شناسایی کمپین فیشینگ پیچیده با بدافزار Phantom

شناسایی کمپین فیشینگ پیچیده با بدافزار Phantom

۲۵ آذر, ۱۴۰۴ نویسنده: admin دسته: فناوری اطلاعات

محققان امنیت سایبری، یک کمپین فیشینگ پیشرفته را شناسایی کرده‌اند که از بدافزار Phantom برای سرقت اطلاعات استفاده می‌کند. این حمله به صورت چند مرحله‌ای انجام می‌شود و در ابتدا با ارسال ایمیل‌های جعلی طراحی شده است.

طبق گزارش Seqrite Labs، فعالیت‌ها که تحت عنوان Operation MoneyMount-ISO شناخته می‌شوند، از روسیه آغاز شده‌اند و هدف آن‌ها سازمان‌هایی هستند که با اسناد مالی سروکار دارند. نکته‌ی قابل توجه استفاده از روش‌های نوین برای عبور از کنترل‌های امنیتی ایمیل است.

جالب اینجاست که به جای فایل اجرایی مستقیم، مهاجمان از یک آرشیو ZIP حاوی فایل ISO استفاده می‌کنند. باز کردن این فایل، آن را به عنوان یک درایو مجازی نصب می‌کند و یک فایل اجرایی پنهان شده درون آن فعال می‌شود.

ایمیل فیشینگ با لحنی رسمی و تجاری به زبان روسی نوشته شده است و موضوع آن «تأییدیه انتقال بانکی» می‌باشد. این ایمیل کاربران را ترغیب می‌کند تا ضمیمه را بررسی کنند، در حالی که آدرس‌های فرستنده با محتوای ایمیل همخوانی ندارند.

پس از باز شدن آرشیو ZIP و اجرای فایل مخفی‌شده، یک زنجیره پیچیده از کدها فعال می‌شود. این کدها Phantom Stealer را به سیستم تزریق می‌کنند و در عین حال با استفاده از تکنیک‌های پیشرفته، از تشخیص توسط نرم‌افزارهای امنیتی جلوگیری می‌کنند.

بدافزار Phantom Stealer قادر است اطلاعات حساسی مانند رمز عبورهای ذخیره شده در مرورگرها، کوکی‌ها، داده‌های کارت اعتباری و کلیدهای ورود به برنامه‌های پیام‌رسان مانند Discord را سرقت کند. همچنین می‌تواند محتویات کلیپ بورد و کلیدفشارده‌ها را ثبت کند.

داده‌های سرقت شده در قالب آرشیو بسته‌بندی شده و از طریق کانال‌های مختلفی شامل Telegram bots، Discord webhooks و FTP servers منتقل می‌شوند. این نشان‌دهنده سازمان‌یافته بودن این حمله سایبری است.

در نگاه نخست، ممکن است تصور شود که تنها شرکت‌های روسی در معرض خطر قرار دارند؛ اما با توجه به افزایش استفاده از زبان روسی در محیط‌های کاری بین‌المللی، سازمان‌ها و افراد در سایر نقاط جهان نیز می‌توانند هدف این حمله قرار گیرند.

به گفته محققان Seqrite Labs، «این عملیات نشان‌دهنده پیچیده‌تر شدن بدافزارهای رایج و تغییر استراتژیک به سمت استفاده از فایل‌های ISO برای دور زدن کنترل‌های امنیتی لایه‌ای است».

  • مخاطبین اصلی: تیم‌های مالی، حسابداری، خزانه‌داری و پرداخت در روسیه
  • گروه‌های آسیب‌پذیر: دستیاران اجرایی و شرکت‌های کوچک و متوسط که از گردش‌کارهای مبتنی بر زبان روسی استفاده می‌کنند.

برای مقابله با این تهدید، توصیه می‌شود تا فیلترهای امنیتی به طور مداوم برای شناسایی فایل‌های ضمیمه به‌کار گرفته شوند، رفتار حافظه سیستم مورد نظارت قرار گیرد و امنیت ایمیل‌ها تقویت شود.

📌 توجه: این مطلب از منابع بین‌المللی ترجمه و بازنویسی شده است.