A Positive Technologies biztonsági szakértői által feltárt Phantom Enigma névre keresztelt kampány egy rendkívül összetett támadássorozat, mely elsősorban a brazil felhasználókat célozza meg, de világszerte is hatással van különböző szervezetekre. A támadás két szinten történik: rosszindulatú böngészőbővítmények és távoli hozzáférési eszközök (RAT) együttes alkalmazásával, mint a Mesh Agent és a PDQ Connect Agent.

 A Phantom Enigma elsődleges célja a felhasználók érzékeny hitelesítési adatainak ellopása, különösen a Banco do Brasil ügyfeleikét. A támadás módszere adathalász e-mailek küldésével kezdődik, melyek hamis számlákat tartalmaznak. Ezek az e-mailek arra szándékoznak ösztönözni a felhasználókat, hogy rosszindulatú fájlokat töltsenek le, vagy hamis linkekre kattintsanak.

A támadási lánc egyik legösszetettebb része olyan PowerShell és BAT scriptek használata, melyek böngésző bővítményeket telepítenek, és ezzel lehetővé teszik a felhasználói hitelesítő adatok lopását a bejelentkezési próbálkozások során. Emellett a távoli hozzáférési eszközök, (mint a RAT – Remote Access Tool) lehetővé teszik a támadók számára, hogy tovább terjedjenek az áldozatok hálózataiban, és mélyebb infrastruktúra rétegeket kompromittáljanak.

A támadás során a következő lépések valósulnak meg:

1. Phishing E-mailek: Az első lépés egy phishing e-mail küldése, amelyet gyakran kompromittált céges szerverekről küldenek, hogy hitelesebbnek tűnjön. Az e-mailekben olyan fájlok találhatóak, amelyeket a felhasználóknak le kell tölteniük egy gyanús domain-ról.
2. Fájlok Letöltése és Telepítése: Az e-mailek mellékletei BAT scripteket, Windows Installer (MSI) fájlokat vagy Inno Setup telepítőket tartalmaznak. Ezek a fájlok egy sor olyan műveletet hajtanak végre, amelyek biztosítják a támadás állandósulását és a felismerés elkerülését. A scriptek például letiltják a Felhasználói Fiók Vezérlést (UAC), módosítják a registry adatbázist, és ellenőrzik, hogy nem virtuális környezetben futnak-e.
3. Böngésző Bővítmények Telepítése: A telepített fájlok böngésző bővítményeket telepítenek a Google Chrome, Microsoft Edge és Brave böngészőkbe. A bővítmények képesek nyomon követni a felhasználói hitelesítő adatokat, majd azokat parancs- és irányító (C2) szerverekre továbbítani, mint például a financial-executive.com és a clientepj.com.
4. Távoli Hozzáférési Eszközök (RATs): A Mesh Agent és hasonló eszközök segítségével a támadók távolról hozzáférhetnek az áldozatok rendszereihez. Ez lehetővé teszi számukra, hogy tovább terjedjenek az adott szervezeti hálózatán, és a teljes infrastruktúrát kompromittálják.

A Támadás Globális Hatásai

Bár a támadás elsősorban Brazíliát célozza, a Phantom Enigma kampány világszerte is jelentős hatással volt. A támadások által használt böngészőbővítmények több mint 722 alkalommal kerültek letöltésre a Chrome Web Store-ból, mielőtt el lettek távolítva. Emellett a támadás hatással volt Kolumbiára, Csehországra, Mexikóra, Oroszországra, Vietnámra és más országokra is.

A támadás mögött álló szerverek között nyitott könyvtárak találhatóak, amelyek tartalmazzák a segédscripteket és a megtámadott cégek adatainak listáját. Az egyik ilyen lista 70 egyedi vállalatot tartalmaz, akiknek a szerverei phishing e-mailek küldésére lettek felhasználva. A kódokban használt német és portugál változónév minták arra utalhatnak, hogy a támadók vagy német, vagy portugál háttérrel rendelkeznek, vagy olyan kódokat vettek át, amelyek ezen nyelveken íródtak.

Mérföldkő a Kiberbiztonságban: A Multi-Vektorú Támadások

A Phantom Enigma kampány kiemelkedően komplex és veszélyes, mivel két különböző támadási vektort (böngésző alapú kémkedés és RAT-hálózatok) kombinál. Az ilyen típusú multivektorú támadások egyre gyakoribbá válnak, mivel lehetőséget adnak a támadóknak arra, hogy szélesebb körben jussanak el az áldozatokhoz, és a lehető legnagyobb mértékben érjenek el sikert az adatlopásra irányuló támadásaikkal.

A Támadással Kapcsolatos Figyelmeztetések és Ellenintézkedések

A Positive Technologies folyamatosan figyelemmel kíséri ezt a fenyegetést, és figyelmeztet arra, hogy a jövőben nagyobb léptékű támadások is várhatóak. A szakértők arra figyelmeztetnek, hogy a felhasználók minden esetben ellenőrizzék az e-mail mellékleteket, és figyeljenek a böngészőbővítmények szokatlan viselkedésére. Néhány indikátor segíthet a támadás korai észlelésében:

• IP címek: 18.231.162.77, 107.174.231.26, 142.54.185.178, 54.207.88.51
• Domainek: atual2025.com, clientepj.com, computadorpj.com, financial-executive.com
• Böngésző bővítmény azonosítók: nplfchpahihleeejpjmodggckakhglee, ckkjdiimhlanonhceggkfjlmjnenpmfm

A Phantom Enigma kiberkampány világosan mutatja, hogy a támadók egyre kifinomultabb technikákat alkalmaznak, amelyek nemcsak a felhasználói hitelesítő adatokat, hanem az egész szervezeti infrastruktúrát is veszélyeztetik. Az ilyen típusú kiberfenyegetések ellen a legjobb védekezés a proaktív biztonsági intézkedések alkalmazása, az e-mailek és a böngészőbővítmények alapos ellenőrzése, valamint a rendszeres biztonsági frissítések telepítése, illetve a felhasználók tudatosítása.