มัลแวร์ Phantom Stealer
นักวิเคราะห์ด้านความปลอดภัยได้ค้นพบแคมเปญฟิชชิงที่ดำเนินการอย่างเป็นระบบและประสานงานกันอย่างดี โดยมุ่งเป้าไปที่องค์กรต่างๆ ในหลากหลายอุตสาหกรรมในรัสเซีย ปฏิบัติการนี้ซึ่งติดตามได้ในชื่อ Operation MoneyMount-ISO อาศัยอีเมลฟิชชิงที่สร้างขึ้นอย่างพิถีพิถันเพื่อกระจายมัลแวร์ Phantom Stealer ผ่านไฟล์แนบรูปภาพดิสก์ ISO ที่เป็นอันตราย แคมเปญนี้แสดงให้เห็นถึงการเปลี่ยนแปลงอย่างต่อเนื่องไปสู่รูปแบบไฟล์แนบที่พบได้น้อยลงเพื่อหลีกเลี่ยงการควบคุมความปลอดภัยของอีเมลแบบดั้งเดิม
สารบัญ
เป้าหมายหลักและการมุ่งเน้นภาคส่วน
ผู้โจมตีแสดงให้เห็นอย่างชัดเจนว่ามุ่งเป้าไปที่องค์กรที่จัดการธุรกรรมทางการเงินและเอกสารสำคัญเป็นประจำ แผนกการเงินและการบัญชีดูเหมือนจะเป็นเป้าหมายหลัก ในขณะที่ทีมจัดซื้อ จัดหา กฎหมาย และเงินเดือนก็ตกเป็นเป้าหมายซ้ำแล้วซ้ำเล่า บทบาทเหล่านี้ดึงดูดใจผู้คุกคามเป็นพิเศษ เนื่องจากพวกเขาสามารถเข้าถึงขั้นตอนการชำระเงิน ข้อมูลประจำตัว และข้อมูลทางการเงินที่เป็นความลับได้
อีเมลล่อลวงและวิธีการส่งครั้งแรกที่หลอกลวง
กระบวนการแพร่ระบาดเริ่มต้นด้วยข้อความฟิชชิ่งที่ออกแบบมาให้คล้ายกับจดหมายทางการเงินที่ถูกต้องตามกฎหมาย เหยื่อจะถูกขอให้ตรวจสอบหรือยืนยันการโอนเงินผ่านธนาคารล่าสุด ทำให้เกิดความรู้สึกเร่งด่วนและน่าเชื่อถือ ข้อความแต่ละฉบับจะมีไฟล์ ZIP ที่แสดงเป็นเอกสารประกอบ แต่แทนที่จะมีไฟล์ที่ไม่เป็นอันตราย ไฟล์ ZIP นั้นกลับซ่อนไฟล์ ISO ที่เป็นอันตราย ซึ่งจะติดตั้งตัวเองเป็นไดรฟ์ CD เสมือนเมื่อเปิดออก
การใช้ไฟล์ ISO ในทางที่ผิดเพื่อเรียกใช้มัลแวร์
ไฟล์ ISO ที่ถูกเมานต์ ซึ่งมีชื่อว่า 'Подтверждение банковского перевода.iso' หรือ 'Bank transfer confirmation.iso' ทำหน้าที่เป็นพาหนะหลักในการเรียกใช้งาน ภายในอิมเมจนี้มีไลบรารีลิงก์แบบไดนามิกที่เป็นอันตรายชื่อ CreativeAI.dll ซึ่งจะถูกเรียกใช้งานโดยอัตโนมัติเพื่อเริ่มการทำงานของ Phantom Stealer เทคนิคนี้ช่วยให้ผู้โจมตีสามารถเรียกใช้มัลแวร์ได้โดยลดการพึ่งพาไฟล์ปฏิบัติการแบบดั้งเดิมซึ่งมีโอกาสถูกบล็อกมากกว่า
ความสามารถของมัลแวร์ Phantom Stealer
เมื่อติดตั้งแล้ว Phantom Stealer จะมุ่งเน้นไปที่การรวบรวมข้อมูลสำคัญหลากหลายประเภทจากระบบที่ติดไวรัส ฟังก์ชันการทำงานของมันประกอบด้วย:
การดึงข้อมูลจากส่วนขยายกระเป๋าเงินดิจิทัลในเบราว์เซอร์ที่ใช้ Chromium และจากแอปพลิเคชันกระเป๋าเงินดิจิทัลบนเดสก์ท็อป รวมถึงการขโมยรหัสผ่านเบราว์เซอร์ คุกกี้ ข้อมูลบัตรเครดิตที่จัดเก็บไว้ โทเค็นการตรวจสอบสิทธิ์ Discord และไฟล์ในเครื่องที่เลือกไว้
โปรแกรมนี้ทำหน้าที่ตรวจสอบความเคลื่อนไหวในคลิปบอร์ด บันทึกการกดแป้นพิมพ์ และตรวจสอบสภาพแวดล้อมเพื่อตรวจจับเครื่องเสมือน แซนด์บ็อกซ์ หรือเครื่องมือวิเคราะห์ โดยจะยุติการทำงานเองหากตรวจพบเงื่อนไขดังกล่าว
การถอนตัวและช่องทางการสั่งการ
ข้อมูลที่ถูกขโมยจะถูกส่งผ่านช่องทางต่างๆ ที่ผู้โจมตีควบคุม เพื่อให้มั่นใจในความน่าเชื่อถือและความยืดหยุ่น Phantom Stealer ถูกตั้งค่าให้ส่งข้อมูลออกไปทางบอท Telegram หรือเว็บฮุค Discord ที่อยู่ภายใต้การควบคุมของผู้โจมตี นอกจากนี้ มัลแวร์ยังรองรับการถ่ายโอนไฟล์โดยตรงไปยังเซิร์ฟเวอร์ FTP ภายนอก ทำให้สามารถขโมยข้อมูลจำนวนมากและดำเนินการต่อได้
