Logiciel malveillant Phantom Stealer
Des analystes en sécurité ont mis au jour une campagne d'hameçonnage active et bien coordonnée, ciblant des organisations de divers secteurs en Russie. Cette opération, baptisée MoneyMount-ISO, repose sur des courriels d'hameçonnage soigneusement conçus qui diffusent le logiciel malveillant Phantom Stealer via des pièces jointes contenant des images disque ISO malveillantes. Cette campagne illustre une tendance croissante à utiliser des formats de pièces jointes moins courants pour contourner les contrôles de sécurité traditionnels des courriels.
Table des matières
Objectifs principaux et focus sectoriel
Les attaquants ont clairement manifesté une préférence pour les organisations qui traitent régulièrement des transactions financières et des documents sensibles. Les services financiers et comptables semblent être leur cible principale, tandis que les équipes des achats, juridiques et de la paie ont également été visées à plusieurs reprises. Ces fonctions sont particulièrement attractives pour les cybercriminels en raison de leur accès aux processus de paiement, aux identifiants et aux données financières confidentielles.
Appâts par courriel trompeurs et livraison initiale
Le processus d'infection débute par des messages d'hameçonnage conçus pour ressembler à de la correspondance financière légitime. Les victimes sont incitées à vérifier ou confirmer un virement bancaire récent, ce qui crée un sentiment d'urgence et de crédibilité. Chaque message contient une archive ZIP présentée comme pièce justificative. Au lieu de contenir des fichiers inoffensifs, cette archive dissimule une image ISO malveillante qui se monte comme un lecteur CD virtuel à son ouverture.
Utilisation abusive d’images ISO pour l’exécution de logiciels malveillants
Le fichier ISO monté, intitulé « Подтверждение банковского перевода.iso » ou « Confirmation de transfert bancaire.iso », sert de principal vecteur d'exécution. L'image contient une bibliothèque de liens dynamiques malveillante nommée CreativeAI.dll, qui est automatiquement invoquée pour lancer Phantom Stealer. Cette technique permet aux attaquants d'exécuter des logiciels malveillants tout en réduisant leur dépendance aux fichiers exécutables traditionnels, plus susceptibles d'être bloqués.
Capacités du logiciel malveillant Phantom Stealer
Une fois déployé, Phantom Stealer se concentre sur la collecte d'un large éventail d'informations sensibles à partir des systèmes infectés. Ses fonctionnalités incluent :
Extraction de données à partir d'extensions de navigateur de portefeuilles de cryptomonnaies dans les navigateurs basés sur Chromium et à partir d'applications de portefeuille de bureau autonomes, ainsi que vol de mots de passe de navigateur, de cookies, de données de cartes de crédit stockées, de jetons d'authentification Discord et de fichiers locaux sélectionnés.
Surveillance de l'activité du presse-papiers, enregistrement des frappes au clavier et réalisation de vérifications de l'environnement pour détecter les machines virtuelles, les environnements sandbox ou les outils d'analyse, avec arrêt automatique si de telles conditions sont identifiées.
Canaux d’exfiltration et de commande
Les données volées sont transmises via plusieurs canaux contrôlés par l'attaquant afin de garantir fiabilité et flexibilité. Phantom Stealer est configuré pour exfiltrer des informations via un bot Telegram ou un webhook Discord sous le contrôle des attaquants. De plus, le logiciel malveillant prend en charge les transferts directs de fichiers vers un serveur FTP externe, permettant ainsi le vol de données en masse et les opérations ultérieures.
