Phantom Stealer Malware

安全分析师发现了一起针对俄罗斯多个行业组织的活跃且精心策划的网络钓鱼活动。该行动代号为“MoneyMount-ISO行动”，利用精心制作的钓鱼邮件，通过恶意ISO镜像附件传播“幻影窃取者”（Phantom Stealer）恶意软件。此次活动凸显了攻击者持续转向使用不常见的附件格式来绕过传统电子邮件安全控制的趋势。

主要目标和行业重点

攻击者明显偏好那些日常处理财务交易和敏感文件的组织。财务和会计部门似乎是主要目标，而采购、法务和薪资团队也屡遭攻击。这些职位之所以对攻击者极具吸引力，是因为他们能够接触到支付流程、凭证和机密财务数据。

欺骗性电子邮件诱饵和初始投递

感染过程始于精心设计的钓鱼邮件，这些邮件伪装成合法的金融信函。受害者会被诱导去验证或确认最近的银行转账，从而营造出一种紧迫感和可信度。每封邮件都包含一个伪装成证明文件的 ZIP 压缩包。然而，该压缩包并非包含无害文件，而是隐藏着一个恶意 ISO 镜像文件。打开该镜像文件后，它会把自己挂载为一个虚拟 CD 驱动器。

滥用 ISO 镜像执行恶意软件

挂载的 ISO 文件名为“Подтверждение банковского перевода.iso”（银行转账确认.iso），是主要的执行载体。该镜像中包含一个名为 CreativeAI.dll 的恶意动态链接库，它会自动调用以启动 Phantom Stealer 恶意软件。这种技术使攻击者能够在执行恶意软件的同时，减少对更容易被拦截的传统可执行文件的依赖。

幻影窃取者恶意软件的功能

Phantom Stealer一旦部署，便会专注于从受感染的系统中窃取各种敏感信息。其功能包括：

从基于 Chromium 的浏览器中的加密货币钱包浏览器扩展程序和独立的桌面钱包应用程序中提取数据，并窃取浏览器密码、cookie、存储的信用卡数据、Discord 身份验证令牌和选定的本地文件。

监控剪贴板活动、记录击键、执行环境检查以检测虚拟机、沙箱或分析工具，如果检测到此类情况则终止自身。

外泄和指挥渠道

为确保可靠性和灵活性，被盗数据通过多个攻击者控制的渠道传输。Phantom Stealer 被配置为通过攻击者控制的 Telegram 机器人或 Discord Webhook 窃取信息。此外，该恶意软件还支持直接向外部 FTP 服务器传输文件，从而实现批量数据窃取和后续操作。