0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Хватит кликать на всё подряд. Как бухгалтеры своими руками устанавливают шпионов на рабочие ПК.

leer en español

Seqrite Labs Phantom Stealer ISO фишинг вредонос кража данных криптокошельки
Хватит кликать на всё подряд. Как бухгалтеры своими руками устанавливают шпионов на рабочие ПК.
Seqrite Labs Phantom Stealer ISO фишинг вредонос кража данных криптокошельки

Никакая виртуальная машина не поможет поймать этого шпиона.

image

В ходе наблюдения за активностью цифровых угроз специалисты Seqrite Labs выявили новую целенаправленную кампанию под названием Operation MoneyMount-ISO. Атака нацелена на похищение конфиденциальных данных с помощью многоступенчатой схемы доставки вредоносного ПО Phantom Stealer через ISO-образы, замаскированные под подтверждения платежей.

Атака начинается с массовой рассылки писем, якобы содержащих информацию о выполненном банковском переводе. Такие сообщения оформлены в деловом стиле и сопровождаются ZIP-архивом под названием «Подтверждение банковского перевода». Внутри архива находится ISO-файл, который монтируется как виртуальный диск и отображает исполняемый файл. Запуск этого файла приводит к заражению устройства.

Основной целью становятся сотрудники финансовых, бухгалтерских и платёжных подразделений организаций, а также специалисты из юридического, кадрового и закупочного отделов. Рассылка не адресована конкретным лицам, что говорит о массовом характере атаки. Использование формального стиля придаёт письму правдоподобность, особенно для людей, работающих с платёжной документацией.

Технический анализ показал, что ISO-файл содержит исполняемый компонент, запускающий загрузку дополнительной библиотеки с зашифрованным вредоносным кодом. После расшифровки этот код внедряет основной модуль — Phantom Stealer. Вредонос защищён от анализа: он проверяет окружение на наличие виртуальных машин, отладчиков, инструментов анализа и при обнаружении признаков вмешательства прекращает работу и удаляет себя.

Phantom Stealer собирает обширный объём информации. Он извлекает данные из браузерных расширений криптовалютных кошельков и настольных приложений, похищает сохранённые пароли, куки, банковские карты, Discord-токены, а также отслеживает буфер обмена и регистрирует нажатия клавиш. Все собранные сведения структурируются, сохраняются и упаковываются в архив, куда добавляется информация о системе, включая IP-адрес, имя пользователя и статус антивирусной защиты.

Передача данных злоумышленникам осуществляется через три канала: Telegram-бот, веб-хуки Discord и FTP-сервер. Для связи используются асинхронные методы и заранее прописанные параметры подключения, что обеспечивает надёжную доставку информации на внешние ресурсы.

Operation MoneyMount-ISO отражает растущую сложность вредоносных инструментов и стремление обойти традиционные средства защиты. Использование ISO-файлов в качестве начального вектора заражения позволяет обходить фильтры электронной почты. Учитывая направленность атаки на платёжную и финансовую инфраструктуру, необходимы меры по блокировке подобных вложений, анализу поведения процессов в памяти и защите почтовых каналов.