Oprogramowanie szpiegujące Phantom Stealer
Analitycy bezpieczeństwa odkryli aktywną i dobrze skoordynowaną kampanię phishingową skierowaną do organizacji z różnych branż w Rosji. Operacja, śledzona jako Operation MoneyMount-ISO, opiera się na starannie spreparowanych wiadomościach e-mail phishingowych, które rozpowszechniają złośliwe oprogramowanie Phantom Stealer za pośrednictwem złośliwych załączników w postaci obrazów dysków ISO. Kampania ta uwydatnia ciągły trend w kierunku stosowania mniej popularnych formatów załączników, aby ominąć tradycyjne zabezpieczenia poczty e-mail.
Spis treści
Główne cele i skupienie się na sektorze
Atakujący wyraźnie preferują organizacje, które rutynowo obsługują transakcje finansowe i poufną dokumentację. Głównym celem ataku wydają się być działy finansowe i księgowe, a działy zaopatrzenia, dział prawny i dział płac również były wielokrotnie atakowane. Role te są szczególnie atrakcyjne dla cyberprzestępców ze względu na dostęp do procesów płatności, danych uwierzytelniających i poufnych danych finansowych.
Zwodnicze wiadomości e-mail i początkowa dostawa
Proces infekcji rozpoczyna się od wiadomości phishingowych, które mają przypominać legalną korespondencję finansową. Ofiary są proszone o weryfikację lub potwierdzenie niedawnego przelewu bankowego, co tworzy poczucie pilności i wiarygodności. Każda wiadomość zawiera archiwum ZIP, prezentowane jako dokumentacja pomocnicza. Zamiast nieszkodliwych plików, archiwum ukrywa złośliwy obraz ISO, który po otwarciu montuje się jako wirtualny napęd CD.
Nadużywanie obrazów ISO do uruchamiania złośliwego oprogramowania
Zamontowany plik ISO o nazwie „Подтверждение банковского перевода.iso” lub „Potwierdzenie przelewu bankowego.iso” pełni funkcję głównego mechanizmu wykonawczego. Wewnątrz obrazu znajduje się złośliwa biblioteka DLL o nazwie CreativeAI.dll, która jest automatycznie wywoływana w celu uruchomienia Phantom Stealer. Ta technika pozwala atakującym na uruchamianie złośliwego oprogramowania, jednocześnie zmniejszając zależność od tradycyjnych plików wykonywalnych, które z większym prawdopodobieństwem zostaną zablokowane.
Możliwości złośliwego oprogramowania Phantom Stealer
Po wdrożeniu Phantom Stealer koncentruje się na zbieraniu szerokiego zakresu poufnych informacji z zainfekowanych systemów. Jego funkcjonalność obejmuje:
Wyodrębnianie danych z rozszerzeń przeglądarki portfela kryptowalut w przeglądarkach opartych na Chromium i z samodzielnych aplikacji portfela na komputerach stacjonarnych, a także kradzież haseł przeglądarek, plików cookie, zapisanych danych kart kredytowych, tokenów uwierzytelniania Discord i wybranych plików lokalnych.
Monitorowanie aktywności schowka, rejestrowanie naciśnięć klawiszy i przeprowadzanie kontroli środowiska w celu wykrycia maszyn wirtualnych, piaskownic lub narzędzi analitycznych. Zamykanie się w przypadku wykrycia takich warunków.
Kanały eksfiltracji i dowodzenia
Skradzione dane są przesyłane wieloma kanałami kontrolowanymi przez atakujących, co zapewnia niezawodność i elastyczność. Phantom Stealer jest skonfigurowany do eksfiltracji informacji za pośrednictwem bota Telegrama lub webhooka Discorda, kontrolowanego przez atakujących. Ponadto złośliwe oprogramowanie obsługuje bezpośrednie przesyłanie plików na zewnętrzny serwer FTP, umożliwiając masową kradzież danych i późniejsze działania następcze.
