Malware Phantom Stealer
Analistas de segurança descobriram uma campanha de phishing ativa e bem coordenada, direcionada a organizações de diversos setores na Rússia. A operação, denominada Operação MoneyMount-ISO, utiliza e-mails de phishing cuidadosamente elaborados para distribuir o malware Phantom Stealer por meio de anexos maliciosos de imagens de disco ISO. A campanha evidencia uma tendência crescente no uso de formatos de anexos menos comuns para burlar os controles tradicionais de segurança de e-mail.
Índice
Objetivos principais e foco setorial
Os atacantes demonstraram uma clara preferência por organizações que lidam rotineiramente com transações financeiras e documentação sensível. Os departamentos de finanças e contabilidade parecem ser o principal alvo, embora as equipes de compras, jurídicas e de folha de pagamento também tenham sido repetidamente visadas. Essas funções são particularmente atraentes para os agentes de ameaças devido ao acesso que possuem a fluxos de pagamento, credenciais e dados financeiros confidenciais.
Iscas de e-mail enganosas e entrega inicial
O processo de infecção começa com mensagens de phishing elaboradas para se assemelharem a correspondências financeiras legítimas. As vítimas são induzidas a verificar ou confirmar uma transferência bancária recente, criando uma sensação de urgência e credibilidade. Cada mensagem inclui um arquivo ZIP apresentado como documentação complementar. Em vez de conter arquivos inofensivos, o arquivo esconde uma imagem ISO maliciosa que se instala como uma unidade de CD virtual ao ser aberta.
Uso indevido de imagens ISO para execução de malware
O arquivo ISO montado, intitulado 'Подтверждение банковского перевода.iso' ou 'Bank transfer confirmation.iso', atua como o principal veículo de execução. Dentro da imagem, encontra-se uma biblioteca de vínculo dinâmico maliciosa chamada CreativeAI.dll, que é invocada automaticamente para executar o Phantom Stealer. Essa técnica permite que os atacantes executem o malware, reduzindo a dependência de arquivos executáveis tradicionais, que são mais propensos a serem bloqueados.
Capacidades do malware Phantom Stealer
Uma vez implantado, o Phantom Stealer concentra-se na coleta de uma ampla gama de informações confidenciais de sistemas infectados. Suas funcionalidades incluem:
Extração de dados de extensões de carteiras de criptomoedas em navegadores baseados no Chromium e de aplicativos de carteira independentes para desktop, além do roubo de senhas de navegador, cookies, dados armazenados de cartões de crédito, tokens de autenticação do Discord e arquivos locais selecionados.
Monitora a atividade da área de transferência, registra as teclas digitadas e realiza verificações de ambiente para detectar máquinas virtuais, sandboxes ou ferramentas de análise, encerrando-se automaticamente caso essas condições sejam identificadas.
Canais de exfiltração e comando
Os dados roubados são transmitidos por meio de múltiplos canais controlados pelo atacante para garantir confiabilidade e flexibilidade. O Phantom Stealer é configurado para exfiltrar informações por meio de um bot do Telegram ou um webhook do Discord sob o controle dos atacantes. Além disso, o malware suporta transferências diretas de arquivos para um servidor FTP externo, possibilitando o roubo em massa de dados e operações subsequentes.
