研究人员注意到,巴西黑客在对至少30家葡萄牙金融机构的攻击中部署了PeepingTitle恶意软件。根据SentinelLabs的最新报告,超过30家葡萄牙银行已成为巴西网络犯罪分子有针对性的黑客攻击的受害者。这些机构的目标似乎是一场以经济为动机的运动,该运动于2021年发起,但在2023年初开始活跃起来。
SentinelOne研究人员Tom Hegel和Aleksandar Milenkoski写道,大多数攻击发生在上个月,主要目标是葡萄牙的金融机构。
据报道,黑客植入信息窃取恶意软件来劫持凭证和用户数据,包括个人信息,并利用这些信息进行除经济利益之外的恶意活动。
在一篇博客文章中,SentinelOne表示它于2022年初开始跟踪名为Operation Magalenha的活动。研究人员指出,入侵导致部署了PeepingTitle后门的两个变体,这大大增强了攻击潜力。
攻击始于网络钓鱼电子邮件和托管流行软件虚假安装程序的网站。一旦下载到设备上,它就会启动一个Visual Basic脚本,该脚本会执行恶意软件加载程序。这个加载器然后下载/执行PeepingTitle后门。后门开始监视用户的网络浏览活动。
当用户访问金融机构的网站或登录他们的帐户时,后门会快速捕获屏幕截图。它与攻击者的远程服务器连接以启动新的恶意软件可执行文件。
研究人员指出:“第一个PeepingTitle变体捕获整个屏幕,第二个捕获用户与之交互的每个窗口,这个恶意软件组合为威胁参与者提供了对用户活动的详细洞察。”
该活动最初利用了Dropbox和DigitalOcean等云服务提供商。但随着这些平台加强安全措施,黑客不得不改变方向。现在,黑客依赖于俄罗斯网络托管服务提供商TimeWeb。
两个后门同时部署,使黑客能够对受感染的设备进行特殊控制。通过PeepingTitle,攻击者可以跟踪窗口交互、终止系统进程、捕获屏幕截图以及部署数据泄露工具和其他恶意软件。
Operation Magalenha表明了巴西黑客的持久性和活动的演变特征。研究人员写道,巴西组织不断更新他们的恶意软件工具和策略,这就是他们的活动如此有效的原因。
此外,研究人员认为,攻击者已经表现出对当地金融机构的相当了解,并准备投入资源和时间来开展有针对性的活动。
关于研究人员如何确定这是巴西黑客的工作,Hegel和Milenkoski写道,攻击者在他们检测到的人工制品中使用了巴西-葡萄牙语。
此外,该恶意软件源代码与2021年首次发现的Maxtrilha银行木马有相似之处。它是用Delphi编程语言编写的,允许黑客完全控制受感染的主机、捕获屏幕截图并投放新的有效载荷。
评论已关闭。