Un acteur brésilien de la menace cible plus de 30 institutions financières portugaises avec des logiciels malveillants voleurs d’informations dans le cadre d’une longue campagne qui a débuté en 2021.
« Les attaquants peuvent voler des informations d’identification et exfiltrer les données et les informations personnelles des utilisateurs, qui peuvent être exploitées pour des activités malveillantes au-delà du gain financier », ont déclaré les chercheurs de SentinelOne, Aleksandar Milenkoski et Tom Hegel. a dit dans un nouveau rapport partagé avec The Hacker News.
La société de cybersécurité, qui a commencé à suivre « l’opération Magalenha » plus tôt cette année, a déclaré que les intrusions aboutissaient au déploiement de deux variantes d’une porte dérobée appelée TitrePeeping afin de « maximiser la puissance d’attaque ».
Les liens vers le Brésil proviennent de l’utilisation de la langue brésilienne-portugaise dans les artefacts détectés ainsi que des chevauchements de code source avec un autre cheval de Troie bancaire connu sous le nom de Maxtrilhaqui a été divulgué pour la première fois en septembre 2021.
PeepingTitle, comme Maxtrilha, est écrit dans le langage de programmation Delphi et est équipé pour accorder à l’attaquant un contrôle total sur les hôtes compromis ainsi que pour capturer des captures d’écran et déposer des charges utiles supplémentaires.
Les chaînes d’attaque commencent par e-mails de phishing et sites Web malveillants héberger de faux installateurs pour des logiciels populaires conçus pour lancer un script Visual Basic responsable de l’exécution d’un chargeur de logiciels malveillants. Le chargeur télécharge et exécute ensuite les portes dérobées PeepingTitle.
PeepingTitle surveille l’activité de navigation Web des utilisateurs, et si un onglet de navigateur correspondant à l’une des institutions financières cibles est ouvert, il exfiltre les captures d’écran et met en scène d’autres exécutables malveillants à partir d’un serveur distant.
Ceci est réalisé en comparant le titre de la fenêtre à un ensemble prédéfini de chaînes liées aux organisations ciblées, mais pas avant de le transformer en chaîne minuscule sans aucun caractère d’espacement.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
« Avec la première variante PeepingTitle capturant l’intégralité de l’écran et la seconde capturant chaque fenêtre avec laquelle un utilisateur interagit, ce duo de logiciels malveillants fournit à l’auteur de la menace un aperçu détaillé de l’activité de l’utilisateur », ont expliqué les chercheurs.
Un aspect important de Magalenha est le passage de DigitalOcean et Dropbox en 2022 à Timeweb Cloud, un fournisseur de services cloud russe qui a une approche plus indulgente envers les abus d’infrastructure, pour l’hébergement de logiciels malveillants et le commandement et le contrôle.
« L’opération Magalenha indique la nature persistante des acteurs de la menace brésilienne », ont déclaré les chercheurs. « Ces groupes représentent une menace évolutive pour les organisations et les individus dans leurs pays cibles et ont démontré une capacité constante à mettre à jour leur arsenal et leurs tactiques de logiciels malveillants, leur permettant de rester efficaces dans leurs campagnes. »
« Leur capacité à orchestrer des attaques dans les pays lusophones et hispanophones d’Europe, d’Amérique centrale et d’Amérique latine suggère une compréhension du paysage financier local et une volonté d’investir du temps et des ressources dans le développement de campagnes ciblées. »
