Phantom Stealer Malware
Penganalisis keselamatan telah menemui kempen pancingan data yang aktif dan diselaraskan dengan baik yang disasarkan kepada organisasi merentasi pelbagai industri di Rusia. Operasi ini, yang dijejaki sebagai Operasi MoneyMount-ISO, bergantung pada e-mel pancingan data yang dibuat dengan teliti yang mengedarkan perisian hasad Phantom Stealer melalui lampiran imej cakera ISO yang berniat jahat. Kempen ini mengetengahkan peralihan berterusan ke arah format lampiran yang kurang biasa untuk memintas kawalan keselamatan e-mel tradisional.
Isi kandungan
Sasaran Utama dan Fokus Sektor
Penyerang telah menunjukkan keutamaan yang jelas terhadap organisasi yang kerap mengendalikan transaksi kewangan dan dokumentasi sensitif. Jabatan kewangan dan perakaunan nampaknya menjadi tumpuan utama, manakala pasukan perolehan, perundangan dan penggajian juga telah berulang kali disasarkan. Peranan ini amat menarik kepada pelaku ancaman kerana akses mereka kepada aliran kerja pembayaran, kelayakan dan data kewangan sulit.
Gewang E-mel yang Menipu dan Penghantaran Awal
Proses jangkitan bermula dengan mesej pancingan data yang direka bentuk untuk menyerupai surat-menyurat kewangan yang sah. Mangsa diminta untuk mengesahkan atau mengesahkan pemindahan bank baru-baru ini, mewujudkan rasa terdesak dan kredibiliti. Setiap mesej termasuk arkib ZIP yang dibentangkan sebagai dokumentasi sokongan. Daripada mengandungi fail yang tidak berbahaya, arkib tersebut menyembunyikan imej ISO berniat jahat yang dipasang sendiri sebagai pemacu CD maya apabila dibuka.
Penyalahgunaan Imej ISO untuk Pelaksanaan Perisian Hasad
Fail ISO yang dipasang, bertajuk 'Подтверждение банковского перевода.iso' atau 'Pengesahan pemindahan bank.iso', bertindak sebagai kenderaan pelaksanaan utama. Di dalam imej tersebut terdapat pustaka pautan dinamik berniat jahat bernama CreativeAI.dll, yang dipanggil secara automatik untuk melancarkan Phantom Stealer. Teknik ini membolehkan penyerang melaksanakan perisian hasad sambil mengurangkan pergantungan pada fail boleh laku tradisional yang lebih cenderung untuk disekat.
Keupayaan Perisian Hasad Phantom Stealer
Setelah digunakan, Phantom Stealer memberi tumpuan kepada pengumpulan pelbagai maklumat sensitif daripada sistem yang dijangkiti. Fungsinya termasuk:
Mengekstrak data daripada sambungan pelayar dompet mata wang kripto dalam pelayar berasaskan Chromium dan daripada aplikasi dompet desktop yang berdiri sendiri, berserta mencuri kata laluan pelayar, kuki, data kad kredit yang disimpan, token pengesahan Discord dan fail setempat yang dipilih.
Memantau aktiviti papan klip, merekod ketukan kekunci dan menjalankan pemeriksaan persekitaran untuk mengesan mesin maya, kotak pasir atau alat analisis, dan akan menamatkan dirinya sendiri jika keadaan sedemikian dikenal pasti.
Saluran Ekstrafiltrasi dan Perintah
Data yang dicuri dihantar melalui pelbagai saluran yang dikawal oleh penyerang untuk memastikan kebolehpercayaan dan fleksibiliti. Phantom Stealer dikonfigurasikan untuk mengeluarkan maklumat melalui bot Telegram atau webhook Discord di bawah kawalan penyerang. Di samping itu, perisian hasad ini menyokong pemindahan fail langsung ke pelayan FTP luaran, membolehkan kecurian data pukal dan operasi susulan.
