複数段階の添付ファイルチェーンを通じて Phantom 情報盗聴マルウェアを配信する新しいフィッシングキャンペーンが、サイバーセキュリティ研究者によって特定されました。
Seqrite Labs によって観察されたこのアクティビティはロシアに由来すると報告されており、受信者に悪意のあるアーカイブを開くよう誘導するために、偽の支払い確認メールに依存しています。
このキャンペーンは Operation MoneyMount-ISO として追跡されており、メールセキュリティコントロールをバイパスするために設計された ISO ベースの初期アクセス技術への継続的なシフトをマークしています。
直接実行ファイルの代わりに、攻撃者は開くと仮想ドライブとしてマウントされる ISO ファイルを含む ZIP アーカイブを使用します。内部には、最終的にメモリ内に Phantom Stealer を展開する偽装実行ファイルがあります。
Seqrite Labs の研究者は、ロシア語を話す組織を積極的に標的にするこの作戦を観察しており、日常的に財務文書を扱う職務に明確な焦点を当てています。この誘い文句は、忙しい財務環境でのやり取りの可能性を高めるために、日常的なビジネス通信を模倣しています。
攻撃の仕組み
観察されたフィッシングメールは、正式なロシア語ビジネス言語で書かれており、件名は「Подтверждение банковского перевода」 または「銀行振込の確認」でした。
取引詳細について添付文書を確認するよう受信者に促しました。メッセージは通貨ブローカーを参照していましたが、送信者ドメインは無関係でした。
約 1 MB の ZIP アーカイブを開くと、埋め込まれた ISO ファイルが自動マウントされ、支払い確認に偽装した実行ファイルが表示されました。
このファイルを実行すると、段階的なペイロードチェーンが開始されました。初期ローダーが悪意のある DLL を復号化し、サンドボックスと仮想マシンを回避するために広範なアンチアナリシスチェックを採用しながら、Phantom Stealer をシステムに注入しました。
フィッシングキャンペーンについてもっと読む:75万2千件のブラウザフィッシング攻撃が前年比140%の増加を記録
最終的なペイロードは、広範な機密情報を収集することができました。ブラウザに保存されたパスワード、クッキー、クレジットカードデータを抽出し、ブラウザとデスクトップアプリケーションから暗号通貨ウォレットを盗み、キーストロークとクリップボードの内容をログに記録し、Discord 認証トークンを収集しました。
盗まれたデータはアーカイブにパッケージ化され、Telegram ボット、Discord ウェブフック、FTP サーバーを含む複数のチャネルを通じて流出しました。
-
ロシアの金融、会計、財務、支払いチーム
-
調達、法務、HR または給与機能
-
エグゼクティブアシスタントとロシア語ワークフローを使用する中小企業
「この作戦は、商用スティーラーの増加する洗練さと、周辺セキュリティコントロールを回避するための ISO ベースの初期アクセスへの戦略的シフトを反映しています」と Seqrite Labs は説明しました。
「コンテナ化された添付ファイルの継続的なフィルタリング、メモリ動作監視、および金融向けメールワークフローの強化は、重要な軽減策のままです。」
翻訳元: https://www.infosecurity-magazine.com/news/russian-phishing-phantom-stealer/
