Operación Magalenha: Hackers brasileños atacan a bancos portugueses

Iniciado por AXCESS, Mayo 26, 2023, 12:00:25 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores notaron que los piratas informáticos brasileños están implementando el malware PeepingTitle en sus ataques contra al menos 30 instituciones financieras portuguesas.

Según el último informe de SentinelLabs, más de 30 bancos portugueses se han convertido en víctimas de ataques dirigidos por ciberdelincuentes con sede en Brasil. Estas instituciones fueron el objetivo de lo que parece ser una campaña de motivación financiera que se lanzó en 2021 pero se activó a principios de 2023.

La mayoría de los ataques ocurrieron el mes pasado y los principales objetivos son las instituciones financieras en Portugal, escribieron los investigadores de SentinelOne, Tom Hegel y Aleksandar Milenkoski.

Según se informa, los piratas informáticos implantan malware que roba información para secuestrar credenciales y datos de usuarios, incluida información personal, y aprovecharlos para actividades maliciosas además de ganancias financieras.

En una publicación de blog, SentinelOne declaró que comenzó a rastrear la campaña, denominada Operación Magalenha, a principios de 2022. Los investigadores notaron que las intrusiones llevaron al despliegue de dos variantes de la puerta trasera PeepingTitle, lo que mejoró en gran medida el potencial de ataque.

El ataque comienza con correos electrónicos de phishing y sitios web que alojan instaladores falsos de software popular. Una vez descargado en un dispositivo, inicia un Visual Basic Script, que ejecuta el cargador de malware. Este cargador luego descarga/ejecuta las puertas traseras de PeepingTitle. La puerta trasera comienza a monitorear las actividades de navegación web de los usuarios.

La puerta trasera obtiene rápidamente capturas de pantalla cuando un usuario accede al sitio web de una institución financiera o inicia sesión en su cuenta. Se conecta con el servidor remoto del atacante para lanzar nuevos ejecutables de malware.

"Con la primera variante de PeepingTitle capturando la pantalla completa y la segunda capturando cada ventana con la que interactúa un usuario, este dúo de malware proporciona al actor de amenazas una visión detallada de la actividad del usuario", señalaron los investigadores.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta campaña se aprovechó inicialmente de proveedores de servicios en la nube como Dropbox y DigitalOcean. Pero los piratas informáticos tuvieron que cambiar de rumbo cuando estas plataformas reforzaron sus prácticas de seguridad. Ahora, los piratas informáticos confían en el proveedor de servicios de alojamiento web ruso, TimeWeb.

Ambas puertas traseras se implementan simultáneamente, lo que brinda un control excepcional sobre los dispositivos comprometidos. A través de PeepingTitle, los atacantes pueden realizar un seguimiento de las interacciones de la ventana, terminar los procesos del sistema, capturar capturas de pantalla e implementar herramientas de exfiltración de datos y otro malware.

La Operación Magalenha indica la naturaleza persistente de los piratas informáticos brasileños y la característica evolutiva de sus campañas. Los investigadores escribieron que los grupos brasileños constantemente actualizan sus herramientas y tácticas de malware, razón por la cual sus campañas son tan efectivas.

Además, los investigadores creen que los atacantes han demostrado un conocimiento considerable de las instituciones financieras locales y están dispuestos a invertir recursos y tiempo para desarrollar campañas dirigidas.

Con respecto a cómo los investigadores determinaron que fue obra de brasileños, Hegel y Milenkoski escribieron que los atacantes usaron el idioma portugués brasileño en los artefactos que detectaron.

Además, el código fuente del malware comparte similitudes con el troyano bancario Maxtrilha, descubierto por primera vez en 2021. Está escrito en el lenguaje de programación Delphi y otorga a los piratas informáticos un control completo sobre los hosts infectados, capturas de pantalla y suelta nuevas cargas útiles.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta