Phantom Stealer Malware
Analistes de seguretat han descobert una campanya de phishing activa i ben coordinada dirigida a organitzacions de múltiples sectors a Rússia. L'operació, coneguda com a Operació MoneyMount-ISO, es basa en correus electrònics de phishing acuradament elaborats que distribueixen el programari maliciós Phantom Stealer a través d'adjunts d'imatges de disc ISO malicioses. La campanya destaca un canvi continu cap a formats d'adjunts menys comuns per eludir els controls de seguretat tradicionals del correu electrònic.
Taula de continguts
Objectius principals i enfocament sectorial
Els atacants han demostrat una clara preferència per les organitzacions que gestionen rutinàriament transaccions financeres i documentació sensible. Els departaments de finances i comptabilitat semblen ser el focus principal, mentre que els equips de compres, legal i de nòmines també han estat repetidament objectiu. Aquests rols són particularment atractius per als actors d'amenaces a causa del seu accés a fluxos de treball de pagament, credencials i dades financeres confidencials.
Esquers de correu electrònic enganyosos i lliurament inicial
El procés d'infecció comença amb missatges de suplantació d'identitat (phishing) dissenyats per semblar correspondència financera legítima. Es demana a les víctimes que verifiquin o confirmin una transferència bancària recent, cosa que crea una sensació d'urgència i credibilitat. Cada missatge inclou un arxiu ZIP presentat com a documentació de suport. En lloc de contenir fitxers inofensius, l'arxiu amaga una imatge ISO maliciosa que es munta com una unitat de CD virtual quan s'obre.
Abús d’imatges ISO per a l’execució de programari maliciós
El fitxer ISO muntat, titulat "Подтверждение банковского перевода.iso" o "Bank transfer confirmation.iso", actua com a principal vehicle d'execució. Dins de la imatge hi ha una biblioteca d'enllaços dinàmics maliciosa anomenada CreativeAI.dll, que s'invoca automàticament per iniciar Phantom Stealer. Aquesta tècnica permet als atacants executar programari maliciós alhora que redueixen la dependència dels fitxers executables tradicionals que tenen més probabilitats de ser bloquejats.
Capacitats del programari maliciós Phantom Stealer
Un cop desplegat, Phantom Stealer se centra en la recopilació d'una àmplia gamma d'informació sensible dels sistemes infectats. La seva funcionalitat inclou:
Extracció de dades d'extensions de navegador de moneders de criptomonedes en navegadors basats en Chromium i d'aplicacions de moneder d'escriptori independents, juntament amb el robatori de contrasenyes del navegador, galetes, dades de targetes de crèdit emmagatzemades, tokens d'autenticació de Discord i fitxers locals seleccionats.
Supervisió de l'activitat del porta-retalls, registre de les pulsacions de tecles i realització de comprovacions d'entorn per detectar màquines virtuals, espais de proves o eines d'anàlisi, i finalitzar-se si s'identifiquen aquestes condicions.
Canals d’exfiltració i comandament
Les dades robades es transmeten a través de múltiples canals controlats pels atacants per garantir la fiabilitat i la flexibilitat. Phantom Stealer està configurat per exfiltrar informació mitjançant un bot de Telegram o un webhook de Discord sota el control dels atacants. A més, el programari maliciós admet transferències directes de fitxers a un servidor FTP extern, cosa que permet el robatori massiu de dades i operacions de seguiment.
