Škodlivý softvér Phantom Stealer
Bezpečnostní analytici odhalili aktívnu a dobre koordinovanú phishingovú kampaň zameranú na organizácie z viacerých odvetví v Rusku. Operácia, sledovaná ako Operation MoneyMount-ISO, sa spolieha na starostlivo vytvorené phishingové e-maily, ktoré šíria malvér Phantom Stealer prostredníctvom škodlivých ISO obrazov v prílohách. Kampaň poukazuje na pokračujúci posun k menej bežným formátom príloh s cieľom obísť tradičné bezpečnostné kontroly e-mailov.
Obsah
Primárne ciele a zameranie na sektor
Útočníci preukázali jasnú preferenciu pre organizácie, ktoré bežne spracovávajú finančné transakcie a citlivú dokumentáciu. Hlavným cieľom útokov sa zdajú byť finančné a účtovné oddelenia, pričom opakovane sa terčom stali aj tímy obstarávania, právne oddelenie a oddelenie miezd. Tieto pozície sú pre aktérov útokov obzvlášť atraktívne kvôli ich prístupu k platobným postupom, povereniam a dôverným finančným údajom.
Klamlivé e-mailové návnady a počiatočné doručenie
Proces infikovania začína phishingovými správami, ktoré majú pripomínať legitímnu finančnú korešpondenciu. Obete sú vyzvané na overenie alebo potvrdenie nedávneho bankového prevodu, čo vytvára pocit naliehavosti a dôveryhodnosti. Každá správa obsahuje ZIP archív prezentovaný ako podporná dokumentácia. Namiesto neškodných súborov archív skrýva škodlivý ISO obraz, ktorý sa po otvorení pripojí ako virtuálna CD mechanika.
Zneužívanie ISO obrazov na spustenie škodlivého softvéru
Pripojený súbor ISO s názvom „Подтверждение банковского перевода.iso“ alebo „Potvrdenie bankového prevodu.iso“ slúži ako hlavný nástroj na spustenie príkazu. Vnútri obrazu sa nachádza škodlivá dynamická knižnica s názvom CreativeAI.dll, ktorá sa automaticky spustí na spustenie vírusu Phantom Stealer. Táto technika umožňuje útočníkom spúšťať škodlivý softvér a zároveň znižuje závislosť od tradičných spustiteľných súborov, ktoré sú s väčšou pravdepodobnosťou zablokované.
Schopnosti malvéru Phantom Stealer
Po nasadení sa Phantom Stealer zameriava na zhromažďovanie širokej škály citlivých informácií z infikovaných systémov. Jeho funkcie zahŕňajú:
Extrakcia údajov z rozšírení prehliadača s kryptomenovými peňaženkami v prehliadačoch založených na prehliadači Chromium a zo samostatných desktopových aplikácií peňaženiek spolu s krádežou hesiel prehliadača, súborov cookie, uložených údajov o kreditných kartách, autentifikačných tokenov Discordu a vybraných lokálnych súborov.
Monitorovanie aktivity schránky, zaznamenávanie stlačení klávesov a vykonávanie kontrol prostredia na detekciu virtuálnych počítačov, sandboxov alebo analytických nástrojov a ukončenie sa, ak sa takéto podmienky zistí.
Exfiltračné a veliteľské kanály
Ukradnuté dáta sa prenášajú cez viacero kanálov ovládaných útočníkom, aby sa zabezpečila spoľahlivosť a flexibilita. Phantom Stealer je nakonfigurovaný tak, aby exfiltroval informácie prostredníctvom Telegram bota alebo Discord webhooku pod kontrolou útočníkov. Okrem toho malvér podporuje priamy prenos súborov na externý FTP server, čo umožňuje hromadnú krádež dát a následné operácie.
