Phantom Stealer Malware
ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਰੂਸ ਦੇ ਕਈ ਉਦਯੋਗਾਂ ਵਿੱਚ ਸੰਗਠਨਾਂ ਲਈ ਇੱਕ ਸਰਗਰਮ ਅਤੇ ਚੰਗੀ ਤਰ੍ਹਾਂ ਤਾਲਮੇਲ ਵਾਲੀ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਇਹ ਕਾਰਵਾਈ, ਜਿਸਨੂੰ ਓਪਰੇਸ਼ਨ ਮਨੀਮਾਊਂਟ-ਆਈਐਸਓ ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ, ਧਿਆਨ ਨਾਲ ਤਿਆਰ ਕੀਤੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ ਜੋ ਫੈਂਟਮ ਸਟੀਲਰ ਮਾਲਵੇਅਰ ਨੂੰ ਖਤਰਨਾਕ ISO ਡਿਸਕ ਚਿੱਤਰ ਅਟੈਚਮੈਂਟਾਂ ਰਾਹੀਂ ਵੰਡਦੇ ਹਨ। ਇਹ ਮੁਹਿੰਮ ਰਵਾਇਤੀ ਈਮੇਲ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਘੱਟ ਆਮ ਅਟੈਚਮੈਂਟ ਫਾਰਮੈਟਾਂ ਵੱਲ ਨਿਰੰਤਰ ਤਬਦੀਲੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਮੁੱਖ ਟੀਚੇ ਅਤੇ ਖੇਤਰ ਫੋਕਸ
ਹਮਲਾਵਰਾਂ ਨੇ ਉਨ੍ਹਾਂ ਸੰਗਠਨਾਂ ਲਈ ਸਪੱਸ਼ਟ ਤਰਜੀਹ ਦਿਖਾਈ ਹੈ ਜੋ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਵਿੱਤੀ ਲੈਣ-ਦੇਣ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਸੰਭਾਲਦੇ ਹਨ। ਵਿੱਤ ਅਤੇ ਲੇਖਾ ਵਿਭਾਗ ਮੁੱਖ ਫੋਕਸ ਜਾਪਦੇ ਹਨ, ਜਦੋਂ ਕਿ ਖਰੀਦ, ਕਾਨੂੰਨੀ ਅਤੇ ਤਨਖਾਹ ਟੀਮਾਂ ਨੂੰ ਵੀ ਵਾਰ-ਵਾਰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਭੂਮਿਕਾਵਾਂ ਖਾਸ ਤੌਰ 'ਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਲਈ ਆਕਰਸ਼ਕ ਹਨ ਕਿਉਂਕਿ ਉਨ੍ਹਾਂ ਦੀ ਭੁਗਤਾਨ ਵਰਕਫਲੋ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਅਤੇ ਗੁਪਤ ਵਿੱਤੀ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਹੈ।
ਧੋਖੇਬਾਜ਼ ਈਮੇਲ ਲਾਲਚ ਅਤੇ ਸ਼ੁਰੂਆਤੀ ਡਿਲੀਵਰੀ
ਲਾਗ ਦੀ ਪ੍ਰਕਿਰਿਆ ਫਿਸ਼ਿੰਗ ਸੁਨੇਹਿਆਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਜਾਇਜ਼ ਵਿੱਤੀ ਪੱਤਰ ਵਿਹਾਰ ਦੇ ਸਮਾਨ ਹੋਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਪੀੜਤਾਂ ਨੂੰ ਹਾਲ ਹੀ ਵਿੱਚ ਬੈਂਕ ਟ੍ਰਾਂਸਫਰ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਜਾਂ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਜ਼ਰੂਰੀਤਾ ਅਤੇ ਭਰੋਸੇਯੋਗਤਾ ਦੀ ਭਾਵਨਾ ਪੈਦਾ ਹੁੰਦੀ ਹੈ। ਹਰੇਕ ਸੁਨੇਹੇ ਵਿੱਚ ਇੱਕ ZIP ਪੁਰਾਲੇਖ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜੋ ਸਹਾਇਕ ਦਸਤਾਵੇਜ਼ਾਂ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਨੁਕਸਾਨ ਰਹਿਤ ਫਾਈਲਾਂ ਰੱਖਣ ਦੀ ਬਜਾਏ, ਪੁਰਾਲੇਖ ਇੱਕ ਖਤਰਨਾਕ ISO ਚਿੱਤਰ ਨੂੰ ਲੁਕਾਉਂਦਾ ਹੈ ਜੋ ਖੋਲ੍ਹਣ 'ਤੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵਰਚੁਅਲ CD ਡਰਾਈਵ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਊਂਟ ਕਰਦਾ ਹੈ।
ਮਾਲਵੇਅਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ISO ਚਿੱਤਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ
'Pодтверждение банковского перевода.iso' ਜਾਂ 'ਬੈਂਕ ਟ੍ਰਾਂਸਫਰ ਪੁਸ਼ਟੀ.iso' ਸਿਰਲੇਖ ਵਾਲੀ ਮਾਊਂਟ ਕੀਤੀ ISO ਫਾਈਲ, ਮੁੱਖ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਵਾਹਨ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ। ਚਿੱਤਰ ਦੇ ਅੰਦਰ CreativeAI.dll ਨਾਮ ਦੀ ਇੱਕ ਖਤਰਨਾਕ ਡਾਇਨਾਮਿਕ ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ ਹੈ, ਜੋ ਕਿ ਫੈਂਟਮ ਸਟੀਲਰ ਨੂੰ ਲਾਂਚ ਕਰਨ ਲਈ ਆਪਣੇ ਆਪ ਬੁਲਾਈ ਜਾਂਦੀ ਹੈ। ਇਹ ਤਕਨੀਕ ਹਮਲਾਵਰਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ ਜਦੋਂ ਕਿ ਰਵਾਇਤੀ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ 'ਤੇ ਨਿਰਭਰਤਾ ਘਟਾਉਂਦੀ ਹੈ ਜਿਨ੍ਹਾਂ ਨੂੰ ਬਲੌਕ ਕੀਤੇ ਜਾਣ ਦੀ ਜ਼ਿਆਦਾ ਸੰਭਾਵਨਾ ਹੁੰਦੀ ਹੈ।
ਫੈਂਟਮ ਸਟੀਲਰ ਮਾਲਵੇਅਰ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ
ਇੱਕ ਵਾਰ ਤਾਇਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਫੈਂਟਮ ਸਟੀਲਰ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਇਕੱਠੀ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ। ਇਸਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
ਕ੍ਰੋਮੀਅਮ-ਅਧਾਰਿਤ ਬ੍ਰਾਊਜ਼ਰਾਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨਾਂ ਅਤੇ ਸਟੈਂਡਅਲੋਨ ਡੈਸਕਟੌਪ ਵਾਲਿਟ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੋਂ ਡੇਟਾ ਐਕਸਟਰੈਕਟ ਕਰਨਾ, ਬ੍ਰਾਊਜ਼ਰ ਪਾਸਵਰਡ, ਕੂਕੀਜ਼, ਸਟੋਰ ਕੀਤੇ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਡੇਟਾ, ਡਿਸਕਾਰਡ ਪ੍ਰਮਾਣੀਕਰਨ ਟੋਕਨਾਂ ਅਤੇ ਚੁਣੀਆਂ ਗਈਆਂ ਸਥਾਨਕ ਫਾਈਲਾਂ ਦੀ ਚੋਰੀ ਕਰਨ ਦੇ ਨਾਲ।
ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ, ਸੈਂਡਬੌਕਸ, ਜਾਂ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲਸ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਕਲਿੱਪਬੋਰਡ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ, ਕੀਸਟ੍ਰੋਕ ਲੌਗ ਕਰਨਾ, ਅਤੇ ਵਾਤਾਵਰਣ ਜਾਂਚਾਂ ਕਰਨਾ, ਜੇਕਰ ਅਜਿਹੀਆਂ ਸਥਿਤੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਤਾਂ ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ।
ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਕਮਾਂਡ ਚੈਨਲ
ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਭਰੋਸੇਯੋਗਤਾ ਅਤੇ ਲਚਕਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਈ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਚੈਨਲਾਂ ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਫੈਂਟਮ ਸਟੀਲਰ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੇ ਨਿਯੰਤਰਣ ਅਧੀਨ ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ ਜਾਂ ਡਿਸਕਾਰਡ ਵੈੱਬਹੁੱਕ ਰਾਹੀਂ ਜਾਣਕਾਰੀ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਇੱਕ ਬਾਹਰੀ FTP ਸਰਵਰ ਤੇ ਸਿੱਧੇ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਬਲਕ ਡੇਟਾ ਚੋਰੀ ਅਤੇ ਫਾਲੋ-ਅੱਪ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।
