Бразильские госсайты превратили в оружие против собственных банков

Специалисты наткнулись на кампанию, которую назвали PhantomEnigma, разбирая, казалось бы, разрозненные сессии в песочнице. Сотни отдельных проверок файлов, которые аналитики компании изучали месяцами, в итоге сложились в одну картину: больше двадцати официальных сайтов бразильских государственных ведомств были взломаны и превращены в канал доставки вредоносного софта. позиционирует себя как поставщика интерактивного анализа малвари и решений для threat intelligence, и именно эта работа с сессиями позволила связать атаки, которые на первый взгляд не имели друг к другу отношения.
Начиналось всё, как это часто бывает, с писем. Жертвам приходили документы под видом официальной переписки — «Ofício Polícia Civil» (официальное письмо гражданской полиции) и «Procuração Digital» (цифровая доверенность). В некоторых письмах был QR-код, в других — ссылка, оформленная так, чтобы выглядеть как настоящий государственный ресурс. Расчёт простой: получатель видит знакомый формат документа от полиции или нотариальной службы и не задумывается лишний раз.
Отдельного внимания заслуживает то, как эти письма проходили проверку. Отправлялись они не с абы каких доменов, а через реально скомпрометированные почтовые ящики, поэтому спокойно проходили проверки SPF, DKIM и DMARC. Для получателя и для спам-фильтра это выглядело как обычная легитимная переписка — никаких признаков подделки заголовков, никаких классических красных флагов, на которые обычно натренированы фильтры.
Дальше жертву вели по цепочке редиректов — либо через взломанный хост на , либо через похожий на полицейский сайт домен-двойник. Государственная инфраструктура в этой схеме выступала не конечной целью атаки, а скорее удобным транспортом с хорошей репутацией. Среди зафиксированных скомпрометированных хостов исследователи называют , (портал государственной безопасности одного из штатов), (сайт пожарной службы) и . Список этим не ограничивается — были и другие ресурсы муниципального, судебного уровня и уровня публичной безопасности, часть из которых всплывала сразу в нескольких ветках кампании, что и помогло аналитикам связать разрозненные эпизоды в единое целое.
Интересна динамика самой кампании — она менялась сразу по двум направлениям. В 2025 году основной упор делался на банковский сектор напрямую. В 2026-м акцент сместился на злоупотребление скомпрометированными сайтами и почтовыми аккаунтами — сама целевая аудитория при этом принципиально не поменялась, но у атакующих появился гораздо более доверенный маршрут доставки. Параллельно эволюционировал и инструментарий: если раньше речь шла о банковском расширении для браузера, то теперь это модульный бэкдор на связке Inno Setup и Node.js, способный исполнять JavaScript и подгружать дополнительные полезные нагрузки уже после заражения.
Полная цепочка атаки выглядит примерно так. Сначала жертва получает фишинговое письмо с полицейской или официальной тематикой. Ссылка из письма ведёт через скомпрометированный государственный хост либо через домен-двойник. Дальше запускается вредоносный установщик — на базе Inno Setup, MSI или другого формата инсталлятора. Он подсовывает пропатченное Electron-приложение, в которое встроен бэкдор index.js. После активации бэкдор собирает данные о системе, закрепляется в автозагрузке и подключается к ротируемой инфраструктуре управления. На втором этапе он либо исполняет JavaScript-код напрямую, либо подтягивает стилеры, загрузчики, легитимный софт для удалённого управления и прочую малварь. Итог для бизнеса — компрометация учётных данных, несанкционированный доступ, мошенничество, утечка данных и остановка операционных процессов.
Технически интереснее всего сам бэкдор, обнаруженный внутри пропатченного приложения Boostnote (среди прочих). Index.js собирает имя компьютера, имя пользователя и данные о системе, генерирует постоянный machine ID, читает специальный тег кампании, лежащий рядом с установщиком, и закрепляется через настройки автозапуска при входе в систему. Раз в 180 секунд он проверяет наличие новых команд от управляющего сервера. Код умеет исполнять JavaScript через eval(), скачивать и запускать исполняемые файлы, а связь с инфраструктурой ведёт через несколько разных форматов маячков по нескольким ротируемым адресам одновременно.
Модульность здесь — не техническая деталь ради красоты, а суть проблемы для защитников. Оператор может поменять финальную нагрузку, не перестраивая всю цепочку заражения заново: сегодня это стилер, завтра — загрузчик, послезавтра — легитимный инструмент удалённого администрирования, используемый уже во вредоносных целях. Один и тот же установщик со временем начинает вести себя совершенно иначе, а статические списки блокировки просто не успевают за ротацией C2-доменов.
Для банков и государственных агентств из этой истории вытекает довольно неприятный вывод: доверенная инфраструктура работает атакующим на руку именно потому, что снижает подозрительность. Легитимный домен государственного ведомства плюс прошедшее аутентификацию письмо плюс чистый вердикт антивируса на первом проходе — сумма, при которой сотрудник службы безопасности с гораздо меньшей вероятностью забьёт тревогу, даже если заражение уже идёт полным ходом. А украденные учётные данные и закрепившийся в системе бэкдор — это риск не только для одной рабочей станции, а потенциально для внутренних систем, чувствительных данных и финансовых операций целой организации, тем более что разрозненные алерты из разных систем мониторинга сами по себе не складываются в общую картину и затягивают реагирование.
Рекомендации для security-команд достаточно приземлённые. Дать сотрудникам понятный канал, куда сообщать о подозрительных «официальных» письмах, не наказывая за ложные срабатывания. Проверять файлы и ссылки не только по первому автоматическому вердикту, а копать дальше, даже если антивирус или песочница с ходу выдали «чисто». И самое главное — ловить такие приманки на самом раннем этапе, до кражи учётных данных, до загрузки второй ступени и до превращения локального инцидента в историю, которая касается уже всей организации. Подробный разбор индикаторов компрометации, инфраструктуры и рекомендаций по детектированию доступен в полном техническом отчёте по расследованию PhantomEnigma; для поиска по скомпрометированным государственным хостам аналитики использовали инструмент TI Lookup.


Новое на сайте

Ссылка