Эксперты компании Sentinel Labs сообщили о масштабной вредоносной кампании под названием Operation Magalenha. Ее с 2021 года осуществляет хакерская группировка из Бразилии. Целями атак стали за это время порядка 30 крупных государственных и частных банков Португалии, включая ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI и Novobanco. Злоумышленники разработали длинную и изощренную схему нападения, включающую фишинг, методы социальной инженерии и перенаправление жертв на фальшивые веб-страницы. Однако киберпреступников подвела ошибка в настройке собственного сервера, которая и позволила специалистам Sentinel Labs получить доступ к файлам хакеров и их переписке.

В общем виде механизм атак Operation Magalenha выглядит следующим образом. Хакеры рассылают фишинговые письма якобы от лица энергетической компании Energias de Portugal (EDP) или налоговой службы страны. Они содержат скрытый код VB script, который запускает загрузчик вредоносного ПО. Он, в свою очередь, устанавливает на системы жертвы сразу два варианта бэкдора PeepingTitle. Вредоносное ПО написано на языке Delphi, исследованная сотрудниками Sentinel Labs версия файла была скомпилирована в апреле нынешнего года. Первая версия бэкдора служит для контроля экрана инфицированного компьютера. Вторая отслеживает открытые окна и взаимодействие пользователя с ними. При посещении интересующего киберпреступников сайта зловред фиксирует все отображаемые и вводимые данные и передает их на командный сервер. Также вторая версия PeepingTitle способна загружать в систему дополнительное вредоносное ПО.