Malware Phantom Stealer
Gli analisti della sicurezza hanno scoperto una campagna di phishing attiva e ben coordinata rivolta a organizzazioni di diversi settori in Russia. L'operazione, identificata come Operazione MoneyMount-ISO, si basa su email di phishing accuratamente elaborate che distribuiscono il malware Phantom Stealer tramite allegati dannosi come immagini disco ISO. La campagna evidenzia un continuo passaggio a formati di allegato meno comuni per aggirare i tradizionali controlli di sicurezza delle email.
Sommario
Obiettivi primari e focus settoriale
Gli aggressori hanno dimostrato una netta preferenza per le organizzazioni che gestiscono abitualmente transazioni finanziarie e documentazione sensibile. I reparti finanza e contabilità sembrano essere il target principale, ma anche i team di approvvigionamento, legale e paghe sono stati ripetutamente presi di mira. Questi ruoli sono particolarmente interessanti per gli aggressori a causa del loro accesso ai flussi di lavoro dei pagamenti, alle credenziali e ai dati finanziari riservati.
Esche ingannevoli via e-mail e consegna iniziale
Il processo di infezione inizia con messaggi di phishing progettati per assomigliare a una corrispondenza finanziaria legittima. Alle vittime viene chiesto di verificare o confermare un bonifico bancario recente, creando un senso di urgenza e credibilità. Ogni messaggio include un archivio ZIP presentato come documentazione di supporto. Invece di contenere file innocui, l'archivio nasconde un'immagine ISO dannosa che si auto-monta come un'unità CD virtuale una volta aperta.
Abuso di immagini ISO per l’esecuzione di malware
Il file ISO montato, denominato "Подтверждение банковского перевода.iso" o "Bank transfer confirmation.iso", funge da principale veicolo di esecuzione. All'interno dell'immagine è presente una libreria a collegamento dinamico dannosa denominata CreativeAI.dll, che viene automaticamente richiamata per avviare Phantom Stealer. Questa tecnica consente agli aggressori di eseguire malware riducendo al contempo la dipendenza dai file eseguibili tradizionali, che hanno maggiori probabilità di essere bloccati.
Capacità del malware Phantom Stealer
Una volta implementato, Phantom Stealer si concentra sulla raccolta di un'ampia gamma di informazioni sensibili dai sistemi infetti. Le sue funzionalità includono:
Estrazione di dati dalle estensioni del browser per portafogli di criptovalute nei browser basati su Chromium e dalle applicazioni di portafoglio desktop autonome, oltre al furto di password del browser, cookie, dati di carte di credito memorizzati, token di autenticazione Discord e file locali selezionati.
Monitoraggio dell'attività degli appunti, registrazione delle sequenze di tasti ed esecuzione di controlli ambientali per rilevare macchine virtuali, sandbox o strumenti di analisi, interrompendosi se vengono identificate tali condizioni.
Canali di esfiltrazione e comando
I dati rubati vengono trasmessi attraverso più canali controllati dagli aggressori per garantire affidabilità e flessibilità. Phantom Stealer è configurato per esfiltrare informazioni tramite un bot Telegram o un webhook Discord sotto il controllo degli aggressori. Inoltre, il malware supporta il trasferimento diretto di file a un server FTP esterno, consentendo il furto di dati in massa e operazioni di follow-up.
