Бразильские хакеры уже несколько лет обворовывают португальские банки с помощью бэкдора «PeepingTitle»

Бразильская хакерская группа атакует португальские государственные и частные финансовые учреждения, в том числе крупные банки, в рамках злонамеренной кампании под названием «Операция Магалена» («Operation Magalenha»), которая продолжается с 2021 года. Последняя волна операции направлена на португальскую энергетическую компанию «Energias de Portugal» и налоговую службу «Portuguese Tax and Customs Authority».

Для заражения своих целей кибербандиты применяют длинную цепочку действий, включающую фишинговые письма, социальную инженерию, а также перенаправление жертв на поддельные сайты.

О новой волне операции сообщила компания Sentinel Labs в своём сегодняшнем отчёте , в котором раскрыла инструменты и методы распространения вредоносного ПО, используемые злоумышленниками.

Происхождение и тактику хакеров специалистам удалось выявить благодаря ошибке в настройке используемого злоумышленниками сервера. Исследователи смогли получить доступ к файлам, директориям, внутренней переписке и другим данным преступников.

Во всех случаях заражение начинается с фишинговых писем, содержащих обфусцированный сценарий VBScript, который при запуске загружает и активирует загрузчик вредоносного ПО, в свою очередь устанавливающий на систему жертвы сразу две версии бэкдора «PeepingTitle».

«Сценарии VBScript обфусцированы таким образом, что злонамеренный код разбросан среди большого количества комментариев к коду, которые обычно являются скопированным содержимым публично доступных репозиториев. Это простая, но эффективная техника для обхода статических механизмов обнаружения», — объяснили аналитики в отчёте.

Исследователи также добавили, что главная задача VBScript-сценария в рассмотренной кампании — отвлечь пользователей во время загрузки вредоносного ПО, перенаправить их на поддельные порталы целевых учреждений, а затем собрать там их учётные данные.

Проанализированный специалистами экземпляр бэкдора PeepingTitle, о котором упоминалось выше, написан на Delphi и скомпилирован в апреле этого года. Sentinel Labs полагает, что он был разработан одним человеком или небольшой командой.

Причина того, почему хакеры устанавливают сразу две версии бэкдора в системе жертвы, заключается в том, что один из бэкдоров используется для захвата экрана заражённой системы, а другой — для мониторинга окон и отслеживания взаимодействия пользователя с ними. Кроме того, второй бэкдор может загружать дополнительные вредоносные нагрузки.

Вредоносное ПО постоянно сканирует запущенные сайты на целевом компьютере, а когда находит там один из необходимых злоумышленникам, начинает записывать все отображаемые и вводимые там данные, чтобы затем отправить на C2-сервер хакеров.

PeepingTitle также может делать скриншоты экрана, завершать процессы, изменять свою конфигурацию интервала мониторинга и запускать полезные нагрузки из исполняемых или DLL-файлов.

Sentinel Labs отмечает несколько случаев, когда бразильские злоумышленники демонстрировали способность адаптироваться и оперативно преодолевать некоторые технические проблемы. Так, в середине 2022 года группировка перестала использовать DigitalOcean Spaces для хостинга и распространения вредоносного ПО, сменив его на ряд других, менее известных облачных провайдеров. Аналитики полагают, что это было связано с тем, что DigitalOcean слишком часто препятствовал работе хакеров и создавал им трудности.