自2025年初以来,网络安全研究人员已经阐明了一项针对巴西用户的新活动,该活动旨在通过基于Chromium的Web浏览器的恶意扩展和虹吸用户身份验证数据来感染用户。

“一些网络钓鱼电子邮件是从受损公司的服务器发送的,增加了成功攻击的机会,”Positive Technologies安全研究员Klimentiy Galkin在一份报告中说。攻击者使用Google Chrome,Microsoft Edge和Brave浏览器以及Mesh Agent和PDQ Connect Agent的恶意扩展。

Operation Phantom Enigma正在以“幻影之谜”为名跟踪该活动的俄罗斯网络安全公司表示,恶意扩展从巴西,哥伦比亚,捷克共和国,墨西哥,俄罗斯和越南等地下载了722次。已确定多达70家独特的受害公司。该活动的某些方面于4月初由一名研究人员披露,该研究人员在X上使用别名@johnk3r。

攻击始于伪装成发票的钓鱼电子邮件,触发多阶段过程来部署浏览器扩展。消息鼓励收件人从嵌入式链接下载文件或打开存档中包含的恶意附件。

文件中存在一个批量脚本,负责下载和启动PowerShell脚本,该脚本反过来执行一系列检查,以确定它是否在虚拟化环境中运行以及是否存在名为Diebold Warsaw的软件。

华沙由GAS Tecnologia开发,是一个安全插件,用于通过巴西的互联网和移动设备保护银行和电子商务交易。值得注意的是,像Casbaneiro这样的拉丁美洲银行木马已经融入了类似的功能,正如ESET在2019年10月披露的那样。

PowerShell 脚本还被设计为禁用用户帐户控制 (UAC ) , 通过配置在系统重新启动时自动启动的上述批处理脚本来设置持久性,并与远程服务器建立连接以等待进一步的命令。

支持的命令列表如下:

①PING – 通过发送”PONG”响应方式向服务器发送心跳消息②DISCONNECT – 停止受害者系统上的当前脚本进程③REMOVEKL – 卸载脚本④CHECAEXT – 检查Windows注册表是否存在恶意浏览器扩展,如果存在,则发送OKEXT,如果未找到扩展程序,则发送NOEXT⑤START_SCREEN – 通过修改 ExtensionInstallForcelist 策略在浏览器中安装扩展,该策略指定了无需用户交互即可安装的应用程序和扩展列表

检测到的扩展(标识符nplfchpahihleeejpjmodggkgggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggggg

其他攻击链交换用于交付扩展的 Windows Installer 和 Inno Setup 安装程序文件的初始批处理脚本。附加组件,根据Positive Technologies,当活动浏览器选项卡对应于与Banco do Brasil关联的网页时,可以执行恶意JavaScript代码。

具体来说,它会向攻击者的服务器发送用户的身份验证令牌和请求,以接收可能向受害者显示加载屏幕的命令(WARTEN或SCHLIEBEN_WARTEN)或在银行的网页(CODE_ZUM_LESEN)上提供恶意二维码。命令的德语单词的存在可以暗指攻击者的位置,或者源代码从其他地方重新使用。

为了最大限度地增加潜在受害者的数量,未知运营商发现利用发票相关的诱饵来分发安装程序文件并部署远程访问软件,如MeshCentral Agent或PDQ Connect Agent,而不是恶意浏览器扩展。

Positive Technologies表示,它还确定了一个属于攻击者辅助脚本的打开目录,其中包含包含EnigmaCyberSecurity标识符(“<victim-domain>/about.php?key=EnigmaCyberSecurity)。

“这项研究强调了拉丁美洲使用相当独特的技术,包括通过Windows Installer和Inno Setup安装程序进行恶意浏览器扩展和分发,”Galkin说。

“攻击者打开目录中的文件表明,感染公司是代表他们谨慎分发电子邮件所必需的。然而,攻击的主要焦点仍然是巴西的普通用户。攻击者的目标是从受害者的银行账户中窃取身份验证数据。