اخبار کوتاه

افزونه‌های مخرب مرورگر، کاربران سراسر آمریکای لاتین را آلوده کرده‌اند

security news

محققان امنیت سایبری از کمپین جدیدی پرده برداشتند که از ابتدای سال ۲۰۲۵ کاربران برزیلی را هدف قرار داده است و کاربران را با افزونه مخرب مرورگرهای وب مبتنی بر کرومیوم آلوده کرده و داده‌های احراز هویت کاربر را سرقت می‌کند.

محقق امنیتی Positive Technologies در گزارشی گفت: برخی از ایمیل‌های فیشینگ از سرورهای شرکت‌های آسیب‌‌پذیر ارسال شده و احتمال حمله موفقیت‌آمیز را افزایش می‌دهد. در این فعالیت که تحت عنوان عملیات Phantom Enigma ردیابی می‌شود، نفوذگران از یک افزونه مخرب برای مرورگرهای گوگل کروم، مایکروسافت Edge و Brave و Mesh Agent و PDQ Connect Agent استفاده کرد‌ه‌اند. این افزونه مخرب ۷۲۲ بار از سراسر برزیل، کلمبیا، جمهوری چک، مکزیک، روسیه و ویتنام و سایر کشورها دانلود شده است. تاکنون ۷۰ شرکت قربانی منحصر به فرد شناسایی شده‌اند. این حمله با ایمیل‌های فیشینگ که به عنوان فاکتور پنهان شده‌اند، آغاز می‌شود که فرآیند چند مرحله‌ای را برای استقرار افزونه مرورگر آغاز می‌کنند.  پیام‌ها گیرندگان را ترغیب می‌کنند تا فایلی را از لینک جاسازی شده دانلود کنند یا پیوست مخرب موجود در آرشیو را باز کنند. درون فایل‌ها یک اسکریپت دسته‌ای وجود دارد که مسئول دانلود و اجرای اسکریپت پاورشل است که مجموعه‌ای از بررسی‌ها را برای تعیین اینکه آیا در یک محیط مجازی اجرا می‌شود و وجود نرم‌افزاری به نام Diebold Warsaw انجام می‌دهد.

افزونه امنیتی Warsaw که توسط GAS Tecnologia توسعه یافته است، جهت ایمن‌سازی تراکنش‌های بانکی و تجارت الکترونیک از طریق اینترنت و دستگاه‌های تلفن همراه در برزیل استفاده می‌شود. فایل‌های موجود در دایرکتوری باز مهاجمان نشان می‌دهد که آلوده‌سازی شرکت‌ها برای توزیع مخفیانه ایمیل‌ها از طرف آنها ضروری بوده است. با این حال، تمرکز اصلی حملات همچنان بر روی کاربران برزیلی باقی مانده است. هدف مهاجمان سرقت داده‌های احراز هویت از حساب‌های بانکی قربانیان است  شایان ذکر است همان‌طور که تروجان‌های بانکی آمریکای لاتین مانند Casbaneiro ویژگی‌های مشابهی را در خود جای داده‌اند. همچنین اسکریپت پاورشل به گونه‌ای مهندسی شده است که دارای قابلیت غیر فعال‌سازی کنترل حساب کاربری (UAC)، راه‌اندازی خودکار پس از راه‌اندازی مجدد سیستم با پیکربندی اسکریپت دسته‌ای مذکور، تنظیم پایداری و برقراری ارتباط با یک سرور از راه دور است تا آماده دستورات بعدی باشد.

https://thehackernews.com/2025/06/malicious-browser-extensions-infect-722.html

 

مطالب مرتبط

security news

زیرساخت‌های حیاتی اوکراین هدف بدافزار «PathWiper»

security news

گونه‌ای از AMOS از طریق ClickFix، کاربران اپل را هدف قرار می‌دهد 

security news

Whisper و Spearal: بدافزارهای جدید نفوذگران BladedFeline در حمله به عراق و اقلیم کردستان