Gli hacker brasiliani non sono una minaccia da sottovalutare. Una lunga campagna mirata, iniziata nel 2021, ha preso di mira diverse istituzioni finanziarie portoghesi, utilizzando malware per rubare informazioni sensibili.
“Operazione Magalenha”: la nuova minaccia informatica
SentinelOne, un’importante azienda di cybersecurity, ha iniziato a monitorare quest’anno l'”Operazione Magalenha”, un’offensiva che culmina nel dispiegamento di due varianti di un backdoor chiamato PeepingTitle, creato per “massimizzare la potenza dell’attacco”.
Gli attacchi, attribuiti a attori minacciosi brasiliani, possono rubare credenziali, dati degli utenti e informazioni personali. Queste informazioni possono poi essere utilizzate per attività dannose che vanno oltre il mero guadagno finanziario.
I dettagli dell’attacco e le sue connessioni con il Brasile
La connessione con il Brasile deriva dall’uso della lingua portoghese-brasiliana all’interno degli artefatti rilevati, così come dalle sovrapposizioni del codice sorgente con un altro trojan bancario noto come Maxtrilha, che è stato rivelato per la prima volta nel settembre 2021.
PeepingTitle, come Maxtrilha, è scritto nel linguaggio di programmazione Delphi e offre all’attaccante il pieno controllo sui sistemi compromessi, nonché la possibilità di catturare screenshot e scaricare ulteriori payload.
Le tecniche utilizzate dagli hacker brasiliani
Le catene di attacco iniziano con email di phishing e siti web canaglia che ospitano falsi installer per software popolari, progettati per lanciare uno script Visual Basic responsabile dell’esecuzione di un loader di malware. Questo loader scarica e esegue successivamente i backdoor PeepingTitle.
PeepingTitle monitora l’attività di navigazione web degli utenti e, se viene aperta una scheda del browser corrispondente a una delle istituzioni finanziarie target, esfiltra le catture dello schermo e mette in atto ulteriori eseguibili di malware da un server remoto.