Phantom Stealer pahavara
Turvaanalüütikud on paljastanud aktiivse ja hästi koordineeritud andmepüügikampaania, mis on suunatud Venemaal tegutsevatele organisatsioonidele erinevates tööstusharudes. Operatsioon, mida jälgitakse nime all MoneyMount-ISO, tugineb hoolikalt koostatud andmepüügikirjadele, mis levitavad Phantom Stealer pahavara pahatahtlike ISO-ketta kujutiste manuste kaudu. Kampaania rõhutab jätkuvat nihet vähem levinud manusevormingute poole, et mööda hiilida traditsioonilistest e-posti turvakontrollidest.
Sisukord
Peamised eesmärgid ja valdkonnakesksus
Ründajad on näidanud selget eelistust organisatsioonide suhtes, mis tegelevad rutiinselt finantstehingutega ja tundliku dokumentatsiooniga. Finants- ja raamatupidamisosakonnad näivad olevat peamine fookus, samas kui korduvalt on sihikule võetud ka hanke-, õigus- ja palgaarvestusmeeskonnad. Need rollid on rünnakute tegijatele eriti atraktiivsed tänu oma juurdepääsule maksevoogudele, volitustele ja konfidentsiaalsetele finantsandmetele.
Petlikud e-posti peibutised ja esialgne kohaletoimetamine
Nakatumisprotsess algab andmepüügisõnumitega, mis on loodud meenutama seaduslikku finantskirjavahetust. Ohvritel palutakse kinnitada hiljutine pangaülekanne, luues kiireloomulisuse ja usaldusväärsuse tunde. Iga sõnum sisaldab ZIP-arhiivi, mis esitatakse toetava dokumentatsioonina. Kahjutute failide asemel peidab arhiiv pahatahtlikku ISO-kujutist, mis avamisel installib end virtuaalse CD-draivina.
ISO-kujutiste kuritarvitamine pahavara käivitamiseks
Ühendatud ISO-fail pealkirjaga „Подтверждение банковского перевода.iso” või „Bank transfer confirmation.iso” toimib peamise täitmisvahendina. Kujutise sees on pahatahtlik dünaamiline linkteek nimega CreativeAI.dll, mis käivitatakse automaatselt Phantom Stealeri käivitamiseks. See tehnika võimaldab ründajatel pahavara käivitada, vähendades samal ajal sõltuvust traditsioonilistest täitmisfailidest, mis blokeeritakse tõenäolisemalt.
Phantom Stealer pahavara võimed
Pärast juurutamist keskendub Phantom Stealer nakatunud süsteemidest laiaulatusliku tundliku teabe kogumisele. Selle funktsionaalsus hõlmab järgmist:
Andmete ekstraheerimine krüptovaluuta rahakoti brauserilaiendustest Chromiumi-põhistes brauserites ja eraldiseisvatest töölaua rahakotirakendustest koos brauseriparoolide, küpsiste, salvestatud krediitkaardiandmete, Discordi autentimismärkide ja valitud kohalike failide varastamisega.
Lõikelaua tegevuse jälgimine, klahvivajutuste logimine ja keskkonnakontrollide tegemine virtuaalsete masinate, liivakastide või analüüsitööriistade tuvastamiseks ning selliste tingimuste tuvastamisel töö lõpetamine.
Eksfiltratsioon ja juhtimiskanalid
Varastatud andmeid edastatakse mitme ründaja kontrolli all oleva kanali kaudu, et tagada usaldusväärsus ja paindlikkus. Phantom Stealer on konfigureeritud teabe väljapressimiseks Telegrami boti või Discordi veebikonksu kaudu ründajate kontrolli all. Lisaks toetab pahavara otsest failiedastust välisele FTP-serverile, võimaldades massilist andmete varastamist ja järeltoiminguid.
