Phantom Stealer Malware
Biztonsági elemzők egy aktív és jól koordinált adathalász kampányt lepleztek le, amely Oroszországban több iparágban működő szervezeteket célzott meg. Az Operation MoneyMount-ISO néven nyomon követett művelet gondosan összeállított adathalász e-mailekre támaszkodik, amelyek a Phantom Stealer rosszindulatú programot rosszindulatú ISO lemezkép-mellékleteken keresztül terjesztik. A kampány rávilágít a kevésbé elterjedt mellékletformátumok felé való folyamatos elmozdulásra a hagyományos e-mail biztonsági ellenőrzések megkerülése érdekében.
Tartalomjegyzék
Elsődleges célok és ágazati fókusz
A támadók egyértelműen előnyben részesítik azokat a szervezeteket, amelyek rutinszerűen kezelnek pénzügyi tranzakciókat és érzékeny dokumentációkat. A pénzügyi és számviteli osztályok állnak a fő célpontban, míg a beszerzési, jogi és bérszámfejtési csapatok is ismételten célba vették őket. Ezek a szerepkörök különösen vonzóak a fenyegetések szereplői számára, mivel hozzáférnek a fizetési munkafolyamatokhoz, hitelesítő adatokhoz és bizalmas pénzügyi adatokhoz.
Megtévesztő e-mail csalik és a kezdeti kézbesítés
A fertőzési folyamat adathalász üzenetekkel kezdődik, amelyek célja, hogy legitim pénzügyi levelezésnek tűnjenek. Az áldozatokat arra kérik, hogy ellenőrizzék vagy erősítsék meg a legutóbbi banki átutalást, ami sürgősség és hitelesség érzetét kelti. Minden üzenet tartalmaz egy ZIP archívumot, amelyet alátámasztó dokumentációként mutatnak be. Az ártalmatlan fájlok helyett az archívum egy rosszindulatú ISO-képet rejt, amely megnyitáskor virtuális CD-meghajtóként telepíti magát.
ISO-képek visszaélése rosszindulatú programok futtatásához
A felcsatolt ISO fájl, melynek címe „Подтверждение банковского перевода.iso” vagy „Banki átutalás megerősítése.iso”, a fő végrehajtási eszközként szolgál. A képfájlban található egy CreativeAI.dll nevű rosszindulatú dinamikus csatolású függvénytár, amely automatikusan meghívódik a Phantom Stealer elindításához. Ez a technika lehetővé teszi a támadók számára, hogy rosszindulatú programokat futtassanak, miközben csökkentik a hagyományos, nagyobb valószínűséggel blokkolt futtatható fájloktól való függőséget.
A Phantom Stealer kártevő képességei
A telepítést követően a Phantom Stealer a fertőzött rendszerekből származó érzékeny információk széles skálájának begyűjtésére összpontosít. Funkciói a következők:
Adatok kinyerése kriptovaluta-tárca böngészőbővítményekből Chromium-alapú böngészőkben és önálló asztali tárcaalkalmazásokból, valamint böngészőjelszavak, sütik, tárolt hitelkártyaadatok, Discord hitelesítési tokenek és kiválasztott helyi fájlok ellopása.
A vágólap tevékenységének figyelése, billentyűleütések naplózása és környezeti ellenőrzések végrehajtása virtuális gépek, tesztkörnyezetek vagy elemzőeszközök észlelése érdekében, és önmagát leállítja, ha ilyen feltételeket azonosít.
Kiszivárgás és parancsnoki csatornák
Az ellopott adatokat több, a támadó által ellenőrzött csatornán keresztül továbbítják a megbízhatóság és a rugalmasság biztosítása érdekében. A Phantom Stealer úgy van konfigurálva, hogy a támadók felügyelete alatt egy Telegram boton vagy egy Discord webhookon keresztül szivárogtassa ki az információkat. Ezenkívül a rosszindulatú program támogatja a közvetlen fájlátvitelt egy külső FTP-kiszolgálóra, lehetővé téve a tömeges adatlopást és az azt követő műveleteket.
