Istraživači sajber sigurnosti otkrili su sofisticiranu kampanju malicioznog softvera usmjerenu na brazilske korisnike putem malicioznih ekstenzija za pretraživače dizajniranih za krađu osjetljivih bankarskih podataka i financijskih podataka.
Operacija, nazvana “Operacija Fantomska Enigma”, predstavlja značajnu eskalaciju u evoluciji bankarskih trojanaca, koristeći ekstenzije pretraživača kao primarni vektor napada za zaobilaženje tradicionalnih sigurnosnih mjera i prikupljanje podataka za autentifikaciju od velikih finansijskih institucija.
Kampanja koristi višestruki pristup, distribujući maliciozni softver putem phishing e-poruka koje sadrže maliciozne Microsoft Installer (MSI) datoteke prikrivene kao legitimne vladine dokumente .
Nakon što se pokrene, maliciozni softver implementira ekstenzije u više pretraživača, uključujući Google Chrome, Microsoft Edge i Brave, uspostavljajući trajan pristup sistemima žrtava, a istovremeno ga konvencionalna sigurnosna rješenja uglavnom ne otkrivaju.
Analitičari kompanije Positive Technologies identifikovali su ovu kampanju nakon što su otkrili opsežnu mrežnu infrastrukturu i analizirali više uzoraka malicioznog softvera povezanih s operacijom.
Sofisticiranost napada ide dalje od jednostavne krađe akreditiva, uključujući napredne tehnike izbjegavanja i ciljajući specifični brazilski softver za bankarsku sigurnost.
Maliciozni softver posebno provjerava prisustvo Warsaw Technology, široko korištenog rješenja za bankarsku sigurnost u Brazilu, prije nego što nastavi sa infekcijom.
Ovaj ciljani pristup sugeriše da napadači posjeduju detaljno znanje o brazilskom finansijskom ekosistemu i da su shodno tome prilagodili svoje alate.
Kampanja je uspješno kompromitovala preko 70 kompanija, a maliciozne ekstenzije su preuzete 722 puta iz Chrome Web Store-a prije njihovog uklanjanja.
Geografska distribucija otkriva koncentrisani fokus na Brazil, iako infrastruktura sugeriše potencijal za širu međunarodnu ekspanziju.
Mehanizam infekcije i taktike perzistencije
Lanac infekcije malicioznog softvera pokazuje izuzetnu tehničku sofisticiranost, počevši od PowerShell skripti koje uspostavljaju višestruke mehanizme perzistencije.
.webp)
Primarna skripta kreira unose u registru za automatsko pokretanje, a istovremeno onemogućava kontrolu korisničkih računa ( UAC ) putem manipulacije registrom.
Kritični fragment koda otkriva mehanizam perzistencije:
$registryPath = "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
$name = "PWSecurity"
$scriptPath = "$env:APPDATA\$nomebat"
New-ItemProperty -Path $registryPath -Name $name -Value $scriptPath -PropertyType String -ForceOvaj isječak koda ilustruje kako maliciozni softver uspostavlja perzistentnost kreiranjem ključa registra pod nazivom “PWSecurity” koji automatski izvršava maliciozni skript prilikom pokretanja sistema.
Maliciozni softver dodatno koristi detekciju virtualizacije kako bi izbjegao analizu, koristeći WMI upite za identifikaciju sandbox okruženja prije nastavka instalacije.
Proces implementacije ekstenzija uključuje direktnu modifikaciju registra, prisilno instaliranje ekstenzija pretraživača manipulisanjem postavkama pravila Chrome-a.
Maliciozni softver se povezuje sa komandnim i kontrolnim serverima na IP adresi 142.54.185.178, obrađujući komande uključujući „START_SCREEN“ za instalaciju ekstenzije i „CHECAEXT“ za provjeru uspješne implementacije.
Ovaj sofisticirani pristup omogućava napadačima da održe stalan pristup, izbjegavajući otkrivanje putem tradicionalnih sistema za sigurnosni nadzor.
Izvor: CyberSecurityNews
