Phantom Stealer-skadevare
Sikkerhetsanalytikere har avdekket en aktiv og godt koordinert phishing-kampanje rettet mot organisasjoner på tvers av flere bransjer i Russland. Operasjonen, sporet som Operasjon MoneyMount-ISO, er avhengig av nøye utformede phishing-e-poster som distribuerer skadevaren Phantom Stealer gjennom ondsinnede ISO-diskavbildningsvedlegg. Kampanjen fremhever et fortsatt skifte mot mindre vanlige vedleggsformater for å omgå tradisjonelle e-postsikkerhetskontroller.
Innholdsfortegnelse
Primære mål og sektorfokus
Angriperne har vist en klar preferanse for organisasjoner som rutinemessig håndterer økonomiske transaksjoner og sensitiv dokumentasjon. Finans- og regnskapsavdelinger ser ut til å være hovedfokuset, mens innkjøps-, juridiske og lønnsavdelinger også gjentatte ganger har blitt målrettet. Disse rollene er spesielt attraktive for trusselaktører på grunn av deres tilgang til betalingsflyter, legitimasjon og konfidensielle økonomiske data.
Villedende e-postlokkemidler og første levering
Infeksjonsprosessen starter med phishing-meldinger som er utformet for å ligne legitim økonomisk korrespondanse. Ofrene blir bedt om å verifisere eller bekrefte en nylig bankoverføring, noe som skaper en følelse av at det haster og at det er troverdig. Hver melding inneholder et ZIP-arkiv som presenteres som støttedokumentasjon. I stedet for å inneholde ufarlige filer, skjuler arkivet et skadelig ISO-bilde som monteres som en virtuell CD-stasjon når det åpnes.
Misbruk av ISO-bilder for utførelse av skadelig programvare
Den monterte ISO-filen, med tittelen «Подтверждение банковского перевода.iso» eller «Bank transfer confirmation.iso», fungerer som det viktigste utføringsmiddelet. Inne i bildet er et ondsinnet dynamisk lenkebibliotek kalt CreativeAI.dll, som automatisk kalles for å starte Phantom Stealer. Denne teknikken lar angriperne kjøre skadelig programvare samtidig som de reduserer avhengigheten av tradisjonelle kjørbare filer som er mer sannsynlig å bli blokkert.
Funksjoner til den skadelige programvaren Phantom Stealer
Når den er distribuert, fokuserer Phantom Stealer på å samle inn et bredt spekter av sensitiv informasjon fra infiserte systemer. Funksjonaliteten inkluderer:
Uttrekk av data fra nettleserutvidelser for kryptovaluta-lommebøker i Chromium-baserte nettlesere og fra frittstående skrivebordslommebokapplikasjoner, samt stjeling av nettleserpassord, informasjonskapsler, lagrede kredittkortdata, Discord-autentiseringstokener og utvalgte lokale filer.
Overvåking av utklippstavlens aktivitet, logging av tastetrykk og utføring av miljøkontroller for å oppdage virtuelle maskiner, sandkasser eller analyseverktøy, og avslutning av seg selv hvis slike forhold identifiseres.
Eksfiltrering og kommandokanaler
Stjålne data overføres gjennom flere angriperkontrollerte kanaler for å sikre pålitelighet og fleksibilitet. Phantom Stealer er konfigurert til å eksfiltrere informasjon via en Telegram-bot eller en Discord-webhook under angripernes kontroll. I tillegg støtter skadevaren direkte filoverføringer til en ekstern FTP-server, noe som muliggjør massedatatyveri og oppfølgingsoperasjoner.
