Κακόβουλο λογισμικό Phantom Stealer
Αναλυτές ασφαλείας αποκάλυψαν μια ενεργή και καλά συντονισμένη εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) που απευθύνεται σε οργανισμούς από πολλαπλούς κλάδους στη Ρωσία. Η επιχείρηση, που παρακολουθείται ως Operation MoneyMount-ISO, βασίζεται σε προσεκτικά σχεδιασμένα email ηλεκτρονικού "ψαρέματος" (phishing) που διανέμουν το κακόβουλο λογισμικό Phantom Stealer μέσω κακόβουλων συνημμένων εικόνων δίσκου ISO. Η εκστρατεία υπογραμμίζει μια συνεχιζόμενη στροφή προς λιγότερο συνηθισμένες μορφές συνημμένων για την παράκαμψη των παραδοσιακών ελέγχων ασφαλείας email.
Πίνακας περιεχομένων
Πρωταρχικοί Στόχοι και Εστίαση στον Τομέα
Οι επιτιθέμενοι έχουν δείξει σαφή προτίμηση σε οργανισμούς που χειρίζονται τακτικά οικονομικές συναλλαγές και ευαίσθητα έγγραφα. Τα τμήματα οικονομικών και λογιστικής φαίνεται να βρίσκονται στο επίκεντρο, ενώ οι ομάδες προμηθειών, νομικών θεμάτων και μισθοδοσίας έχουν επίσης επανειλημμένα στοχοποιηθεί. Αυτοί οι ρόλοι είναι ιδιαίτερα ελκυστικοί για τους απειλητικούς παράγοντες λόγω της πρόσβασής τους σε ροές εργασίας πληρωμών, διαπιστευτήρια και εμπιστευτικά οικονομικά δεδομένα.
Παραπλανητικά δολώματα ηλεκτρονικού ταχυδρομείου και αρχική παράδοση
Η διαδικασία μόλυνσης ξεκινά με μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που έχουν σχεδιαστεί ώστε να μοιάζουν με νόμιμη οικονομική αλληλογραφία. Τα θύματα καλούνται να επαληθεύσουν ή να επιβεβαιώσουν μια πρόσφατη τραπεζική μεταφορά, δημιουργώντας μια αίσθηση επείγοντος και αξιοπιστίας. Κάθε μήνυμα περιλαμβάνει ένα αρχείο ZIP που παρουσιάζεται ως υποστηρικτική τεκμηρίωση. Αντί να περιέχει ακίνδυνα αρχεία, το αρχείο κρύβει μια κακόβουλη εικόνα ISO που τοποθετείται ως εικονική μονάδα CD όταν ανοίγει.
Κατάχρηση εικόνων ISO για εκτέλεση κακόβουλου λογισμικού
Το αρχείο ISO που έχει τοποθετηθεί, με τίτλο «Υπογραφή банковского перевода.iso» ή «Επιβεβαίωση τραπεζικής μεταφοράς.iso», λειτουργεί ως το κύριο μέσο εκτέλεσης. Μέσα στην εικόνα υπάρχει μια κακόβουλη βιβλιοθήκη δυναμικών συνδέσμων με το όνομα CreativeAI.dll, η οποία ενεργοποιείται αυτόματα για την εκκίνηση του Phantom Stealer. Αυτή η τεχνική επιτρέπει στους εισβολείς να εκτελούν κακόβουλο λογισμικό, μειώνοντας παράλληλα την εξάρτηση από τα παραδοσιακά εκτελέσιμα αρχεία που είναι πιο πιθανό να αποκλειστούν.
Δυνατότητες του κακόβουλου λογισμικού Phantom Stealer
Μόλις αναπτυχθεί, το Phantom Stealer επικεντρώνεται στη συλλογή ενός ευρέος φάσματος ευαίσθητων πληροφοριών από μολυσμένα συστήματα. Η λειτουργικότητά του περιλαμβάνει:
Εξαγωγή δεδομένων από επεκτάσεις προγράμματος περιήγησης πορτοφολιών κρυπτονομισμάτων σε προγράμματα περιήγησης που βασίζονται στο Chromium και από αυτόνομες εφαρμογές πορτοφολιού για υπολογιστές, μαζί με κλοπή κωδικών πρόσβασης προγράμματος περιήγησης, cookies, αποθηκευμένων δεδομένων πιστωτικών καρτών, διακριτικών ελέγχου ταυτότητας Discord και επιλεγμένων τοπικών αρχείων.
Παρακολούθηση της δραστηριότητας του πρόχειρου, καταγραφή των πληκτρολογήσεων και εκτέλεση ελέγχων περιβάλλοντος για την ανίχνευση εικονικών μηχανών, sandboxes ή εργαλείων ανάλυσης, τερματίζοντας την λειτουργία του εάν εντοπιστούν τέτοιες συνθήκες.
Κανάλια Εκδιήθησης και Διοίκησης
Τα κλεμμένα δεδομένα μεταδίδονται μέσω πολλαπλών καναλιών που ελέγχονται από τους εισβολείς για να διασφαλιστεί η αξιοπιστία και η ευελιξία. Το Phantom Stealer έχει ρυθμιστεί ώστε να αποσπά πληροφορίες μέσω ενός bot Telegram ή ενός webhook Discord που βρίσκεται υπό τον έλεγχο των εισβολέων. Επιπλέον, το κακόβουλο λογισμικό υποστηρίζει άμεσες μεταφορές αρχείων σε έναν εξωτερικό διακομιστή FTP, επιτρέποντας μαζική κλοπή δεδομένων και λειτουργίες παρακολούθησης.
