Злонамерни софтвер Phantom Stealer
Безбедносни аналитичари открили су активну и добро координисану фишинг кампању усмерену на организације из више индустрија у Русији. Операција, праћена као Operation MoneyMount-ISO, ослања се на пажљиво креиране фишинг имејлове који дистрибуирају малвер Phantom Stealer путем злонамерних ISO прилога дискова. Кампања истиче континуирани помак ка мање уобичајеним форматима прилога како би се заобишле традиционалне безбедносне контроле имејлова.
Преглед садржаја
Примарни циљеви и фокус сектора
Нападачи су показали јасну склоност ка организацијама које рутински обрађују финансијске трансакције и осетљиву документацију. Финансијска и рачуноводствена одељења изгледа да су главни фокус, док су тимови за набавку, правни и обрачун плата такође више пута били мета. Ове улоге су посебно атрактивне за актере претњи због њиховог приступа токовима плаћања, акредитивима и поверљивим финансијским подацима.
Обмањујући мамци путем имејлова и почетна достава
Процес инфекције почиње фишинг порукама које су дизајниране да личе на легитимну финансијску преписку. Жртве се подстичу да верификују или потврде недавни банковни трансфер, стварајући осећај хитности и кредибилитета. Свака порука садржи ZIP архиву која се представља као пратећа документација. Уместо да садржи безопасне датотеке, архива крије злонамерну ISO слику која се монтира као виртуелни CD уређај када се отвори.
Злоупотреба ISO слика за извршавање злонамерног софтвера
Монтирана ISO датотека, под називом „Подтверждение банковског превода.iso“ или „Потврда о банковном трансферу.iso“, делује као главно средство за извршавање. Унутар слике се налази злонамерна динамичка библиотека линкова под називом CreativeAI.dll, која се аутоматски позива да би покренула Phantom Stealer. Ова техника омогућава нападачима да извршавају злонамерни софтвер, а истовремено смањују ослањање на традиционалне извршне датотеке које ће вероватније бити блокиране.
Могућности злонамерног софтвера Phantom Stealer
Једном постављен, Phantom Stealer се фокусира на прикупљање широког спектра осетљивих информација са заражених система. Његова функционалност укључује:
Издвајање података из екстензија прегледача за криптовалуте у прегледачима заснованим на Chromium-у и из самосталних апликација за десктоп новчанике, заједно са крађом лозинки прегледача, колачића, сачуваних података о кредитним картицама, Discord токена за аутентификацију и одабраних локалних датотека.
Праћење активности међуспремника, евидентирање притисака тастера и вршење провера окружења ради откривања виртуелних машина, „пешчаника“ или алата за анализу, завршавајући самостално рад ако се такви услови идентификују.
Канали за ексфилтрацију и командовање
Украдени подаци се преносе путем више канала које контролише нападач како би се осигурала поузданост и флексибилност. Phantom Stealer је конфигурисан да извуче информације путем Telegram бота или Discord вебхука под контролом нападача. Поред тога, злонамерни софтвер подржава директан пренос датотека на екстерни FTP сервер, омогућавајући крађу великих количина података и праћење.
