Malware ng Phantom Stealer
Natuklasan ng mga security analyst ang isang aktibo at mahusay na koordinasyong kampanya sa phishing na naglalayong sa mga organisasyon sa iba't ibang industriya sa Russia. Ang operasyon, na sinusubaybayan bilang Operation MoneyMount-ISO, ay umaasa sa maingat na ginawang mga phishing email na nagpapakalat ng Phantom Stealer malware sa pamamagitan ng mga malisyosong ISO disk image attachment. Itinatampok ng kampanya ang patuloy na paglipat patungo sa mga hindi gaanong karaniwang format ng attachment upang malampasan ang mga tradisyonal na kontrol sa seguridad ng email.
Talaan ng mga Nilalaman
Pangunahing mga Target at Pokus ng Sektor
Malinaw na mas pinipili ng mga umaatake ang mga organisasyong regular na humahawak ng mga transaksyong pinansyal at sensitibong dokumentasyon. Ang mga departamento ng pananalapi at accounting ang tila pangunahing pokus, habang ang mga pangkat ng pagkuha, legal, at payroll ay paulit-ulit ding tinatarget. Ang mga tungkuling ito ay partikular na kaakit-akit sa mga aktor na nagbabanta dahil sa kanilang access sa mga daloy ng trabaho sa pagbabayad, mga kredensyal, at kumpidensyal na datos pinansyal.
Mga Mapanlinlang na Pang-akit sa Email at Unang Paghahatid
Ang proseso ng impeksyon ay nagsisimula sa mga mensaheng phishing na idinisenyo upang maging katulad ng mga lehitimong sulat sa pananalapi. Hinihikayat ang mga biktima na beripikahin o kumpirmahin ang isang kamakailang bank transfer, na lumilikha ng pakiramdam ng pagkaapurahan at kredibilidad. Ang bawat mensahe ay may kasamang ZIP archive na ipinakita bilang sumusuportang dokumentasyon. Sa halip na maglaman ng mga hindi nakakapinsalang file, itinatago ng archive ang isang malisyosong ISO image na nag-i-mount sa sarili bilang isang virtual CD drive kapag binuksan.
Pag-abuso sa mga ISO Image para sa Pagpapatupad ng Malware
Ang naka-mount na ISO file, na pinamagatang 'Подтверждение банковского перевода.iso' o 'Bank transfer confirmation.iso,' ang nagsisilbing pangunahing sasakyan para sa pagpapatupad. Sa loob ng imahe ay isang malisyosong dynamic link library na pinangalanang CreativeAI.dll, na awtomatikong ginagamit upang ilunsad ang Phantom Stealer. Ang pamamaraang ito ay nagbibigay-daan sa mga umaatake na magpatakbo ng malware habang binabawasan ang pag-asa sa mga tradisyonal na executable file na mas malamang na ma-block.
Mga Kakayahan ng Phantom Stealer Malware
Kapag na-deploy na, ang Phantom Stealer ay nakatuon sa pagkuha ng malawak na hanay ng sensitibong impormasyon mula sa mga nahawaang sistema. Kabilang sa mga functionality nito ang:
Pagkuha ng data mula sa mga extension ng browser ng cryptocurrency wallet sa mga browser na nakabase sa Chromium at mula sa mga standalone na desktop wallet application, kasama ang pagnanakaw ng mga password ng browser, cookies, nakaimbak na data ng credit card, mga token ng pagpapatotoo ng Discord, at mga piling lokal na file.
Pagsubaybay sa aktibidad ng clipboard, pag-log sa mga keystroke, at pagsasagawa ng mga pagsusuri sa kapaligiran upang matukoy ang mga virtual machine, sandbox, o mga tool sa pagsusuri, na tinatapos ang sarili nito kung matukoy ang mga naturang kundisyon.
Mga Exfiltration at Command Channel
Ang ninakaw na datos ay ipinapadala sa pamamagitan ng maraming channel na kontrolado ng mga umaatake upang matiyak ang pagiging maaasahan at kakayahang umangkop. Ang Phantom Stealer ay naka-configure upang mag-exfiltrate ng impormasyon sa pamamagitan ng isang Telegram bot o isang Discord webhook sa ilalim ng kontrol ng mga umaatake. Bukod pa rito, sinusuportahan ng malware ang direktang paglilipat ng file sa isang panlabas na FTP server, na nagbibigay-daan sa pagnanakaw ng maramihang datos at mga follow-up na operasyon.
