Ngày 25 tháng 5 năm 2023Ravie LakshmananAn ninh tài chính / Đe dọa mạng
Một tác nhân đe dọa người Brazil đang nhắm mục tiêu hơn 30 tổ chức tài chính Bồ Đào Nha bằng phần mềm độc hại đánh cắp thông tin như một phần của chiến dịch kéo dài bắt đầu vào năm 2021.
“Những kẻ tấn công có thể đánh cắp thông tin đăng nhập và lọc dữ liệu và thông tin cá nhân của người dùng, có thể được sử dụng cho các hoạt động độc hại ngoài lợi ích tài chính”, các nhà nghiên cứu của SentinelOne, Aleksandar Milenkoski và Tom Hegel cho biết trong một báo cáo mới được chia sẻ với The Hacker News.
Công ty an ninh mạng, bắt đầu theo dõi “Chiến dịch Magalenha” vào đầu năm nay, cho biết các vụ xâm nhập lên đến đỉnh điểm khi triển khai hai biến thể của một cửa hậu có tên là nhìn trộmtiêu đề để “tối đa hóa khả năng tấn công.”
Các liên kết đến Brazil bắt nguồn từ việc sử dụng ngôn ngữ Brazil-Bồ Đào Nha trong các phần mềm giả được phát hiện cũng như mã nguồn trùng lặp với một trojan ngân hàng khác có tên Maxtrilha, lần đầu tiên được tiết lộ vào tháng 9 năm 2021.
PeepingTitle, giống như Maxtrilha, được viết bằng ngôn ngữ lập trình Delphi và được trang bị để cấp cho kẻ tấn công toàn quyền kiểm soát các máy chủ bị xâm nhập cũng như chụp ảnh màn hình và thả các tải trọng bổ sung.
Chuỗi tấn công bắt đầu bằng email lừa đảo và trang web giả mạo lưu trữ trình cài đặt giả mạo cho phần mềm phổ biến được thiết kế để khởi chạy Tập lệnh Visual Basic chịu trách nhiệm thực thi trình tải phần mềm độc hại. Trình tải sau đó tải xuống và thực thi các cửa hậu PeepingTitle.
PeepingTitle giám sát hoạt động duyệt web của người dùng và nếu tab trình duyệt phù hợp với một trong các tổ chức tài chính mục tiêu được mở, nó sẽ lọc các ảnh chụp màn hình và xử lý thêm phần mềm độc hại có thể thực thi được từ một máy chủ từ xa.
Điều này đạt được bằng cách so sánh tiêu đề cửa sổ với một tập hợp các chuỗi được xác định trước liên quan đến các tổ chức ngân hàng, nhưng không phải trước khi chuyển nó thành chuỗi chữ thường và không có bất kỳ ký tự khoảng trắng nào.
Các nhà nghiên cứu giải thích: “Với biến thể PeepingTitle đầu tiên chụp toàn bộ màn hình và biến thể thứ hai chụp từng cửa sổ mà người dùng tương tác, bộ đôi phần mềm độc hại này cung cấp cho kẻ đe dọa thông tin chi tiết về hoạt động của người dùng”.
Một khía cạnh quan trọng của Magalenha là sự chuyển đổi từ DigitalOcean và Dropbox vào năm 2022 sang Timeweb Cloud, một nhà cung cấp dịch vụ đám mây của Nga có cách tiếp cận nhẹ nhàng hơn đối với việc lạm dụng cơ sở hạ tầng, để lưu trữ phần mềm độc hại và ra lệnh và kiểm soát.
Nỗ lực hack tinh vi đại diện cho sự lặp lại mới nhất trong một chuỗi dài các chiến dịch phần mềm độc hại có động cơ tài chính bắt nguồn từ Mỹ Latinh. Đầu tháng 3 này, Metabase Q đã phát hiện ra một làn sóng tấn công Mispadu nhắm vào Bolivia, Chile, Mexico, Peru và Bồ Đào Nha.
Các nhà nghiên cứu cho biết: “Chiến dịch Magalenha cho thấy bản chất dai dẳng của các tác nhân đe dọa Brazil”. “Các nhóm này đại diện cho mối đe dọa ngày càng tăng đối với các tổ chức và cá nhân ở các quốc gia mục tiêu của họ và đã chứng minh khả năng nhất quán trong việc cập nhật kho vũ khí và chiến thuật phần mềm độc hại của họ, cho phép họ duy trì hiệu quả trong các chiến dịch của mình.”
“Khả năng dàn dựng các cuộc tấn công của họ ở các quốc gia nói tiếng Bồ Đào Nha và Tây Ban Nha ở Châu Âu, Trung và Mỹ Latinh cho thấy họ hiểu biết về bối cảnh tài chính địa phương và sẵn sàng đầu tư thời gian và nguồn lực vào việc phát triển các chiến dịch được nhắm mục tiêu.”
