Phantom Stealer Malware
セキュリティアナリストは、ロシアの複数の業界の組織を標的とした、活発かつ綿密に組織化されたフィッシング攻撃キャンペーンを発見しました。「Operation MoneyMount-ISO」として追跡されているこの攻撃キャンペーンは、巧妙に細工されたフィッシングメールを用いて、悪意のあるISOディスクイメージを添付することでPhantom Stealerマルウェアを拡散させます。このキャンペーンは、従来のメールセキュリティ対策を回避するために、あまり一般的ではない添付ファイル形式への移行が進んでいることを浮き彫りにしています。
目次
主なターゲットとセクターの焦点
攻撃者は、日常的に金融取引や機密文書を扱う組織を明らかに好んで標的としています。財務・経理部門が主な標的となっているようですが、調達、法務、給与計算部門も繰り返し標的にされています。これらの部門は、支払いワークフロー、認証情報、機密性の高い財務データへのアクセスが可能であるため、脅威アクターにとって特に魅力的です。
欺瞞的なメールの誘いと初期配信
感染プロセスは、正規の金融機関の取引を装ったフィッシングメッセージから始まります。被害者は最近の銀行振込の確認または確認を促され、緊急性と信憑性を感じさせます。各メッセージには、裏付け資料としてZIPアーカイブが添付されています。このアーカイブには、無害なファイルではなく、悪意のあるISOイメージが隠されており、開くと仮想CDドライブとしてマウントされます。
マルウェア実行のための ISO イメージの悪用
マウントされたISOファイル「Подтверждение банковского перевода.iso」または「Bank transfer confirmation.iso」は、主要な実行媒体として機能します。このイメージ内には、CreativeAI.dllという悪意のあるダイナミックリンクライブラリが含まれており、これが自動的に呼び出されてPhantom Stealerを起動します。この手法により、攻撃者はブロックされる可能性の高い従来の実行ファイルへの依存を減らしながら、マルウェアを実行できます。
Phantom Stealerマルウェアの機能
Phantom Stealerは展開されると、感染したシステムから幅広い機密情報を収集することに重点を置きます。その機能には以下が含まれます。
Chromium ベースのブラウザの暗号通貨ウォレット ブラウザ拡張機能とスタンドアロンのデスクトップ ウォレット アプリケーションからデータを抽出し、ブラウザのパスワード、Cookie、保存されたクレジットカード データ、Discord 認証トークン、および選択されたローカル ファイルを盗みます。
クリップボードのアクティビティを監視し、キーストロークを記録し、環境チェックを実行して仮想マシン、サンドボックス、または分析ツールを検出し、そのような条件が特定された場合は自身を終了します。
流出とコマンドチャネル
窃取されたデータは、信頼性と柔軟性を確保するために、攻撃者が管理する複数のチャネルを介して送信されます。Phantom Stealerは、攻撃者が管理するTelegramボットまたはDiscord Webhookを介して情報を窃取するように設定されています。さらに、このマルウェアは外部FTPサーバーへの直接ファイル転送をサポートしており、大量のデータ窃取とその後の追跡操作を可能にします。
