Um coletivo de hackers brasileiros têm atacado mais de 30 instituições financeiras em Portugal, desde 2021, na conhecida “Operação Magalenha”, conforme revelado pelos especialistas em segurança cibernética Aleksandar Milenkoski e Tom Hegel da SentinelOne.
Alvos dos hackers
De acordo com o relatório do Sentinel Labs, o grupo tem como alvo instituições como o ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI e Novobanco, utilizando malwares avançados com o objetivo de subtrair tanto os dados sensíveis quanto as credenciais de usuários.
Os pesquisadores da SentinelOne, Milenkoski e Hegel, têm acompanhado essa ação desde o início do ano. Em um relatório divulgado nesta quinta-feira (25), eles detalharam como a operação culmina na implementação de duas variantes de um malware denominado “PeepingTitle”, que tem como função maximizar a eficácia do ataque.
Essa conexão com o Brasil foi estabelecida a partir da utilização da variante brasileira da língua portuguesa nos elementos encontrados, além da similaridade do código-fonte com um outro malware conhecido como Maxtrilha, que veio à tona pela primeira vez em setembro de 2021.
Assim como o Maxtrilha, o PeepingTitle é programado na linguagem Delphi e dá ao atacante controle absoluto sobre os sistemas comprometidos. Além disso, é capaz de tirar screenshots e distribuir cargas adicionais.
Estratégias utilizadas pelos hackers
A operação geralmente começa com e-mails de phishing e sites fraudulentos que contêm instaladores falsos de softwares populares. Esses instaladores são projetados para iniciar um script em Visual Basic que executa um carregador de malware. Este, por sua vez, faz o download e executa os backdoors PeepingTitle.
O PeepingTitle monitora a atividade online dos usuários e, caso uma aba de um dos bancos alvos seja aberta, ele captura a tela e obtém mais executáveis de malware de um servidor remoto. Este procedimento é realizado através da comparação do título da janela com uma lista pré-definida de strings associadas aos bancos, após terem sido transformadas em letras minúsculas e sem espaços.
Em termos de infraestrutura, um fato relevante na Operação Magalenha foi a migração dos servidores de hospedagem de malware e controle, da DigitalOcean e Dropbox em 2022, para a Timeweb Cloud, um provedor de serviços em nuvem russo, mais flexível em relação ao uso de sua infraestrutura para fins questionáveis.
O que dizem os pesquisadores?
Segundo os pesquisadores, este esforço de hacking sofisticado é apenas a mais recente ação em uma série de campanhas de malware financeiramente motivadas originárias da América Latina.
“Esses grupos representam uma ameaça em constante evolução para organizações e indivíduos em seus países alvo, demonstrando uma capacidade consistente de atualizar seu arsenal e táticas de malware”, alertam os pesquisadores. “Sua capacidade de orquestrar ataques em países de língua portuguesa e espanhola na Europa, América Central e América Latina sugere uma compreensão do cenário financeiro local e uma disposição de investir tempo e recursos no desenvolvimento de campanhas direcionadas.”
Assine nossa Newsletter para receber os melhores conteúdos do Itshow em sua caixa de entrada.