Phantom Stealer Malware
Güvenlik analistleri, Rusya'da çeşitli sektörlerdeki kuruluşları hedef alan aktif ve iyi koordine edilmiş bir kimlik avı kampanyasını ortaya çıkardı. MoneyMount-ISO Operasyonu olarak takip edilen bu operasyon, kötü amaçlı ISO disk imajı ekleri aracılığıyla Phantom Stealer kötü amaçlı yazılımını dağıtan özenle hazırlanmış kimlik avı e-postalarına dayanıyor. Kampanya, geleneksel e-posta güvenlik kontrollerini atlatmak için daha az yaygın ek formatlarına doğru devam eden bir kaymayı vurguluyor.
İçindekiler
Başlıca Hedefler ve Sektör Odak Noktası
Saldırganlar, düzenli olarak finansal işlemler ve hassas belgelerle ilgilenen kuruluşları açıkça tercih etmişlerdir. Finans ve muhasebe departmanları ana hedef gibi görünürken, satın alma, hukuk ve bordro ekipleri de tekrar tekrar hedef alınmıştır. Bu roller, ödeme iş akışlarına, kimlik bilgilerine ve gizli finansal verilere erişimleri nedeniyle tehdit aktörleri için özellikle caziptir.
Aldatıcı E-posta Tuzakları ve İlk Teslimat
Bulaşma süreci, meşru finansal yazışmalara benzeyecek şekilde tasarlanmış kimlik avı mesajlarıyla başlar. Kurbanlardan yakın zamanda yapılmış bir banka havalesini doğrulamaları veya onaylamaları istenir, bu da aciliyet ve güvenilirlik hissi yaratır. Her mesaj, destekleyici belge olarak sunulan bir ZIP arşivi içerir. Arşiv, zararsız dosyalar içermek yerine, açıldığında sanal bir CD sürücüsü olarak kendini kuran kötü amaçlı bir ISO görüntüsü gizler.
Kötü amaçlı yazılım çalıştırmak için ISO görüntülerinin kötüye kullanımı
'Подтверждение банковского перевода.iso' veya 'Bank transfer confirmation.iso' başlıklı monte edilmiş ISO dosyası, ana yürütme aracı görevi görüyor. Görüntünün içinde, Phantom Stealer'ı başlatmak için otomatik olarak çağrılan CreativeAI.dll adlı kötü amaçlı bir dinamik bağlantı kütüphanesi bulunuyor. Bu teknik, saldırganların geleneksel yürütülebilir dosyalara olan bağımlılığı azaltarak kötü amaçlı yazılımları çalıştırmalarına olanak tanıyor; çünkü geleneksel dosyaların engellenme olasılığı daha yüksek.
Phantom Stealer Kötü Amaçlı Yazılımının Yetenekleri
Phantom Stealer devreye alındığında, enfekte sistemlerden çok çeşitli hassas bilgileri toplamaya odaklanır. İşlevleri şunları içerir:
Chromium tabanlı tarayıcılardaki kripto para cüzdanı tarayıcı uzantılarından ve bağımsız masaüstü cüzdan uygulamalarından veri çıkarma, ayrıca tarayıcı şifrelerini, çerezleri, saklanan kredi kartı verilerini, Discord kimlik doğrulama belirteçlerini ve seçilen yerel dosyaları çalma.
Panoya yapılan etkinlikleri izler, tuş vuruşlarını kaydeder ve sanal makineleri, sanal ortamları veya analiz araçlarını tespit etmek için ortam kontrolleri yapar; bu tür durumlar tespit edilirse kendini sonlandırır.
Veri Sızdırma ve Komuta Kanalları
Çalınan veriler, güvenilirlik ve esneklik sağlamak için saldırganlar tarafından kontrol edilen birden fazla kanal üzerinden iletilir. Phantom Stealer, saldırganların kontrolündeki bir Telegram botu veya Discord webhook'u aracılığıyla bilgi sızdırmak üzere yapılandırılmıştır. Ayrıca, kötü amaçlı yazılım, toplu veri hırsızlığı ve takip işlemlerini mümkün kılan harici bir FTP sunucusuna doğrudan dosya aktarımını destekler.
