Pesquisadores de cibersegurança iluminaram uma nova campanha mirando usuários brasileiros desde o início de 2025 para infectar os usuários com uma extensão maliciosa para navegadores web baseados em Chromium e desviar dados de autenticação dos usuários.
"Alguns dos e-mails de phishing foram enviados a partir dos servidores de empresas comprometidas, aumentando as chances de um ataque bem-sucedido," disse o pesquisador de segurança da Positive Technologies, Klimentiy Galkin, em um relatório.
Os atacantes usaram uma extensão maliciosa para os navegadores Google Chrome, Microsoft Edge e Brave, assim como Mesh Agent e PDQ Connect Agent.
A companhia russa de cibersegurança, que está rastreando a atividade sob o nome Operação Phantom Enigma, disse que a extensão maliciosa foi baixada 722 vezes de várias partes do Brasil, Colômbia, República Tcheca, México, Rússia e Vietnã, entre outros.
Até 70 empresas vítimas únicas foram identificadas.
Alguns aspectos da campanha foram divulgados no início de abril por um pesquisador que usa o pseudônimo @johnk3r no X.
O ataque começa com e-mails de phishing disfarçados de faturas que desencadeiam um processo em várias etapas para implantar a extensão do navegador.
As mensagens incentivam os destinatários a baixar um arquivo de um link embutido ou abrir um anexo malicioso contido dentro de um arquivo.
Presente nos arquivos está um script em lote responsável por baixar e iniciar um script PowerShell, que, por sua vez, realiza uma série de verificações para determinar se está executando em um ambiente virtualizado e a presença de um software chamado Diebold Warsaw.
Desenvolvido pela GAS Tecnologia, o Warsaw é um plugin de segurança usado para proteger transações bancárias e de e-commerce através da Internet e dispositivos móveis no Brasil.
Vale notar que trojans bancários latino-americanos, como o Casbaneiro, incorporaram recursos similares, conforme divulgado pela ESET em outubro de 2019.
O script PowerShell também é projetado para desabilitar o Controle de Conta de Usuário (UAC), configurar a persistência ao configurar o script em lote mencionado para ser lançado automaticamente após a reinicialização do sistema e estabelecer uma conexão com um servidor remoto para aguardar mais comandos.
A lista de comandos suportados é a seguinte:
PING - Enviar uma mensagem de verificação para o servidor, enviando "PONG" em resposta
DISCONNECT - Interromper o processo do script atual no sistema da vítima
REMOVEKL - Desinstalar o script
CHECAEXT - Verificar o Registro do Windows para a presença de uma extensão de navegador maliciosa, enviando OKEXT se existir, ou NOEXT, se a extensão não for encontrada
START_SCREEN - Instalar a extensão no navegador modificando a política ExtensionInstallForcelist, que especifica uma lista de apps e extensões que podem ser instaladas sem interação do usuário
As extensões detectadas (identificadores nplfchpahihleeejpjmodggckakhglee, ckkjdiimhlanonhceggkfjlmjnenpmfm, e lkpiodmpjdhhhkdhdbnncigggodgdfli) já foram removidas da Chrome Web Store.
Outras cadeias de ataque substituem o script em lote inicial por arquivos instaladores Windows Installer e Inno Setup que são utilizados para entregar as extensões.
O complemento, segundo a Positive Technologies, está equipado para executar código Javascript malicioso quando a aba do navegador ativo corresponde a uma página web associada ao Banco do Brasil.
Especificamente, ele envia o token de autenticação do usuário e uma solicitação ao servidor dos atacantes para receber comandos para provavelmente exibir uma tela de carregamento à vítima (WARTEN ou SCHLIEBEN_WARTEN) ou servir um código QR malicioso na página web do banco (CODE_ZUM_LESEN).
A presença de palavras alemãs para os comandos pode aludir tanto à localização do atacante quanto ao reaproveitamento do código-fonte de outro lugar.
Num esforço que parece maximizar o número de vítimas potenciais, os operadores desconhecidos foram encontrados usando iscas relacionadas a faturas para distribuir arquivos instaladores e implantar softwares de acesso remoto como o MeshCentral Agent ou PDQ Connect Agent, em vez de uma extensão de navegador maliciosa.
A Positive Technologies disse também ter identificado um diretório aberto pertencente aos scripts auxiliares do atacante contendo links com parâmetros que incluíam o identificador EnigmaCyberSecurity ("<domínio-da-vítima>/about.php?key=EnigmaCyberSecurity").
"O estudo destaca o uso de técnicas bastante únicas na América Latina, incluindo uma extensão de navegador maliciosa e distribuição via Windows Installer e instaladores Inno Setup," disse Galkin.
Arquivos no diretório aberto dos atacantes indicam que infectar empresas era necessário para distribuir discretamente e-mails em nome delas.
No entanto, o foco principal dos ataques permaneceu nos usuários brasileiros regulares.
O objetivo dos atacantes é roubar dados de autenticação das contas bancárias das vítimas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...