Βραζιλιάνοι hackers φαίνεται πως στοχεύουν τριάντα πορτογαλικά κυβερνητικά και ιδιωτικά χρηματοπιστωτικά ιδρύματα από το 2021 στα πλαίσια μιας εκστρατείας με το όνομα “Operation Magalenha“.
Μεταξύ των στόχων βρίσκονται οι: ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI και Novobanco.
Η καμπάνια αποκαλύφθηκε από μια αναφορά της Sentinel Labs που εξηγούσε τις επιθέσεις, αναφέροντας τα εργαλεία που χρησιμοποιούν οι hackers, τους διάφορους φορείς μόλυνσης και τις μεθόδους διανομής του malware.
Δείτε επίσης: Αρμενία: Δημοσιογράφοι και ακτιβιστές στο στόχαστρο του Pegasus spyware
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/466500/operation-magalenha-brazilanoi-hackers-stoxeuoun-portogalika-xrimatopistotika-idrimata/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2023/04/τραπεζα-min.jpg&description=Βραζιλιάνοι hackers στοχεύουν πορτογαλικά χρηματοπιστωτικά ιδρύματα στα πλαίσια μιας εκστρατείας με το όνομα "Operation Magalenha".){kind=link}
Οι αναλυτές μπόρεσαν να συλλέξουν πληροφορίες για την προέλευση και τις τακτικές των επιτιθέμενων χάρη σε μια εσφαλμένη διαμόρφωση διακομιστή που αποκάλυψε αρχεία, καταλόγους, εσωτερική αλληλογραφία και πολλά άλλα.
Πώς ξεκινά η μόλυνση;
Οι εισβολείς χρησιμοποιούν πολλές μεθόδους για να διανείμουν το κακόβουλο λογισμικό τους. Για παράδειγμα, έχουν εντοπιστεί phishing emails που προσποιούνται ότι προέρχονται από την Energias de Portugal (EDP) και την Πορτογαλική Φορολογική και Τελωνειακή Αρχή (AT). Επίσης, χρησιμοποιούν social engineering και κακόβουλους ιστότοπους που μιμούνται αυτούς τους οργανισμούς.
Σε όλες τις περιπτώσεις, η μόλυνση ξεκινά με την εκτέλεση ενός obfuscated VB script που ανακτά και εκτελεί ένα malware loader, που με τη σειρά του φορτώνει δύο παραλλαγές του backdoor “PeepingTitle” στο σύστημα του θύματος.
“Τα VB scripts είναι obfuscated, έτσι ώστε ο κακόβουλος κώδικας να είναι διάσπαρτος σε μεγάλες ποσότητες code comments, το οποίο είναι συνήθως επικολλημένο περιεχόμενο δημοσίως διαθέσιμων code repositories“, εξηγεί η Sentinel Labs στην αναφορά.
“Αυτή είναι μια απλή, αλλά αποτελεσματική τεχνική για την αποφυγή μηχανισμών ανίχνευσης – τα scripts που είναι διαθέσιμα στο VirusTotal διαθέτουν σχετικά χαμηλές αναλογίες ανίχνευσης“.
Δείτε επίσης: Volt Typhoon: Κινέζοι hackers παραβιάζουν κρίσιμες υποδομές των ΗΠΑ
Οι αναλυτές εξηγούν ότι ο σκοπός αυτών των scripts είναι να αποσπάσουν την προσοχή των χρηστών κατά τη λήψη κακόβουλου λογισμικού και να κλέψουν τα EDP και AT credentials κατευθύνοντάς τους σε ψεύτικα portals.
Backdoor “PeepingTitle”
Το PeepingTitle είναι ένα malware γραμμένο σε Delphi, το οποίο η Sentinel Labs πιστεύει ότι αναπτύχθηκε από ένα άτομο ή ομάδα.
Σύμφωνα με το BleepingComputer, ο λόγος για τον οποίο οι εισβολείς χρησιμοποιούν δύο παραλλαγές του malware είναι για να χρησιμοποιούν τη μία για την καταγραφή της οθόνης του θύματος και τη δεύτερη για την παρακολούθηση των παραθύρων και τις αλληλεπιδράσεις του χρήστη με αυτά. Επίσης, η δεύτερη παραλλαγή μπορεί να φέρει πρόσθετα payloads.
Το κακόβουλο λογισμικό ελέγχει για παράθυρα που ταιριάζουν με μια λίστα με χρηματοπιστωτικά ιδρύματα και, όταν βρει ένα, καταγράφει όλα τα δεδομένα χρήστη (συμπεριλαμβανομένων των credentials) και τα στέλνει στον C2 server των Βραζιλιάνων hackers.
Το PeepingTitle backdoor μπορεί, επίσης, να καταγράψει screenshots, να τερματίσει διεργασίες, να αλλάξει το monitoring interval configuration και να χρησιμοποιήσει payloads από εκτελέσιμα αρχεία ή αρχεία DLL, χρησιμοποιώντας το Windows rundll32.
Δείτε επίσης: WordPress: Hackers στοχεύουν 1,5 εκατομμύρια ιστότοπους
Η Sentinel Labs έχει παρατηρήσει αρκετές περιπτώσεις όπου οι Βραζιλιάνοι hackers επέδειξαν την ικανότητα να ξεπερνούν επιχειρησιακά εμπόδια κατά τη διάρκεια του “Operation Magalenha”. Στα μέσα του 2022, η ομάδα σταμάτησε την κατάχρηση του DigitalOcean Spaces για C2 και φιλοξενία και διανομή malware και άρχισε να χρησιμοποιεί πιο “σκοτεινούς” παρόχους υπηρεσιών cloud, όπως το Timeweb που εδρεύει στη Ρωσία.
Οι κυβερνοεπιθέσεις σε χρηματοπιστωτικά ιδρύματα αποτελούν μια αυξανόμενη απειλή που τα άτομα πρέπει να λάβουν σοβαρά υπόψη. Με την επαγρύπνηση, τη χρήση ισχυρών κωδικών πρόσβασης, την ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων, την αποφυγή απατών ηλεκτρονικού ψαρέματος, την ασφάλιση συσκευών και τη χρήση VPN, μπορείτε να μειώσετε σημαντικά τον κίνδυνο να τεθούν σε κίνδυνο τα οικονομικά σας στοιχεία. Ωστόσο, είναι επίσης ευθύνη των τραπεζών και των χρηματοπιστωτικών ιδρυμάτων να επενδύσουν σε ισχυρά μέτρα κυβερνοασφάλειας και να εκπαιδεύσουν τους πελάτες τους σχετικά με τους κινδύνους του εγκλήματος στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com