Phantom Stealer -haittaohjelma
Tietoturva-analyytikot ovat paljastaneet aktiivisen ja hyvin koordinoidun tietojenkalastelukampanjan, joka on suunnattu useiden toimialojen organisaatioille Venäjällä. Operaatio MoneyMount-ISO:na jäljitetty operaatio perustuu huolellisesti laadittuihin tietojenkalasteluviesteihin, jotka levittävät Phantom Stealer -haittaohjelmaa haitallisten ISO-levykuvien liitetiedostojen kautta. Kampanja korostaa jatkuvaa siirtymistä kohti harvinaisempia liitetiedostomuotoja perinteisten sähköpostin suojauskontrollien ohittamiseksi.
Sisällysluettelo
Ensisijaiset tavoitteet ja toimialakohtainen painopiste
Hyökkääjät ovat osoittaneet selkeää mieltymystä organisaatioihin, jotka käsittelevät rutiininomaisesti rahoitustapahtumia ja arkaluonteista dokumentaatiota. Talous- ja kirjanpito-osastot näyttävät olevan pääpainopiste, ja myös hankinta-, laki- ja palkanlaskentatiimit ovat olleet toistuvasti iskujen kohteena. Nämä roolit ovat erityisen houkuttelevia uhkatoimijoille, koska niillä on pääsy maksuliikenteen työnkulkuihin, tunnistetietoihin ja luottamuksellisiin taloustietoihin.
Harhaanjohtavat sähköpostihuijaukset ja alkuperäinen toimitus
Tartuntaprosessi alkaa tietojenkalasteluviesteillä, jotka on suunniteltu muistuttamaan laillista taloudellista kirjeenvaihtoa. Uhreja pyydetään vahvistamaan äskettäinen pankkisiirto, mikä luo kiireellisyyden ja uskottavuuden tunteen. Jokainen viesti sisältää ZIP-arkiston, joka esitetään tositteena. Vahingoittamattomien tiedostojen sijaan arkisto piilottaa haitallisen ISO-kuvan, joka avaamisen yhteydessä muodostaa virtuaalisen CD-aseman.
ISO-levykuvien väärinkäyttö haittaohjelmien suorittamiseen
Asennettu ISO-tiedosto nimeltä 'Подтверждение банковского перевода.iso' tai 'Bank transfer confirmation.iso' toimii pääasiallisena suoritusvälineenä. Kuvan sisällä on haitallinen dynaaminen linkkikirjasto nimeltä CreativeAI.dll, joka käynnistyy automaattisesti Phantom Stealerin käynnistämiseksi. Tämä tekniikka mahdollistaa hyökkääjien suorittaa haittaohjelmia ja vähentää samalla riippuvuutta perinteisistä suoritettavista tiedostoista, jotka todennäköisemmin estetään.
Phantom Stealer -haittaohjelman ominaisuudet
Käyttöönoton jälkeen Phantom Stealer keskittyy keräämään laajan valikoiman arkaluonteisia tietoja tartunnan saaneista järjestelmistä. Sen toimintoihin kuuluvat:
Tietojen poimiminen kryptovaluuttalompakoiden selainlaajennuksista Chromium-pohjaisissa selaimissa ja erillisistä työpöytälompakkosovelluksista sekä selaimen salasanojen, evästeiden, tallennettujen luottokorttitietojen, Discord-todennustunnusten ja valittujen paikallisten tiedostojen varastaminen.
Leikepöydän toiminnan valvonta, näppäinpainallusten kirjaaminen ja ympäristötarkistusten suorittaminen virtuaalikoneiden, hiekkalaatikoiden tai analyysityökalujen havaitsemiseksi ja itsensä lopettaminen, jos tällaisia olosuhteita havaitaan.
Pakkoluodon ja komentokanavien
Varastettua tietoa välitetään useiden hyökkääjän hallitsemien kanavien kautta luotettavuuden ja joustavuuden varmistamiseksi. Phantom Stealer on konfiguroitu vuotamaan tietoja Telegram-botin tai Discord-webhookin kautta hyökkääjän hallinnassa. Lisäksi haittaohjelma tukee suoraa tiedostojen siirtoa ulkoiselle FTP-palvelimelle, mikä mahdollistaa joukkotietojen varastamisen ja jatkotoimenpiteet.
