Phantom Stealer Malware

రష్యాలోని బహుళ పరిశ్రమలలోని సంస్థలను లక్ష్యంగా చేసుకుని చురుకైన మరియు బాగా సమన్వయంతో కూడిన ఫిషింగ్ ప్రచారాన్ని భద్రతా విశ్లేషకులు కనుగొన్నారు. ఆపరేషన్ మనీమౌంట్-ISOగా ట్రాక్ చేయబడిన ఈ ఆపరేషన్, హానికరమైన ISO డిస్క్ ఇమేజ్ అటాచ్‌మెంట్‌ల ద్వారా ఫాంటమ్ స్టీలర్ మాల్వేర్‌ను పంపిణీ చేసే జాగ్రత్తగా రూపొందించిన ఫిషింగ్ ఇమెయిల్‌లపై ఆధారపడి ఉంటుంది. సాంప్రదాయ ఇమెయిల్ భద్రతా నియంత్రణలను దాటవేయడానికి తక్కువ సాధారణ అటాచ్‌మెంట్ ఫార్మాట్‌ల వైపు నిరంతర మార్పును ఈ ప్రచారం హైలైట్ చేస్తుంది.

ప్రాథమిక లక్ష్యాలు మరియు రంగ దృష్టి

ఆర్థిక లావాదేవీలు మరియు సున్నితమైన డాక్యుమెంటేషన్‌ను క్రమం తప్పకుండా నిర్వహించే సంస్థలకు దాడి చేసేవారు స్పష్టమైన ప్రాధాన్యతను ప్రదర్శించారు. ఆర్థిక మరియు అకౌంటింగ్ విభాగాలు ప్రధాన దృష్టి కేంద్రంగా కనిపిస్తున్నాయి, అయితే సేకరణ, చట్టపరమైన మరియు పేరోల్ బృందాలు కూడా పదేపదే లక్ష్యంగా పెట్టుకున్నాయి. చెల్లింపు వర్క్‌ఫ్లోలు, ఆధారాలు మరియు గోప్యమైన ఆర్థిక డేటాకు వారి ప్రాప్యత కారణంగా ఈ పాత్రలు బెదిరింపు నటులకు ముఖ్యంగా ఆకర్షణీయంగా ఉంటాయి.

మోసపూరిత ఇమెయిల్ ఎరలు మరియు ప్రారంభ డెలివరీ

ఈ ఇన్ఫెక్షన్ ప్రక్రియ చట్టబద్ధమైన ఆర్థిక కరస్పాండెన్స్‌ను పోలి ఉండేలా రూపొందించబడిన ఫిషింగ్ సందేశాలతో ప్రారంభమవుతుంది. బాధితులు ఇటీవలి బ్యాంక్ బదిలీని ధృవీకరించమని లేదా నిర్ధారించమని ప్రాంప్ట్ చేయబడతారు, ఇది అత్యవసరత మరియు విశ్వసనీయతను సృష్టిస్తుంది. ప్రతి సందేశంలో సహాయక డాక్యుమెంటేషన్‌గా సమర్పించబడిన ZIP ఆర్కైవ్ ఉంటుంది. హానిచేయని ఫైల్‌లను కలిగి ఉండటానికి బదులుగా, ఆర్కైవ్ తెరిచినప్పుడు వర్చువల్ CD డ్రైవ్‌గా మౌంట్ అయ్యే హానికరమైన ISO ఇమేజ్‌ను దాచిపెడుతుంది.

మాల్వేర్ ఎగ్జిక్యూషన్ కోసం ISO చిత్రాల దుర్వినియోగం

'బ్యాంక్ బదిలీ నిర్ధారణ.iso' లేదా 'బ్యాంక్ బదిలీ నిర్ధారణ.iso' అనే పేరుతో మౌంట్ చేయబడిన ISO ఫైల్ ప్రధాన అమలు వాహనంగా పనిచేస్తుంది. చిత్రం లోపల CreativeAI.dll అనే హానికరమైన డైనమిక్ లింక్ లైబ్రరీ ఉంది, ఇది ఫాంటమ్ స్టీలర్‌ను ప్రారంభించడానికి స్వయంచాలకంగా ప్రారంభించబడుతుంది. ఈ టెక్నిక్ దాడి చేసేవారు మాల్వేర్‌ను అమలు చేయడానికి అనుమతిస్తుంది, అదే సమయంలో బ్లాక్ చేయబడే అవకాశం ఉన్న సాంప్రదాయ ఎక్జిక్యూటబుల్ ఫైల్‌లపై ఆధారపడటాన్ని తగ్గిస్తుంది.

ఫాంటమ్ స్టీలర్ మాల్వేర్ సామర్థ్యాలు

ఒకసారి మోహరించిన తర్వాత, ఫాంటమ్ స్టీలర్ సోకిన వ్యవస్థల నుండి విస్తృత శ్రేణి సున్నితమైన సమాచారాన్ని సేకరించడంపై దృష్టి పెడుతుంది. దీని కార్యాచరణలో ఇవి ఉన్నాయి:

క్రోమియం ఆధారిత బ్రౌజర్‌లలోని క్రిప్టోకరెన్సీ వాలెట్ బ్రౌజర్ ఎక్స్‌టెన్షన్‌ల నుండి మరియు స్వతంత్ర డెస్క్‌టాప్ వాలెట్ అప్లికేషన్‌ల నుండి డేటాను సంగ్రహించడం, బ్రౌజర్ పాస్‌వర్డ్‌లు, కుక్కీలు, నిల్వ చేసిన క్రెడిట్ కార్డ్ డేటా, డిస్కార్డ్ ప్రామాణీకరణ టోకెన్‌లు మరియు ఎంచుకున్న స్థానిక ఫైల్‌లను దొంగిలించడం.

క్లిప్‌బోర్డ్ కార్యాచరణను పర్యవేక్షించడం, కీస్ట్రోక్‌లను లాగింగ్ చేయడం మరియు వర్చువల్ మిషన్లు, శాండ్‌బాక్స్‌లు లేదా విశ్లేషణ సాధనాలను గుర్తించడానికి పర్యావరణ తనిఖీలను నిర్వహించడం, అటువంటి పరిస్థితులు గుర్తించబడితే స్వయంగా ముగించడం.

ఎక్స్‌ఫిల్ట్రేషన్ మరియు కమాండ్ ఛానెల్‌లు

దొంగిలించబడిన డేటా విశ్వసనీయత మరియు వశ్యతను నిర్ధారించడానికి బహుళ దాడి చేసేవారి-నియంత్రిత ఛానెల్‌ల ద్వారా ప్రసారం చేయబడుతుంది. ఫాంటమ్ స్టీలర్ దాడి చేసేవారి నియంత్రణలో ఉన్న టెలిగ్రామ్ బాట్ లేదా డిస్కార్డ్ వెబ్‌హుక్ ద్వారా సమాచారాన్ని బయటకు పంపడానికి కాన్ఫిగర్ చేయబడింది. అదనంగా, మాల్వేర్ బాహ్య FTP సర్వర్‌కు ప్రత్యక్ష ఫైల్ బదిలీలకు మద్దతు ఇస్తుంది, బల్క్ డేటా దొంగతనం మరియు తదుపరి కార్యకలాపాలను అనుమతిస్తుంది.