Зловреден софтуер Phantom Stealer
Анализатори по сигурността разкриха активна и добре координирана фишинг кампания, насочена към организации от множество индустрии в Русия. Операцията, проследявана като Operation MoneyMount-ISO, разчита на внимателно изработени фишинг имейли, които разпространяват зловредния софтуер Phantom Stealer чрез злонамерени прикачени файлове с ISO образ на диск. Кампанията подчертава продължаващата промяна към по-рядко срещани формати на прикачени файлове, за да се заобиколят традиционните контроли за сигурност на имейлите.
Съдържание
Основни цели и фокус върху сектора
Нападателите са демонстрирали ясно предпочитание към организации, които рутинно обработват финансови транзакции и чувствителна документация. Финансовите и счетоводните отдели изглежда са основният фокус, докато екипите по снабдяване, правни и ведомости за заплати също са били многократно обект на атаки. Тези роли са особено привлекателни за хакерите поради достъпа им до работни процеси за плащания, идентификационни данни и поверителни финансови данни.
Подвеждащи имейл примамки и първоначална доставка
Процесът на заразяване започва с фишинг съобщения, предназначени да наподобяват легитимна финансова кореспонденция. Жертвите са подканени да проверят или потвърдят скорошен банков превод, създавайки усещане за неотложност и достоверност. Всяко съобщение включва ZIP архив, представен като подкрепяща документация. Вместо да съдържа безобидни файлове, архивът крие злонамерен ISO образ, който се монтира като виртуално CD устройство при отваряне.
Злоупотреба с ISO изображения за изпълнение на зловреден софтуер
Монтираният ISO файл, озаглавен „Подтверждение банковского перевода.iso“ или „Потвърждение за банков превод.iso“, действа като основно средство за изпълнение. Вътре в образа се намира злонамерена динамична библиотека с име CreativeAI.dll, която се извиква автоматично за стартиране на Phantom Stealer. Тази техника позволява на нападателите да изпълняват зловреден софтуер, като същевременно намаляват зависимостта от традиционните изпълними файлове, които е по-вероятно да бъдат блокирани.
Възможности на зловредния софтуер Phantom Stealer
След внедряване, Phantom Stealer се фокусира върху събирането на широк спектър от чувствителна информация от заразени системи. Неговата функционалност включва:
Извличане на данни от разширения на браузъра за портфейли с криптовалута в браузъри, базирани на Chromium, и от самостоятелни приложения за настолни портфейли, заедно с кражба на пароли за браузъра, бисквитки, съхранени данни за кредитни карти, токени за удостоверяване на Discord и избрани локални файлове.
Наблюдение на активността в клипборда, регистриране на натискания на клавиши и извършване на проверки на средата за откриване на виртуални машини, пясъчник или инструменти за анализ, като се прекратява, ако бъдат идентифицирани такива условия.
Канали за ексфилтрация и командване
Откраднатите данни се предават през множество контролирани от нападателя канали, за да се гарантира надеждност и гъвкавост. Phantom Stealer е конфигуриран да извлича информация чрез Telegram бот или Discord уеб кукичка под контрола на нападателя. Освен това, зловредният софтуер поддържа директно прехвърляне на файлове към външен FTP сървър, което позволява кражба на големи количества данни и последващи операции.
