Phantom Stealer Malware

تحلیلگران امنیتی یک کمپین فیشینگ فعال و هماهنگ را کشف کرده‌اند که سازمان‌هایی را در صنایع مختلف در روسیه هدف قرار داده است. این عملیات که با نام Operation MoneyMount-ISO ردیابی می‌شود، به ایمیل‌های فیشینگ با دقت طراحی شده متکی است که بدافزار Phantom Stealer را از طریق پیوست‌های مخرب دیسک ISO توزیع می‌کند. این کمپین، تغییر مداوم به سمت قالب‌های پیوست کمتر رایج برای دور زدن کنترل‌های امنیتی سنتی ایمیل را برجسته می‌کند.

اهداف اصلی و تمرکز بر بخش

مهاجمان به وضوح نشان داده‌اند که سازمان‌هایی را که به طور معمول با تراکنش‌های مالی و اسناد حساس سروکار دارند، ترجیح می‌دهند. به نظر می‌رسد بخش‌های مالی و حسابداری تمرکز اصلی را دارند، در حالی که تیم‌های تدارکات، حقوقی و حقوق و دستمزد نیز بارها هدف قرار گرفته‌اند. این نقش‌ها به دلیل دسترسی به گردش‌های کاری پرداخت، اعتبارنامه‌ها و داده‌های مالی محرمانه، به ویژه برای مهاجمان جذاب هستند.

ایمیل‌های فریبنده و تحویل اولیه

فرآیند آلودگی با پیام‌های فیشینگ که طوری طراحی شده‌اند که شبیه مکاتبات مالی قانونی باشند، آغاز می‌شود. از قربانیان خواسته می‌شود تا یک انتقال بانکی اخیر را تأیید یا تصدیق کنند و این امر حس فوریت و اعتبار ایجاد می‌کند. هر پیام شامل یک آرشیو ZIP است که به عنوان اسناد پشتیبان ارائه می‌شود. این آرشیو به جای اینکه حاوی فایل‌های بی‌ضرر باشد، یک تصویر ISO مخرب را پنهان می‌کند که هنگام باز شدن، خود را به عنوان یک درایو CD مجازی نصب می‌کند.

سوءاستفاده از تصاویر ISO برای اجرای بدافزار

فایل ISO نصب‌شده با عنوان «Подтверждение банковского перевода.iso» یا «Bank transfer confirmation.iso» به عنوان ابزار اصلی اجرا عمل می‌کند. در داخل این تصویر، یک کتابخانه لینک پویای مخرب به نام CreativeAI.dll وجود دارد که به طور خودکار برای راه‌اندازی Phantom Stealer فراخوانی می‌شود. این تکنیک به مهاجمان اجازه می‌دهد تا بدافزار را اجرا کنند و در عین حال، اتکا به فایل‌های اجرایی سنتی که احتمال مسدود شدن آنها بیشتر است را کاهش دهند.

قابلیت‌های بدافزار Phantom Stealer

پس از استقرار، Phantom Stealer بر جمع‌آوری طیف وسیعی از اطلاعات حساس از سیستم‌های آلوده تمرکز می‌کند. قابلیت‌های آن شامل موارد زیر است:

استخراج داده‌ها از افزونه‌های مرورگر کیف پول ارز دیجیتال در مرورگرهای مبتنی بر کرومیوم و از برنامه‌های کیف پول دسکتاپ مستقل، همراه با سرقت رمزهای عبور مرورگر، کوکی‌ها، داده‌های کارت اعتباری ذخیره شده، توکن‌های احراز هویت Discord و فایل‌های محلی انتخاب شده.

نظارت بر فعالیت کلیپ‌بورد، ثبت ضربات کلید و انجام بررسی‌های محیطی برای شناسایی ماشین‌های مجازی، جعبه‌های شنی یا ابزارهای تحلیل، و در صورت شناسایی چنین شرایطی، خود را خاتمه می‌دهد.

کانال‌های خروج و فرماندهی

داده‌های سرقت‌شده از طریق چندین کانال تحت کنترل مهاجم منتقل می‌شوند تا قابلیت اطمینان و انعطاف‌پذیری تضمین شود. Phantom Stealer طوری پیکربندی شده است که اطلاعات را از طریق یک ربات تلگرام یا یک وب‌هوک Discord تحت کنترل مهاجمین استخراج کند. علاوه بر این، این بدافزار از انتقال مستقیم فایل به یک سرور FTP خارجی پشتیبانی می‌کند و امکان سرقت حجم زیادی از داده‌ها و عملیات پیگیری را فراهم می‌کند.