威胁情报信息分享|警报：巴西APT组织针对超过30家葡萄牙银行的用户

一个巴西APT黑客组织正在针对超过30家葡萄牙金融机构，作为自2021年开始的长期运动的一部分，使用信息窃取恶意软件。

SentinelOne的研究员Aleksandar Milenkoski和Tom Hegel在与《黑客新闻》共享的一份新报告中说，“攻击者可以窃取凭证和泄露用户的数据和个人信息，这可以被用于金融利益之外的恶意活动。”

这家网络安全公司从今年早些时候开始追踪“Magalenha行动”，称这些入侵最终导致部署了两种变体的后门程序，名为PeepingTitle，以“最大化攻击效力”。

与巴西的关联来自于在检测到的工件以及与另一个被称为Maxtrilha的银行木马的源代码重叠中使用巴西葡萄牙语，该木马首次在2021年9月公开。

PeepingTitle，像Maxtrilha一样，用Delphi编程语言编写，可以授予攻击者对受损主机的完全控制，以及捕获屏幕截图和投放额外的有效负载。

攻击链以网络钓鱼邮件和托管伪造软件安装程序的恶意网站开始，这些软件被设计成启动负责执行恶意软件加载器的Visual Basic脚本。然后，加载器下载并执行PeepingTitle后门。

PeepingTitle监视用户的网络浏览活动，如果打开了与目标金融机构匹配的浏览器标签页，它就会泄露屏幕截图，并从远程服务器进一步部署恶意软件。

通过将窗口标题与与目标组织相关的预定义字符串集合进行比较来实现这一目标，但在此之前，需要将其转换为没有空白字符的小写字符串。

研究人员解释说，“第一种PeepingTitle变体能捕获整个屏幕，第二种则能捕获用户互动的每一个窗口，这对恶意软件提供了对用户活动的详细了解。”

Magalenha的一个重要方面是从2022年的DigitalOcean和Dropbox转向Timeweb Cloud，这是一家对基础设施滥用有更宽松态度的俄罗斯云服务提供商，用于恶意软件托管和命令和控制。

这个复杂的黑客努力代表了源自拉丁美洲的一长串以金融为动机的恶意软件运动的最新迭代。今年三月，Metabase Q揭示了一个针对玻利维亚、智利、墨西哥、秘鲁和葡萄牙的Mispadu攻击浪潮。

研究人员说，“Magalenha行动表明了巴西威胁行动者的持续性质。这些团队对其目标国家的组织和个人构成了不断发展的威胁，已经显示出持续更新其恶意软件武器库和战术的能力，使他们在运动中保持有效。”

“他们在欧洲、中美洲和拉丁美洲的葡萄牙语和西班牙语国家组织攻击的能力，表明他们了解当地的金融格局，愿意投入时间和资源开展有针对性的活动。”

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|警报：巴西APT组织针对超过30家葡萄牙银行的用户