Phantom Stealer: этот вирус умнее вашего сисадмина — он знает, когда за ним следят, и исчезает

leer en español

Seqrite Labs Phantom Stealer ISO фишинг вредонос кража данных криптокошельки
Phantom Stealer: этот вирус умнее вашего сисадмина — он знает, когда за ним следят, и исчезает
Seqrite Labs Phantom Stealer ISO фишинг вредонос кража данных криптокошельки

Никакая виртуальная машина не поможет поймать этого шпиона.

image

В ходе наблюдения за активностью цифровых угроз специалисты Seqrite Labs выявили новую целенаправленную кампанию под названием Operation MoneyMount-ISO. Атака нацелена на похищение конфиденциальных данных с помощью многоступенчатой схемы доставки вредоносного ПО Phantom Stealer через ISO-образы, замаскированные под подтверждения платежей.

Атака начинается с массовой рассылки писем, якобы содержащих информацию о выполненном банковском переводе. Такие сообщения оформлены в деловом стиле и сопровождаются ZIP-архивом под названием «Подтверждение банковского перевода». Внутри архива находится ISO-файл, который монтируется как виртуальный диск и отображает исполняемый файл. Запуск этого файла приводит к заражению устройства.

Основной целью становятся сотрудники финансовых, бухгалтерских и платёжных подразделений организаций, а также специалисты из юридического, кадрового и закупочного отделов. Рассылка не адресована конкретным лицам, что говорит о массовом характере атаки. Использование формального стиля придаёт письму правдоподобность, особенно для людей, работающих с платёжной документацией.

Технический анализ показал, что ISO-файл содержит исполняемый компонент, запускающий загрузку дополнительной библиотеки с зашифрованным вредоносным кодом. После расшифровки этот код внедряет основной модуль — Phantom Stealer. Вредонос защищён от анализа: он проверяет окружение на наличие виртуальных машин, отладчиков, инструментов анализа и при обнаружении признаков вмешательства прекращает работу и удаляет себя.

Phantom Stealer собирает обширный объём информации. Он извлекает данные из браузерных расширений криптовалютных кошельков и настольных приложений, похищает сохранённые пароли, куки, банковские карты, Discord-токены, а также отслеживает буфер обмена и регистрирует нажатия клавиш. Все собранные сведения структурируются, сохраняются и упаковываются в архив, куда добавляется информация о системе, включая IP-адрес, имя пользователя и статус антивирусной защиты.

Передача данных злоумышленникам осуществляется через три канала: Telegram-бот, веб-хуки Discord и FTP-сервер. Для связи используются асинхронные методы и заранее прописанные параметры подключения, что обеспечивает надёжную доставку информации на внешние ресурсы.

Operation MoneyMount-ISO отражает растущую сложность вредоносных инструментов и стремление обойти традиционные средства защиты. Использование ISO-файлов в качестве начального вектора заражения позволяет обходить фильтры электронной почты. Учитывая направленность атаки на платёжную и финансовую инфраструктуру, необходимы меры по блокировке подобных вложений, анализу поведения процессов в памяти и защите почтовых каналов.