Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Các cuộc tấn công 'Chiến dịch Magalenha' mở ra cánh cửa cho hệ sinh thái tội phạm mạng của Brazil

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 158

Đầu năm nay, những kẻ đe dọa đã thực hiện một chiến dịch đánh cắp thông tin cá nhân và thông tin tài chính của khách hàng của các ngân hàng Bồ Đào Nha, bao gồm cả tư nhân, chính phủ và các tổ chức.

Các nhà nghiên cứu từ SentinelLabs đặt tên cho nó là “Chiến dịch Magalenha,” trong một báo cáo được công bố vào sáng ngày 25 tháng XNUMX. Magalenha đáng chú ý cả về tải trọng của nó, “PeepingTitle” — một cửa hậu đa chức năng được viết bằng ngôn ngữ lập trình Delphi — và cách tiếp cận gián điệp mạng một cách phân tán của nó.

Các nhà nghiên cứu đã đánh giá “với độ tin cậy cao” rằng thủ phạm của Magalenha là người Brazil, bằng chứng là họ sử dụng tiếng Bồ Đào Nha kiểu Brazil trong mã của họ, cũng như sự trùng lặp của PeepingTitle với tiếng Brazil. Dòng phần mềm độc hại Maxtrilha.

Nhìn chung, chiến dịch cung cấp một cửa sổ vào hệ sinh thái của tội phạm mạng ở Brazil ngày nay.

Tom Hegel, nhà nghiên cứu mối đe dọa cấp cao tại SentinelOne cho biết: “Khu vực đó thường không được báo cáo đầy đủ hoặc bị bỏ sót trong ngành bảo mật, nhưng có rất nhiều điều đang diễn ra. Đó là một hệ sinh thái rất lộn xộn của các tác nhân đe dọa.”

Hoạt động tội phạm mạng Magalenha

Chiến dịch Magalenha bừa bãi trong giai đoạn đầu, sử dụng email lừa đảo, trang web độc hại với trình cài đặt ứng dụng giả mạo và các hình thức liên quan của kỹ thuật xã hội để thu hút mục tiêu. Sau đó, sự lây nhiễm bắt đầu khi các mục tiêu vô tình thực thi một tập lệnh Visual Basic độc hại.

Kịch bản đã làm ba nhiệm vụ. Một mặt, nó mở các trang đăng nhập cho Energias de Portugal và Cơ quan Thuế và Hải quan Bồ Đào Nha, với mục đích thu hút sự chú ý khỏi chức năng thứ hai: loại bỏ trình tải phần mềm độc hại. Nếu một nạn nhân thực sự nhập thông tin đăng nhập Energias hoặc Hải quan của họ — trong trường hợp sau, thông tin đăng nhập thường do chính phủ cấp — chương trình sẽ thu thập chúng để sử dụng trong tương lai.

Tiếp theo, trình tải phần mềm độc hại sẽ tải xuống PeepingTitle, một cửa hậu ăn cắp thông tin được viết bằng Delphi. Delphi là một ngôn ngữ lập trình có mục đích chung mà người ta hiếm khi nghe nhiều về giới mạng ở phía bắc.

“Thật buồn cười khi bạn đề cập đến điều đó,” Hegel nói khi chủ đề được đưa ra. “Khi chúng tôi lần đầu tiên bắt đầu xem xét chiến dịch này, khi biết nó có liên quan đến Brazil, chúng tôi ngay lập tức nghĩ: Có lẽ đó là Delphi.” Hegel nghĩ rằng không có bất kỳ lý do kỹ thuật nào có thể xác định được cho sự phổ biến tương đối cục bộ của Delphi. “Phần lớn là do cách giáo dục được thực hiện ở đó, bởi vì mọi người ở khu vực đó đều có xu hướng biết đến nó.”

PeepingTitle do Delphi điều khiển hoạt động bằng cách theo dõi các trang web mà nạn nhân đã truy cập. Nếu ai đó đã truy cập miền thuộc một tổ chức tài chính Bồ Đào Nha, phần mềm độc hại sẽ đánh thức: kết nối với máy chủ C2, chụp ảnh màn hình, lọc dữ liệu và có khả năng tạo ra phần mềm độc hại khác.

Nói chung, Hegel nói, “nó ngang bằng với những gì bạn mong đợi về một phần mềm độc hại tài chính thông thường. Nó hoàn toàn tập trung vào việc có thể đưa dữ liệu này ra bên ngoài và hạn chế bị phát hiện nhiều nhất có thể.”

Điều đó nói rằng, Magalenha đã nhắm mục tiêu cả dữ liệu cá nhân và tài chính từ các cá nhân và tổ chức trong chính phủ và khu vực tư nhân. “Vì vậy, không chỉ có hành vi trộm cắp tài chính thông thường của bạn — còn có manh mối về các mục tiêu thầm kín mà họ có thể đang theo đuổi, chẳng hạn như môi giới truy cập ban đầu,” Hegel cho biết thêm.

PeepingTitle: Phần mềm độc hại trong Flux

Cũng đáng chú ý về PeepingTitle là nó có hai biến thể. Nhưng các biến thể hầu như không có bất kỳ sự khác biệt đáng kể nào giữa chúng, ngoài thực tế là một biến thể đã chụp cửa sổ trình duyệt của nạn nhân, trong khi biến thể kia chiếm toàn bộ màn hình. Hegel cho rằng “điều đó có thể chỉ ra rằng những kẻ tấn công đã tiến hóa để bổ sung các khả năng thứ hai sau này, hoặc đó chỉ là thử nghiệm thuần túy”.

“Tôi nghĩ điều này chỉ ra một thực tế là nó không được lên kế hoạch cực kỳ tốt,” anh ấy nói thêm.

Bên cạnh các biến thể giống nhau, ông chỉ ra những bằng chứng khác về sự thiếu kỷ luật của tin tặc, chẳng hạn như thử nghiệm của chúng với cơ sở hạ tầng khác nhau – chẳng hạn như hoán đổi nhà cung cấp DigitalOcean của Mỹ để lấy một dịch vụ lỏng lẻo hơn của Nga, TimeWeb – và bản chất tương đối không tập trung của hành vi đánh cắp thông tin của chúng. .

“Nếu ai đó có khả năng hơn,” Hegel kết luận, “họ có thể trải qua quá trình suy nghĩ về những gì họ muốn kết nối và đánh cắp, và thực hiện điều đó trong một gói duy nhất thay vì nhiều gói, điều này làm tăng khả năng bị bắt . Thay vào đó, chỉ có rất nhiều thử nghiệm, chơi nhiều và không có nhiều kế hoạch chiến lược sâu sắc.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.