أعادت مجموعة التهديدات السيبرانية المرتبطة بحملة Operation Phantom Enigma نشاطها في خريف 2025 بعد أن كانت قد استهدفت مستخدمين برازيليين في مطلع العام نفسه لسرقة حساباتهم البنكية. وفقًا لتقرير Positive Technologies، تعتمد الهجمات الجديدة على رسائل تصيد إلكتروني تحمل طابع الفواتير، بهدف خداع المستخدمين للنقر على روابط خبيثة تؤدي إلى تنزيل مثبت MSI ضار.
هذا المثبت يقوم بتثبيت إضافة خبيثة على متصفح Google Chrome تُعرف باسم EnigmaBanker، والتي تعمل على جمع بيانات الاعتماد وإرسالها إلى خادم المهاجمين. ويعتمد البرنامج الخبيث على تنفيذ شيفرات JavaScript تستغل بروتوكول Chrome DevTools (CDP) بعد تشغيل المتصفح في وضع التصحيح، ما يسمح بحقن الإضافة الضارة بشكل مباشر.
استهداف المؤسسات ببرمجيات شرعية
في المقابل، الهجمات الموجهة نحو المؤسسات والشركات تتخذ أسلوبًا مختلفًا، حيث يتم إسقاط مثبتات لبرمجيات وصول عن بُعد شرعية مثل PDQ Connect وMeshAgent وScreenConnect وSyncro RMM. هذه البرمجيات تُستخدم عادةً في إدارة الأنظمة عن بُعد، لكن المهاجمين يستغلونها كوسيلة للوصول المستمر والسيطرة على بيئات العمل المؤسسية.
أصول الهجمات ودلالاتها
تشير التقديرات إلى أن الجهات المسؤولة عن هذه الحملة تعمل من أميركا اللاتينية، وهو ما يتماشى مع طبيعة الاستهداف السابق للمستخدمين البرازيليين. الجمع بين استهداف الأفراد عبر إضافات خبيثة للمتصفح واستهداف المؤسسات عبر برمجيات وصول شرعية يعكس تطورًا في أساليب المهاجمين، حيث يسعون إلى تحقيق مكاسب مالية مباشرة من سرقة الحسابات البنكية، إلى جانب بناء وصول طويل الأمد داخل بيئات الشركات.
هذا التنوع في التكتيكات يوضح أن حملة Phantom Enigma لم تعد مجرد هجوم تقليدي، بل أصبحت إطارًا متجددًا للهجمات السيبرانية التي تستغل الثقة في البرمجيات الشرعية والبنية التحتية الرقمية اليومية للمستخدمين.
