Phantom Stealer-malware
Sikkerhedsanalytikere har afdækket en aktiv og velkoordineret phishingkampagne rettet mod organisationer på tværs af flere brancher i Rusland. Operationen, der er kendt som Operation MoneyMount-ISO, er baseret på omhyggeligt udformede phishing-e-mails, der distribuerer Phantom Stealer-malwaren via ondsindede ISO-diskbilledvedhæftninger. Kampagnen fremhæver et fortsat skift mod mindre almindelige vedhæftningsformater for at omgå traditionelle e-mailsikkerhedskontroller.
Indholdsfortegnelse
Primære mål og sektorfokus
Angriberne har vist en klar præference for organisationer, der rutinemæssigt håndterer finansielle transaktioner og følsom dokumentation. Finans- og regnskabsafdelinger synes at være hovedfokus, mens indkøbs-, juridiske og lønafdelinger også gentagne gange har været mål for angreb. Disse roller er særligt attraktive for trusselsaktører på grund af deres adgang til betalingsworkflows, legitimationsoplysninger og fortrolige økonomiske data.
Vildledende e-mail-lokkemidler og initial levering
Infektionsprocessen starter med phishing-beskeder, der er designet til at ligne legitim økonomisk korrespondance. Ofrene bliver bedt om at verificere eller bekræfte en nylig bankoverførsel, hvilket skaber en følelse af hastende karakter og troværdighed. Hver besked indeholder et ZIP-arkiv, der præsenteres som dokumentation. I stedet for at indeholde harmløse filer skjuler arkivet et ondsindet ISO-billede, der monterer sig selv som et virtuelt cd-drev, når det åbnes.
Misbrug af ISO-billeder til udførelse af malware
Den monterede ISO-fil med titlen 'Подтверждение банковского перевода.iso' eller 'Bank transfer confirmation.iso' fungerer som det primære udførelsesmiddel. Inde i billedet er et ondsindet dynamisk linkbibliotek ved navn CreativeAI.dll, som automatisk kaldes for at starte Phantom Stealer. Denne teknik giver angriberne mulighed for at udføre malware, samtidig med at de reducerer afhængigheden af traditionelle eksekverbare filer, der er mere tilbøjelige til at blive blokeret.
Funktioner i Phantom Stealer Malware
Når den er implementeret, fokuserer Phantom Stealer på at indsamle en bred vifte af følsomme oplysninger fra inficerede systemer. Dens funktionalitet omfatter:
Udtrækning af data fra browserudvidelser til kryptovaluta-wallets i Chromium-baserede browsere og fra separate desktop-wallet-applikationer, samt stjæling af browseradgangskoder, cookies, gemte kreditkortdata, Discord-godkendelsestokens og udvalgte lokale filer.
Overvågning af aktivitet i udklipsholderen, logføring af tastetryk og udførelse af miljøtjek for at detektere virtuelle maskiner, sandkasser eller analyseværktøjer, og afbrydelse af sig selv, hvis sådanne forhold identificeres.
Eksfiltrering og kommandokanaler
Stjålne data transmitteres via flere angriberkontrollerede kanaler for at sikre pålidelighed og fleksibilitet. Phantom Stealer er konfigureret til at indhente information via en Telegram-bot eller en Discord-webhook under angriberens kontrol. Derudover understøtter malwaren direkte filoverførsler til en ekstern FTP-server, hvilket muliggør tyveri af massedata og opfølgningsoperationer.
