Шкідливе програмне забезпечення Phantom Stealer
Аналітики з безпеки виявили активну та добре скоординовану фішингову кампанію, спрямовану на організації з різних галузей промисловості в Росії. Операція, що відстежується як Operation MoneyMount-ISO, спирається на ретельно створені фішингові електронні листи, які розповсюджують шкідливе програмне забезпечення Phantom Stealer через вкладення образів ISO-дисків. Кампанія підкреслює постійний перехід до менш поширених форматів вкладень для обходу традиційних засобів контролю безпеки електронної пошти.
Зміст
Основні цілі та фокус на секторі
Зловмисники продемонстрували чітку перевагу організаціям, які регулярно обробляють фінансові операції та конфіденційну документацію. Фінансовий та бухгалтерський відділи, схоже, є основною метою, тоді як відділи закупівель, юридичний відділ та відділ нарахування заробітної плати також неодноразово ставали цілями. Ці посади особливо привабливі для зловмисників через їхній доступ до робочих процесів платежів, облікових даних та конфіденційних фінансових даних.
Оманливі електронні листи-приманки та початкова доставка
Процес зараження починається з фішингових повідомлень, розроблених так, щоб імітувати легітимне фінансове листування. Жертвам пропонується перевірити або підтвердити нещодавній банківський переказ, створюючи відчуття терміновості та достовірності. Кожне повідомлення містить ZIP-архів, представлений як супровідна документація. Замість нешкідливих файлів, архів приховує шкідливий ISO-образ, який під час відкриття монтується як віртуальний CD-привід.
Зловживання ISO-образами для виконання шкідливого програмного забезпечення
Змонтований ISO-файл під назвою «Підтвердження банківського перекладу.iso» або «Підтвердження банківського переказу.iso» виступає основним засобом виконання. Усередині образу міститься шкідлива бібліотека динамічного компонування CreativeAI.dll, яка автоматично викликається для запуску Phantom Stealer. Цей метод дозволяє зловмисникам запускати шкідливе програмне забезпечення, одночасно зменшуючи залежність від традиційних виконуваних файлів, які з більшою ймовірністю блокуються.
Можливості шкідливого програмного забезпечення Phantom Stealer
Після розгортання Phantom Stealer зосереджується на зборі широкого спектру конфіденційної інформації із заражених систем. Його функціональність включає:
Вилучення даних з розширень браузера для криптовалютних гаманців у браузерах на базі Chromium та з окремих програм для настільних гаманців, а також крадіжка паролів браузера, файлів cookie, збережених даних кредитних карток, токенів автентифікації Discord та вибраних локальних файлів.
Моніторинг активності буфера обміну, реєстрація натискань клавіш та виконання перевірок середовища для виявлення віртуальних машин, пісочниць або інструментів аналізу, завершення роботи, якщо такі умови виявлено.
Канали евакуації та командування
Викрадені дані передаються через кілька каналів, контрольованих зловмисниками, для забезпечення надійності та гнучкості. Phantom Stealer налаштовано на вилучення інформації через бота Telegram або вебхук Discord під контролем зловмисників. Крім того, шкідливе програмне забезпечення підтримує пряму передачу файлів на зовнішній FTP-сервер, що дозволяє здійснювати масову крадіжку даних та здійснювати подальші операції.
