Eerder dit jaar voerden dreigingsactoren een campagne uit om de persoonlijke en financiële informatie te stelen van klanten van Portugese banken, waaronder particuliere en overheidsinstellingen en instellingen.

Onderzoekers van SentinelLabs noemden het "Operatie Magalenha". een rapport gepubliceerd op de ochtend van 25 mei. Magalenha valt zowel op door zijn payload, "PeepingTitle" - een multifunctionele achterdeur geschreven in de programmeertaal Delphi - als door zijn verstrooide benadering van cyberspionage.

De onderzoekers beoordeelden "met groot vertrouwen" dat de daders van Magalenha Braziliaans waren, zoals blijkt uit hun gebruik van Portugees in Braziliaanse stijl in hun code, evenals de overlappingen van PeepingTitle met het Braziliaanse Maxtrilha-malwarefamilie.

Al met al geeft de campagne een kijkje in de ecosysteem van cybercriminaliteit in Brazilië vandaag.

"Die regio wordt over het algemeen ondergerapporteerd of over het hoofd gezien in de beveiligingsindustrie", zegt Tom Hegel, senior dreigingsonderzoeker bij SentinelOne, "maar er is veel aan de hand. Het is een erg rommelig ecosysteem van bedreigingsactoren.”

Cybercriminaliteit Operatie Magalenha

Operatie Magalenha was in de eerste fase willekeurig en maakte gebruik van phishing-e-mails, kwaadaardige websites met valse app-installatieprogramma's en aanverwante vormen van social engineering om doelwitten binnen te lokken. De infectie begon toen de doelwitten onbewust een kwaadaardig Visual Basic-script uitvoerden.

Het script deed een drievoudige taak. Aan de ene kant opende het inlogpagina's voor Energias de Portugal en de Portugese belasting- en douaneautoriteit, met als doel de aandacht af te leiden van zijn tweede functie: het laten vallen van een malwarelader. Als een slachtoffer daadwerkelijk zijn Energias- of douane-inloggegevens invoerde - in het laatste geval vaak door de overheid uitgegeven inloggegevens - verzamelde het programma ze voor toekomstig gebruik.

Vervolgens zou de malware-lader PeepingTitle downloaden, een in Delphi geschreven achterdeur voor het stelen van informatie. Delphi is een programmeertaal voor algemeen gebruik waarover men zelden veel hoort in cyberkringen in het noorden.

'Het is grappig dat je dat zegt', zegt Hegel als het onderwerp ter sprake komt. "Toen we deze campagne voor het eerst gingen onderzoeken, wetende dat het verband hield met Brazilië, dachten we meteen: het is waarschijnlijk Delphi." Er is geen aanwijsbare technische reden voor Delphi's relatief lokale populariteit, denkt Hegel. "Veel ervan komt gewoon door de manier waarop het onderwijs daar wordt gegeven, omdat iedereen in die regio het meestal kent."

De door Delphi aangestuurde PeepingTitle werkt door de websites te volgen die een slachtoffer heeft bezocht. Als iemand een domein van een Portugese financiële instelling heeft bezocht, ontwaakt de malware: verbinding maken met een C2-server, schermafbeeldingen maken, gegevens exfiltreren en mogelijk verdere malware opvoeren.

Over het algemeen, zegt Hegel, “komt het overeen met wat je verwacht van normale financiële malware. Het is er puur op gericht om deze data outbound te kunnen krijgen en detectie zoveel mogelijk te beperken.”

Dat gezegd hebbende, richtte Magalenha zich op zowel persoonlijke als financiële gegevens van individuen en instellingen in zowel de overheids- als de particuliere sector. "Er is dus meer dan alleen je reguliere financiële diefstal - er zijn aanwijzingen voor nevendoelen die ze mogelijk nastreven, zoals initiële toegangsbemiddeling", voegt Hegel toe.

PeepingTitle: Malware in beweging

Wat ook opvalt aan PeepingTitle is dat het in twee varianten komt. Maar de varianten hebben nauwelijks een wezenlijk verschil tussen hen, behalve dat de ene het browservenster van een slachtoffer vastlegde, terwijl de andere het hele scherm vastlegde. Hegel denkt dat "het erop kan wijzen dat de aanvallers zijn geëvolueerd om later tweede mogelijkheden toe te voegen, of het is gewoon puur experimenteren."

"Ik denk dat dit erop wijst dat het niet erg goed gepland is", voegt hij eraan toe.

Naast de gelijkaardige varianten, wijst hij op ander bewijs van het gebrek aan discipline van de hackers, zoals hun experimenten met andere infrastructuur - het ruilen van de Amerikaanse provider DigitalOcean voor een meer lakse Russische dienst, TimeWeb, bijvoorbeeld - en de relatief ongerichte aard van hun informatiediefstal. .

"Als dit iemand was die capabeler was," concludeert Hegel, "zou ze het proces van nadenken over waar ze verbinding mee willen maken en stelen, kunnen doorlopen in een enkel pakket in plaats van meerdere pakketten, waardoor de kans groter wordt dat ze worden gepakt. . In plaats daarvan wordt er gewoon veel geëxperimenteerd, veel gespeeld en niet veel diepgaande, strategische planning.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://www.darkreading.com/endpoint/-operation-magalenha-attacks-window-brazil-cybercrime-ecosystem