Zlonamerna programska oprema Phantom Stealer
Varnostni analitiki so odkrili aktivno in dobro usklajeno phishing kampanjo, namenjeno organizacijam v več panogah v Rusiji. Operacija, znana kot Operation MoneyMount-ISO, se zanaša na skrbno oblikovana phishing e-poštna sporočila, ki distribuirajo zlonamerno programsko opremo Phantom Stealer prek zlonamernih prilog slik diskov ISO. Kampanja poudarja nenehen premik k manj pogostim formatom prilog, da bi zaobšli tradicionalne varnostne kontrole e-pošte.
Kazalo
Primarni cilji in sektorski fokus
Napadalci so pokazali jasno naklonjenost organizacijam, ki redno obravnavajo finančne transakcije in občutljivo dokumentacijo. Zdi se, da so v glavnem v središču pozornosti finančni in računovodski oddelki, večkrat pa so bile tarče tudi nabavne, pravne in plačilne ekipe. Te vloge so za akterje napada še posebej privlačne zaradi dostopa do plačilnih tokov, poverilnic in zaupnih finančnih podatkov.
Zavajajoče e-poštne vabe in začetna dostava
Proces okužbe se začne s sporočili lažnega predstavljanja, ki so zasnovana tako, da spominjajo na legitimno finančno korespondenco. Žrtve so pozvane, da preverijo ali potrdijo nedavno bančno nakazilo, kar ustvarja občutek nujnosti in verodostojnosti. Vsako sporočilo vsebuje ZIP arhiv, ki je predstavljen kot podporna dokumentacija. Arhiv ne vsebuje neškodljivih datotek, temveč skriva zlonamerno sliko ISO, ki se ob odprtju priklopi kot virtualni pogon CD.
Zloraba slik ISO za izvajanje zlonamerne programske opreme
Pripeta datoteka ISO z naslovom »Podtrditev bančnega prevoda.iso« ali »Potrditev bančnega nakazila.iso« deluje kot glavno izvajalno sredstvo. V sliki je zlonamerna dinamična knjižnica povezav z imenom CreativeAI.dll, ki se samodejno zažene za zagon programa Phantom Stealer. Ta tehnika napadalcem omogoča izvajanje zlonamerne programske opreme, hkrati pa zmanjšuje odvisnost od tradicionalnih izvedljivih datotek, ki so bolj verjetno blokirane.
Zmogljivosti zlonamerne programske opreme Phantom Stealer
Ko je enkrat nameščen, se Phantom Stealer osredotoči na zbiranje širokega nabora občutljivih informacij iz okuženih sistemov. Njegova funkcionalnost vključuje:
Pridobivanje podatkov iz razširitev brskalnika za denarnice s kriptovalutami v brskalnikih, ki temeljijo na Chromiumu, in iz samostojnih namiznih aplikacij za denarnice, skupaj s krajo gesel brskalnika, piškotkov, shranjenih podatkov o kreditnih karticah, žetonov za preverjanje pristnosti Discorda in izbranih lokalnih datotek.
Spremljanje dejavnosti odložišča, beleženje pritiskov tipk in izvajanje preverjanj okolja za zaznavanje virtualnih strojev, peskovnikov ali orodij za analizo ter samoprekinitev, če so takšni pogoji zaznani.
Izhodni in poveljniški kanali
Ukradeni podatki se prenašajo prek več kanalov, ki jih nadzoruje napadalec, da se zagotovi zanesljivost in prilagodljivost. Phantom Stealer je konfiguriran za izsiljevanje informacij prek bota Telegram ali spletnega kavlja Discord pod nadzorom napadalcev. Poleg tega zlonamerna programska oprema podpira neposreden prenos datotek na zunanji strežnik FTP, kar omogoča krajo množičnih podatkov in nadaljnje operacije.
