عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد سارقون برنامج Phantom Stealer الخبيث

برنامج Phantom Stealer الخبيث

بواسطة Mezo في سارقون, التهديد المستمر المتقدم (APT)
ترجمة الى:

كشف محللو الأمن عن حملة تصيد احتيالي نشطة ومنسقة جيدًا تستهدف مؤسسات في قطاعات متعددة في روسيا. وتعتمد هذه العملية، التي تُعرف باسم عملية MoneyMount-ISO، على رسائل بريد إلكتروني مُصممة بعناية لتوزيع برمجية Phantom Stealer الخبيثة عبر مرفقات صور أقراص ISO خبيثة. وتُسلط هذه الحملة الضوء على توجه متزايد نحو استخدام تنسيقات مرفقات أقل شيوعًا لتجاوز ضوابط أمان البريد الإلكتروني التقليدية.

الأهداف الرئيسية والتركيز القطاعي

أظهر المهاجمون تفضيلاً واضحاً للمؤسسات التي تتعامل بشكل روتيني مع المعاملات المالية والوثائق الحساسة. ويبدو أن أقسام المالية والمحاسبة هي محور التركيز الرئيسي، بينما استُهدفت فرق المشتريات والشؤون القانونية والرواتب بشكل متكرر أيضاً. وتُعدّ هذه الأدوار جذابة بشكل خاص للمهاجمين نظراً لقدرتهم على الوصول إلى عمليات الدفع وبيانات الاعتماد والبيانات المالية السرية.

رسائل بريد إلكتروني خادعة وعمليات تسليم أولية

تبدأ عملية الإصابة برسائل تصيد مصممة لتبدو كمراسلات مالية شرعية. يُطلب من الضحايا التحقق من حوالة بنكية حديثة أو تأكيدها، مما يخلق شعورًا بالإلحاح والمصداقية. تتضمن كل رسالة ملفًا مضغوطًا (ZIP) يُقدم على أنه وثائق داعمة. بدلًا من أن يحتوي الملف المضغوط على ملفات غير ضارة، فإنه يخفي صورة ISO خبيثة تُحمّل نفسها كقرص مضغوط افتراضي عند فتحها.

إساءة استخدام صور ISO لتنفيذ البرامج الضارة

يُعد ملف ISO المُثبّت، والمُسمى "Подтверждение банковского перевода.iso" أو "Bank transfer confirmation.iso"، بمثابة أداة التنفيذ الرئيسية. يحتوي هذا الملف على مكتبة ارتباط ديناميكي خبيثة تُسمى CreativeAI.dll، والتي يتم استدعاؤها تلقائيًا لتشغيل برنامج Phantom Stealer. تُمكّن هذه التقنية المُهاجمين من تشغيل البرامج الضارة مع تقليل الاعتماد على الملفات التنفيذية التقليدية التي يُرجّح حظرها.

قدرات برنامج Phantom Stealer الخبيث

بمجرد تثبيته، يركز برنامج Phantom Stealer على جمع مجموعة واسعة من المعلومات الحساسة من الأنظمة المصابة. وتشمل وظائفه ما يلي:

استخراج البيانات من ملحقات متصفح محفظة العملات المشفرة في المتصفحات المستندة إلى Chromium ومن تطبيقات محفظة سطح المكتب المستقلة، بالإضافة إلى سرقة كلمات مرور المتصفح وملفات تعريف الارتباط وبيانات بطاقات الائتمان المخزنة ورموز مصادقة Discord والملفات المحلية المحددة.

مراقبة نشاط الحافظة، وتسجيل ضغطات المفاتيح، وإجراء فحوصات بيئية للكشف عن الأجهزة الافتراضية أو بيئات الاختبار المعزولة أو أدوات التحليل، وإنهاء نفسه إذا تم تحديد مثل هذه الظروف.

قنوات الإجلاء والقيادة

تُنقل البيانات المسروقة عبر قنوات متعددة يتحكم بها المهاجمون لضمان الموثوقية والمرونة. تم تصميم برنامج Phantom Stealer لاستخراج المعلومات عبر روبوت Telegram أو رابط ويب Discord تحت سيطرة المهاجمين. بالإضافة إلى ذلك، يدعم البرنامج الخبيث نقل الملفات مباشرةً إلى خادم FTP خارجي، مما يُمكّن من سرقة كميات كبيرة من البيانات وإجراء عمليات لاحقة.

الشائع

Booking.com - رسائل الحجز الاحتيالية

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يتطلب الحفاظ على الأمان على الإنترنت اهتمامًا مستمرًا. يعتمد المهاجمون على الاستعجال والخداع والألفة لخداع المستخدمين ودفعهم إلى تقديم معلومات حساسة، وتظل عمليات الاحتيال عبر البريد الإلكتروني إحدى أكثر نقاط الدخول شيوعًا. يوضح مخطط حديث يُعرف باسم Booking.com - احتيال رسائل الحجز كيف يتمكن المجرمون ببراعة من تقليد الخدمات الموثوقة لسرقة البيانات واختراق الحسابات. تقليد مصمم لخلق الذعر وجد...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
30,406
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...