הצעת הנחה מרובה רישיונות
מסד נתונים של איומים גונבים תוכנה זדונית של Phantom Stealer

תוכנה זדונית של Phantom Stealer

עד Mezo ב-גונבים, איום מתמשך מתקדם (APT)
לתרגם ל:

אנליסטים של אבטחה חשפו קמפיין פישינג פעיל ומתואם היטב המכוון נגד ארגונים במגוון תעשיות ברוסיה. המבצע, שכותרתו Operation MoneyMount-ISO, מסתמך על הודעות דוא"ל פישינג שנוצרו בקפידה, אשר מפיצות את התוכנה הזדונית Phantom Stealer באמצעות קבצים מצורפים זדוניים של תמונות דיסק ISO. הקמפיין מדגיש מעבר מתמשך לפורמטים פחות נפוצים של קבצים מצורפים כדי לעקוף את בקרות האבטחה המסורתיות של דוא"ל.

יעדים עיקריים ומיקוד מגזריים

התוקפים הפגינו העדפה ברורה לארגונים המטפלים באופן שגרתי בעסקאות פיננסיות ובתיעוד רגיש. נראה כי מחלקות הכספים והחשבונאות הן המוקד העיקרי, בעוד שצוותי רכש, משפט ושכר גם הם היו מטרה חוזרת ונשנית. תפקידים אלה מושכים במיוחד עבור גורמי איום בשל הגישה שלהם לזרימות עבודה של תשלומים, אישורים ונתונים פיננסיים חסויים.

פיתוי דוא”ל מטעים ומסירה ראשונית

תהליך ההדבקה מתחיל בהודעות פישינג שנועדו להידמות להתכתבויות פיננסיות לגיטימיות. הקורבנות מתבקשים לאמת או לאשר העברה בנקאית אחרונה, מה שיוצר תחושה של דחיפות ואמינות. כל הודעה כוללת ארכיון ZIP המוצג כתיעוד תומך. במקום להכיל קבצים לא מזיקים, הארכיון מסתיר תמונת ISO זדונית שמתקינה את עצמה ככונן תקליטורים וירטואלי בעת פתיחתה.

ניצול לרעה של תמונות ISO לצורך ביצוע תוכנות זדוניות

קובץ ה-ISO המותקן, שכותרתו 'Подтверждение банковского перевода.iso' או 'Bank transfer confirmation.iso', משמש ככלי הביצוע העיקרי. בתוך התמונה נמצאת ספריית קישורים דינמית זדונית בשם CreativeAI.dll, המופעלת אוטומטית כדי להפעיל את Phantom Stealer. טכניקה זו מאפשרת לתוקפים להפעיל תוכנות זדוניות תוך הפחתת התלות בקבצי הפעלה מסורתיים שסביר יותר שייחסמו.

יכולותיה של תוכנת הזדוני Phantom Stealer

לאחר פריסתה, Phantom Stealer מתמקד באיסוף מגוון רחב של מידע רגיש ממערכות נגועות. הפונקציונליות שלו כוללת:

חילוץ נתונים מתוספי דפדפן לארנקי מטבעות קריפטוגרפיים בדפדפנים מבוססי כרום ומאפליקציות ארנק עצמאיות למחשב שולחני, יחד עם גניבת סיסמאות דפדפן, קובצי Cookie, נתוני כרטיסי אשראי מאוחסנים, אסימוני אימות של Discord וקבצים מקומיים נבחרים.

ניטור פעילות הלוח, רישום הקשות מקלדת וביצוע בדיקות סביבה לזיהוי מכונות וירטואליות, ארגזי חול או כלי ניתוח, סיום הפעלה עצמית אם מזוהים תנאים כאלה.

ערוצי חילוץ ופיקוד

נתונים גנובים מועברים דרך ערוצים מרובים הנשלטים על ידי התוקפים כדי להבטיח אמינות וגמישות. Phantom Stealer מוגדר לחלץ מידע באמצעות בוט של טלגרם או webhook של דיסקורד תחת שליטת התוקפים. בנוסף, הנוזקה תומכת בהעברות קבצים ישירות לשרת FTP חיצוני, מה שמאפשר גניבת נתונים בכמות גדולה ופעולות מעקב.

מגמות

Booking.com - הונאת הודעות הזמנות

פישינג, ספאם
שמירה על בטיחות באינטרנט דורשת תשומת לב מתמדת. תוקפים מסתמכים על דחיפות, הטעיה והיכרות כדי להערים על משתמשים ולגרום להם למסור מידע רגיש, והונאות מבוססות דוא"ל נותרות אחת מנקודות הכניסה הנפוצות ביותר. תוכנית עדכנית המכונה Booking.com – Reservation Messages Scam ממחישה עד כמה פושעים יכולים לחקות שירותים מהימנים כדי לגנוב נתונים ולסכן חשבונות. חיקוי שנועד ליצור פאניקה חוקרי אבטחה שבדקו את הקמפיין...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
30,406
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...