Phantom Stealer атакует банки через фишинговые архивы
Специалисты по кибербезопасности выявили продолжающуюся phishing campaign, нацеленную преимущественно на организации с высоким капиталом в банковском секторе. В основе атак — вредоносное ПО Phantom Stealer, распространяемое в рамках коммерческого предложения Malware-as-a-Service (MaaS).
По данным анализа, инструмент продается злоумышленником, известным как Oldphantomoftheopera, связанным с Phantom Softwares. Главная цель кампании — скрытое хищение учетных данных, финансовой информации и иной конфиденциальной информации у жертв.
Как работает схема атаки
Атака начинается с фишинговых писем, содержащих вредоносные архивы RAR. Внутри них пакетные файлы маскируются под бизнес-документы, чтобы спровоцировать запуск пользователем.
После выполнения вредоносное ПО действует exclusively in memory, то есть только в памяти, не оставляя следов на диске. Такой подход позволяет обходить традиционные механизмы защиты и существенно усложняет обнаружение.
Что умеет Phantom Stealer
Phantom Stealer ориентирован на кражу данных из популярных приложений и сервисов. Под ударом оказываются:
- Chrome;
- Firefox;
- Edge;
- Discord;
- Телеграм;
- Steam.
Функциональность вредоноса включает:
- кражу финансовой информации;
- сбор данных о криптовалютных кошельках;
- перехват нажатий клавиш;
- создание скриншотов;
- доступ к данным из буфера обмена.
Техники скрытности и закрепления
Анализ показал, что механизм атаки включает сильно запутанный пакетный файл. После запуска он обеспечивает закрепление и внедряет Phantom Stealer в легитимный процесс explorer.exe.
Для загрузки и расшифровки финального полезного груза злоумышленники используют PowerShell, а также сложную цепочку действий с применением Base64 и AES-256-CBC.
«Одной из ключевых особенностей кампании является многоуровневое запутывание и работа в памяти, что позволяет оставаться незамеченными для обычных средств защиты».
Социальная инженерия как основной вектор
Метод доставки вредоносного ПО адаптирован под конкретную цель. Для повышения правдоподобности злоумышленники используют сценарии, знакомые сотрудникам корпоративной среды, например маскируют RAR-архивы под запросы на ценовые предложения.
Это указывает на устойчивый фокус на social engineering: чем убедительнее выглядит приманка, тем выше вероятность, что получатель откроет вложение.
Каналы эксфильтрации данных
Для вывода похищенной информации актор использует несколько каналов, включая:
- Телеграм;
- Discord;
- FTP;
- SMTP.
Такой набор каналов повышает устойчивость операции и помогает скрыть передачу данных от систем мониторинга.
Риски для банковского сектора
Операционное воздействие Phantom Stealer оценивается как значительное. После установки он может получить доступ ко всем учетным данным, cookies и session tokens, хранящимся в браузере, что создает риск несанкционированного доступа к конфиденциальным данным клиентов и финансовым системам.
Особую опасность представляет скрытная архитектура вредоноса: отсутствие файловых следов и работа исключительно в памяти делают обнаружение крайне сложным. Более того, даже известные security products фиксировали низкие показатели detection.
Как снизить риск
В числе рекомендуемых мер защиты называются:
- блокировка доступа к отдельным indicators of compromise, включая icanhazip.com;
- включение регистрации script blocks PowerShell для выявления схожей вредоносной активности;
- усиление контроля за вложениями в электронной почте;
- обучение сотрудников распознаванию фишинговых писем;
- повышение внимания к несанкционированным архивам и подозрительным запросам на открытие файлов.
Учитывая чувствительный характер банковского сектора, организациям необходимо сохранять повышенную бдительность. Кампания с Phantom Stealer наглядно демонстрирует, насколько изощренными становятся современные phishing attacks и как быстро меняется landscape of cyber threats, с которыми сталкиваются финансовые учреждения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
