Ciberseguridad 360 | Extensiones maliciosas infectan a más de 700 usuarios en Latinoamérica

Investigadores de ciberseguridad han arrojado luz sobre una nueva campa�a dirigida a usuarios brasile�os desde principios de 2025 para infectar a los usuarios con una extensi�n maliciosa para navegadores web basados en Chromium y desviar los datos de autenticaci�n de los usuarios.

"Algunos de los correos electr�nicos de phishing se enviaron desde los servidores de empresas comprometidas, lo que aument� las posibilidades de �xito del ataque", afirma en un informe Klimentiy Galkin, investigador de seguridad de Positive Technologies. "Los atacantes utilizaron una extensi�n maliciosa para los navegadores Google Chrome, Microsoft Edge y Brave, as� como Mesh Agent y PDQ Connect Agent".

La compa��a rusa de ciberseguridad, que est� rastreando la actividad bajo el nombre de Operaci�n Phantom Enigma, dijo que la extensi�n maliciosa se descarg� 722 veces desde todo Brasil, Colombia, Rep�blica Checa, M�xico, Rusia y Vietnam, entre otros. Se han identificado hasta 70 empresas v�ctimas �nicas.

El ataque comienza con correos electr�nicos de phishing disfrazados de facturas que desencadenan un proceso de varias fases para desplegar la extensi�n del navegador. Los mensajes animan a los destinatarios a descargar un archivo desde un enlace incrustado o a abrir un adjunto malicioso contenido en un archivo comprimido.

Dentro de los archivos hay un script por lotes que se encarga de descargar e iniciar un script PowerShell que, a su vez, realiza una serie de comprobaciones para determinar si se est� ejecutando en un entorno virtualizado y la presencia de un software denominado Diebold Warsaw.

Desarrollado por GAS Tecnologia, Warsaw es un complemento de seguridad que se utiliza para proteger las transacciones bancarias y de comercio electr�nico a trav�s de Internet y dispositivos m�viles en Brasil. Cabe destacar que troyanos bancarios latinoamericanos como Casbaneiro han incorporado caracter�sticas similares, seg�n revel� ESET en octubre de 2019.

La secuencia de comandos PowerShell tambi�n est� dise�ada para desactivar el Control de cuentas de usuario (UAC), configurar la persistencia mediante la configuraci�n de la secuencia de comandos por lotes antes mencionada para que se inicie autom�ticamente al reiniciar el sistema y establecer una conexi�n con un servidor remoto para esperar otros comandos.

La lista de comandos compatibles es la siguiente:

PING: Env�a un mensaje de heartbeat al servidor enviando "PONG" como respuesta.

DISCONNECT: Detener el proceso actual del script en el sistema de la v�ctima.

REMOVEKL: Desinstala el script.

CHECAEXT: Comprueba la presencia de una extensi�n de navegador maliciosa en el Registro de Windows, enviando OKEXT si existe, o NOEXT, si no se encuentra la extensi�n.

START_SCREEN: Instala la extensi�n en el navegador modificando la pol�tica ExtensionInstallForcelist, que especifica una lista de aplicaciones y extensiones que pueden instalarse sin la interacci�n del usuario.

Las extensiones detectadas ya han sido eliminadas de la Chrome Web Store.

Otras cadenas de ataque intercambian el script por lotes inicial de los archivos de instalaci�n de Windows Installer e Inno Setup que se utilizan para distribuir las extensiones. El complemento, seg�n Positive Technologies, est� equipado para ejecutar c�digo JavaScript malicioso cuando la pesta�a activa del navegador corresponde a una p�gina web asociada al Banco do Brasil.

En concreto, env�a el token de autenticaci�n del usuario y una petici�n al servidor de los atacantes para recibir comandos que probablemente muestren una pantalla de carga a la v�ctima (WARTEN o SCHLIEBEN_WARTEN) o sirvan un c�digo QR malicioso en la p�gina web del banco (CODE_ZUM_LESEN). La presencia de palabras en alem�n para los comandos podr�a aludir a la ubicaci�n del atacante o a que el c�digo fuente fue reutilizado desde otro lugar.

En lo que parece ser un esfuerzo por maximizar el n�mero de v�ctimas potenciales, los operadores desconocidos han encontrado aprovechar se�uelos relacionados con facturas para distribuir archivos instaladores y desplegar software de acceso remoto como MeshCentral Agent o PDQ Connect Agent en lugar de una extensi�n maliciosa para el navegador.

Positive Technologies dijo que tambi�n identific� un directorio abierto perteneciente a los scripts auxiliares del atacante que conten�a enlaces con par�metros que inclu�an el identificador EnigmaCyberSecurity ("<dominio-v�ctima>/about.php?key=EnigmaCyberSecurity").

"El estudio destaca el uso de t�cnicas bastante �nicas en Am�rica Latina, incluyendo una extensi�n maliciosa del navegador y la distribuci�n a trav�s de los instaladores Windows Installer e Inno Setup", dijo Galkin.

"Los archivos del directorio abierto de los atacantes indican que infectar empresas era necesario para distribuir discretamente correos electr�nicos en su nombre. Sin embargo, el objetivo principal de los ataques segu�an siendo los usuarios brasile�os normales. El objetivo de los atacantes es robar datos de autenticaci�n de las cuentas bancarias de las v�ctimas."

Fuente: thehackernews