Peneliti cybersecurity telah menjelaskan kampanye baru yang menargetkan pengguna Brasil sejak awal tahun 2025 untuk menginfeksi pengguna dengan ekstensi jahat untuk browser web berbasis kromium dan data otentikasi pengguna siphon.
“Beberapa email phishing dikirim dari server perusahaan yang dikompromikan, meningkatkan peluang serangan yang berhasil,” kata peneliti keamanan Teknologi Positif Klienties Galkin dalam sebuah laporan. “Para penyerang menggunakan ekstensi berbahaya untuk Google Chrome, Microsoft Edge, dan Browser yang berani, serta Agen Mesh dan Agen Connect PDQ.”
Perusahaan Keamanan Cybersian Rusia, yang melacak aktivitas di bawah namanya Operation Phantom Enigmamengatakan ekstensi jahat diunduh 722 kali dari seluruh Brasil, Kolombia, Republik Ceko, Meksiko, Rusia, dan Vietnam, antara lain. Sebanyak 70 perusahaan korban unik telah diidentifikasi. Beberapa aspek kampanye diungkapkan pada awal April oleh seorang peneliti yang menggunakan alias @JohnK3R di X.
Serangan dimulai dengan email phishing yang disamarkan sebagai faktur yang memicu proses multi-tahap untuk menggunakan ekstensi browser. Pesan -pesan tersebut mendorong penerima untuk mengunduh file dari tautan tertanam atau membuka lampiran berbahaya yang terkandung dalam arsip.
Hadir dalam file adalah skrip batch yang bertanggung jawab untuk mengunduh dan meluncurkan skrip PowerShell, yang, pada gilirannya, melakukan serangkaian cek untuk menentukan apakah itu berjalan di lingkungan tervirtualisasi dan keberadaan perangkat lunak bernama Diebold Warsawa.
Dikembangkan oleh Gas Tecnologia, Warsawa adalah plugin keamanan yang digunakan untuk mengamankan transaksi perbankan dan e-commerce melalui internet dan perangkat seluler di Brasil. Perlu dicatat bahwa Trojan Perbankan Amerika Latin seperti Casbaneiro telah memasukkan fitur serupa, seperti yang diungkapkan oleh ESET pada Oktober 2019.
Skrip PowerShell juga direkayasa untuk menonaktifkan Kontrol Akun Pengguna (UAC), mengatur kegigihan dengan mengonfigurasi skrip batch yang disebutkan di atas untuk diluncurkan secara otomatis pada reboot sistem, dan membuat koneksi dengan server jarak jauh untuk menunggu perintah lebih lanjut.
Daftar perintah yang didukung adalah sebagai berikut –
- Ping – Kirim pesan detak jantung ke server dengan mengirim “pong” sebagai tanggapan
- Putuskan sambungan – Hentikan proses skrip saat ini pada sistem korban
- Hapuskl – uninstall skrip
- Checaext – Periksa Registry Windows untuk keberadaan ekstensi browser berbahaya, mengirim okext jika ada, atau noext, jika ekstensi tidak ditemukan
- Start_screen – Instal ekstensi di browser dengan memodifikasi kebijakan ExtensionInstallForcelist, yang menentukan daftar aplikasi dan ekstensi yang dapat diinstal tanpa interaksi pengguna
Ekstensi yang terdeteksi (pengidentifikasi nplfchpahihleeejpjmodgkkakhglee, ckkjdiimhlanonhceggkfjlmjnenpmfm, dan lkpiodmpjdhhhkdhdbncigggodgdfli) telah dihapus dari chruc.
Rantai serangan lainnya menukar skrip batch awal untuk penginstal Windows dan inno setup penginstal yang digunakan untuk mengirimkan ekstensi. Add-on, per teknologi positif, dilengkapi untuk menjalankan kode JavaScript berbahaya ketika tab browser aktif sesuai dengan halaman web yang terkait dengan Banco do Brasil.
Secara khusus, ia mengirimkan token otentikasi pengguna dan permintaan ke server penyerang untuk menerima perintah untuk kemungkinan menampilkan layar pemuatan ke korban (Warten atau Schlieben_warten) atau melayani kode QR berbahaya di halaman web bank (code_zum_lesen). Kehadiran kata -kata Jerman untuk perintah itu bisa menyinggung lokasi penyerang atau bahwa kode sumber diubah dari tempat lain.
Dalam apa yang tampaknya merupakan upaya untuk memaksimalkan jumlah korban potensial, operator yang tidak diketahui telah menemukan untuk memanfaatkan umpan terkait faktur untuk mendistribusikan file pemasang dan menggunakan perangkat lunak akses jarak jauh seperti agen meshcentral atau agen koneksi PDQ alih-alih ekstensi browser jahat.
Teknologi Positif mengatakan mereka juga mengidentifikasi direktori terbuka milik skrip tambahan penyerang yang berisi tautan dengan parameter yang termasuk pengidentifikasi keamanan enigmacy (“
“Studi ini menyoroti penggunaan teknik yang agak unik di Amerika Latin, termasuk ekstensi dan distribusi browser berbahaya melalui pemasang Windows dan installer setup Inno,” kata Galkin.
“File -file dalam direktori terbuka penyerang menunjukkan bahwa perusahaan yang menginfeksi diperlukan untuk mendistribusikan email secara diam -diam atas nama mereka. Namun, fokus utama serangan tetap pada pengguna Brasil reguler. Tujuan penyerang adalah mencuri data otentikasi dari rekening bank korban.”
