Programe malware Phantom Stealer
Analiștii de securitate au descoperit o campanie de phishing activă și bine coordonată, care viza organizații din diverse industrii din Rusia. Operațiunea, denumită Operațiunea MoneyMount-ISO, se bazează pe e-mailuri de phishing atent elaborate, care distribuie malware-ul Phantom Stealer prin atașamente de imagini ISO pe disc malițioase. Campania evidențiază o trecere continuă către formate de atașamente mai puțin comune pentru a ocoli controalele tradiționale de securitate a e-mailurilor.
Cuprins
Obiective principale și concentrare sectorială
Atacatorii au demonstrat o preferință clară pentru organizațiile care gestionează în mod curent tranzacții financiare și documentație sensibilă. Departamentele financiare și contabile par a fi principalul obiectiv, în timp ce echipele de achiziții, juridic și salarizare au fost, de asemenea, vizate în mod repetat. Aceste roluri sunt deosebit de atractive pentru actorii vulnerabili datorită accesului lor la fluxuri de lucru pentru plăți, acreditări și date financiare confidențiale.
Momeli înșelătoare pentru e-mailuri și livrare inițială
Procesul de infectare începe cu mesaje de phishing concepute pentru a semăna cu o corespondență financiară legitimă. Victimele sunt îndemnate să verifice sau să confirme un transfer bancar recent, creând un sentiment de urgență și credibilitate. Fiecare mesaj include o arhivă ZIP prezentată ca documentație justificativă. În loc să conțină fișiere inofensive, arhiva ascunde o imagine ISO rău intenționată care se montează ca o unitate CD virtuală atunci când este deschisă.
Abuzul imaginilor ISO pentru executarea de programe malware
Fișierul ISO montat, intitulat „Подтверждение банковского перевода.iso” sau „Bank transfer confirmation.iso”, acționează ca principal vehicul de execuție. În interiorul imaginii se află o bibliotecă de legături dinamice malițioase numită CreativeAI.dll, care este invocată automat pentru a lansa Phantom Stealer. Această tehnică permite atacatorilor să execute programe malware, reducând în același timp dependența de fișierele executabile tradiționale, care sunt mai susceptibile de a fi blocate.
Capacitățile malware-ului Phantom Stealer
Odată implementat, Phantom Stealer se concentrează pe colectarea unei game largi de informații sensibile din sistemele infectate. Funcționalitățile sale includ:
Extragerea datelor din extensiile de browser pentru portofelele de criptomonede din browserele bazate pe Chromium și din aplicațiile independente pentru portofelele desktop, împreună cu furtul parolelor de browser, cookie-urilor, datelor stocate pe cardurile de credit, token-urilor de autentificare Discord și fișierelor locale selectate.
Monitorizarea activității clipboard-ului, înregistrarea apăsărilor de taste și efectuarea de verificări ale mediului pentru a detecta mașini virtuale, sandbox-uri sau instrumente de analiză, oprindu-se automat dacă sunt identificate astfel de condiții.
Canale de exfiltrare și comandă
Datele furate sunt transmise prin mai multe canale controlate de atacatori pentru a asigura fiabilitatea și flexibilitatea. Phantom Stealer este configurat să exfiltreze informații prin intermediul unui bot Telegram sau al unui webhook Discord aflat sub controlul atacatorilor. În plus, malware-ul acceptă transferuri directe de fișiere către un server FTP extern, permițând furtul de date în masă și operațiuni ulterioare.
