Phantom Stealer-skadlig programvara
Säkerhetsanalytiker har avslöjat en aktiv och välkoordinerad nätfiskekampanj riktad mot organisationer inom flera branscher i Ryssland. Operationen, som spåras som Operation MoneyMount-ISO, bygger på noggrant utformade nätfiskemejl som distribuerar skadlig programvara Phantom Stealer genom skadliga ISO-diskavbildningsbilagor. Kampanjen belyser en fortsatt övergång till mindre vanliga bilageformat för att kringgå traditionella e-postsäkerhetskontroller.
Innehållsförteckning
Primära mål och sektorfokus
Angriparna har visat en tydlig preferens för organisationer som rutinmässigt hanterar finansiella transaktioner och känslig dokumentation. Finans- och redovisningsavdelningar verkar vara huvudfokus, medan upphandlings-, juridik- och löneavdelningar också upprepade gånger har varit måltavlor. Dessa roller är särskilt attraktiva för hotande aktörer på grund av deras tillgång till betalningsflöden, inloggningsuppgifter och konfidentiell finansiell information.
Bedrägliga e-postlockbete och initial leverans
Infektionsprocessen börjar med nätfiskemeddelanden som är utformade för att likna legitim finansiell korrespondens. Offren uppmanas att verifiera eller bekräfta en nyligen genomförd banköverföring, vilket skapar en känsla av brådska och trovärdighet. Varje meddelande innehåller ett ZIP-arkiv som presenteras som stödjande dokumentation. Istället för att innehålla ofarliga filer döljer arkivet en skadlig ISO-avbildning som monteras som en virtuell CD-enhet när den öppnas.
Missbruk av ISO-bilder för exekvering av skadlig programvara
Den monterade ISO-filen, med titeln 'Подтверждение банковского перевода.iso' eller 'Bank transfer confirmation.iso', fungerar som det huvudsakliga exekveringsmediet. Inuti bilden finns ett skadligt dynamiskt länkbibliotek med namnet CreativeAI.dll, som automatiskt anropas för att starta Phantom Stealer. Denna teknik gör det möjligt för angriparna att exekvera skadlig kod samtidigt som de minskar beroendet av traditionella körbara filer som är mer benägna att blockeras.
Funktioner hos den skadliga programvaran Phantom Stealer
När den väl är driftsatt fokuserar Phantom Stealer på att samla in ett brett spektrum av känslig information från infekterade system. Dess funktioner inkluderar:
Extraherar data från webbläsartillägg för kryptovalutaplånböcker i Chromium-baserade webbläsare och från fristående skrivbordsplånboksapplikationer, tillsammans med att stjäla webbläsarlösenord, cookies, lagrade kreditkortsuppgifter, Discord-autentiseringstokens och utvalda lokala filer.
Övervakar urklippsaktivitet, loggar tangenttryckningar och utför miljökontroller för att upptäcka virtuella maskiner, sandlådor eller analysverktyg, och avslutar sig själv om sådana tillstånd identifieras.
Exfiltrering och kommandokanaler
Stulen data överförs via flera angriparkontrollerade kanaler för att säkerställa tillförlitlighet och flexibilitet. Phantom Stealer är konfigurerad för att stjäla information via en Telegram-bot eller en Discord-webhook under angriparnas kontroll. Dessutom stöder skadlig programvara direkta filöverföringar till en extern FTP-server, vilket möjliggör stöld av massdata och uppföljningsåtgärder.
