Nel 2025 è stata individuata una nuova campagna di phishing che sta colpendo in particolare gli utenti del Brasile e di altri Paesi dell’America Latina, con una serie di estensioni browser malevole progettate per rubare dati di autenticazione bancaria. Questa minaccia, denominata Operation Phantom Enigma, è stata scoperta dagli esperti di sicurezza di Positive Technologies. Secondo le analisi, oltre 700 utenti sono già stati infettati attraverso il download di queste estensioni su browser Chromium come Google Chrome, Microsoft Edge e Brave.

Catena di attacco

La catena di attacco inizia con l’invio di email di phishing, spesso provenienti da server di aziende compromesse, che aumentano la credibilità del messaggio. Il testo delle email simula l’invio di fatture e invita la vittima a scaricare un file tramite un link o ad aprire un allegato malevolo. All’interno di questi file si trova uno script batch che scarica e lancia un ulteriore script PowerShell. Quest’ultimo verifica se il sistema si trova in un ambiente virtuale e cerca la presenza del software di sicurezza Diebold Warsaw, molto diffuso in Brasile per le transazioni online sicure.

Se le condizioni sono soddisfatte, lo script PowerShell disabilita il controllo UAC di Windows, assicura la persistenza della minaccia e stabilisce una connessione con un server remoto da cui riceve comandi. Tra questi, la possibilità di installare l’estensione malevola modificando le policy di installazione delle estensioni di Chrome, così da eludere l’interazione dell’utente.

Estensioni malevole e impatto

Le estensioni individuate sono state rimosse dal Chrome Web Store, ma la campagna ha già colpito utenti in Brasile, Colombia, Messico, Russia, Vietnam e Repubblica Ceca. L’estensione sviluppata dagli attaccanti è in grado di eseguire codice JavaScript malevolo quando viene rilevata la navigazione su siti bancari specifici, come Banco do Brasil. In questo modo, vengono intercettati il token di autenticazione dell’utente e altre informazioni sensibili, inviate poi ai server degli attaccanti. In alcuni casi, la truffa include la visualizzazione di QR code fraudolenti o schermate di caricamento che servono a ingannare ulteriormente la vittima.

Tecniche e obiettivi degli attaccanti

Gli operatori dietro questa campagna sfruttano anche installer e software di accesso remoto per aumentare la superficie d’attacco, dimostrando una notevole capacità di adattamento e una sofisticata organizzazione. L’obiettivo principale rimane il furto delle credenziali bancarie degli utenti comuni, sfruttando tecniche innovative di distribuzione di estensioni dannose tramite phishing e installer Windows.