Cyberthreat.id – Perusahaan keamanan Sentinel Labs mengungkapkan bahwa grup peretas Brasil telah menargetkan tiga puluh lembaga keuangan pemerintah dan swasta Portugis sejak 2021 dalam kampanye jahat yang disebut 'Operasi Magalenha.'

Contoh entitas yang ditargetkan termasuk ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citinamex, Santander, Millennium BCP, ING, Banco BPI, dan Novobanco.

Sentinel Labs yang menyoroti alat yang digunakan oleh pelaku ancaman, berbagai vektor infeksi, dan metode distribusi malware mereka. Para analis mengungkap detail tentang asal dan taktik aktor ancaman berkat kesalahan konfigurasi server yang mengungkap file, direktori, korespondensi internal, dan banyak lagi.

“Penyerang menggunakan banyak metode untuk mendistribusikan malware mereka ke target, termasuk email phishing yang berpura-pura berasal dari Energias de Portugal (EDP) dan Otoritas Pajak dan Bea Cukai Portugis (AT), rekayasa sosial, dan situs web jahat yang meniru organisasi ini,” kata Sentinel Labs.

Dalam semua kasus, infeksi dimulai dengan eksekusi skrip VB yang disamarkan yang mengambil dan mengeksekusi pemuat malware, yang pada gilirannya memuat dua varian backdoor 'PeepingTitle' ke sistem korban setelah penundaan lima detik.

“Skrip VB dikaburkan sedemikian rupa sehingga kode berbahaya tersebar di antara sejumlah besar komentar kode, yang biasanya merupakan konten tempel dari repositori kode yang tersedia untuk umum," jelas Sentinel Labs.

Para analis menjelaskan bahwa tujuan dari skrip tersebut adalah untuk mengalihkan perhatian pengguna saat malware diunduh dan untuk mencuri kredensial EDP dan AT mereka dengan mengarahkan mereka ke portal palsu yang sesuai.

Sebagai informasi, PeepingTitle adalah malware yang ditulis Delphi dengan tanggal kompilasi April 2023, yang menurut Sentinel Labs dikembangkan oleh satu orang atau tim. Alasan mengapa penyerang menjatuhkan dua varian adalah menggunakan satu untuk menangkap layar korban dan yang kedua untuk memantau jendela dan interaksi pengguna dengan itu.

Selain itu, varian kedua dapat mengambil muatan tambahan setelah mendaftarkan mesin korban dan mengirimkan detail pengintaian ke penyerang. Malware memeriksa tab yang cocok dengan daftar lembaga keuangan yang di-hardcode, dan ketika menemukannya, mencatat semua input pengguna (termasuk kredensial) dan mengirimkannya ke server C2 aktor ancaman.

PeepingTitle juga dapat menangkap tangkapan layar, menghentikan proses pada host, mengubah konfigurasi interval pemantauannya dengan cepat, dan mengatur muatan dari file yang dapat dieksekusi atau DLL, menggunakan Windows rundll32.

Sentinel Labs telah memperhatikan beberapa kasus di mana pelaku ancaman menunjukkan kemampuan untuk mengatasi rintangan operasional sejak awal Operasi Magalenha. Pada pertengahan 2022, grup tersebut beralih dari menyalahgunakan DigitalOcean Spaces untuk hosting dan distribusi C2 dan malware, dan mulai menggunakan penyedia layanan cloud yang lebih tidak dikenal seperti Timeweb yang berbasis di Rusia.