0
0
No início deste ano, os agentes de ameaças realizaram uma campanha para roubar informações pessoais e financeiras de clientes de bancos portugueses, incluindo privados e governamentais e instituições.
Pesquisadores do SentinelLabs a chamaram de “Operação Magalenha”, em relatório publicado na manhã de 25 de maio. Magalenha é notável tanto por sua carga útil, “PeepingTitle” – um backdoor multifuncional escrito na linguagem de programação Delphi – e sua abordagem dispersa para espionagem cibernética.
Os pesquisadores avaliaram “com alta confiança” que os perpetradores de Magalenha eram brasileiros, como evidenciado pelo uso do português brasileiro em seu código, bem como as sobreposições do PeepingTitle com a família brasileira de malware Maxtrilha.
Ao todo, a campanha oferece uma janela para o ecossistema do cibercrime no Brasil hoje.
“Essa região é geralmente subnotificada ou perdida em todo o setor de segurança”, diz Tom Hegel, pesquisador sênior de ameaças da SentinelOne, “mas há muita coisa acontecendo. É um ecossistema muito confuso de atores de ameaças.”
Operação Cibercrime Magalenha
A Operação Magalenha foi indiscriminada em sua primeira fase, utilizando e-mails de phishing, sites maliciosos com instaladores de aplicativos falsos e formas relacionadas de engenharia social para atrair alvos. A infecção então começou quando os alvos involuntariamente executaram um script mal-intencionado do Visual Basic.
O roteiro fez tripla tarefa. Por um lado, abriu páginas de login para a Energias de Portugal e para a Autoridade Tributária e Aduaneira, com o objetivo de desviar a atenção da sua segunda função: soltar um carregador de malware. Se uma vítima realmente inseriu suas credenciais Energias ou Alfandegárias – no caso desta última, muitas vezes emitidas pelo governo – o programa as colhia para uso futuro.
Em seguida, o carregador de malware baixaria PeepingTitle, um backdoor de roubo de informações escrito em Delphi. Delphi é uma linguagem de programação de propósito geral sobre a qual raramente se ouve falar muito em círculos cibernéticos ao norte.
“É engraçado você mencionar isso”, diz Hegel, quando o assunto vem à tona. “Quando começamos a olhar para essa campanha, sabendo que ela estava ligada ao Brasil, ficamos imediatamente tipo: provavelmente é Delphi.” Não há nenhuma razão técnica identificável para a popularidade relativamente localizada do Delphi, pensa Hegel. “Muito disso é só pela forma como a educação é feita lá, porque todo mundo naquela região tende a saber.”
O PeepingTitle impulsionado por Delphi funciona rastreando os sites que uma vítima visitou. Se alguém visitou um domínio pertencente a uma instituição financeira portuguesa, o malware desperta: conectando-se a um servidor C2, fazendo capturas de tela, exfiltrando dados e, potencialmente, preparando mais malware.
Em geral, diz Hegel, “está no mesmo nível do que você espera de um malware financeiro normal. Ele se concentra puramente em ser capaz de obter esses dados de saída e limitar a detecção o máximo possível.”
Dito isso, Magalenha mirou dados pessoais e financeiros de indivíduos e instituições dos setores público e privado. “Portanto, há mais do que apenas seu roubo financeiro regular – há pistas para objetivos ulteriores que eles podem estar perseguindo, como a corretagem de acesso inicial”, acrescenta Hegel.
PeepingTitle: Um malware em fluxo
Também notável sobre PeepingTitle é que ele vem em duas variantes. Mas as variantes quase não têm diferença significativa entre elas, além do fato de que uma capturou a janela do navegador de uma vítima, enquanto a outra capturou a tela inteira. Hegel acha que “isso pode indicar que os atacantes evoluíram para adicionar segundas capacidades mais tarde, ou é apenas pura experimentação”.
“Acho que isso aponta para o fato de que não é extremamente bem planejado”, acrescenta.
Além das variantes semelhantes, ele aponta outras evidências da falta de disciplina dos hackers, como sua experimentação com diferentes infraestruturas – trocando o provedor americano DigitalOcean por um serviço russo mais frouxo, o TimeWeb, por exemplo – e a natureza relativamente desfocada de seu roubo de informações.
“Se fosse alguém mais capaz”, conclui Hegel, “eles poderiam passar pelo processo de pensar sobre o que querem se conectar e roubar, e fazê-lo em um único pacote em vez de vários pacotes, o que aumenta o potencial de ser pego. Em vez disso, há muita experimentação, muito jogo e pouco planejamento estratégico profundo.”
FONTE: DARK READING