Бразильская опера Phantom Enigma: расширение поёт, Mesh Agent дирижирует, деньги исчезают
NewsMakerPositive Technologies раскрыла атаки на компании в 7 странах.
Специалисты Positive Technologies зафиксировали в начале 2025 года масштабную вредоносную кампанию Phantom Enigma, ориентированную преимущественно на пользователей из Бразилии. В качестве векторов атаки использовались фишинговые письма, вредоносные расширения для браузеров Google Chrome, Microsoft Edge и Brave, а также инструменты удалённого управления Mesh Agent и PDQ Connect Agent.
Фишинговая рассылка велась как с поддельных, так и с серверов реальных взломанных компаний, что повышало доверие к письмам. Жертве предлагалось скачать файл — BAT- или MSI-скрипт — якобы содержащий счёт-фактуру. В результате на устройство загружался PowerShell-скрипт , устанавливающий расширение из Chrome Web Store или из локального каталога.
Расширение, обнаруженное под идентификатором `nplfchpahihleeejpjmodggckakhglee`, взаимодействовало с управляющим сервером financial-executive[.]com, собирая аутентификационные данные пользователей, включая логины, пароли и токены, преимущественно с сайта банка Banco do Brasil. В коде расширения использовались переменные на немецком и португальском языках.
Одним из вариантов атаки был обход установки расширения через Web Store — при помощи MSI-установщика и встроенного JavaScript-а происходил запуск браузеров с параметром `--load-extension`. Ярлыки браузеров в пользовательских каталогах заменялись, а оригинальные — удалялись.
Отдельный вектор — использование Mesh Agent. Через тот же фишинг жертве предлагался файл MSI, который устанавливал Mesh Agent и подключал устройство к серверу злоумышленников через домены `mesh.computadorpj[.]com`. Подключение позволяло атакующим управлять устройством, собирать данные и перемещаться по инфраструктуре заражённой компании.
На серверах злоумышленников была обнаружена открытая директория с файлами кампании, включая PowerShell-скрипты, установщики, вредоносные расширения и список жертв. В частности, файл `resultados.txt` содержал 70 уникальных доменов компаний, чьи ресурсы использовались для отправки писем.
Общее количество скачиваний одного из расширений в Chrome Web Store превысило 700. Помимо Бразилии, зафиксированы случаи заражения в России, Чехии, Вьетнаме, Колумбии и Мексике. Основной целью атак остаётся кража банковских данных.
Инфраструктура Phantom Enigma включала домены `clientepj[.]com`, `computadorpj[.]com`, `financial-executive[.]com`, `ranchocentral[.]com`, а также хостинг на IP 142.54.185.178 и 107.174.231.26. Использовались репозитории GitHub и различные установочные пакеты, подписанные с поддельными атрибутами.
Positive Technologies классифицировала кампанию по ряду техник MITRE ATT&CK: фишинг, внедрение через расширения, модификация ярлыков, скрытие присутствия, загрузка полезной нагрузки через PowerShell и установку через MSI. Средства PT Sandbox, PT NAD и MaxPatrol фиксируют активность расширений и компонентов Mesh Agent.
Вредоносные расширения уже удалены из официального магазина Chrome, но инфраструктура остаётся активной. Positive Technologies продолжает мониторинг кампании и призывает компании из Латинской Америки и других регионов усилить защиту браузеров и почтовых систем, ограничить возможность установки расширений и использовать детекторы RAT-инструментов.
Специалисты Positive Technologies зафиксировали в начале 2025 года масштабную вредоносную кампанию Phantom Enigma, ориентированную преимущественно на пользователей из Бразилии. В качестве векторов атаки использовались фишинговые письма, вредоносные расширения для браузеров Google Chrome, Microsoft Edge и Brave, а также инструменты удалённого управления Mesh Agent и PDQ Connect Agent.
Фишинговая рассылка велась как с поддельных, так и с серверов реальных взломанных компаний, что повышало доверие к письмам. Жертве предлагалось скачать файл — BAT- или MSI-скрипт — якобы содержащий счёт-фактуру. В результате на устройство загружался PowerShell-скрипт , устанавливающий расширение из Chrome Web Store или из локального каталога.
Расширение, обнаруженное под идентификатором `nplfchpahihleeejpjmodggckakhglee`, взаимодействовало с управляющим сервером financial-executive[.]com, собирая аутентификационные данные пользователей, включая логины, пароли и токены, преимущественно с сайта банка Banco do Brasil. В коде расширения использовались переменные на немецком и португальском языках.
Одним из вариантов атаки был обход установки расширения через Web Store — при помощи MSI-установщика и встроенного JavaScript-а происходил запуск браузеров с параметром `--load-extension`. Ярлыки браузеров в пользовательских каталогах заменялись, а оригинальные — удалялись.
Отдельный вектор — использование Mesh Agent. Через тот же фишинг жертве предлагался файл MSI, который устанавливал Mesh Agent и подключал устройство к серверу злоумышленников через домены `mesh.computadorpj[.]com`. Подключение позволяло атакующим управлять устройством, собирать данные и перемещаться по инфраструктуре заражённой компании.
На серверах злоумышленников была обнаружена открытая директория с файлами кампании, включая PowerShell-скрипты, установщики, вредоносные расширения и список жертв. В частности, файл `resultados.txt` содержал 70 уникальных доменов компаний, чьи ресурсы использовались для отправки писем.
Общее количество скачиваний одного из расширений в Chrome Web Store превысило 700. Помимо Бразилии, зафиксированы случаи заражения в России, Чехии, Вьетнаме, Колумбии и Мексике. Основной целью атак остаётся кража банковских данных.
Инфраструктура Phantom Enigma включала домены `clientepj[.]com`, `computadorpj[.]com`, `financial-executive[.]com`, `ranchocentral[.]com`, а также хостинг на IP 142.54.185.178 и 107.174.231.26. Использовались репозитории GitHub и различные установочные пакеты, подписанные с поддельными атрибутами.
Positive Technologies классифицировала кампанию по ряду техник MITRE ATT&CK: фишинг, внедрение через расширения, модификация ярлыков, скрытие присутствия, загрузка полезной нагрузки через PowerShell и установку через MSI. Средства PT Sandbox, PT NAD и MaxPatrol фиксируют активность расширений и компонентов Mesh Agent.
Вредоносные расширения уже удалены из официального магазина Chrome, но инфраструктура остаётся активной. Positive Technologies продолжает мониторинг кампании и призывает компании из Латинской Америки и других регионов усилить защиту браузеров и почтовых систем, ограничить возможность установки расширений и использовать детекторы RAT-инструментов.