Phantom Stealer Malware

安全分析師發現了一起針對俄羅斯多個行業組織的活躍且精心策劃的網路釣魚活動。該行動代號為“MoneyMount-ISO行動”，利用精心製作的釣魚郵件，透過惡意ISO鏡像附件傳播“幻影竊取者”（Phantom Stealer）惡意軟體。這項活動凸顯了攻擊者持續轉向使用不常見的附件格式來繞過傳統電子郵件安全控制的趨勢。

主要目標和行業重點

攻擊者明顯偏好那些日常處理財務交易和敏感文件的組織。財務和會計部門似乎是主要目標，而採購、法務和薪資團隊也屢遭攻擊。這些職位之所以對攻擊者極具吸引力，是因為他們能夠接觸到支付流程、憑證和機密財務資料。

欺騙性電子郵件誘餌和初始投遞

感染過程始於精心設計的釣魚郵件，這些郵件偽裝成合法的財務信函。受害者會被誘導去驗證或確認最近的銀行轉賬，從而營造出一種緊迫感和可信度。每封郵件都包含一個偽裝成證明文件的 ZIP 壓縮包。然而，該壓縮包並非包含無害文件，而是隱藏著一個惡意 ISO 鏡像檔。打開該鏡像檔案後，它會把自己掛載為一個虛擬 CD 驅動器。

濫用 ISO 鏡像執行惡意軟體

掛載的 ISO 檔名為「Подтверждение банковского перевода.iso」（銀行轉帳確認.iso），是主要的執行載體。該映像中包含一個名為 CreativeAI.dll 的惡意動態連結程式庫，它會自動呼叫以啟動 Phantom Stealer 惡意軟體。這種技術使攻擊者能夠在執行惡意軟體的同時，減少對更容易被攔截的傳統可執行檔的依賴。

幻影竊取者惡意軟體的功能

Phantom Stealer一旦部署，便會專注於從受感染的系統中竊取各種敏感資訊。其功能包括：

從基於 Chromium 的瀏覽器中的加密貨幣錢包瀏覽器擴充功能和獨立的桌面錢包應用程式中提取數據，並竊取瀏覽器密碼、cookie、儲存的信用卡資料、Discord 身份驗證代幣和選定的本機檔案。

監控剪貼簿活動、記錄按鍵、執行環境檢查以偵測虛擬機器、沙箱或分析工具，如果偵測到此類情況則終止自身。

外洩和指揮渠道

為確保可靠性和靈活性，被盜資料透過多個攻擊者控制的管道傳輸。 Phantom Stealer 被配置為透過攻擊者控制的 Telegram 機器人或 Discord Webhook 竊取資訊。此外，該惡意軟體還支援直接向外部 FTP 伺服器傳輸文件，從而實現批量資料竊取和後續操作。