Un groupe de piratage brésilien cible trente institutions financières publiques et privées portugaises depuis 2021 dans une campagne malveillante appelée « Opération Magalenha ».
Parmi les exemples d’entités ciblées figurent ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI et Novobanco.
Cette campagne a été révélée par un rapport Sentinel Labs mettant en évidence les outils utilisés par l’acteur de la menace, les différents vecteurs d’infection et leurs méthodes de distribution de logiciels malveillants.
Les analystes ont découvert des détails sur l’origine et les tactiques de l’acteur menaçant grâce à une mauvaise configuration du serveur qui a exposé des fichiers, des répertoires, de la correspondance interne, etc.
L’infection initiale
Les attaquants utilisent de nombreuses méthodes pour distribuer leurs logiciels malveillants aux cibles, notamment des e-mails de phishing prétendant provenir d’Energias de Portugal (EDP) et de l’administration fiscale et douanière portugaise (AT), de l’ingénierie sociale et de sites Web malveillants qui imitent ces organisations.
Dans tous les cas, l’infection commence par l’exécution d’un script VB obfusqué qui récupère et exécute un chargeur de logiciels malveillants, qui à son tour charge deux variantes de la porte dérobée « PeepingTitle » sur le système de la victime après un délai de cinq secondes.
« Les scripts VB sont obscurcis de telle sorte que le code malveillant est dispersé parmi de grandes quantités de commentaires de code, qui sont généralement du contenu collé de référentiels de code accessibles au public », explique Sentinel Labs dans le rapport.
« Il s’agit d’une technique simple mais efficace pour échapper aux mécanismes de détection statiques – les scripts disponibles sur VirusTotal présentent des taux de détection relativement faibles. »
Les analystes expliquent que le but de ces scripts est de distraire les utilisateurs pendant le téléchargement de logiciels malveillants et de voler leurs informations d’identification EDP et AT en les dirigeant vers les faux portails correspondants.
Porte dérobée ‘PeepingTitle’
PeepingTitle est un logiciel malveillant écrit en Delphi avec une date de compilation d’avril 2023, qui, selon Sentinel Labs, a été développé par une seule personne ou équipe.
La raison pour laquelle les attaquants abandonnent deux variantes est d’en utiliser une pour capturer l’écran de la victime et la seconde pour surveiller les fenêtres et les interactions de l’utilisateur avec celles-ci.
De plus, la deuxième variante peut récupérer des charges utiles supplémentaires après avoir enregistré la machine victime et envoyé des détails de reconnaissance aux attaquants.
Le logiciel malveillant recherche les fenêtres qui correspondent à une liste d’institutions financières codées en dur et, lorsqu’il en trouve une, enregistre toutes les entrées de l’utilisateur (y compris les informations d’identification) et les envoie au serveur C2 de l’auteur de la menace.
PeepingTitle peut également capturer des captures d’écran, terminer des processus sur l’hôte, modifier sa configuration d’intervalle de surveillance à la volée et organiser des charges utiles à partir d’exécutables ou de fichiers DLL, à l’aide de Windows rundll32.
Sentinel Labs a remarqué plusieurs cas où les acteurs de la menace ont démontré leur capacité à surmonter les obstacles opérationnels depuis le début de l’opération Magalenha.
À la mi-2022, le groupe a cessé d’abuser de DigitalOcean Spaces pour l’hébergement et la distribution de logiciels malveillants C2 et a commencé à utiliser des fournisseurs de services cloud plus obscurs comme Timeweb, basé en Russie.
Les analystes pensent que cette décision était due à la diligence raisonnable de DigitalOcean, qui a causé trop de perturbations de la campagne et des difficultés opérationnelles.