Cybersecurity-onderzoekers hebben sinds het begin van 2025 licht geworpen op een nieuwe campagne die zich richt op Braziliaanse gebruikers om gebruikers te infecteren met een kwaadaardige uitbreiding voor chroom-gebaseerde webbrowsers en siphon gebruikersauthenticatiegegevens.
“Sommige van de phishing -e -mails werden verzonden van de servers van gecompromitteerde bedrijven, waardoor de kansen op een succesvolle aanval toeneemt,” zei Positive Technologies Security Researcher Klimentiy Galkin in een rapport. “De aanvallers gebruikten een kwaadaardige extensie voor Google Chrome, Microsoft Edge en dappere browsers, evenals Mesh Agent en PDQ Connect Agent.”
Het Russische Cybersecurity Company, dat de activiteit onder de naam volgt Operatie Phantom Enigmazei dat de kwaadaardige uitbreiding 722 keer werd gedownload van onder andere Brazilië, Colombia, de Tsjechië, Mexico, Rusland en Vietnam. Er zijn maar liefst 70 unieke slachtofferbedrijven geïdentificeerd. Sommige aspecten van de campagne werden begin april bekendgemaakt door een onderzoeker die door de alias @johnk3r op X gaat.
De aanval begint met phishing-e-mails vermomd als facturen die een multi-fase proces activeren om de browserverlenging te implementeren. De berichten moedigen ontvangers aan om een bestand van een ingesloten link te downloaden of een kwaadwillende bijlage in een archief te openen.
Aanwezig in de bestanden is een batchscript dat verantwoordelijk is voor het downloaden en lanceren van een PowerShell -script, dat op zijn beurt een reeks controles uitvoert om te bepalen of het wordt uitgevoerd in een gevirtualiseerde omgeving en de aanwezigheid van een software met de naam Diebold Warschau.
Warschau is ontwikkeld door Gas Tecnologia en is een beveiligingsplug-in die wordt gebruikt om bank- en e-commerce transacties te beveiligen via internet en mobiele apparaten in Brazilië. Het is vermeldenswaard dat Latijns -Amerikaanse banktrojanen zoals Casbaneiro vergelijkbare functies hebben opgenomen, zoals bekendgemaakt door ESET in oktober 2019.
Het PowerShell -script is ook ontworpen om User Account Control (UAC) uit te schakelen, persistentie in te stellen door het bovengenoemde batchscript te configureren dat automatisch wordt gelanceerd bij het opnieuw opstarten van het systeem en een verbinding tot stand te brengen met een externe server om verdere opdrachten te wachten.
De lijst met ondersteunde opdrachten is als volgt –
- Ping – Stuur een hartslagbericht naar de server door “Pong” te verzenden als antwoord
- Ontkoppeling – Stop het huidige scriptproces op het systeem van het slachtoffer
- RemoKl – verwijder het script
- Checaext – Controleer het Windows -register op de aanwezigheid van een kwaadaardige browserverlenging, verzendt okext als het bestaat, of nee, als de extensie niet wordt gevonden
- Start_screen – Installeer de extensie in de browser door het extensionInstallforcelistische beleid te wijzigen, dat een lijst met apps en extensies specificeert die kunnen worden geïnstalleerd zonder gebruikersinteractie
De gedetecteerde extensies (Identifiers nplfchpahihiHleeeJpjModggCkakhgleee, ckkjdiimhlanonhceggkfjlmjNenpmfm en lkpiodmpjdhhhkdhdbnnciggdgdfli) zijn al verwijderd uit de chrome web store.
Andere aanvalsketens verwisselen het initiële batchscript voor Windows Installer en Inno Setup Installer -bestanden die worden gebruikt om de extensies te leveren. De add-on, per positieve technologieën, is uitgerust om kwaadaardige JavaScript-code uit te voeren wanneer het tabblad Actieve browser overeenkomt met een webpagina die is gekoppeld aan Banco Do Brasil.
In het bijzonder verzendt het het authenticatie -token van de gebruiker en een verzoek naar de aanvallersserver om opdrachten te ontvangen om waarschijnlijk een laadscherm weer te geven aan het slachtoffer (Warten of Schlieben_warten) of een kwaadaardige QR -code op de webpagina van de bank te bedienen (Code_ZUM_LESEN). De aanwezigheid van Duitse woorden voor de commando’s zou kunnen verwijzen naar de locatie van de aanvaller of dat de broncode ergens anders opnieuw werd gebruikt.
In wat een poging lijkt te zijn om het aantal potentiële slachtoffers te maximaliseren, hebben de onbekende operators gevonden om factuurgerelateerde kunstaas te gebruiken om installatiebestanden te distribueren en externe toegangssoftware te implementeren, zoals MeshCentral Agent of PDQ Connect Agent in plaats van een kwaadaardige browserverlenging.
Positieve technologieën zeiden dat het ook een open directory identificeerde die behoorde tot de hulpscripts van de aanvaller die links bevatten met parameters die de enigmacyBersecurity Identifier omvatten (“
“De studie benadrukt het gebruik van vrij unieke technieken in Latijns -Amerika, waaronder een kwaadaardige browserverlenging en distributie via Windows -installatieprogramma en Inno Setup -installateurs,” zei Galkin.
“Bestanden in de open directory van de aanvallers geven aan dat het infecteren van bedrijven noodzakelijk was voor het discreet distribueren van e -mails namens hen. De belangrijkste focus van de aanvallen bleef echter op reguliere Braziliaanse gebruikers. Het doel van de aanvallers is om authenticatiegegevens te stelen van de bankrekeningen van de slachtoffers.”
