Phantom Stealer: этот вирус умнее вашего сисадмина — он знает, когда за ним следят, и исчезает
NewsMakerНикакая виртуальная машина не поможет поймать этого шпиона.
В ходе наблюдения за активностью цифровых угроз специалисты Seqrite Labs выявили новую целенаправленную кампанию под названием Operation MoneyMount-ISO. Атака нацелена на похищение конфиденциальных данных с помощью многоступенчатой схемы доставки вредоносного ПО Phantom Stealer через ISO-образы, замаскированные под подтверждения платежей.
Атака начинается с массовой рассылки писем, якобы содержащих информацию о выполненном банковском переводе. Такие сообщения оформлены в деловом стиле и сопровождаются ZIP-архивом под названием «Подтверждение банковского перевода». Внутри архива находится ISO-файл, который монтируется как виртуальный диск и отображает исполняемый файл. Запуск этого файла приводит к заражению устройства.
Основной целью становятся сотрудники финансовых, бухгалтерских и платёжных подразделений организаций, а также специалисты из юридического, кадрового и закупочного отделов. Рассылка не адресована конкретным лицам, что говорит о массовом характере атаки. Использование формального стиля придаёт письму правдоподобность, особенно для людей, работающих с платёжной документацией.
Технический анализ показал, что ISO-файл содержит исполняемый компонент, запускающий загрузку дополнительной библиотеки с зашифрованным вредоносным кодом. После расшифровки этот код внедряет основной модуль — Phantom Stealer . Вредонос защищён от анализа: он проверяет окружение на наличие виртуальных машин, отладчиков, инструментов анализа и при обнаружении признаков вмешательства прекращает работу и удаляет себя.
В ходе наблюдения за активностью цифровых угроз специалисты Seqrite Labs выявили новую целенаправленную кампанию под названием Operation MoneyMount-ISO. Атака нацелена на похищение конфиденциальных данных с помощью многоступенчатой схемы доставки вредоносного ПО Phantom Stealer через ISO-образы, замаскированные под подтверждения платежей.
Атака начинается с массовой рассылки писем, якобы содержащих информацию о выполненном банковском переводе. Такие сообщения оформлены в деловом стиле и сопровождаются ZIP-архивом под названием «Подтверждение банковского перевода». Внутри архива находится ISO-файл, который монтируется как виртуальный диск и отображает исполняемый файл. Запуск этого файла приводит к заражению устройства.
Основной целью становятся сотрудники финансовых, бухгалтерских и платёжных подразделений организаций, а также специалисты из юридического, кадрового и закупочного отделов. Рассылка не адресована конкретным лицам, что говорит о массовом характере атаки. Использование формального стиля придаёт письму правдоподобность, особенно для людей, работающих с платёжной документацией.
Технический анализ показал, что ISO-файл содержит исполняемый компонент, запускающий загрузку дополнительной библиотеки с зашифрованным вредоносным кодом. После расшифровки этот код внедряет основной модуль — Phantom Stealer . Вредонос защищён от анализа: он проверяет окружение на наличие виртуальных машин, отладчиков, инструментов анализа и при обнаружении признаков вмешательства прекращает работу и удаляет себя.