Zlonamjerni softver Phantom Stealer
Sigurnosni analitičari otkrili su aktivnu i dobro koordiniranu phishing kampanju usmjerenu na organizacije u više industrija u Rusiji. Operacija, praćena kao Operation MoneyMount-ISO, oslanja se na pažljivo izrađene phishing e-poruke koje distribuiraju zlonamjerni softver Phantom Stealer putem zlonamjernih ISO privitaka s diskovnim slikama. Kampanja ističe kontinuirani pomak prema manje uobičajenim formatima privitaka kako bi se zaobišle tradicionalne sigurnosne kontrole e-pošte.
Sadržaj
Primarni ciljevi i fokus sektora
Napadači su pokazali jasnu sklonost prema organizacijama koje rutinski obrađuju financijske transakcije i osjetljivu dokumentaciju. Čini se da su financijski i računovodstveni odjeli glavni fokus, dok su timovi za nabavu, pravni i obračun plaća također više puta bili meta. Ove uloge su posebno privlačne akterima prijetnji zbog pristupa tijekovima rada plaćanja, vjerodajnicama i povjerljivim financijskim podacima.
Obmanjujuće e-poruke s mamcima i početna dostava
Proces zaraze započinje phishing porukama osmišljenima da nalikuju legitimnoj financijskoj korespondenciji. Žrtve se potiču da provjere ili potvrde nedavni bankovni transfer, stvarajući osjećaj hitnosti i vjerodostojnosti. Svaka poruka uključuje ZIP arhivu predstavljenu kao prateća dokumentacija. Umjesto da sadrži bezopasne datoteke, arhiva skriva zlonamjernu ISO sliku koja se prilikom otvaranja montira kao virtualni CD pogon.
Zlouporaba ISO slika za izvršavanje zlonamjernog softvera
Montirana ISO datoteka pod nazivom 'Подтверждение банковского перевода.iso' ili 'Потврда банковного трансфера.iso' djeluje kao glavno izvršno sredstvo. Unutar slike nalazi se zlonamjerna dinamička biblioteka povezivanja pod nazivom CreativeAI.dll, koja se automatski poziva za pokretanje Phantom Stealera. Ova tehnika omogućuje napadačima izvršavanje zlonamjernog softvera uz smanjenje oslanjanja na tradicionalne izvršne datoteke koje će vjerojatnije biti blokirane.
Mogućnosti zlonamjernog softvera Phantom Stealer
Nakon implementacije, Phantom Stealer se fokusira na prikupljanje širokog spektra osjetljivih informacija iz zaraženih sustava. Njegova funkcionalnost uključuje:
Izdvajanje podataka iz proširenja preglednika za kriptovalute u preglednicima temeljenim na Chromiumu i iz samostalnih aplikacija za stolna računala, uz krađu lozinki preglednika, kolačića, pohranjenih podataka o kreditnim karticama, Discord autentifikacijskih tokena i odabranih lokalnih datoteka.
Praćenje aktivnosti međuspremnika, bilježenje pritisaka tipki i provjera okruženja radi otkrivanja virtualnih strojeva, sandboxova ili alata za analizu, te samoprekidanje ako se takvi uvjeti identificiraju.
Kanali za eksfiltraciju i zapovijedanje
Ukradeni podaci prenose se putem više kanala koje kontroliraju napadači kako bi se osigurala pouzdanost i fleksibilnost. Phantom Stealer konfiguriran je za izvlačenje informacija putem Telegram bota ili Discord webhooka pod kontrolom napadača. Osim toga, zlonamjerni softver podržava izravan prijenos datoteka na vanjski FTP poslužitelj, omogućujući krađu velikih količina podataka i naknadne operacije.
