Phần mềm độc hại Phantom Stealer

Các chuyên gia phân tích an ninh đã phát hiện một chiến dịch lừa đảo qua email (phishing) hoạt động tích cực và được phối hợp bài bản nhằm vào các tổ chức thuộc nhiều ngành công nghiệp khác nhau ở Nga. Chiến dịch này, được theo dõi với tên gọi Chiến dịch MoneyMount-ISO, dựa vào các email lừa đảo được soạn thảo kỹ lưỡng để phát tán phần mềm độc hại Phantom Stealer thông qua các tệp đính kèm hình ảnh đĩa ISO độc hại. Chiến dịch này cho thấy xu hướng tiếp tục chuyển dịch sang các định dạng tệp đính kèm ít phổ biến hơn để vượt qua các biện pháp kiểm soát an ninh email truyền thống.

Mục tiêu chính và trọng tâm lĩnh vực

Các tin tặc đã thể hiện sự ưu tiên rõ ràng đối với các tổ chức thường xuyên xử lý các giao dịch tài chính và tài liệu nhạy cảm. Các bộ phận tài chính và kế toán dường như là mục tiêu chính, trong khi các bộ phận mua sắm, pháp lý và tiền lương cũng liên tục bị nhắm mục tiêu. Những vị trí này đặc biệt hấp dẫn đối với các tác nhân đe dọa do họ có quyền truy cập vào quy trình thanh toán, thông tin đăng nhập và dữ liệu tài chính bí mật.

Các email lừa đảo và việc gửi email ban đầu

Quá trình lây nhiễm bắt đầu bằng các tin nhắn lừa đảo được thiết kế giống với thư từ tài chính hợp pháp. Nạn nhân được yêu cầu xác minh hoặc xác nhận một giao dịch chuyển khoản ngân hàng gần đây, tạo ra cảm giác khẩn cấp và đáng tin cậy. Mỗi tin nhắn đều bao gồm một tệp lưu trữ ZIP được trình bày như tài liệu hỗ trợ. Thay vì chứa các tệp vô hại, tệp lưu trữ này ẩn chứa một hình ảnh ISO độc hại, tự động gắn kết như một ổ đĩa CD ảo khi được mở.

Lạm dụng ảnh ISO để thực thi phần mềm độc hại

Tệp ISO được gắn kết, có tiêu đề 'Подтверждение банковского перевода.iso' hoặc 'Bank transfer confirmation.iso,' đóng vai trò là phương tiện thực thi chính. Bên trong hình ảnh là một thư viện liên kết động độc hại có tên CreativeAI.dll, được tự động gọi để khởi chạy Phantom Stealer. Kỹ thuật này cho phép kẻ tấn công thực thi phần mềm độc hại trong khi giảm sự phụ thuộc vào các tệp thực thi truyền thống, vốn dễ bị chặn hơn.

Các khả năng của phần mềm độc hại Phantom Stealer

Sau khi được triển khai, Phantom Stealer tập trung vào việc thu thập nhiều loại thông tin nhạy cảm từ các hệ thống bị nhiễm. Chức năng của nó bao gồm:

Trích xuất dữ liệu từ các tiện ích mở rộng ví tiền điện tử trên trình duyệt dựa trên Chromium và từ các ứng dụng ví độc lập trên máy tính để bàn, cùng với việc đánh cắp mật khẩu trình duyệt, cookie, dữ liệu thẻ tín dụng đã lưu, mã xác thực Discord và các tệp cục bộ được chọn.

Chức năng này giám sát hoạt động của clipboard, ghi nhật ký các thao tác gõ phím và thực hiện kiểm tra môi trường để phát hiện máy ảo, hộp cát hoặc công cụ phân tích, đồng thời tự động chấm dứt nếu phát hiện thấy các điều kiện như vậy.

Kênh thoát dữ liệu và kênh điều khiển

Dữ liệu bị đánh cắp được truyền qua nhiều kênh do kẻ tấn công kiểm soát để đảm bảo độ tin cậy và tính linh hoạt. Phần mềm độc hại Phantom Stealer được cấu hình để đánh cắp thông tin thông qua bot Telegram hoặc webhook Discord dưới sự kiểm soát của kẻ tấn công. Ngoài ra, phần mềm độc hại này hỗ trợ truyền tệp trực tiếp đến máy chủ FTP bên ngoài, cho phép đánh cắp dữ liệu hàng loạt và các hoạt động tiếp theo.