeksiyon başladı.
Senaryo üçlü görev yaptı. Bir yandan, dikkatleri ikinci işlevinden, kötü amaçlı bir yükleyici bırakmaktan uzaklaştırmak amacıyla Energias de Portugal ve Portekiz Vergi ve Gümrük İdaresi için oturum açma sayfaları açtı. Bir kurban Energias veya Gümrük kimlik bilgilerini gerçekten girdiyse – ikincisi durumunda, genellikle devlet tarafından verilen kimlik bilgileri – program bunları gelecekte kullanmak üzere topladı.
Ardından, kötü amaçlı yazılım yükleyici, Delphi’de yazılmış bir bilgi hırsızlığı arka kapısı olan PeepingTitle’ı indirecekti. Delphi, kuzeydeki siber çevrelerde hakkında nadiren çok şey duyulan genel amaçlı bir programlama dilidir.
Konu açıldığında Hegel, “Bundan bahsetmen komik,” diyor. “Brezilya ile bağlantılı olduğunu bildiğimiz için bu kampanyayı ilk incelemeye başladığımızda, hemen şöyle düşündük: Muhtemelen Delphi.” Hegel, Delphi’nin nispeten yerelleşmiş popülaritesinin tanımlanabilir herhangi bir teknik nedeni olmadığını düşünüyor. “Birçoğu, eğitimin orada yapılma şeklinden kaynaklanıyor, çünkü o bölgedeki herkes bunu biliyor.”
Delphi güdümlü PeepingTitle, bir kurbanın ziyaret ettiği web sitelerini izleyerek çalışır. Birisi bir Portekiz finans kuruluşuna ait bir etki alanını ziyaret ederse, kötü amaçlı yazılım uyanır: bir C2 sunucusuna bağlanır, ekran görüntüleri alır, verileri sızdırır ve potansiyel olarak daha fazla kötü amaçlı yazılım hazırlar.
Hegel, genel olarak, “normal bir finansal kötü amaçlı yazılımdan beklediğinizle aynı seviyede. Tamamen bu verileri dışarı aktarabilmeye ve algılamayı mümkün olduğunca sınırlandırmaya odaklanıyor” diyor.
Bununla birlikte, Magalenha hem devlet hem de özel sektördeki bireylerden ve kurumlardan gelen hem kişisel hem de finansal verileri hedef aldı. Hegel, “Yani, olağan finansal hırsızlığınızdan daha fazlası var – ilk erişim komisyonculuğu gibi peşinde olabilecekleri gizli hedeflere dair ipuçları var” diye ekliyor.
PeepingTitle: Flux’ta Bir Kötü Amaçlı Yazılım
Ayrıca PeepingTitle hakkında dikkate değer olan şey, iki varyantta gelmesidir. Ancak, birinin kurbanın tarayıcı penceresini yakalarken diğerinin tüm ekranı yakalaması dışında, varyantlar arasında neredeyse hiçbir anlamlı fark yoktur. Hegel, “saldırganların daha sonra ikinci yetenekler eklemek için evrimleştiğini gösterebilir veya bu sadece tamamen deneydir” diye düşünüyor.
“Bence bu, çok iyi planlanmadığına işaret ediyor” diye ekliyor.
Benzer varyantların yanı sıra, bilgisayar korsanlarının disiplin eksikliğine dair başka kanıtlara da işaret ediyor; örneğin, farklı altyapılarla deney yapmaları (örneğin, Amerikan sağlayıcı DigitalOcean’ı daha gevşek bir Rus hizmeti olan TimeWeb ile değiştirmek) ve bilgi çalmalarının görece odaklanmamış doğası. .
“Eğer bu daha yetenekli biri olsaydı,” diye bitiriyor Hegel, “neye bağlanmak ve çalmak istediklerini düşünme sürecinden geçebilir ve bunu çoklu paketler yerine tek bir pakette yapabilirler, bu da yakalanma olasılığını artırır. Bunun yerine, sadece çok fazla deney, çok fazla oyun var ve çok fazla derin, stratejik planlama yok.”