Los investigadores de ciberseguridad han arrojado luz sobre una nueva campaña dirigida a usuarios brasileños desde el manifestación de 2025 para infectar a los usuarios con una extensión maliciosa para los navegadores web basados en cromo y los datos de autenticación de usuarios de sifones.
“Algunos de los correos electrónicos de phishing fueron enviados desde los servidores de compañías comprometidas, lo que aumentó las posibilidades de un ataque exitoso”, dijo el investigador de seguridad de Tecnologías positivas Klimentiy Galkin en un referencia. “Los atacantes utilizaron una extensión maliciosa para Google Chrome, Microsoft Edge y Brave Browsers, así como agente de malla y agente PDQ Connect”.
La compañía rusa de ciberseguridad, que está rastreando la actividad bajo el nombre Operación Phantom Enigmadijo que la extensión maliciosa se descargó 722 veces de Brasil, Colombia, la República Checa, México, Rusia y Vietnam, entre otros. Se han identificado hasta 70 compañías víctimas únicas. Algunos aspectos de la campaña fueron revelados a principios de abril por un investigador que pasa por el seudónimo @Johnk3r en X.
El ataque comienza con correos electrónicos de phishing disfrazados de facturas que desencadenan un proceso de varias etapas para implementar la extensión del navegador. Los mensajes alientan a los destinatarios a descargar un archivo desde un enlace incrustado o brindar un archivo adjunto sagaz contenido en el interior de un archivo.
Presente en el interior de los archivos hay un script por lotes responsable de descargar y exhalar un script de PowerShell, que, a su vez, realiza una serie de cheques para determinar si se ejecuta en un entorno virtualizado y la presencia de un software llamado Diebold Warsaw.
Desarrollado por Gas Tecnologia, Warsaw es un complemento de seguridad que se utiliza para consolidar las transacciones bancarias y de comercio electrónico a través de Internet y dispositivos móviles en Brasil. Vale la pena señalar que los troyanos bancarios latinoamericanos como Casbaneiro han incorporado características similares, según lo revelado por ESET en octubre de 2019.
El script de PowerShell todavía está diseñado para deshabilitar el control de la cuenta del heredero (UAC), configurar la persistencia al configurar el script por lotes mencionado que se lanzará automáticamente tras el reinicio del sistema y establece una conexión con un servidor remoto para esperar más comandos.
La nómina de comandos compatibles es la subsiguiente –
- Ping: envíe un mensaje de corazón al servidor enviando “pong” en respuesta
- Desconectar: detenga el proceso de script presente en el sistema de la víctima
- Removerkl – desinstalar el script
- Checaext: revise el registro de Windows para ver la presencia de una extensión de navegador sagaz, enviando OKEXT si existe, o ningún texto, si no se encuentra la extensión
- Start_screen: instale la extensión en el navegador modificando la política ExtensionInstallForcelist, que especifica una nómina de aplicaciones y extensiones que se pueden instalar sin interacción del heredero
Las extensiones detectadas (identificadores nplfchpahihleeejpjmodggckakhglee, ckkjdiimhlanonhceggkfjlmjnenpmfm y lkpiodmpjdhhhkdhdbnncigggodgdfli) ya se han eliminado de la tienda web de Chrome.
Otras cadenas de ataque intercambian el script auténtico por lotes para el instalador de Windows y los archivos de instalador de configuración de Inno que se utilizan para entregar las extensiones. El complemento, por tecnologías positivas, está equipado para ejecutar el código JavaScript sagaz cuando la pestaña del navegador activo corresponde a una página web asociada con Tira do Brasil.
Específicamente, envía el token de autenticación del heredero y una solicitud al servidor de los atacantes para admitir comandos para mostrar una pantalla de carga a la víctima (Warten o Schlieben_warten) o servir un código QR sagaz en la página web del bandada (code_zum_lesen). La presencia de palabras alemanas para los comandos podría citar a la ubicación del atacante o que el código fuente fue reutilizado de otro circunstancia.
En lo que parece ser un esfuerzo por maximizar el número de víctimas potenciales, los operadores desconocidos han descubierto que aprovechan señuelos relacionados con la estructura para distribuir archivos de instalador e implementar software de paso remoto como agente Meshcentral o agente PDQ Connect en circunstancia de una extensión de navegador sagaz.
Positive Technologies dijo que todavía identificó un directorio campechano que pertenece a los scripts auxiliares del atacante que contienen enlaces con parámetros que incluían el identificador de seguridad enigmacy (“(“
“El estudio destaca el uso de técnicas asaz únicas en América Latina, incluida una extensión y distribución maliciosa del navegador a través del instalador de Windows e instaladores de configuración de Inno”, dijo Galkin.
“Los archivos en el directorio campechano de los atacantes indican que infectar a las empresas era necesario para distribuir discretamente correos electrónicos en su nombre. Sin bloqueo, el enfoque principal de los ataques permaneció en los usuarios brasileños regulares. El objetivo de los atacantes es robar datos de autenticación de las cuentas bancarias de las víctimas”.
