Вредоносная программа Phantom Stealer
Аналитики в области безопасности обнаружили активную и хорошо скоординированную фишинговую кампанию, направленную на организации из различных отраслей в России. Операция, получившая название Operation MoneyMount-ISO, основана на тщательно составленных фишинговых электронных письмах, распространяющих вредоносное ПО Phantom Stealer через вредоносные ISO-образы дисков в качестве вложений. Эта кампания подчеркивает продолжающуюся тенденцию к использованию менее распространенных форматов вложений для обхода традиционных средств защиты электронной почты.
Оглавление
Основные целевые показатели и отраслевая направленность
Злоумышленники явно отдают предпочтение организациям, которые регулярно обрабатывают финансовые транзакции и конфиденциальную документацию. Основными объектами атак, по всей видимости, являются финансовые и бухгалтерские отделы, хотя отделы закупок, юридический отдел и отдел расчета заработной платы также неоднократно становились мишенью. Эти должности особенно привлекательны для злоумышленников из-за доступа к платежным процессам, учетным данным и конфиденциальной финансовой информации.
Обманчивые электронные письма-приманки и их первоначальная доставка
Процесс заражения начинается с фишинговых сообщений, замаскированных под легитимную финансовую переписку. Жертвам предлагается подтвердить недавний банковский перевод, что создает ощущение срочности и доверия. Каждое сообщение содержит ZIP-архив, представленный в качестве подтверждающей документации. Вместо безобидных файлов архив скрывает вредоносный ISO-образ, который при открытии монтируется как виртуальный CD-привод.
Использование ISO-образов для запуска вредоносного ПО.
Смонтированный ISO-файл с названием «Подтверждение банковского перевода.iso» или «Bank transfer confirmation.iso» выступает в качестве основного средства выполнения. Внутри образа находится вредоносная динамически подключаемая библиотека CreativeAI.dll, которая автоматически запускается для активации Phantom Stealer. Этот метод позволяет злоумышленникам запускать вредоносное ПО, снижая зависимость от традиционных исполняемых файлов, которые с большей вероятностью будут заблокированы.
Возможности вредоносной программы Phantom Stealer
После развертывания Phantom Stealer фокусируется на сборе широкого спектра конфиденциальной информации из зараженных систем. Его функциональность включает в себя:
Извлечение данных из расширений для криптовалютных кошельков в браузерах на базе Chromium, а также из автономных настольных приложений-кошельков, наряду с кражей паролей браузера, файлов cookie, сохраненных данных кредитных карт, токенов аутентификации Discord и выбранных локальных файлов.
Отслеживание активности в буфере обмена, регистрация нажатий клавиш и выполнение проверок среды для обнаружения виртуальных машин, песочниц или инструментов анализа, с завершением работы при обнаружении таких условий.
Каналы эксфильтрации и управления
Украденные данные передаются по нескольким каналам, контролируемым злоумышленником, для обеспечения надежности и гибкости. Phantom Stealer настроен на кражу информации через бота в Telegram или веб-хук в Discord, находящиеся под контролем злоумышленников. Кроме того, вредоносная программа поддерживает прямую передачу файлов на внешний FTP-сервер, что позволяет осуществлять массовую кражу данных и последующие операции.
