هکرها با استفاده از بدافزار Phantom Stealer که در فایلهای ISO پنهان کرده اند، سیستمهای ویندوز را هدف قرار میدهند.
این بدافزار توسط هکرهای روسی شناسایی شده است. بدافزار Phantom سرقت اطلاعات را بوسیله فایلهای ISO مخرب که در ایمیلهای تأیید پرداخت جعلی قرار داده شده است، ارائه میدهد.
این حمله پیچیده در درجه اول بخش مالی و حسابداری را هدف قرار میدهد و با استفاده از تاکتیکهای مهندسی اجتماعی، قربانیان را فریب میدهد تا فایل های مخربی را اجرا کنند که اعتبارنامهها، کیف پولهای ارز دیجیتال، دادههای مرورگر و فایلهای حساس را سرقت میکنند.
اهداف ثانویه این بدافزار شامل تیمهای تدارکات، بخشهای حقوقی، کارکنان منابع انسانی و حقوق و دستمزد، دستیاران اجرایی و شرکتهای کوچک تا متوسط فعال در مناطق روسی زبان است.
این حمله خطرات قابل توجهی از جمله سرقت اعتبارنامه، کلاهبرداری در فاکتور، انتقالهای مالی غیرمجاز و نفوذ جانبی یا lateral movement بالقوه به سیستمهای فناوری اطلاعات گستردهتر را به همراه دارد.
یک ایمیل فیشینگ به زبان روسی با عنوان “Подтверждение банковского перевода” (تأیید انتقال بانکی) که از آدرسهای ایمیل آسیبدیده سرچشمه گرفته بود، شناسایی شده است.
این پیام، کارگزار ارزی TorFX را جعل هویت میکند و از زبان تجاری رسمی برای مشروع جلوه دادن پرسنل مالی استفاده میکند.
این ایمیل حاوی یک فایل فشردهی مخرب با حجم تقریبی ۱ مگابایت است که درون خود یک فایل ISO را پنهان میکند که برای دور زدن کنترلهای امنیتی سنتی طراحی شده است.
دامنهی فرستنده «iskra-svarka.ru» و دامنهی جعلی «agroterminal.c» هیچ ارتباطی با سازمان مورد نظر ندارند و نشانههای واضحی از تاکتیکهای جعل ایمیل و جعل هویت را نشان میدهند که برای ایجاد اعتبار کاذب در نزد قربانیان بالقوه طراحی شدهاند.
وقتی قربانی پیوست ZIP را باز میکند و فایل ISO را اجرا میکند، فایل به صورت خودکار به عنوان یک درایو CD مجازی mount میشود و یک فایل اجرایی را که به عنوان یک سند تأیید پرداخت قانونی پنهان شده است، آشکار میکند.
این فایل اجرایی، فایل های دیگری را در حافظه بارگذاری میکند که با یک فایل DLL به نام CreativeAI.dll که حاوی کد رمزگذاری شده است، آغاز میشود. این DLL نسخه نهایی بدافزار Phantom Stealer را رمزگشایی و به سیستم قربانی تزریق میکند.
این بدافزار از تکنیکهای استگانوگرافی(steganography) استفاده میکند و کد مخرب را در System.Drawing.Bitmap پنهان میکند تا از شناسایی شدن فرار کند.
این رویکرد لایهای، به مهاجمان اجازه میدهد تا از راهحلهای امنیتی که در درجه اول برای امضای بدافزارهای شناخته شده اسکن میکنند، عبور کنند.
عملیات MoneyMount-ISO نشاندهنده یک روند در حال تحول است که در آن هکرها از فایلهای اجرایی نصب شده روی ISO برای سرقت اطلاعات استفاده میکنند و در عین حال از کنترلهای امنیتی محیطی نیز فرار میکنند.
فریب مهندسی اجتماعی تأیید پرداخت این کمپین همراه با دامنههای تجاری جعلی روسی، نشاندهنده فعالیت سرقت اعتبارنامه بسیار هدفمند است که به صراحت برای نقشهای مرتبط با امور مالی طراحی شده است.
توصیه امنیتی:
پیچیدگی روزافزون بدافزارهای سرقت اطلاعات یا Stealerها که از طریق فرمتهای فایل غیرمتعارف ارائه میشوند، نیازمند یک رویکرد دفاعی چندلایه است که کنترلهای فنی را با آموزش کاربر ترکیب میکند.