Phantom Stealer Malware

보안 분석가들은 러시아의 여러 산업 분야 기업들을 대상으로 한 조직적이고 활발한 피싱 공격을 발견했습니다. '머니마운트-ISO 작전'으로 추적되는 이 공격은 정교하게 제작된 피싱 이메일을 이용해 악성 ISO 디스크 이미지 첨부 파일을 통해 팬텀 스틸러(Phantom Stealer) 멀웨어를 유포합니다. 이번 공격은 기존 이메일 보안 제어를 우회하기 위해 흔하지 않은 첨부 파일 형식을 사용하는 추세가 지속되고 있음을 보여줍니다.

주요 목표 및 중점 분야

공격자들은 금융 거래 및 민감한 문서를 일상적으로 처리하는 조직을 선호하는 경향을 분명히 보였습니다. 재무 및 회계 부서가 주요 공격 대상이었으며, 구매, 법무 및 급여 팀도 반복적으로 표적이 되었습니다. 이러한 부서들은 결제 워크플로, 계정 정보 및 기밀 금융 데이터에 접근할 수 있기 때문에 공격자들에게 특히 매력적인 대상입니다.

기만적인 이메일 유인 및 초기 전송

감염 과정은 합법적인 금융 서신처럼 위장한 피싱 메시지로 시작됩니다. 피해자는 최근 은행 송금을 확인하라는 메시지를 받게 되며, 이는 긴급성과 신뢰성을 확보하기 위한 것입니다. 각 메시지에는 첨부 파일로 위장한 ZIP 압축 파일이 포함되어 있습니다. 하지만 이 압축 파일에는 무해한 파일 대신 악성 ISO 이미지가 숨겨져 있으며, 이 파일은 실행될 때 가상 CD 드라이브처럼 마운트됩니다.

ISO 이미지를 이용한 악성코드 실행 악용

'Подтверждение банковского перевода.iso' 또는 '은행 송금 확인.iso'라는 제목의 마운트된 ISO 파일은 주요 실행 도구 역할을 합니다. 이미지 내부에는 CreativeAI.dll이라는 악성 동적 링크 라이브러리가 있으며, 이 라이브러리는 Phantom Stealer를 실행하기 위해 자동으로 호출됩니다. 이 기법을 통해 공격자는 차단될 가능성이 높은 기존 실행 파일에 대한 의존도를 줄이면서 악성 프로그램을 실행할 수 있습니다.

팬텀 스틸러 멀웨어의 기능

팬텀 스틸러는 배포 후 감염된 시스템에서 다양한 중요 정보를 수집하는 데 집중합니다. 주요 기능은 다음과 같습니다.

크로뮴 기반 브라우저의 암호화폐 지갑 브라우저 확장 프로그램과 독립형 데스크톱 지갑 애플리케이션에서 데이터를 추출하고, 브라우저 비밀번호, 쿠키, 저장된 신용카드 데이터, 디스코드 인증 토큰 및 선택된 로컬 파일을 탈취합니다.

클립보드 활동을 모니터링하고, 키 입력을 기록하며, 가상 머신, 샌드박스 또는 분석 도구를 감지하기 위한 환경 검사를 수행하고, 이러한 상황이 감지되면 자체적으로 종료됩니다.

탈출 및 명령 채널

탈취된 데이터는 공격자가 제어하는 여러 채널을 통해 전송되어 안정성과 유연성을 확보합니다. 팬텀 스틸러는 공격자가 제어하는 텔레그램 봇이나 디스코드 웹훅을 통해 정보를 유출하도록 구성되어 있습니다. 또한, 이 악성코드는 외부 FTP 서버로 직접 파일을 전송하는 기능을 지원하여 대량 데이터 탈취 및 후속 작업을 가능하게 합니다.