Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Бразильские хакеры уже несколько лет обворовывают португальские банки с помощью бэкдора «PeepingTitle»

26/05/23

portugal-tax

Бразильская хакерская группа атакует португальские государственные и частные финансовые учреждения, в том числе крупные банки, в рамках злонамеренной кампании под названием «Операция Магалена» («Operation Magalenha»), которая продолжается с 2021 года. Последняя волна операции направлена на португальскую энергетическую компанию «Energias de Portugal» и налоговую службу «Portuguese Tax and Customs Authority». Об этом пишет Securitylab.

Для заражения своих целей кибербандиты применяют длинную цепочку действий, включающую фишинговые письма, социальную инженерию, а также перенаправление жертв на поддельные сайты.

О новой волне операции сообщила компания Sentinel Labs в своём сегодняшнем отчёте, в котором раскрыла инструменты и методы распространения вредоносного ПО, используемые злоумышленниками.

Происхождение и тактику хакеров специалистам удалось выявить благодаря ошибке в настройке используемого злоумышленниками сервера. Исследователи смогли получить доступ к файлам, директориям, внутренней переписке и другим данным преступников.

Во всех случаях заражение начинается с фишинговых писем, содержащих обфусцированный сценарий VBScript, который при запуске загружает и активирует загрузчик вредоносного ПО, в свою очередь устанавливающий на систему жертвы сразу две версии бэкдора «PeepingTitle».

«Сценарии VBScript обфусцированы таким образом, что злонамеренный код разбросан среди большого количества комментариев к коду, которые обычно являются скопированным содержимым публично доступных репозиториев. Это простая, но эффективная техника для обхода статических механизмов обнаружения», — объяснили аналитики в отчёте.

Исследователи также добавили, что главная задача VBScript-сценария в рассмотренной кампании — отвлечь пользователей во время загрузки вредоносного ПО, перенаправить их на поддельные порталы целевых учреждений, а затем собрать там их учётные данные.

Проанализированный специалистами экземпляр бэкдора PeepingTitle, о котором упоминалось выше, написан на Delphi и скомпилирован в апреле этого года. Sentinel Labs полагает, что он был разработан одним человеком или небольшой командой.

Причина того, почему хакеры устанавливают сразу две версии бэкдора в системе жертвы, заключается в том, что один из бэкдоров используется для захвата экрана заражённой системы, а другой — для мониторинга окон и отслеживания взаимодействия пользователя с ними. Кроме того, второй бэкдор может загружать дополнительные вредоносные нагрузки.

Вредоносное ПО постоянно сканирует запущенные сайты на целевом компьютере, а когда находит там один из необходимых злоумышленникам, начинает записывать все отображаемые и вводимые там данные, чтобы затем отправить на C2-сервер хакеров.

PeepingTitle также может делать скриншоты экрана, завершать процессы, изменять свою конфигурацию интервала мониторинга и запускать полезные нагрузки из исполняемых или DLL-файлов.

Sentinel Labs отмечает несколько случаев, когда бразильские злоумышленники демонстрировали способность адаптироваться и оперативно преодолевать некоторые технические проблемы. Так, в середине 2022 года группировка перестала использовать DigitalOcean Spaces для хостинга и распространения вредоносного ПО, сменив его на ряд других, менее известных облачных провайдеров. Аналитики полагают, что это было связано с тем, что DigitalOcean слишком часто препятствовал работе хакеров и создавал им трудности.

Темы:БанкиПреступленияЮжная АмерикаSentinel Labs
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Рвение сотрудников часто вредит безопасности
    Вячеслав Касимов, Директор департамента информационной безопасности ПАО «Московский кредитный банк»
    Если организация защищена на техническом уровне, то злоумышленникам остается искать выходы на работников

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...