OPERACIÓN MAGALENHA

06/09/2023

Descripción

En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.

La Operación Magalenha se caracteriza por cambios en la infraestructura y en la implementación del malware. En ese sentido, PeepingTitle, está escrito en el lenguaje de programación Delphi; una vez activo, este backdoor monitorea los títulos de las ventanas de las aplicaciones en los equipos infectados y pueden realizar capturas de pantalla, terminar procesos y descargar y ejecutar más malware.

Vector de infección

Los atacantes utilizan correos electrónicos de phishing y sitios web falsos para distribuir instaladores falsos de software popular. Estos instaladores ejecutan un script de Visual Basic que descarga y ejecuta las puertas traseras PeepingTitle. Estos scripts de VB están diseñados para evadir los mecanismos de detección estática al dispersar líneas maliciosas entre grandes cantidades de comentarios de código.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

• Implementar políticas de ejecución de scripts y aplicaciones que limiten la ejecución de VBscript.
• Establecer controles estrictos en los filtros de correos electrónicos y web, contra formatos de archivo y contenedores maliciosos (macros, scripts, etc).

Leer noticia: https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/