Pozitif Teknolojiler Güvenlik Uzman Merkezi’nden siber güvenlik uzmanları, öncelikle Brezilyalı sakinleri hedefleyen ve aynı zamanda dünya çapındaki organizasyonları etkileyen “Phantom Enigma” adlı sofistike bir kötü niyetli kampanyayı ortaya çıkardılar.
Bu kampanya, Mesh Agent ve PDQ Connect Agent gibi uzaktan erişim araçlarının (sıçan) yanı sıra Google Chrome, Microsoft Edge ve Cesur için kötü amaçlı tarayıcı uzantıları kullanan çift saldırı stratejisi kullanır.
Phantom Enigma Kampanyası Brezilyalı kullanıcıları hedefliyor
Birincil amaç, özellikle Banco do Brasil kullanıcılarından, kurbanları kötü amaçlı dosyalar indirmeye veya aldatıcı bağlantılara tıklamaya çeken faturalar olarak gizlenmiş kimlik avı e -postaları aracılığıyla hassas kimlik doğrulama verilerinin çalınması gibi görünmektedir.
.png
)
Bu saldırının teknik karmaşıklığı, daha geniş altyapı uzlaşmasını sağlayan sıçanların yanı sıra, oturum açma girişimleri sırasında kullanıcı kimlik bilgilerini kesen uzantılar yüklemek için PowerShell ve Bat komut dosyalarını kullanımında yatmaktadır.
Saldırı zinciri, meşruiyeti artırmak için genellikle tehlikeye atılan şirket sunucularından gönderilen kimlik avı e -postaları ile başlar ve kurbanları şüpheli alanlardan dosya indirmeye veya arşivlerde açık kötü niyetli ekler açar.
Yarasa komut dosyaları, Windows yükleyicileri (MSI) veya Inno kurulum yükleyicileri olarak teslim edilen bu dosyalar, kalıcılık sağlamak ve algılamadan kaçmak için bir dizi eylem yürütür.
Örneğin, PowerShell komut dosyaları, kayıt defteri değerlerini değiştirerek ve sanal alan algılamasını önlemek için sanallaştırma ortamlarını kontrol ederek kullanıcı hesabı kontrolünü (UAC) devre dışı bırakır.
Ayrıca Varşova Teknoloji Hizmetini, Brezilya bankaları tarafından kurbanın yerini onaylamak için kullanılan bir güvenlik özelliğini hedefliyorlar.
Küresel etki ve altyapı
Kurulduktan sonra, “nplfchpahihleeejpjmodggckakhglee” gibi tanımlayıcılar tarafından tanımlanan kötü niyetli uzantılar, hasat giriş verileri ve Financial-Executive.com ve clientepj.com gibi komut ve kontrol (C2) sunucularına iletir.
Eşzamanlı olarak, Mesh Agent gibi sıçanlar mesh.computAdorpj.com gibi sunuculara bağlanır ve saldırganların enfekte ağlara yayılmasına izin verir ve tüm organizasyonel altyapıları tehlikeye atar.
Daha fazla araştırma, saldırganların sunucularında açık bir dizin ortaya çıkardı, yardımcı komut dosyaları ve kurban verilerini ortaya çıkardı, bu da sunucular kimlik avı e -postalarını dağıtmak için kullanılan 70 benzersiz uzlaşmış şirketin bir listesi de dahil.
Uzantılar, kaldırılmadan önce Chrome web mağazasından 722 kez indirildi ve kullanıcıları sadece Brezilya’da değil, aynı zamanda Kolombiya, Çek Cumhuriyeti, Meksika, Rusya, Vietnam ve ötesinde de etkiledi.
Ağ analizi, yükleyici dosyalarından TLS sertifikaları ve meta veriler aracılığıyla bağlantılı 142.54.185.178 ve computadorpj.com gibi birden çok kötü amaçlı alan ve IP adresi tanımladı.
Kodda Alman ve Portekiz değişken adlarının kullanılması, saldırganların potansiyel kökenlerini veya ödünç alınan kod tabanlarını ima ederek kimliklerine bir gizem katmanı ekler.
Bu kampanyanın tarayıcı tabanlı casusluk ve sıçan güdümlü ağ infiltrasyonu karışımı, mağdur erişim ve veri hırsızlığını en üst düzeye çıkarmayı amaçlayan çok vektör saldırılarının giderek artan bir eğiliminin altını çiziyor.
Pozitif teknolojiler, gelecekte potansiyel büyük ölçekli saldırıların uyarısı olan bu tehdidi izlemeye devam ediyor ve kullanıcıları e-posta eklerini incelemeye ve olağandışı davranışlar için tarayıcı uzantılarını izlemeye çağırıyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| IP adresi | 18.231.162.77, 107.174.231.26, 142.54.185.178, 54.207.88.51 |
| İhtisas | atual2025.com, clientepj.com, computAdorpj.com, financial-ececutive.com |
| Tarayıcı Uzatma Kimliği | nplfchpahihleeejpjmodggckakhglee, ckkjdiimhlanonhceggkfjlmjnenpmfm |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!