Siber güvenlik araştırmacıları, 2025 yılının başından beri kullanıcıları krom tabanlı web tarayıcıları ve Siphon kullanıcı kimlik doğrulama verileri için kötü niyetli bir uzantıyla enfekte etmek için Brezilyalı kullanıcıları hedefleyen yeni bir kampanyaya ışık tutuyorlar.
Pozitif Technologies güvenlik araştırmacısı Klimentiy Galkin, “Kimlik avı e -postalarının bazı kimlik avı e -postaları, tehlikeye atılan şirketlerin sunucularından başarılı bir saldırı şansını artırarak gönderildi.” Dedi. “Saldırganlar Google Chrome, Microsoft Edge ve cesur tarayıcıların yanı sıra Mesh Agent ve PDQ Connect Agent için kötü niyetli bir uzantı kullandı.”
Adı altındaki etkinliği izleyen Rus siber güvenlik şirketi Phantom Enigma Operasyonukötü niyetli uzatmanın Brezilya, Kolombiya, Çek Cumhuriyeti, Meksika, Rusya ve Vietnam’ın dört bir yanından 722 kez indirildiğini söyledi. 70 kadar benzersiz kurban şirketi tespit edildi. Kampanyanın bazı yönleri Nisan ayı başlarında X’teki Alias @Johnk3r tarafından giden bir araştırmacı tarafından açıklandı.
Saldırı, tarayıcı uzantısını dağıtmak için çok aşamalı bir işlemi tetikleyen faturalar olarak gizlenmiş kimlik avı e-postaları ile başlar. Mesajlar, alıcıları gömülü bir bağlantıdan bir dosya indirmeye veya bir arşivde bulunan kötü amaçlı bir ek açmaya teşvik eder.
Dosyalarda, bir PowerShell komut dosyasını indirmek ve başlatmaktan sorumlu olan bir toplu beter bulunmaktadır, bu da sanallaştırılmış bir ortamda çalışıp çalışmadığını ve Diebold Varşova adlı bir yazılımın varlığını belirlemek için bir dizi kontrol gerçekleştirir.
Gas Tecnologia tarafından geliştirilen Varşova, Brezilya’daki İnternet ve mobil cihazlar aracılığıyla bankacılık ve e-ticaret işlemlerini güvence altına almak için kullanılan bir güvenlik eklentisidir. Casbaneiro gibi Latin Amerika bankacılığı Truva atlarının Ekim 2019’da ESET tarafından açıklandığı gibi benzer özellikler içerdiğini belirtmek gerekir.
PowerShell komut dosyası ayrıca kullanıcı hesabı kontrolünü (UAC) devre dışı bırakmak, sistem yeniden başlatılması üzerine otomatik olarak başlatılacak ve daha fazla komutu beklemek için bir uzak sunucu ile bağlantı kurmak için yukarıda belirtilen parti komut dosyasını yapılandırarak kalıcılığı ayarlamak için tasarlanmıştır.
Desteklenen komutların listesi aşağıdaki gibidir –
- Ping – Yanıt olarak “Pong” göndererek sunucuya bir kalp atışı mesajı gönderin
- Bağlantı Kesildi – Kurbanın sistemindeki geçerli komut dosyası işlemini durdurun
- Removekl – Komut dosyasını kaldır
- Checaext – Windows kayıt defterini, kötü niyetli bir tarayıcı uzantısının varlığı için kontrol edin, varsa OKEXT göndererek veya uzantı bulunmazsa noext,
- Start_screen – Kullanıcı etkileşimi olmadan yüklenebilen uygulama ve uzantıların bir listesini belirten ExtensionInStallForCelist ilkesini değiştirerek uzantıyı tarayıcıya yükleyin.
Tespit edilen uzantılar (tanımlayıcıları nplfchpahihleeejpjmodggckakhglee, ckkjdiimhlanonhceggfjlmjnenpmfm ve lkpiodmpjdhhhkdhdbnnciggggodgdfli) chrome web deposundan çıkarılmıştır.
Diğer saldırı zincirleri, Windows yükleyicisi için ilk toplu komut dosyasını değiştirir ve uzantıları teslim etmek için kullanılan Inno kurulum yükleyici dosyaları. Pozitif teknolojiler başına eklenti, etkin tarayıcı sekmesi Banco do Brasil ile ilişkili bir web sayfasına karşılık geldiğinde kötü amaçlı JavaScript kodu yürütmek üzere donatılmıştır.
Özellikle, kullanıcının kimlik doğrulama jetonunu ve saldırganların sunucusuna, kurbana (Warten veya Schlieben_warten) bir yükleme ekranı görüntülemek için komut alması veya bankanın web sayfasında (code_zum_lesen) kötü niyetli bir QR kodu sunması için bir istek gönderir. Komutlar için Almanca kelimelerin varlığı ya saldırganın konumunu ifade edebilir ya da kaynak kodunun başka bir yerden yeniden kullanılması olabilir.
Potansiyel kurbanların sayısını en üst düzeye çıkarmak için bir çaba gibi görünen şeyde, bilinmeyen operatörler, yükleyici dosyalarını dağıtmak ve kötü niyetli tarayıcı uzantısı yerine Meshcentral Agent veya PDQ Connect Agent gibi uzaktan erişim yazılımını dağıtmak için fatura ile ilgili yemlerden yararlandığını tespit ettiler.
Pozitif Technologies ayrıca, saldırganın Enigmacybersecity tanımlayıcıyı içeren parametrelerle bağlantıları içeren yardımcı komut dosyalarına ait bir açık dizin belirlediğini söyledi (“
Galkin, “Çalışma, Windows yükleyicisi ve Inno kurulum yükleyicileri aracılığıyla kötü niyetli bir tarayıcı uzantısı ve dağıtım da dahil olmak üzere Latin Amerika’da oldukça benzersiz tekniklerin kullanımını vurgulamaktadır.” Dedi.
“Saldırganların açık dizinindeki dosyalar, enfekte şirketlerin adına e -postaları gizlice dağıtmak için gerekli olduğunu göstermektedir. Bununla birlikte, saldırıların ana odağı düzenli Brezilyalı kullanıcılarda kaldı. Saldırganların amacı, kurbanların banka hesaplarından kimlik doğrulama verilerini çalmaktır.”