Phantom Stealer Malware
सुरक्षा विश्लेषकों ने रूस में विभिन्न उद्योगों से जुड़े संगठनों को निशाना बनाकर चलाए जा रहे एक सक्रिय और सुनियोजित फ़िशिंग अभियान का पर्दाफाश किया है। ऑपरेशन मनीमाउंट-आईएसओ के नाम से जाने जाने वाले इस अभियान में सावधानीपूर्वक तैयार किए गए फ़िशिंग ईमेल का इस्तेमाल किया जाता है, जो दुर्भावनापूर्ण आईएसओ डिस्क इमेज अटैचमेंट के ज़रिए फैंटम स्टीलर मैलवेयर फैलाते हैं। यह अभियान ईमेल सुरक्षा नियंत्रणों को दरकिनार करने के लिए कम प्रचलित अटैचमेंट प्रारूपों की ओर बढ़ते रुझान को दर्शाता है।
विषयसूची
प्राथमिक लक्ष्य और क्षेत्रगत फोकस
हमलावरों ने उन संगठनों को प्राथमिकता दी है जो नियमित रूप से वित्तीय लेनदेन और संवेदनशील दस्तावेज़ों का प्रबंधन करते हैं। वित्त और लेखा विभाग मुख्य लक्ष्य प्रतीत होते हैं, जबकि खरीद, कानूनी और वेतन विभाग भी बार-बार निशाना बनाए गए हैं। भुगतान प्रक्रियाओं, पहचान पत्रों और गोपनीय वित्तीय डेटा तक पहुंच होने के कारण ये विभाग हमलावरों के लिए विशेष रूप से आकर्षक हैं।
भ्रामक ईमेल प्रलोभन और प्रारंभिक डिलीवरी
संक्रमण की प्रक्रिया वैध वित्तीय पत्राचार के समान दिखने वाले फ़िशिंग संदेशों से शुरू होती है। पीड़ितों को हाल ही में किए गए बैंक हस्तांतरण को सत्यापित या पुष्टि करने के लिए कहा जाता है, जिससे उनमें तात्कालिकता और विश्वसनीयता का भाव पैदा होता है। प्रत्येक संदेश में सहायक दस्तावेज़ के रूप में एक ज़िप आर्काइव शामिल होता है। हानिरहित फ़ाइलों के बजाय, आर्काइव में एक दुर्भावनापूर्ण आईएसओ छवि छिपी होती है जो खोलने पर स्वयं को एक आभासी सीडी ड्राइव के रूप में स्थापित कर लेती है।
मैलवेयर निष्पादन के लिए आईएसओ छवियों का दुरुपयोग
'Подтверждение банковского перевода.iso' या 'Bank transfer confirmation.iso' नाम की माउंट की गई ISO फ़ाइल मुख्य निष्पादन वाहन के रूप में कार्य करती है। इस इमेज के अंदर CreativeAI.dll नामक एक दुर्भावनापूर्ण डायनेमिक लिंक लाइब्रेरी मौजूद है, जो फैंटम स्टीलर को लॉन्च करने के लिए स्वचालित रूप से सक्रिय हो जाती है। यह तकनीक हमलावरों को मैलवेयर को निष्पादित करने की अनुमति देती है, साथ ही पारंपरिक निष्पादन योग्य फ़ाइलों पर निर्भरता को कम करती है, जिनके अवरुद्ध होने की संभावना अधिक होती है।
फैंटम स्टीलर मैलवेयर की क्षमताएं
एक बार तैनात हो जाने के बाद, फैंटम स्टीलर संक्रमित सिस्टम से संवेदनशील जानकारी की एक विस्तृत श्रृंखला को इकट्ठा करने पर ध्यान केंद्रित करता है। इसकी कार्यक्षमता में शामिल हैं:
क्रोमियम-आधारित ब्राउज़रों में क्रिप्टोकरेंसी वॉलेट ब्राउज़र एक्सटेंशन और स्टैंडअलोन डेस्कटॉप वॉलेट एप्लिकेशन से डेटा निकालना, साथ ही ब्राउज़र पासवर्ड, कुकीज़, संग्रहीत क्रेडिट कार्ड डेटा, डिस्कॉर्ड प्रमाणीकरण टोकन और चयनित स्थानीय फ़ाइलों को चुराना।
क्लिपबोर्ड गतिविधि की निगरानी करना, कीस्ट्रोक्स को लॉग करना और वर्चुअल मशीनों, सैंडबॉक्स या विश्लेषण उपकरणों का पता लगाने के लिए पर्यावरण जांच करना, और ऐसी स्थितियों की पहचान होने पर स्वयं को समाप्त कर देना।
निकासी और कमांड चैनल
चोरी किया गया डेटा विश्वसनीयता और लचीलापन सुनिश्चित करने के लिए हमलावर द्वारा नियंत्रित कई चैनलों के माध्यम से प्रसारित किया जाता है। फैंटम स्टीलर को हमलावरों के नियंत्रण में मौजूद टेलीग्राम बॉट या डिस्कॉर्ड वेबहुक के माध्यम से जानकारी निकालने के लिए कॉन्फ़िगर किया गया है। इसके अलावा, यह मैलवेयर बाहरी FTP सर्वर पर सीधे फ़ाइल स्थानांतरण का समर्थन करता है, जिससे बड़ी मात्रा में डेटा की चोरी और आगे की कार्रवाई संभव हो पाती है।
