Phantom Stealer: скрытый Windows infostealer с обходом защиты Chrome

Phantom Stealer — это сложный двухуровневый Windows infostealer, который выстраивает атаку так, чтобы максимально долго оставаться незаметным для защитных решений и аналитиков. По данным отчета, вредоносная цепочка начинается с загрузчика pdh.dll, маскирующегося под легитимную библиотеку Windows Performance Data Helper, а затем переходит к более глубокой стадии исполнения через DLL hijacking и Process Hollowing.

Отдельное внимание в архитектуре угрозы уделено обходу обнаружения: внешний загрузчик собран с использованием NativeAOT, что позволяет убрать типичные артефакты .NET и усложнить анализ. После развертывания вредоносная программа проводит масштабные проверки на антианализ и при малейших подозрениях способна самоуничтожиться еще до запуска основных вредоносных функций.

Цепочка заражения: от маскировки к запуску полезной нагрузки

Первичный компонент атаки — pdh.dll — использует имя, сходное с системной библиотекой, чтобы снизить вероятность немедленного обнаружения. Далее загрузчик применяет DLL hijacking для запуска встроенного полезного груза, который внедряется в приостановленный процесс Microsoft jsc.exe через Process Hollowing.

Такая схема позволяет злоумышленникам использовать легитимный процесс как прикрытие, а также затрудняет корреляцию между вредоносной активностью и исходным файлом. В результате Phantom Stealer получает возможность работать скрытно и дольше сохранять присутствие в системе.

Антианализ и самоуничтожение

Согласно отчету, Phantom Stealer выполняет агрессивные проверки на антианализ по более чем 80 идентификаторам. В перечень входят, в частности, признаки песочницы и исследовательской среды. Цель этих механизмов — убедиться, что код исполняется в «реальной» среде, а не в лабораторных условиях.

Если проверки не проходят, вредоносное ПО самоуничтожается, не переходя к кражe данных. Такой подход повышает живучесть операции и осложняет исследование образца, поскольку безопасные среды анализа часто остаются без наблюдаемого вредоносного поведения.

Что крадет Phantom Stealer

После активации полезной нагрузки Phantom Stealer выполняет широкий набор действий по сбору и эксфильтрации данных. Его функциональность выходит далеко за рамки обычного credential stealing.

• сбор учетных данных из более чем 70 браузеров;
• извлечение данных из 30 desktop cryptocurrency wallets;
• перехват паролей Wi-Fi;
• создание screenshots;
• сбор содержимого clipboard;
• развертывание cryptocurrency clipper для подмены транзакций;
• захват нажатий клавиш через keylogger;
• перехват Telegram sessions.

Особый интерес Phantom Stealer проявляет к коммуникациям и финансовым данным. Это означает, что угроза распространяется не только на кражу учетных данных, но и на сценарии шпионажа, финансового мошенничества и последующего вымогательства.

Обход Chrome App-Bound encryption

Одной из наиболее примечательных возможностей Phantom Stealer является обход App-Bound encryption в Chrome — механизма, предназначенного для защиты сохраненных учетных данных. По данным отчета, обход реализуется через многоэтапную схему, включающую внедрение в процесс Chrome для получения необходимых ключей шифрования.

Это указывает на высокий уровень технической зрелости разработчиков вредоноса: злоумышленники ориентируются не только на сбор стандартных секретов, но и на преодоление современных встроенных защитных механизмов браузера.

Закрепление в системе и криминальная модель

Phantom Stealer предусматривает механизмы устойчивого закрепления в зараженной системе. Загрузчик создает ключи реестра, чтобы сохранять работоспособность даже после перезагрузки Windows. Это делает угрозу долговременной и повышает вероятность повторных краж данных.

Отдельно в отчете подчеркивается коммерческий характер платформы. Такая модель позволяет различным злоумышленникам использовать Phantom Stealer в собственных кампаниях, меняя настройки эксфильтрации и оперативные тактики. Иными словами, перед нами не разовая вредоносная кампания, а reusable criminal platform.

Ключевые выводы

Phantom Stealer представляет собой значительную угрозу для корпоративных и частных пользователей благодаря сочетанию нескольких факторов:

• многоуровневая архитектура с маскировкой под легитимный компонент Windows;
• NativeAOT-сборка, снижающая количество традиционных артефактов .NET;
• широкие механизмы антианализа и возможность самоуничтожения;
• масштабный сбор данных из браузеров, wallets, Wi-Fi, clipboard и Telegram;
• обход Chrome App-Bound encryption;
• механизмы закрепления через реестр Windows.

Как следует из отчета, Phantom Stealer выходит за рамки обычного похитителя учетных данных. Это инструмент, ориентированный на комплексное извлечение информации, скрытное присутствие в системе и длительную эксплуатацию зараженной среды. В современных условиях именно такие образцы формируют основу наиболее опасных криминальных экосистем в киберпространстве.