Alcuni cybercriminali brasiliani stanno prendendo di mira oltre 30 istituti finanziari portoghesi, mediante l’utilizzo del malware PeepingTitle, appartenente alla famiglia Maxtrilha, osservata per la prima volta nel settembre del 2021.
Sicuramente non è primo e non sarà nemmeno l’ultimo attacco su larga scala ad istituzioni finanziarie o governative, ma quel che probabilmente lo differenzia da molti altri è il passo in avanti dei criminali nella progettazione e implementazione dell’attacco.
Da un lato, l’autore della minaccia distribuisce simultaneamente due varianti di backdoor su ciascuna macchina infetta, con l’obiettivo di massimizzare la potenza dei loro attacchi.
Dall’altro, per garantire la continuità operativa dinnanzi a qualsiasi potenziale imprevisto, i cybercriminali hanno – strategicamente – spostato l’infrastruttura di hosting dai provider che implementano misure più rigorose, tipicamente americani, come DigitalOcean o Dropbox, a Timeweb Cloud, un provider IaaS russo noto per le sue indulgenti politiche di hosting di malware e command-and-control server.
In un caso è stato trovato un server OKLAKO moldavo: 193.218.204[.]207.
Le backdoor di PeepingTitle dispongono di molteplici funzionalità spyware così da permettere ai malintenzionati di avere il controllo completo delle macchine infette, consentendo loro il monitoraggio dell’interazione dell’utente sul dispositivo, l’acquisizione di schermate non autorizzate, l’interruzione dei processi e la distribuzione di ulteriore malware.
Durante tale monitoraggio sul web, quando riconoscono l’apertura nel browser, da parte di un utente lusitano, delle pagine di uno degli istituti target, PeepingTitle esfiltra le schermate catturate e fa partire da un server remoto una serie di payload.
Quando un utente visita una specifica risorsa online, PeepingTitle imposta l’intervallo di monitoraggio del titolo della finestra su 5 secondi, si connette a un server C2 ed esfiltra i dati in forma crittografata.
Dopo aver sfruttato campagne email di phishing o siti web infetti – dai ricercatori di SentinelLabs sono emersi soprattutto i siti di accesso degli utenti di Energias de Portugal (EDP) e dell’Autorità fiscale e doganale portoghese (AT – Autoridade Tributária e Aduaneira) – la compromissione dei dispositivi bersaglio inizia con l’esecuzione di uno script Visual Basic dannoso, che serve principalmente a scaricare ed eseguire un caricatore di malware senza che l’utente si renda conto dell’attività.
Successivamente scarica ed esegue le backdoor di PeepingTitle. Questi script sono nascosti tra stringhe di codice pubblico, ma non facilmente riconoscibili agli occhi dei meno esperti.
A differenza della prima variante, la seconda variante PeepingTitle registra la macchina infetta sul server C2 al momento dell’esecuzione: il malware esfiltra i dati in forma crittografata, specialmente il nome della macchina infetta e i numeri di serie del volume. Nel mentre, il malware continua a tenere traccia delle modifiche della finestra di livello superiore e ad acquisire uno screenshot di questa finestra ogni volta che l’utente la modifica. Da ultimo, invia lo screenshot a un server C2 diverso da quello utilizzato per la registrazione della macchina infetta.
Come riportato anche dai ricercatori di SentinelOne, con la prima variante che registra l’intero schermo e la seconda che cattura ogni finestra con cui un utente interagisce, questi due malware permettono ai cybercriminali di poter avere una visione dettagliata di tutta l’attività dell’utente.
