Malware Phantom Stealer
Bezpečnostní analytici odhalili aktivní a dobře koordinovanou phishingovou kampaň zaměřenou na organizace z různých odvětví v Rusku. Operace, sledovaná jako Operation MoneyMount-ISO, se spoléhá na pečlivě vytvořené phishingové e-maily, které šíří malware Phantom Stealer prostřednictvím škodlivých příloh ve formě obrazů ISO disků. Kampaň zdůrazňuje pokračující posun k méně běžným formátům příloh s cílem obejít tradiční bezpečnostní kontroly e-mailů.
Obsah
Primární cíle a zaměření na sektor
Útočníci prokázali jasnou preferenci pro organizace, které běžně zpracovávají finanční transakce a citlivou dokumentaci. Zdá se, že hlavním cílem útoků jsou finanční a účetní oddělení, zatímco opakovaně se terčem stávají i týmy pro nákup, právní oddělení a mzdy. Tyto role jsou pro útočníky obzvláště atraktivní kvůli jejich přístupu k platebním postupům, přihlašovacím údajům a důvěrným finančním údajům.
Klamlivé e-mailové lákadla a počáteční doručení
Proces infekce začíná phishingovými zprávami, které mají připomínat legitimní finanční korespondenci. Oběti jsou vyzvány k ověření nebo potvrzení nedávného bankovního převodu, což vytváří pocit naléhavosti a důvěryhodnosti. Každá zpráva obsahuje ZIP archiv prezentovaný jako podpůrná dokumentace. Archiv namísto neškodných souborů skrývá škodlivý ISO obraz, který se po otevření připojí jako virtuální CD mechanika.
Zneužití ISO obrazů pro spuštění malwaru
Připojený soubor ISO s názvem „Подтверждение банковского перевода.iso“ nebo „Potvrzení bankovního převodu.iso“ slouží jako hlavní spouštěcí nástroj. Uvnitř obrazu se nachází škodlivá dynamická knihovna s názvem CreativeAI.dll, která se automaticky spouští pro spuštění Phantom Stealeru. Tato technika umožňuje útočníkům spouštět malware a zároveň snižuje závislost na tradičních spustitelných souborech, které jsou s větší pravděpodobností blokovány.
Schopnosti malwaru Phantom Stealer
Po nasazení se Phantom Stealer zaměřuje na sběr široké škály citlivých informací z infikovaných systémů. Jeho funkce zahrnují:
Extrakce dat z rozšíření prohlížeče pro kryptoměnové peněženky v prohlížečích založených na Chromiu a ze samostatných desktopových aplikací pro peněženky, spolu s krádeží hesel prohlížeče, souborů cookie, uložených údajů o kreditních kartách, ověřovacích tokenů Discordu a vybraných lokálních souborů.
Monitorování aktivity schránky, zaznamenávání stisků kláves a provádění kontrol prostředí za účelem detekce virtuálních počítačů, sandboxů nebo analytických nástrojů a ukončení se v případě identifikace takových podmínek.
Exfiltrační a velitelské kanály
Ukradená data jsou přenášena prostřednictvím několika kanálů ovládaných útočníkem, aby byla zajištěna spolehlivost a flexibilita. Phantom Stealer je nakonfigurován tak, aby pod kontrolou útočníků získával informace prostřednictvím Telegram bota nebo Discord webhooku. Malware navíc podporuje přímý přenos souborů na externí FTP server, což umožňuje hromadné krádeže dat a následné operace.
