De acordo com o último relatório da SentinelLabs, mais de 30 bancos portugueses se tornaram vítimas de hack realizado por criminosos cibernéticos no Brasil. Essas instituições — cujos nomes não foram revelados — foram alvos do que parece ser uma campanha com motivação de ganho financeiro lançada em 2021, mas se tornou ativa no início deste ano.
“A maioria dos ataques ocorreu no mês passado, e os principais alvos são instituições financeiras em Portugal”, escreveram os pesquisadores da SentinelOne, Tom Hegel e Aleksandar Milenkoski. Segundo eles, os hackers implantam malware para roubar informações e sequestrar credenciais e dados de correntistas dos bancos, incluindo informações pessoais, e usá-las para atividades maliciosas, além dos ganhos financeiros.
Em uma postagem no seu blog, a SentinelOne afirmou que começou a rastrear a campanha, apelidada de Operação Magalenha, no início do ano passado. Os pesquisadores da empresa observaram que as intrusões levaram à implantação de duas variantes da backdoor PeepingTitle, o que aumentou bastante o potencial de ataque.
O ataque começa com e-mails que direcionam a vítima a sites de phishing que hospedam instaladores falsos de softwares populares. Depois de ser baixado em um dispositivo, ele inicia um script Visual Basic, que executa o carregador de malware. Esse carregador baixa e executa a backdoor PeepingTitle. A backdoor começa a monitorar as atividades de navegação na web dos usuários.
A backdoor captura rapidamente a tela quando o usuário acessa o site de uma instituição financeira ou faz login em sua conta. Com isso, ele se conecta ao servidor remoto do invasor para iniciar novos executáveis de malware.
“A primeira variante do PeepingTitle captura toda a tela e a segunda captura cada janela com a qual o usuário interage. Esta dupla de malware fornece ao operador de ameaças uma visão detalhada da atividade do usuário”, detalharam os pesquisadores.
A campanha explorou inicialmente serviços de nuvem, como Dropbox e DigitalOcean. Mas os hackers tiveram que mudar de rumo, pois essas plataformas apertaram o cerco e tornaram mais rígidas suas práticas de segurança. Agora, os hackers estão usando o provedor de serviços de hospedagem na web russo, TimeWeb.
Ambas as backdoors são implantadas simultaneamente, dando aos hackers controle excepcional sobre os dispositivos comprometidos. Através do PeepingTitle, os invasores podem rastrear interações de janelas, encerrar processos do sistema, capturar “capturas de tela” e implantar ferramentas de exfiltração de dados e outros malwares.
Veja isso
Hackers brasileiros fazem defacement na Argentina
Site de Israel invadido por hackers brasileiros: entenda como foi
A Operação Magalenha indica a natureza persistente (APT) dos hackers brasileiros e a evolução de suas campanhas. Os pesquisadores da SentinelOne escreveram que os grupos brasileiros atualizam consistentemente suas ferramentas e táticas de malware, e é por isso que suas campanhas são tão eficazes.
Além disso, os pesquisadores acreditam que os hackers brasileiros demonstraram uma compreensão considerável das instituições financeiras portuguesas — assim como as do Brasil; nota do CISO Advisor — e estão prontos para investir recursos e tempo para desenvolver campanhas direcionadas.
Em relação a como os pesquisadores determinaram que era o trabalho de hackers brasileiros, Hegel e Milenkoski escreveram que os atacantes usaram o idioma português- brasileiro nos artefatos que detectaram. Além disso, o código -fonte de malware compartilha semelhanças com o trojan bancário Maxtrilha, descoberto pela primeira vez em 2021. Ele está escrito com linguagem de programação Delphi e o controle completo do concessão de hacker sobre os hosts infectados, captura “capturas de tela” e descarta novas cargas de malware.