Ricercatori di cybersecurity hanno recentemente scoperto una nuova campagna che prende di mira gli utenti brasiliani dall’inizio del 2025. L’obiettivo è infettare gli utenti con un’estensione malevola per browser basati su Chromium e sottrarre dati di autenticazione degli utenti.
Alcune delle email di phishing sono state inviate dai server di aziende compromesse, aumentando le probabilità di successo dell’attacco, come riportato dal ricercatore di sicurezza di Positive Technologies, Klimentiy Galkin. Gli attaccanti hanno utilizzato un’estensione malevola per i browser Google Chrome, Microsoft Edge e Brave, oltre a Mesh Agent e PDQ Connect Agent.
La società di cybersecurity russa, che sta monitorando l’attività sotto il nome di Operation Phantom Enigma, ha dichiarato che l’estensione malevola è stata scaricata 722 volte in paesi come Brasile, Colombia, Repubblica Ceca, Messico, Russia e Vietnam, tra gli altri. Sono state identificate fino a 70 aziende vittime uniche. Alcuni aspetti della campagna sono stati divulgati all’inizio di aprile da un ricercatore noto con l’alias @johnk3r su X.
L’attacco inizia con email di phishing camuffate da fatture che innescano un processo a più fasi per distribuire l’estensione del browser. I messaggi incoraggiano i destinatari a scaricare un file da un link incorporato o ad aprire un allegato malevolo contenuto all’interno di un archivio.
All’interno dei file è presente uno script batch responsabile del download e dell’avvio di uno script PowerShell, che a sua volta esegue una serie di controlli per determinare se è in esecuzione in un ambiente virtualizzato e la presenza di un software chiamato Diebold Warsaw.
Sviluppato da GAS Tecnologia, Warsaw è un plugin di sicurezza utilizzato per proteggere le transazioni bancarie e di e-commerce tramite Internet e dispositivi mobili in Brasile. Vale la pena notare che trojan bancari latinoamericani come Casbaneiro hanno incorporato funzionalità simili, come rivelato da ESET nell’ottobre 2019.
Lo script PowerShell è anche progettato per disabilitare il Controllo dell’Account Utente (UAC), impostare la persistenza configurando lo script batch menzionato per essere avviato automaticamente al riavvio del sistema e stabilire una connessione con un server remoto in attesa di ulteriori comandi.
La lista dei comandi supportati è la seguente:
- PING – Invia un messaggio di battito al server inviando “PONG” in risposta.
- DISCONNECT – Interrompe il processo dello script corrente sul sistema della vittima.
- REMOVEKL – Disinstalla lo script.
- CHECAEXT – Controlla il Registro di Windows per la presenza di un’estensione del browser malevola, inviando OKEXT se esiste, o NOEXT, se l’estensione non viene trovata.
- START_SCREEN – Installa l’estensione nel browser modificando la policy ExtensionInstallForcelist, che specifica un elenco di app ed estensioni che possono essere installate senza interazione dell’utente.
Le estensioni rilevate (identificatori nplfchpahihleeejpjmodggckakhglee, ckkjdiimhlanonhceggkfjlmjnenpmfm e lkpiodmpjdhhhkdhdbnncigggodgdfli) sono già state rimosse dal Chrome Web Store. Altre catene di attacco sostituiscono lo script batch iniziale con file di installazione di Windows Installer e Inno Setup.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
