Phantom Stealer-malware
Beveiligingsanalisten hebben een actieve en goed gecoördineerde phishingcampagne ontdekt die gericht is op organisaties in diverse sectoren in Rusland. De operatie, die bekendstaat als Operation MoneyMount-ISO, maakt gebruik van zorgvuldig opgestelde phishingmails die de Phantom Stealer-malware verspreiden via kwaadaardige ISO-schijfkopieën als bijlage. De campagne illustreert de voortdurende trend naar minder gangbare bijlageformaten om traditionele e-mailbeveiligingsmaatregelen te omzeilen.
Inhoudsopgave
Primaire doelstellingen en sectorfocus
De aanvallers hebben een duidelijke voorkeur getoond voor organisaties die regelmatig financiële transacties en gevoelige documenten verwerken. Financiële en boekhoudkundige afdelingen lijken het voornaamste doelwit te zijn, maar ook inkoop-, juridische en salarisadministratieteams zijn herhaaldelijk het doelwit geweest. Deze functies zijn bijzonder aantrekkelijk voor cybercriminelen vanwege hun toegang tot betalingsprocessen, inloggegevens en vertrouwelijke financiële informatie.
Misleidende e-mails en de eerste levering
Het infectieproces begint met phishingberichten die eruitzien als legitieme financiële correspondentie. Slachtoffers worden gevraagd een recente bankoverschrijving te verifiëren of te bevestigen, waardoor een gevoel van urgentie en geloofwaardigheid ontstaat. Elk bericht bevat een ZIP-archief dat als bewijsmateriaal wordt gepresenteerd. In plaats van onschadelijke bestanden te bevatten, verbergt het archief een kwaadaardige ISO-image die zichzelf als een virtueel cd-station koppelt wanneer deze wordt geopend.
Misbruik van ISO-images voor het uitvoeren van malware
Het gekoppelde ISO-bestand, getiteld 'Подтверждение банковского перевода.iso' of 'Bank transfer confirmation.iso', fungeert als het belangrijkste uitvoeringsbestand. In de image bevindt zich een kwaadaardige dynamische linkbibliotheek genaamd CreativeAI.dll, die automatisch wordt aangeroepen om Phantom Stealer te starten. Deze techniek stelt de aanvallers in staat malware uit te voeren met minder afhankelijkheid van traditionele uitvoerbare bestanden, die vaker worden geblokkeerd.
Mogelijkheden van de Phantom Stealer-malware
Eenmaal ingezet, richt Phantom Stealer zich op het verzamelen van een breed scala aan gevoelige informatie van geïnfecteerde systemen. De functionaliteit omvat onder meer:
Het extraheren van gegevens uit browser-extensies voor cryptocurrency-wallets in op Chromium gebaseerde browsers en uit zelfstandige desktopwallet-applicaties, samen met het stelen van browserwachtwoorden, cookies, opgeslagen creditcardgegevens, Discord-authenticatietokens en geselecteerde lokale bestanden.
Het programma controleert de activiteit op het klembord, registreert toetsaanslagen en voert omgevingscontroles uit om virtuele machines, sandboxes of analysetools te detecteren. Het programma beëindigt zichzelf als dergelijke situaties worden vastgesteld.
Exfiltratie- en commandokanalen
Gestolen gegevens worden via meerdere door de aanvallers beheerde kanalen verzonden om betrouwbaarheid en flexibiliteit te garanderen. Phantom Stealer is geconfigureerd om informatie te stelen via een Telegram-bot of een Discord-webhook die onder controle van de aanvallers staan. Daarnaast ondersteunt de malware directe bestandsoverdracht naar een externe FTP-server, waardoor grootschalige gegevensdiefstal en vervolgacties mogelijk zijn.
