Phantom Stealer Malware
Analistët e sigurisë kanë zbuluar një fushatë aktive dhe të koordinuar mirë të phishing-ut që synon organizatat në industri të shumta në Rusi. Operacioni, i ndjekur si Operacioni MoneyMount-ISO, mbështetet në email-e phishing të hartuara me kujdes që shpërndajnë malware-in Phantom Stealer përmes bashkëngjitjeve të imazheve të diskut ISO me qëllim të keq. Fushata nxjerr në pah një zhvendosje të vazhdueshme drejt formateve më pak të zakonshme të bashkëngjitjeve për të anashkaluar kontrollet tradicionale të sigurisë së email-it.
Tabela e Përmbajtjes
Objektivat Kryesorë dhe Fokusi i Sektorit
Sulmuesit kanë demonstruar një preferencë të qartë për organizatat që merren rregullisht me transaksione financiare dhe dokumentacion të ndjeshëm. Departamentet e financave dhe të kontabilitetit duket se janë fokusi kryesor, ndërsa ekipet e prokurimit, ligjore dhe të pagave janë gjithashtu në shënjestër të përsëritur. Këto role janë veçanërisht tërheqëse për aktorët kërcënues për shkak të aksesit të tyre në rrjedhat e punës së pagesave, kredencialet dhe të dhënat financiare konfidenciale.
Joshjet mashtruese të emaileve dhe dërgimi fillestar
Procesi i infektimit fillon me mesazhe phishing të dizajnuara për t'iu ngjarë korrespondencës financiare legjitime. Viktimave u kërkohet të verifikojnë ose konfirmojnë një transfertë bankare të kohëve të fundit, duke krijuar një ndjenjë urgjence dhe besueshmërie. Çdo mesazh përfshin një arkiv ZIP të paraqitur si dokumentacion mbështetës. Në vend që të përmbajë skedarë të padëmshëm, arkivi fsheh një imazh ISO të dëmshëm që montohet si një disk virtual CD kur hapet.
Abuzimi i imazheve ISO për ekzekutimin e programeve keqdashëse
Skedari ISO i montuar, i titulluar 'Pajtueshmëria e bankoverdhës.iso' ose 'Confirmation.iso e transferit bankar', vepron si mjeti kryesor i ekzekutimit. Brenda imazhit është një bibliotekë lidhjesh dinamike keqdashëse e quajtur CreativeAI.dll, e cila thirret automatikisht për të nisur Phantom Stealer. Kjo teknikë u lejon sulmuesve të ekzekutojnë programe keqdashëse duke zvogëluar varësinë nga skedarët tradicionalë të ekzekutueshëm që kanë më shumë gjasa të bllokohen.
Aftësitë e malware-it Phantom Stealer
Pasi të jetë i instaluar, Phantom Stealer përqendrohet në mbledhjen e një game të gjerë informacionesh të ndjeshme nga sistemet e infektuara. Funksionaliteti i tij përfshin:
Nxjerrja e të dhënave nga shtesat e shfletuesit të portofolit të kriptomonedhave në shfletuesit e bazuar në Chromium dhe nga aplikacionet e pavarura të portofolit për desktop, së bashku me vjedhjen e fjalëkalimeve të shfletuesit, cookie-t, të dhënave të ruajtura të kartave të kreditit, tokenëve të vërtetimit Discord dhe skedarëve të zgjedhur lokalë.
Monitorimi i aktivitetit të clipboard-it, regjistrimi i shtypjeve të tasteve dhe kryerja e kontrolleve të mjedisit për të zbuluar makinat virtuale, sandbox-et ose mjetet e analizës, duke u mbyllur nëse identifikohen kushte të tilla.
Kanalet e Ekfiltrimit dhe Komandës
Të dhënat e vjedhura transmetohen përmes kanaleve të shumta të kontrolluara nga sulmuesit për të siguruar besueshmëri dhe fleksibilitet. Phantom Stealer është konfiguruar për të nxjerrë informacion përmes një boti Telegram ose një webhook Discord nën kontrollin e sulmuesve. Përveç kësaj, malware mbështet transferime të drejtpërdrejta të skedarëve në një server FTP të jashtëm, duke mundësuar vjedhjen masive të të dhënave dhe operacionet pasuese.
