Phantom Stealer kenkėjiška programa
Saugumo analitikai atskleidė aktyvią ir gerai koordinuotą sukčiavimo apsimetant kampaniją, nukreiptą prieš įvairių pramonės šakų organizacijas Rusijoje. Operacija, vadinama „MoneyMount-ISO“, remiasi kruopščiai parengtais sukčiavimo el. laiškais, kuriais platinama kenkėjiška programa „Phantom Stealer“ per kenkėjiškus ISO disko atvaizdų priedus. Kampanija pabrėžia nuolatinį poslinkį prie retesnių priedų formatų, siekiant apeiti tradicines el. pašto saugumo kontrolės priemones.
Turinys
Pagrindiniai tikslai ir sektorių dėmesys
Užpuolikai aiškiai parodė, kad pirmenybę teikia organizacijoms, kurios reguliariai tvarko finansinius sandorius ir slaptus dokumentus. Pagrindinis dėmesys skiriamas finansų ir apskaitos skyriams, o pirkimų, teisinės ir darbo užmokesčio komandos taip pat ne kartą buvo taikinių objektas. Šios pareigos yra ypač patrauklios kibernetinėms grėsmėms dėl jų prieigos prie mokėjimų srautų, prisijungimo duomenų ir konfidencialių finansinių duomenų.
Apgaulingi el. laiškų vilionės ir pradinis pristatymas
Užkrėtimo procesas prasideda nuo sukčiavimo žinučių, kurios primena teisėtą finansinę korespondenciją. Aukos raginamos patikrinti arba patvirtinti neseniai atliktą banko pavedimą, taip sukuriant skubos ir patikimumo įspūdį. Kiekviename pranešime yra ZIP archyvas, pateikiamas kaip patvirtinamieji dokumentai. Užuot talpinęs nekenksmingus failus, archyve slepiasi kenkėjiškas ISO atvaizdas, kuris atidarius įsijungia kaip virtualus CD įrenginys.
ISO atvaizdų piktnaudžiavimas kenkėjiškų programų vykdymui
Prijungtas ISO failas pavadinimu „Подтверждение банковского перевода.iso“ arba „Bank transfer confirmation.iso“ veikia kaip pagrindinė vykdymo priemonė. Vaizde yra kenkėjiška dinaminių nuorodų biblioteka pavadinimu „CreativeAI.dll“, kuri automatiškai iškviečiama norint paleisti „Phantom Stealer“. Ši technika leidžia užpuolikams vykdyti kenkėjiškas programas, tuo pačiu sumažinant priklausomybę nuo tradicinių vykdomųjų failų, kurie greičiausiai bus blokuojami.
„Phantom Stealer“ kenkėjiškos programos galimybės
Įdiegus „Phantom Stealer“, jis daugiausia dėmesio skiria įvairioms jautrioms medžiagoms rinkti iš užkrėstų sistemų. Jo funkcijos apima:
Duomenų išgavimas iš kriptovaliutų piniginės naršyklės plėtinių „Chromium“ pagrindu sukurtose naršyklėse ir iš atskirų darbalaukio piniginės programų, taip pat naršyklės slaptažodžių, slapukų, saugomų kredito kortelių duomenų, „Discord“ autentifikavimo žetonų ir pasirinktų vietinių failų vagystės.
Stebima iškarpinės veikla, registruojami klavišų paspaudimai ir atliekami aplinkos patikrinimai, siekiant aptikti virtualias mašinas, smėlio dėžes ar analizės įrankius, ir nutraukiama, jei tokios sąlygos nustatomos.
Eksfiltracijos ir komandų kanalai
Pavogti duomenys perduodami keliais užpuoliko kontroliuojamais kanalais, siekiant užtikrinti patikimumą ir lankstumą. „Phantom Stealer“ sukonfigūruotas taip, kad išfiltruotų informaciją per „Telegram“ botą arba „Discord“ žiniatinklio kablį, kurį kontroliuoja užpuolikai. Be to, kenkėjiška programa palaiko tiesioginį failų perdavimą į išorinį FTP serverį, o tai leidžia masines duomenų vagystes ir tolesnes operacijas.
