Phantom Stealer Malware
Sicherheitsanalysten haben eine aktive und gut koordinierte Phishing-Kampagne aufgedeckt, die sich gegen Unternehmen verschiedener Branchen in Russland richtet. Die unter dem Namen „Operation MoneyMount-ISO“ geführte Operation nutzt sorgfältig gestaltete Phishing-E-Mails, die die Schadsoftware Phantom Stealer über manipulierte ISO-Disk-Image-Anhänge verbreiten. Die Kampagne verdeutlicht den anhaltenden Trend hin zu weniger gebräuchlichen Anhangsformaten, um herkömmliche E-Mail-Sicherheitsvorkehrungen zu umgehen.
Inhaltsverzeichnis
Primäre Zielgruppen und Branchenschwerpunkt
Die Angreifer bevorzugen eindeutig Organisationen, die regelmäßig Finanztransaktionen und sensible Dokumente bearbeiten. Finanz- und Buchhaltungsabteilungen stehen dabei im Fokus, aber auch Einkaufs-, Rechts- und Gehaltsabrechnungsteams wurden wiederholt angegriffen. Diese Bereiche sind für Angreifer besonders attraktiv, da sie Zugriff auf Zahlungsprozesse, Zugangsdaten und vertrauliche Finanzdaten haben.
Irreführende E-Mail-Köder und erste Zustellung
Der Infektionsprozess beginnt mit Phishing-Nachrichten, die wie legitime Finanzkorrespondenz aussehen. Die Opfer werden aufgefordert, eine kürzlich getätigte Banküberweisung zu bestätigen, wodurch ein Gefühl der Dringlichkeit und Glaubwürdigkeit erzeugt wird. Jede Nachricht enthält ein ZIP-Archiv, das als Begleitdokument getarnt ist. Anstatt harmlose Dateien zu enthalten, verbirgt das Archiv ein schädliches ISO-Image, das sich beim Öffnen als virtuelles CD-Laufwerk einbindet.
Missbrauch von ISO-Images zur Ausführung von Schadsoftware
Die eingebundene ISO-Datei mit dem Namen „Подтверждение банковского перевода.iso“ oder „Bank transfer confirmation.iso“ dient als Hauptausführungsmedium. Im Image befindet sich eine schädliche DLL-Datei namens CreativeAI.dll, die automatisch aufgerufen wird, um Phantom Stealer zu starten. Diese Technik ermöglicht es Angreifern, Schadsoftware auszuführen, ohne auf herkömmliche ausführbare Dateien angewiesen zu sein, die mit größerer Wahrscheinlichkeit blockiert werden.
Fähigkeiten der Phantom Stealer Malware
Nach der Installation konzentriert sich Phantom Stealer darauf, eine breite Palette sensibler Informationen von infizierten Systemen zu sammeln. Zu seinen Funktionen gehören:
Datenextraktion aus Browsererweiterungen für Kryptowährungs-Wallets in Chromium-basierten Browsern und aus eigenständigen Desktop-Wallet-Anwendungen, sowie Diebstahl von Browserpasswörtern, Cookies, gespeicherten Kreditkartendaten, Discord-Authentifizierungstoken und ausgewählten lokalen Dateien.
Überwachung der Zwischenablageaktivitäten, Protokollierung der Tastatureingaben und Durchführung von Umgebungsprüfungen zur Erkennung virtueller Maschinen, Sandboxes oder Analysetools; Beendigung der eigenen Aktivität, falls solche Bedingungen festgestellt werden.
Exfiltration und Befehlskanäle
Gestohlene Daten werden über mehrere vom Angreifer kontrollierte Kanäle übertragen, um Zuverlässigkeit und Flexibilität zu gewährleisten. Phantom Stealer ist so konfiguriert, dass Informationen über einen Telegram-Bot oder einen Discord-Webhook unter der Kontrolle des Angreifers exfiltriert werden. Zusätzlich unterstützt die Malware direkte Dateiübertragungen auf einen externen FTP-Server, was den Diebstahl großer Datenmengen und Folgeaktionen ermöglicht.
