Une nouvelle alerte en cybersécurité touche l’Amérique latine : une campagne malveillante visant les navigateurs Chromium impacte des centaines d’utilisateurs, en grande majorité au Brésil. Ces attaques s’appuient sur des extensions malveillantes pour voler les données d’authentification bancaires, et ont déjà infecté plus de 700 utilisateurs. Cet article vous aide à comprendre les techniques employées par les cybercriminels, les risques pour les entreprises, et les moyens de se protéger efficacement contre ces menaces grandissantes.
Une attaque par extension de navigateur ciblant l’Amérique latine
Une campagne baptisée Operation Phantom Enigma
La société de cybersécurité russe Positive Technologies a détecté une opération d’espionnage informatique de grande envergure, baptisée Operation Phantom Enigma. Menée principalement depuis le début de l’année 2025, elle cible particulièrement les utilisateurs brésiliens à travers une campagne de phishing par e-mails déguisés en factures.
Les e-mails de phishing redirigent les victimes vers un fichier à télécharger ou une archive contenant une pièce jointe malveillante. Ce fichier déclenche une chaîne d’infection en plusieurs étapes, installant à terme une extension malveillante sur les navigateurs Google Chrome, Microsoft Edge et Brave.
Une propagation internationale
Bien que le Brésil soit la cible première, l’extension a également été téléchargée par des utilisateurs situés en Colombie, au Mexique, au Vietnam, en Russie et même en République tchèque. À ce jour, 722 téléchargements ont été enregistrés et 70 entreprises compromises ont été identifiées. Ces infections compromettent sérieusement l’intégrité des données et la sécurité financière des utilisateurs concernés.
Une infection sophistiquée et ciblée
Des scripts en cascade pour l’installation
Les cybercriminels ont utilisé un fichier batch contenant un script PowerShell. Ce dernier vérifie si l’environnement est virtualisé, ainsi que la présence de logiciels spécifiques comme Diebold Warsaw, une solution de sécurité bancaire utilisée massivement au Brésil. Ce recours à Warsaw rappelle des méthodes déjà employées par des trojans bancaires latino-américains comme Casbaneiro.
Pour maintenir l’accès au système, le script désactive le contrôle de compte utilisateur (UAC) et veille à ce que le processus soit lancé à chaque redémarrage. Il établit aussi une connexion distante avec un serveur de commande pour exécuter des instructions malveillantes.
Fonctionnalités de la backdoor
Le malware implémente plusieurs commandes, dont :
- PING : pour maintenir une connexion active avec le serveur (réponse PONG)
- DISCONNECT : pour stopper le script
- REMOVEKL : désinstallation du module malveillant
- CHECAEXT : vérifie la présence de l’extension dans les clés de registre Windows
- START_SCREEN : installe l’extension dans le navigateur via la politique ExtensionInstallForcelist
Les identifiants des extensions malveillantes ont été retirés du Chrome Web Store, mais il est probable que d’autres variantes apparaissent.
Objectif : le vol de données bancaires
Une extension liée à Banco do Brasil
Une fois l’extension installée, elle est conçue pour fonctionner uniquement lorsque l’utilisateur accède à des sites spécifiques comme celui de Banco do Brasil. À ce moment-là, du code JavaScript est injecté pour intercepter les jetons d’authentification et les transmettre à un serveur distant contrôlé par les attaquants.
Le malware attend ensuite des commandes telles que l’affichage d’un écran de chargement ou la génération d’un QR code malveillant. Les commandes incluent des mots allemands comme WARTEN (attendre) ou CODE_ZUM_LESEN (code à lire), ce qui pourrait indiquer une origine européenne ou un code source réutilisé.
Autres méthodes de distribution
Dans certains cas, les extensions ne sont pas directement déployées. Les cybercriminels exploitent alors des fichiers d’installation Windows Installer ou Inno Setup pour introduire des agents d’accès à distance comme MeshCentral Agent ou PDQ Connect Agent. Ces outils permettent un contrôle complet du système sans alerter l’utilisateur.
Les chercheurs de Positive Technologies ont aussi repéré des scripts auxiliaires stockés sur un répertoire ouvert contenant des liens manipulés avec des identifiants du type ?key=EnigmaCyberSecurity. Ces scripts permettent une grande flexibilité dans la manière dont les attaques sont orchestrées.
Se préparer face à ces menaces
Comprendre les mécanismes de hacking pour mieux se défendre
Pour anticiper et comprendre ces campagnes complexes, il devient nécessaire de maîtriser les techniques utilisées par les hackers. C’est dans cet esprit que nous proposons un livre pour hacker, conçu pour apprendre le hacking de manière responsable. Cet ouvrage est une ressource précieuse pour les experts en cybersécurité, les curieux et les professionnels qui souhaitent apprendre à hacker dans le but de prévenir les attaques réelles.
Phishing, extensions et scripts : des tactiques toujours efficaces
Les acteurs malveillants derrière cette opération exploitent des leviers classiques, mais optimisés : l’usurpation d’identité via des e-mails de phishing, les extensions de navigateur non détectées, et la persistance par scripts système. Des méthodes qui montrent que la formation des employés, la mise à jour des navigateurs et le contrôle sur les fichiers téléchargeables restent essentiels pour protéger les utilisateurs comme les entreprises.
Cette campagne met en lumière l’importance d’adopter une stratégie proactive de cybersécurité, comme celles proposées par les experts de CyberCare pour protéger vos données sensibles et vos actifs numériques.
