Компания SentinelLabs отслеживала кампанию в первом квартале 2023 года, направленную на пользователей португальских финансовых учреждений, включая государственные, поддерживаемые государством и частные учреждения. Основываясь на сходстве ТТП, а также на совпадениях в реализации вредоносного ПО и функциональных возможностях, о которых сообщалось в предыдущих работах, SentinelLabs с высокой степенью уверенности считает, что кампания была проведена бразильской угрожающей группой.
Этот вывод подтверждается использованием бразильско-португальского языка в конфигурации инфраструктуры и реализации вредоносного ПО. SentinelLabs называет кампанию, проводимую этой угрожающей группой, "Операция Magalenha".
Угрожающий агент устанавливает на каждую зараженную машину два варианта бэкдора, которые специалисты SentinelLabs окрестили PeepingTitle. Основываясь на совпадениях в коде и функциях, специалисты SentinelLabs считают, что бэкдоры PeepingTitle являются частью более широкой бразильской экосистемы финансового вредоносного ПО - в частности, семейства Maxtrilha (названного по использовавшемуся тогда ключу шифрования), впервые замеченного в 2021 году.
Indicators of Compromise
URLs
- http://128.199.228.142/int/publi.php
- http://128.199.228.142/itest/envd.php
- http://128.199.228.142/lgimp/envd.php
- http://128.199.228.142/vcpu/
- http://128.199.68.249/libex/track01.wma
- http://128.199.68.249/libex/track02.wma
- http://157.245.44.246/cliente/IRS.php
- http://157.245.44.246/fex/basf.msf
- http://157.245.44.246/fex/coldplay.msf
- http://176.57.221.92/cdd/
- http://178.128.174.182/board/alf.cdr
- http://178.128.174.182/board/bets.cdr
- http://185.104.114.253/alp/
- http://193.218.204.207/int/publi.php
- http://2.59.41.206/fork/Material.psd
- http://213.226.124.48/dboard/Material.psd
- http://45.95.234.10/lofi/index.php
- http://81.200.152.38:9000/arquivos
- http://85.193.80.19/rpt/bdb.jpeg
- http://85.193.83.224/dash/support.psd
- http://85.193.95.154/odc/
- http://85.217.170.140/may/
- http://87.249.44.177/partic/Material.ppt
- http://89.223.68.22/sonic/movie.wma
- http://92.255.76.181/mag.psd
- http://92.53.107.216/shv/
- http://94.156.35.182/jn/
- http://94.228.121.36/suport/
- http://ingretationcompatible.sgp1.digitaloceanspaces.com/board.zip
- http://jackfrostgo.fra1.digitaloceanspaces.com/thems%20(4).cdr
- http://pexelsfiles.ams3.digitaloceanspaces.com/pexels.ppt
- http://ryzenbootsector.fra1.digitaloceanspaces.com/ryzen%20(3).zip
- http://s3.timeweb.com/41907bc4-clarentis/artinos.cpp
- http://s3.timeweb.com/41907bc4-clarentis/balarius.cpp
- http://s3.timeweb.com/41907bc4-clarentis/Steam.cpp
- http://s3.timeweb.com/41907bc4-clouddeabril/almar.cpt
- http://s3.timeweb.com/41907bc4-clouddeabril/Belcar.cpt
- http://s3.timeweb.com/41907bc4-maiotronicelevation/asen.ptt
- https://ams3.digitaloceanspaces.com/bucket2023/andorra.ppt
- https://ams3.digitaloceanspaces.com/bucket2023/belize.ppt
- https://ams3.digitaloceanspaces.com/workingprofstatus/anime.cdr
- https://ams3.digitaloceanspaces.com/workingprofstatus/brigth.cdr
- https://audaction.fra1.digitaloceanspaces.com/pass/alma32.cdr
- https://audaction.fra1.digitaloceanspaces.com/pass/alma64.cdr
- https://audaction.fra1.digitaloceanspaces.com/pass/best32.cdr
- https://azuredatabrickstrainne.sfo3.digitaloceanspaces.com/Workspace.zip
- https://believeonline.ams3.digitaloceanspaces.com/acoustic/p0.cdr
- https://bucket2023.ams3.digitaloceanspaces.com/belize.ppt
- https://cartezyan.fra1.digitaloceanspaces.com/Player.wav
- https://cleannertools.fra1.cdn.digitaloceanspaces.com/word.ppt
- https://digitalsurfareago.ams3.digitaloceanspaces.com/basf.msf
- https://dssmithcheck.fra1.digitaloceanspaces.com/track01.sql
- https://dssmithcheck.fra1.digitaloceanspaces.com/track02.sql
- https://fintecgroup.ams3.digitaloceanspaces.com/louse.msf
- https://fra1.digitaloceanspaces.com/dssmithcheck/track01.sql
- https://joiasdofuturo.webcindario.com/hs/config.php
- https://marthmusicclub.sfo3.digitaloceanspaces.com/alamis.cdr
- https://marthmusicclub.sfo3.digitaloceanspaces.com/betunios.cdr
- https://munich.ams3.digitaloceanspaces.com/Minimize.jpeg
- https://partyprogames.ams3.digitaloceanspaces.com/alf.cdr
- https://partyprogames.ams3.digitaloceanspaces.com/bets.cdr
- https://pratoonecooltool.sfo3.digitaloceanspaces.com/inter.ppt
- https://pratoonecooltool.sfo3.digitaloceanspaces.com/national.ppt
- https://ryzemamd.ams3.digitaloceanspaces.com/amd.cdr
- https://s3.timeweb.com/41907bc4-chronocromdocrom/integra/conf.txt
- https://s3.timeweb.com/41907bc4-secapril/brexit.ppt
- https://starbuckplaylist.ams3.digitaloceanspaces.com/fiis.cdr
- https://starbuckplaylist.ams3.digitaloceanspaces.com/vieww.cdr
- https://superchat.fra1.digitaloceanspaces.com/ATX.cdr
- https://superchat.fra1.digitaloceanspaces.com/Brave.cdr
- https://superchat.fra1.digitaloceanspaces.com/DuckDuck.cdr
- https://superchat.fra1.digitaloceanspaces.com/pse.cdr
- https://tinyurl.com/dashboaraudicaofastaccoun
- https://tinyurl.com/edpareaparticulares
- https://tinyurl.com/edpmobilecliente
- https://tinyurl.com/miareapersonal
- https://wekkword.ams3.digitaloceanspaces.com/alphabet32.cdr
- https://wekkword.ams3.digitaloceanspaces.com/boston32.cdr
- https://wordcupnewsrocket.ams3.digitaloceanspaces.com/INT64.cdr
- https://wordcupnewsrocket.ams3.digitaloceanspaces.com/rzFMX64.cdr
- https://wordmusic.ams3.digitaloceanspaces.com/bestmusic.cdr
- https://www.dropbox.com/s/dl/p2qd53cultjyw6y/Dividas.zip
- https://www.dropbox.com/s/p2qd53cultjyw6y/Dividas.zip?dl=1
SHA1
- 001334b045e0d1e28c260380f24c1fa072cb12eb
- 0131862cd70303d560d47333cce4d2b58505222e
- 045d5be69b5ba4ffb4253b029cc01d827706c75a
- 0716415bc910e4a9501d43ac03410288a4e860d4
- 071c53099decea6d9117e4ee519470140c68c7e9
- 0a202ca568087eabeb741648be4255d834ab14b1
- 13b370f368c1df2d30bb8fdf96d84e66e07c8a79
- 17fe9cdd20a64fec5d471f6878a462a2ef0af212
- 1a5ad2fb1d4fc4971286bdd5abf669722d7e4c19
- 1e65c104c765e6e46887f7de04cc14f52dbdfe98
- 208572a9f44d5349382c58d51d2d14532bc87bb3
- 266a1c4b8bd95595dcdd46bcb409ee773bd2f407
- 268d93bfd3f0a8a5cd76eea6311eb2a0b754a4e2
- 26be17aef483d553c0e5678e35611b019acd28a3
- 280999b0490bbe06665d35f2cda373fa32bfc59c
- 2ee320533e687da7613721446dabceecafb940c1
- 3079bba1a2372282f6bb4a35706144d5b9800953
- 32d15771736bb5c3232c3fa68ee3da4161177413
- 35597059ae1f14f50d7fe8b1858525552f62da19
- 3a1e1294e894b9dd35edfdd59f67049729121619
- 3be8f26dbc49b8a2504c58de247b838888e15a17
- 418fabf734c0803f2686a41665f06525cfa3adbb
- 41ab10d5e057e714d8caad5855c115f5bef76097
- 42ee272c6bc93c5c0c47024f631350c23edc06fe
- 43a55a5954d56c4e9fe63cfdd6ab0c97766c9642
- 44da6f99de08e5193a64a89ce696d775248314d9
- 45304d8ae20e0fcaf975be64b7844c361ae61537
- 470e52d04a89318a868402617b2edd16e1a20613
- 483a4a7e4650502e36dacde33652bf6b62718822
- 48e77c8ab75d042d1526fe3cd40beeea5fff7794
- 494d166f7b052c7feaf5666062dcf54525873ac2
- 4fc26b033677b6a6dc77ae3c4451d3d4421bcc04
- 51be9fb55ff9606b0f4e887d332608f41533215e
- 52d06e3b0e3b91165bdba769a94710bbdad8d8d7
- 542b320b77bb3f826ee17009564613352e5a4911
- 5c9fc5902ced06f7068f95dfa7c25c1939be3f51
- 5e38e6a927309aac4679a6d63c1e01b3830ca7c7
- 5ee9c3e8ff35bc0435d0691112d7f101856d9a51
- 603ac1e61a39c74d5053ccedd6964ce5f9f365f3
- 62a1fd987b051586132b1d1752d78821139efb7f
- 62b1ef509f0f9dffa611f3addface8f91089b0c3
- 69beb59e75f70487edbbf997aba83b926674a355
- 6a43e8c05194e066b85845e454d41bf86e1ab376
- 6a977ae1ad3466f20f50e101b5a561ad3ffc3aa7
- 6c3d57a7b6631adbe3b6a2c2d88eef6593c51900
- 6e00ef494a5955df4802c078ae3ffc6c6abdcbd7
- 72b3be646f03a71e8a2632096ddf6638bc0141c9
- 7339585c17aaa96e93f971b64548666a3b09d1f9
- 738aff3e88f498c3607eeadd37b95791acf40196
- 76b1bb307e1489999da725c2c9fac5b4581cb448
- 7992e075bc9de98e944930372f1768ccc08e429f
- 79ce7defeed60bba523bc3779cb9379435157f93
- 7bbe644df54723d7a48bef58a616a62559401d0d
- 7e82f8608c199eb32230dd2706c11b2e70ba13d8
- 7f3c5142f60cd36073b54eda77b38be754a5f7d5
- 824268bffde52dc44fedc254dc59ef559b7b2d17
- 830c4e2cc10bbf122882a177a3ea8e810b114c82
- 8752dab95747175bdb6cb7772cf4d11858049c9d
- 87ff9f5f3f4853d0c218ac36182fa18bc5e206d0
- 890c8ab68be8990deb26dab6f5c82f0a812b9fcb
- 8c62851c74dc2bd1077edfb7456f87b47199925c
- 8cc16c418764d26b15d41f713551a7d0f214ab4c
- 97bab3df5acbd1e4ad8b9a38cbbd80c297971490
- 9ab7bc8a9b4ccbc75903e78d96357e11dfd97535
- 9c997e9ee92209be186de2a4f9696122bdfbc46d
- 9eaa52e9f72f0b43648699a3a511d0a7c6ffcdd5
- a0721a76cc8a0e44bf734206638ba013da809325
- a28db721736fe5d6281c08b4f2f396da480eb170
- a53b9e14f316a62e8c6c7a53a7c98158fda29533
- a7c7233274e34b69b6c62caceebb19135f9034b2
- acc753a084b8172981b3086122929eb4abde131a
- afd5ccd6effb4eed6aec656a25ed869b954ee213
- affcb29e3e8b510cab6b836672511bc738f2d328
- b0253186f56662ecfbebf95cc91a887e161e32d3
- b427cf74c820985cc3cedef68b9953c2e83631e1
- b50ced2769e74050b130fbcb28c6d80880cfe612
- b7ce5ab969a2088a7d6c401c72eeff63173ce491
- bed147a98e6bff36cf3bccfc7640d444040e1f0c
- c3aa8423bba6f01528f822eddb692ae56aa1be6b
- c43f60bf6c24dd6c290b40afb26ea60094688a73
- c4c59fc68f225bdec7e22bead289fda2503fb6b0
- c5239a9994ca54ac08e45ce7443d9226151d0b36
- cd5892ca5b21999799a04d72fb93dc815f7227aa
- cdd2f94c542bf369702271cd83c6aa9ff2e595ea
- d1dca2dc87376c833644a04c74e4f102565e810a
- d2e078450e479a6cd3b1d95597fd2204fd370c42
- d86aabf4713b18718421b5c0fd4084143d4f7f08
- db9521169aaad154e31d4e573414459e26b57900
- dc04ad9e1d8022a06a28d0522b2a1988c8ed4bab
- dcdf79b172f340dc173d038d05c7eb826c55c3dc
- dd46a9c61ad4aee2c865a4144733d1daf7d6bc79
- dec59a76e8f1703d15fcb7f7532c759aaf717165
- df0a90c8890f83f760e41c853d9033d3971194e9
- df99c6fabdf6fc664e9c466af8a2986af0bfbfb8
- dff84020be1f4691bed628d300df8a8b12a4de7e
- e6215a2e0c4745eef724019cab07c04dac75725e
- e9f9a5f559366a8e66f81d43ecc05d051b6e3853
- eaa2c945b22f5c1b8bfbd6d8692826d841fc9185
- f00493ea6b1a2cb50c74feb3af65bfaabf327a07
- f534e0a04ceb6f3e1a10209f416675e9df127afc
- f5a99ecd7847cc79210d5df505e222828ad63199
- f66d71e1ab5c85ed43d21ff567ee3369fe97b6ed
- f72ade72050a6ce63224aad2c7699160705b414c
- f9db9f525f2bf09f2b85c91ea09f6251e00e2a95
- fbcd460acbe8c0919f61946ac0c9ee4d8885075a
- fff1b8681eadf590034f61ddd69ba035c6980e12