Phantom Stealer Malware
Drošības analītiķi ir atklājuši aktīvu un labi koordinētu pikšķerēšanas kampaņu, kas vērsta pret organizācijām dažādās nozarēs Krievijā. Operācija, kas tiek izsekota kā operācija MoneyMount-ISO, balstās uz rūpīgi izstrādātiem pikšķerēšanas e-pastiem, kas izplata Phantom Stealer ļaunprogrammatūru, izmantojot ļaunprātīgus ISO diska attēlu pielikumus. Kampaņa uzsver pastāvīgu pāreju uz retāk sastopamiem pielikumu formātiem, lai apietu tradicionālās e-pasta drošības kontroles.
Satura rādītājs
Galvenie mērķi un nozares fokuss
Uzbrucēji ir skaidri parādījuši priekšroku organizācijām, kas regulāri apstrādā finanšu darījumus un sensitīvu dokumentāciju. Galvenā uzmanība, šķiet, ir pievērsta finanšu un grāmatvedības nodaļām, savukārt iepirkumu, juridiskās un algu aprēķināšanas komandas arī ir atkārtoti kļuvušas par mērķiem. Šīs lomas ir īpaši pievilcīgas apdraudējumu dalībniekiem, jo tām ir piekļuve maksājumu darbplūsmām, akreditācijas datiem un konfidenciāliem finanšu datiem.
Maldinoši e-pasta vilinājumi un sākotnējā piegāde
Infekcijas process sākas ar pikšķerēšanas ziņojumiem, kas veidoti, lai atgādinātu likumīgu finanšu saraksti. Cietušajiem tiek piedāvāts pārbaudīt vai apstiprināt nesen veiktu bankas pārskaitījumu, radot steidzamības un ticamības sajūtu. Katrs ziņojums ietver ZIP arhīvu, kas tiek parādīts kā apliecinoša dokumentācija. Arhīvā nav nekaitīgu failu, bet gan ļaunprātīgs ISO attēls, kas, atverot ziņojumu, tiek pievienots kā virtuāls CD diskdzinis.
ISO attēlu ļaunprātīga izmantošana ļaunprogrammatūras izpildei
Uzstādītais ISO fails ar nosaukumu “Подтверждение банковского перевода.iso” jeb “Bank transfer confirmation.iso” darbojas kā galvenais izpildes līdzeklis. Attēla iekšpusē ir ļaunprātīga dinamisko saišu bibliotēka ar nosaukumu CreativeAI.dll, kas tiek automātiski izsaukta, lai palaistu Phantom Stealer. Šī metode ļauj uzbrucējiem izpildīt ļaunprogrammatūru, vienlaikus samazinot atkarību no tradicionālajiem izpildāmajiem failiem, kas, visticamāk, tiks bloķēti.
Phantom Stealer ļaunprogrammatūras iespējas
Pēc izvietošanas Phantom Stealer koncentrējas uz plaša klāsta sensitīvas informācijas iegūšanu no inficētām sistēmām. Tā funkcionalitāte ietver:
Datu ieguve no kriptovalūtas maka pārlūkprogrammas paplašinājumiem Chromium bāzes pārlūkprogrammās un no atsevišķām darbvirsmas maka lietojumprogrammām, kā arī pārlūkprogrammas paroļu, sīkfailu, saglabāto kredītkaršu datu, Discord autentifikācijas žetonu un atlasītu lokālo failu zagšana.
Starpliktuves aktivitāšu uzraudzība, taustiņsitienu reģistrēšana un vides pārbaužu veikšana, lai noteiktu virtuālās mašīnas, smilškastes vai analīzes rīkus, pārtraucot darbību, ja šādi apstākļi tiek identificēti.
Eksfiltrācija un komandu kanāli
Nozagtie dati tiek pārsūtīti pa vairākiem uzbrucēju kontrolētiem kanāliem, lai nodrošinātu uzticamību un elastību. Phantom Stealer ir konfigurēts informācijas izvilkšanai, izmantojot Telegram botu vai Discord tīmekļa āķi uzbrucēju kontrolē. Turklāt ļaunprogrammatūra atbalsta tiešu failu pārsūtīšanu uz ārēju FTP serveri, nodrošinot masveida datu zādzības un turpmākas darbības.
