Главная страница » Индикаторы компрометации
0
3 часа
Индикаторы компрометации

Новая вредоносная кампания Phantom Enigma атакует пользователей и компании в Бразилии и других странах

information security

Специалисты Positive Technologies обнаружили новую вредоносную кампанию под названием Phantom Enigma, которая с начала 2025 года активно нацелена на жителей Бразилии. Атаки проводятся с использованием фишинговых писем, маскирующихся под счета-фактуры, а также вредоносных расширений для браузеров Google Chrome, Microsoft Edge и Brave. В некоторых случаях злоумышленники используют серверы взломанных компаний для рассылки писем, что повышает доверие жертв и шансы на успешное заражение.

Описание

Основной вектор атаки включает установку вредоносного расширения для браузеров, которое собирает конфиденциальные данные пользователей, включая учетные записи и пароли. Общее количество скачиваний вредоносного расширения превысило 700 раз, причем среди жертв обнаружены не только пользователи из Бразилии, но и компании из Вьетнама, Колумбии, Мексики, России, Чехии и других стран.

В ходе исследования эксперты Positive Technologies выявили две основные цепочки атак: первая связана с вредоносным расширением, а вторая - с использованием удаленного доступа через Mesh Agent и PDQ Connect Agent. Второй вариант позволяет злоумышленникам распространяться внутри корпоративных сетей, что делает его особенно опасным для бизнеса.

Анализ кода показал, что вредоносное расширение нацелено в первую очередь на пользователей Banco do Brasil, собирая данные для аутентификации, включая токены и пароли. Интересно, что в коде встречаются переменные на немецком и португальском языках, что может указывать либо на происхождение злоумышленников, либо на заимствование кода из других вредоносных программ.

Сетевая инфраструктура атакующих включает несколько доменов и серверов, часть из которых уже заблокирована. Однако злоумышленники продолжают использовать новые IP-адреса и домены, включая финансово ориентированные ресурсы, такие как financial-executive.com.

В ходе расследования также были обнаружены скомпрометированные серверы более 70 компаний, которые использовались для рассылки фишинговых писем. На некоторых из них до сих пор можно найти следы активности злоумышленников, включая специальные страницы для сбора данных жертв.

Эксперты Positive Technologies рекомендуют пользователям и компаниям усилить меры безопасности, включая проверку вложений в письмах, использование двухфакторной аутентификации и регулярное обновление антивирусного ПО. Также важно отслеживать подозрительную активность в корпоративных сетях, особенно связанную с удаленным доступом.

Индикаторы компрометации

IPv4

  • 18.231.162.77
  • 107.174.231.26
  • 142.54.185.178
  • 54.207.88.51

Domains

  • atual2025.com
  • clientepj.com
  • computadorpj.com
  • financial-executive.com
  • hamrah-tejarat.com
  • nfe-fiscal.com
  • nf-eletronica.org
  • ranchocentral.com
  • relay.lombrelone.com
  • servidor2025.com
  • syarousi-search.com
  • webrelayapi.online

URLs

  • https://github.com/contaaws20251

MD5

  • 0353a0dbc9f016da09303ee1a3b75d2f
  • 0844863f61271a66aa015ad9dcf06e51
  • 0906079ea36374150e8d617145021147
  • 0a998db008d5a4bb25468eeeeaac8b44
  • 170cf97d5b48e63f52a0c5a40034cba4
  • 1d0de20947db8cc673a36c3ad2c2c195
  • 1dc5fb3e8b3e52ef16eb6e9451634302
  • 23eb9468f04b7ad1eb2ead4efa2342ba
  • 2769dd3214f6f09866401a5b4df2ec2e
  • 2e40ee3587f6a9e7b6e55e2542dd2a15
  • 324801048d4cae3613e3461066fbb42c
  • 33d04e8a112ad9209b165249f967cfe8
  • 3b7904ceacced9c6b27e4b9a622cbb6b
  • 43d3a6d7dda4369a9fe93e5689606ae9
  • 46f9751a0ed9666b93c115434093eac2
  • 4def6fe4b7f7d018377b21b40d2b8600
  • 5171cc256dd5725fcb7dc7bbe0965dda
  • 531aa37428cd0849af683bc314073189
  • 5aa3702095fa1c248968603eb842787f
  • 5c433c7e3c60562f8e3af773445d290b
  • 60d0ea728a9ffe749025516863e6efed
  • 63173c6a611f5c0633c9fe419a6acce2
  • 664424672d964a32bf96884dcc636c80
  • 6645245c890c880e2a47d9dd0e15cb83
  • 666e7765467a3cf0337880c92aa3f085
  • 69a61d9f28291f841c79a76828d85187
  • 74706fb1c99937bab18d8d1089ffcd96
  • 7b0bd22325896fd820246a9025ef0a80
  • 7bfc7569ef1db7a12352dee90ca72623
  • 830ab96a64f067f40c67fa0438796721
  • 83b36297191f3086d16bb5cbab39c44e
  • 85f1de2dc7d5ac2f2bd3b2aef021a36c
  • 85f95fec7c5c2f36f62a4126e580a13c
  • 8f7ea7be4386da8059546cc2a0646de1
  • 95dd9909a01a55a946006767b251f3e5
  • 97f5939048e0a83f0d6f05600d2f9542
  • 98899ba20c86ecf1d64608781de80c3f
  • 9a7b784874e343a55dea0ab35183c278
  • 9c684af15da207355889fe7d4dbe35ab
  • a0a3a22edd7671cf1cefe2a53db6dd3b
  • acf1521bc18e24891de6aeca55e61c6d
  • b5b88044425ab8994856c9eec5a35cb6
  • b969f8d6691a5d74200d52b9bab339c7
  • bbdb2d90c80a5a2bfb6f0f0fe86f3559
  • c1568382ff7e057efe1c02e3a590e017
  • c18827f7f8f6e9652b97e31efde1cc5a
  • c7bcc453584c21d5bce55fe2373d41ad
  • ceb0177875b90946d08227b18803628d
  • d0881696636dd6e4f6f0dd012edb78c5
  • d3d01e99862091c639b64a7d1da43f63
  • d936130d881c639ecdded9d417804aff
  • dbf9108e87a449f4edfb6cd01bd05fba
  • ddfb7c83bf37f47f72b9885077ac1081
  • e05c634227a36f9ca6e1a1ebca7f38de
  • e20139a8689fdde975d91d04b1cdab78
  • e67e1ebf2e63bab3198a177c08782ac2
  • ef53aa6b9fb3763fc1eaa6bd3af9a0c4
  • f56fa78987202b69bd184c8ce3f057dc
  • fc0018bcf99793929cbab5a9ee447d4c

SHA1

  • 370b7ba5acad64f1107df448509d26af25a41901
  • 37da771c801b2a458dd99b35f8db239504a6bb6e
  • 3eeb3c585dfe0344873e7132b1f5d732b64fdb70
  • 4594f638b30290c1f8196dc8eae558934cf6b20f
  • 4db1b9ddd56173525dc26506832d516dbbb82db0
  • 4e0812d11ee4344e599d5c8a5f52e3e0664d2642
  • 517176001dc749098aedc7be424eb0de3d8d4bd8
  • 519dbbc674182934cd2dda5a229b44a6707e87e7
  • 571a6fd38d389e2d812b2c7f8c53370f9862b188
  • 5723cfbec0371d08d089017d0fe53906b5354498
  • 5db34fb55bbce1bfbe2890ec21dd434ed3882dd7
  • 65dc515a91fa57be682874257da817631b7f2cbf
  • 66b0392afdef5cf385a749dcd324d6e9c4c211f9
  • 67a41cd4eee2b85806227752c18b592f488e7536
  • 6ba1af8bc92127be44d18451b9c10d9d94565e0a
  • 747c79f9c0f1693709dec3c521995a7af3642515
  • 780e7e7243282e164fca585403b8b0d70edee736
  • 7bb6681cd789f8640ebb3f448d79fc3a5db1e2ac
  • 7ef6997553945792f162f69c060de380c4df2e92
  • 8014c678bbf130ef444b76d177679b3183954bfb
  • 8191beacc481c122cf8fac490eb0fd2b7553cc44
  • 84405c17a5c7b78ed9e637f0c0009295ef0c632b
  • 881fd1823fcc67690ec444dd17bb7b68eeb7ef42
  • 8f85c35b803ac96091ad8484254b81b828408c5b
  • 9089a0ac734c1e61f497ed373cec0dfcd4c4306a
  • 91bd1c7b874e5c01daa0b73a6518299d2716e559
  • 92af4b4733a7afd979bce1ad9892256a7a76bb87
  • 93295d2f085f13b03d6bd8becb5cdf277307249b
  • 95d0f18ae7a30a78386e49acd788b3f18da79663
  • 97b2717507ffbb5d4abd91fa3d061e952ac0f217
  • 9aaa4a515d39feab7aa2b250698a7adbabc4f2c7
  • a378c1572202986886faf22bc4ee5be7d347e3a8
  • ab03e650e73066a4144ecb0e38e4df31255440e3
  • af9c6eb6e4491e8d64eee363fed84185d99cc8b2
  • b019a7e35b3707dc2c7951af134ad388ead18e2a
  • b176474e39c23603ea87de842645bb389a5caedf
  • bbea981ce922497eb28de9399abf55c1fad3f3f6
  • bcfb10ac2785dbf06c610e73149725faa2206e83
  • c0c7f0662c6fa4798332664f23736eed895cb3ce
  • c7cd7e580a8aa8cdb79245f59027d9f281ef6da2
  • cdb35be5658164ba8d9f9e9e817b154ef6bf5e24
  • d0da6694ee450606cea9a664f8525252788d80e6
  • d6e2802d31bb0bf608883c7ab81ec7c56f6dc3be
  • dc47f68a835a713715dcc0752deccbf8e74cf606
  • df8c7dca4433dea9eb804ff6e30cba16b9152d05
  • e3b68a93688f8ff801336cc9d5e46ce4a4822fff
  • fffd9d328fbb27285c3e7c1e2c812736985ce482

SHA256

  • 07f7ce55e75afda05241c70710d5c6769909d94193e41b370a29b5dca3ef1f3d
  • 09824e2d82d8e9681dcc3196fdc4a14f9074c84eb90571140957359ddb909859
  • 12155ad4d117ea2b13131df52de4045e635e100d45bac057d6f5674e894dec99
  • 135ddfdd7e252cd35704d378a2aec88e81d013aea418b4c9bb11675259df7a0a
  • 14db2e49a5234ae0f49e1df57da2db7c646347c9a5f18dbff35f3c564da48fdf
  • 1e87a8c3ce82fa83adbf832d00ebad5cc68ad02ea8f2257f6c4b1b9f996c4e13
  • 1f320e9295db50008784a61cb0a85f47a60af5ed874ae9f8720a76caad422708
  • 214fdc967fa82756c0a06f984c66920167fcf3b15399d4e890ad708a67ebafe1
  • 22ac1595064d31b5b4c816dee72a4a3eb31221661e6ee0cc6a103b5da8d95d1f
  • 268087c834f3080122ebd70d9db6353318756507a3c2d168b557be724daac72e
  • 333c037c9bb3ca75c92e5e2b3dd884df387a4ab73f8f9c8efc39c27e43b9c317
  • 34f4b3b40f4fc5f9489d493aa39d891c8be4f394356ff0a9e4e6a59ca19110ea
  • 37e2db3f730694135c02d6420156a58628d773ba467c2e7de534148a91b050ca
  • 46ff9565e31f15db54a1e661b5654dade5a0f3d09cabbaa5312a654aef2b6dab
  • 4969e5e05eb9d098a9f3dd366dce99c05927ff462b8d2637b7f3975723c325b6
  • 499bded154151cb3b4cad7d15de043bec60c8689f70fe8739fafb6aef9c711f1
  • 4a6d6670556d735258830be327fc21f1c9b06fa40a720a1a5249dadb8b2c70b7
  • 4e8911f412b8bdcd14f3d59a520f3a247881b1e03435314e259152a6cd229a60
  • 508a4646dbf7deaa99eee8db6b21e36c14c1570f627b31a264e8fa84e7db063b
  • 510db924e0e130ac8d87ba17fce6209a221b549bf4dd8a9b672ccd756e8480f5
  • 51f9e59f72549f45d6c77cd9492b24a699ebcfe599a37508d6768f96c69c0013
  • 5d0a3e7df85fe3150dbcd9229fa1015701cdb844a68a099f720b6eb18f97a3fd
  • 698fb4a365fe8f2798acc10a7fe50ac1d247d96b82935300195358247a4fcdc9
  • 721047615331748b04400c7f1d43627f439feba8e17cc14355a6577d9f120988
  • 77add700b03756e5c0fc23df8ecb0f298889070260ca2aecb80fedb626379c0e
  • 782b9e49b3977748efba0c61c425636d16f1ed20af20c0ddd0af8a2badaf4cf5
  • 7838cbf8aa4b64a425aa5df0ef2bc6d17c12a018f085e73c50ac6f3a186553f0
  • 79f36a9a16e9af0a3ed438691d1f7b52e8241983dd8faf77ed6e505a62dbeac4
  • 7e75683addbb186cb4bd234e754a097bff4d0e529d9b82b7454851f15a859a09
  • 84463241f0b57598e336497a4f221f2b2a447eea56ee37a9a14f48a2af800029
  • 8446a0e9b9179cca4622fdc739bc65e0626438cecf60a65d99626d44aa0984f2
  • 89be5190f71185821d657f9df2c1112f61099ad23c8c668bb4d03ccfbed28430
  • 8c9ea06032cd4f0dbed1db51e25df78d681bae2551a1628b6fcdbb00e3e83fa5
  • 8f2e76968370ed2fe34f1b5148a06580bd21df426ad960d10c3323885d655fc2
  • 9233a51cf93e0c0518cda2d333c6cee03fe62a6ce2f058af88ac295c1281f5a6
  • 9e37d6ec758c5e66935ec20e2cef2b1deace37a8b26d52757145cc12ecb61391
  • a3d85fad74a24a9fc45b91c82f178a6bf5eb041804ecfb4f2c529622772e8b8f
  • a42b08566fefc01c6197bebd8ac25abe5abf8eb1a6390997ebf48b3992791f86
  • a6a1987bff904eca067121a8fba91ab50008560fdd39547e720f698ed6516468
  • a9c42f11e75c3525d8d0f3f036c2f603e60fe102fc68b8f22a8b4c81779652a2
  • af1f0f5907822d9ec734a992880b596205e85b1f13ab219043356520d26c0536
  • b13c1c2e5af41bafe7356bc974cdd77bf4aa40ef36001301a240091ab734b6b9
  • b31afa0814439a5b080dddcbdced6049d2038656174fc12ea0f8503c7853c372
  • bae3cce0cbe6a0227ed33fe566f0e8fe4780f2a57743acc98f6859740d2d254d
  • bf1350c7a753ab98533e5937dedadfb8730c885d37acdf074e347e3eb3986f29
  • bf4faeebd8873a27d77643e4e7ffcc6d793b396252b5788868886d081203f1a8
  • c567f1564602f5c6b24af521900bc6ab0ab15e8edab6f531927891d418df201d
  • c9b193708fa1ce5827f716094da04634977a24b5123efba782034bfa9245a33d
  • d5d5e9b91321b11103a548729832c4ed3fb6465e9a059ac2ba8365899c1fa864
  • d80acee5688ba6f56640f77ab8719b45a3002c98b6b43c79d1d963ec29241b3d
  • d9dd2a9d82250bb2860014e8b819e258c1565aaf94a5014a962f3d34bab05697
  • dbac753c85a032edd290a03c8556677c6af6ce316afdf29e8b5012aad8e561f0
  • e193b19689ac577ee138f1521817906fbb58e15b93563e8d60569ea23caa5c4e
  • e1b09ac54179c487b68e25bd938b963b50e037639e4482488ee60ae7752434a7
  • ec00a674d55c6bd6907b584090b2bd9ff2eb3433e2276fc2b0e0366cdae63875
  • ec6a40e329d3fcb8a751ea92875db161bb983575f5ec9a5c1aedd2a8131df56d
  • f349010a752484df873c6b00f9949bd986052e28660fb9da4d50a9fe6546a61f
  • fa1292c6996c19849c9a8a74c190276ac655a7f53bbd1dd2a831e1410969dff6
  • fd084fcc0405bc255369b7e40276e5076db5fafa0a8c859e46b7c474e37b8f2e
Комментарии: 0
Похожие записи
1
4 дня
Индикаторы компрометации

DarkGaboon: новая волна кибератак на российские компании с использованием шифровальщика LockBit

APT
Группа киберразведки PT ESC выявила активность ранее неизвестной APT-группировки DarkGaboon, которая с весны 2023 года атакует российские компании с целью финансового вымогательства.
0
6 дней
Индикаторы компрометации

Team46 и TaxOff: одна хакерская группировка под разными именами

security
18 апреля 2025 года эксперты Positive Technologies (PT ESC) опубликовали исследование, доказывающее, что хакерские группировки Team46 и TaxOff, ранее считавшиеся разными, на самом деле являются одной и той же организацией.
0
6 дней
Индикаторы компрометации

Эксперты зафиксировали атаки с использованием уязвимости CVE-2025-24071 в Windows

security
Эксперты Positive Technologies ESC обнаружили активные попытки эксплуатации уязвимости CVE-2025-24071, затрагивающей операционные системы Windows, включая Windows 10 и Windows 11.
0
2 месяца
Индикаторы компрометации

APT-группа Cloud Atlas запустила новую волну кибератак на российский государственный сектор

security
APT-группа Cloud Atlas запустила новую волну кибератак, направленных на российский государственный сектор, в частности на оборонную промышленность.