Phantom Stealer Malware
सुरक्षा विश्लेषकहरूले रूसका धेरै उद्योगहरूमा रहेका संस्थाहरूलाई लक्षित गरी सक्रिय र राम्रोसँग समन्वय गरिएको फिसिङ अभियान पत्ता लगाएका छन्। अपरेशन मनीमाउन्ट-आईएसओको रूपमा ट्र्याक गरिएको यो अपरेशन, सावधानीपूर्वक तयार पारिएको फिसिङ इमेलहरूमा निर्भर गर्दछ जसले दुर्भावनापूर्ण ISO डिस्क छवि संलग्नकहरू मार्फत फ्यान्टम स्टीलर मालवेयर वितरण गर्दछ। अभियानले परम्परागत इमेल सुरक्षा नियन्त्रणहरूलाई बाइपास गर्न कम सामान्य संलग्नक ढाँचाहरू तर्फ निरन्तर परिवर्तनलाई हाइलाइट गर्दछ।
सामग्रीको तालिका
प्राथमिक लक्ष्य र क्षेत्र केन्द्रितता
आक्रमणकारीहरूले नियमित रूपमा वित्तीय लेनदेन र संवेदनशील कागजातहरू ह्यान्डल गर्ने संस्थाहरूको लागि स्पष्ट प्राथमिकता प्रदर्शन गरेका छन्। वित्त र लेखा विभागहरू मुख्य फोकस देखिन्छन्, जबकि खरीद, कानुनी, र तलब टोलीहरू पनि बारम्बार लक्षित गरिएका छन्। भुक्तानी कार्यप्रवाह, प्रमाणहरू, र गोप्य वित्तीय डेटामा पहुँचको कारणले गर्दा यी भूमिकाहरू खतरा अभिनेताहरूका लागि विशेष रूपमा आकर्षक छन्।
भ्रामक इमेल प्रलोभन र प्रारम्भिक डेलिभरी
संक्रमण प्रक्रिया वैध वित्तीय पत्राचारसँग मिल्दोजुल्दो बनाउन डिजाइन गरिएका फिसिङ सन्देशहरूबाट सुरु हुन्छ। पीडितहरूलाई हालैको बैंक स्थानान्तरण प्रमाणित गर्न वा पुष्टि गर्न प्रेरित गरिन्छ, जसले गर्दा जरुरीता र विश्वसनीयताको भावना सिर्जना हुन्छ। प्रत्येक सन्देशमा समर्थन कागजातको रूपमा प्रस्तुत गरिएको ZIP अभिलेख समावेश हुन्छ। हानिरहित फाइलहरू समावेश गर्नुको सट्टा, अभिलेखले एक दुर्भावनापूर्ण ISO छवि लुकाउँछ जुन खोल्दा भर्चुअल CD ड्राइभको रूपमा माउन्ट हुन्छ।
मालवेयर कार्यान्वयनको लागि ISO छविहरूको दुरुपयोग
'Pодтверждение банковского перевода.iso' वा 'बैंक स्थानान्तरण पुष्टिकरण.iso' शीर्षकको माउन्ट गरिएको ISO फाइलले मुख्य कार्यान्वयन वाहनको रूपमा काम गर्दछ। छवि भित्र CreativeAI.dll नामक एक दुर्भावनापूर्ण गतिशील लिङ्क लाइब्रेरी छ, जुन स्वचालित रूपमा फ्यान्टम स्टीलर सुरु गर्न आह्वान गरिन्छ। यो प्रविधिले आक्रमणकारीहरूलाई मालवेयर कार्यान्वयन गर्न अनुमति दिन्छ जबकि परम्परागत कार्यान्वयनयोग्य फाइलहरूमा निर्भरता कम गर्दछ जुन ब्लक हुने सम्भावना बढी हुन्छ।
फ्यान्टम स्टीलर मालवेयरका क्षमताहरू
एक पटक तैनाथ गरिसकेपछि, फ्यान्टम स्टीलरले संक्रमित प्रणालीहरूबाट संवेदनशील जानकारीको विस्तृत दायरा सङ्कलनमा ध्यान केन्द्रित गर्दछ। यसको कार्यक्षमतामा समावेश छ:
क्रोमियम-आधारित ब्राउजरहरूमा क्रिप्टोकरेन्सी वालेट ब्राउजर एक्सटेन्सनहरू र स्ट्यान्डअलोन डेस्कटप वालेट अनुप्रयोगहरूबाट डेटा निकाल्ने, साथै ब्राउजर पासवर्डहरू, कुकीहरू, भण्डारण गरिएको क्रेडिट कार्ड डेटा, डिस्कर्ड प्रमाणीकरण टोकनहरू, र चयन गरिएका स्थानीय फाइलहरू चोरी गर्ने।
भर्चुअल मेसिन, स्यान्डबक्स, वा विश्लेषण उपकरणहरू पत्ता लगाउन क्लिपबोर्ड गतिविधिको निगरानी गर्ने, किस्ट्रोकहरू लग गर्ने, र वातावरण जाँचहरू गर्ने, यदि त्यस्ता अवस्थाहरू पहिचान भएमा आफैंलाई समाप्त गर्ने।
एक्सफिल्ट्रेसन र कमाण्ड च्यानलहरू
विश्वसनीयता र लचिलोपन सुनिश्चित गर्न चोरी गरिएको डेटा धेरै आक्रमणकारी-नियन्त्रित च्यानलहरू मार्फत प्रसारित गरिन्छ। फ्यान्टम स्टीलरलाई आक्रमणकारीहरूको नियन्त्रणमा रहेको टेलिग्राम बट वा डिस्कर्ड वेबहुक मार्फत जानकारी बाहिर निकाल्न कन्फिगर गरिएको छ। थप रूपमा, मालवेयरले बाह्य FTP सर्भरमा प्रत्यक्ष फाइल स्थानान्तरणलाई समर्थन गर्दछ, जसले गर्दा बल्क डेटा चोरी र फलो-अप अपरेशनहरू सक्षम हुन्छन्।
