Контакты
Подписка 2023
Импортозамещение ИТ-решений и ПО
22 июня 2023. Импортозамещение ИТ-решений и ПО в госсекторе и ключевых отраслях
Жми, чтобы участвовать

Бразильские хакеры уже несколько лет обворовывают португальские банки с помощью бэкдора «PeepingTitle»

26/05/23

portugal-tax

Бразильская хакерская группа атакует португальские государственные и частные финансовые учреждения, в том числе крупные банки, в рамках злонамеренной кампании под названием «Операция Магалена» («Operation Magalenha»), которая продолжается с 2021 года. Последняя волна операции направлена на португальскую энергетическую компанию «Energias de Portugal» и налоговую службу «Portuguese Tax and Customs Authority». Об этом пишет Securitylab.

Для заражения своих целей кибербандиты применяют длинную цепочку действий, включающую фишинговые письма, социальную инженерию, а также перенаправление жертв на поддельные сайты.

О новой волне операции сообщила компания Sentinel Labs в своём сегодняшнем отчёте, в котором раскрыла инструменты и методы распространения вредоносного ПО, используемые злоумышленниками.

Происхождение и тактику хакеров специалистам удалось выявить благодаря ошибке в настройке используемого злоумышленниками сервера. Исследователи смогли получить доступ к файлам, директориям, внутренней переписке и другим данным преступников.

Во всех случаях заражение начинается с фишинговых писем, содержащих обфусцированный сценарий VBScript, который при запуске загружает и активирует загрузчик вредоносного ПО, в свою очередь устанавливающий на систему жертвы сразу две версии бэкдора «PeepingTitle».

«Сценарии VBScript обфусцированы таким образом, что злонамеренный код разбросан среди большого количества комментариев к коду, которые обычно являются скопированным содержимым публично доступных репозиториев. Это простая, но эффективная техника для обхода статических механизмов обнаружения», — объяснили аналитики в отчёте.

Исследователи также добавили, что главная задача VBScript-сценария в рассмотренной кампании — отвлечь пользователей во время загрузки вредоносного ПО, перенаправить их на поддельные порталы целевых учреждений, а затем собрать там их учётные данные.

Проанализированный специалистами экземпляр бэкдора PeepingTitle, о котором упоминалось выше, написан на Delphi и скомпилирован в апреле этого года. Sentinel Labs полагает, что он был разработан одним человеком или небольшой командой.

Причина того, почему хакеры устанавливают сразу две версии бэкдора в системе жертвы, заключается в том, что один из бэкдоров используется для захвата экрана заражённой системы, а другой — для мониторинга окон и отслеживания взаимодействия пользователя с ними. Кроме того, второй бэкдор может загружать дополнительные вредоносные нагрузки.

Вредоносное ПО постоянно сканирует запущенные сайты на целевом компьютере, а когда находит там один из необходимых злоумышленникам, начинает записывать все отображаемые и вводимые там данные, чтобы затем отправить на C2-сервер хакеров.

PeepingTitle также может делать скриншоты экрана, завершать процессы, изменять свою конфигурацию интервала мониторинга и запускать полезные нагрузки из исполняемых или DLL-файлов.

Sentinel Labs отмечает несколько случаев, когда бразильские злоумышленники демонстрировали способность адаптироваться и оперативно преодолевать некоторые технические проблемы. Так, в середине 2022 года группировка перестала использовать DigitalOcean Spaces для хостинга и распространения вредоносного ПО, сменив его на ряд других, менее известных облачных провайдеров. Аналитики полагают, что это было связано с тем, что DigitalOcean слишком часто препятствовал работе хакеров и создавал им трудности.

Темы:БанкиПреступленияЮжная АмерикаSentinel Labs
30 мая 2023. Онлайн-конференция. Безопасные российские СУБД и защита от утечек
4 июля 2023. Эволюция антивирусов: установить нельзя заменить
Жми, чтобы участвовать
Статьи по темеСтатьи по теме

  • Рвение сотрудников часто вредит безопасности
    Вячеслав Касимов, Директор департамента информационной безопасности ПАО «Московский кредитный банк»
    Если организация защищена на техническом уровне, то злоумышленникам остается искать выходы на работников

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
20 июня 2023. Безопасные российские СУБД и защита от утечек
20.06.23: Безопасные российские СУБД и защита от утечек
Жми, чтобы участвовать

Еще темы...