Phần mềm Phantom Stealer lây lan qua email lừa đảo nhắm vào lĩnh vực tài chính

[T-X]

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch lừa đảo đang hoạt động nhắm vào nhiều lĩnh vực khác nhau ở Nga bằng các email lừa đảo phát tán phần mềm độc hại Phantom Stealer thông qua các ảnh đĩa quang ISO độc hại.

Chiến dịch này, được Seqrite Labs đặt mật danh là Chiến dịch MoneyMount-ISO, chủ yếu nhắm vào các đơn vị tài chính và kế toán, với các đơn vị thuộc lĩnh vực mua sắm, pháp lý và tiền lương nổi lên như những mục tiêu thứ yếu.

"Chiến dịch này sử dụng chiêu trò xác nhận thanh toán giả mạo để phát tán phần mềm độc hại Phantom chuyên đánh cắp thông tin thông qua một chuỗi đính kèm nhiều giai đoạn", công ty an ninh mạng cho biết.

Chuỗi lây nhiễm bắt đầu bằng một email lừa đảo giả mạo các thông báo tài chính hợp pháp, yêu cầu người nhận xác nhận một giao dịch chuyển khoản ngân hàng gần đây. Tệp đính kèm trong email là một tập tin ZIP tuyên bố chứa thông tin chi tiết bổ sung, nhưng thực chất lại chứa một tập tin ISO, khi được khởi chạy, sẽ tự động gắn vào hệ thống như một ổ đĩa CD ảo.

Hình ảnh ISO ("Подтверждение банковского перевода.iso" hoặc "Xác nhận chuyển khoản ngân hàng.iso") đóng vai trò là tệp thực thi được thiết kế để khởi chạy Phantom Stealer bằng một tệp DLL được nhúng ("CreativeAI.dll").

Phantom Stealer có khả năng trích xuất dữ liệu từ các tiện ích mở rộng ví tiền điện tử được cài đặt trên các trình duyệt dựa trên Chromium và các ứng dụng ví trên máy tính để bàn, cũng như lấy cắp các tập tin, mã xác thực Discord và mật khẩu, cookie và thông tin thẻ tín dụng liên quan đến trình duyệt.

Nó cũng giám sát nội dung clipboard, ghi lại các thao tác gõ phím và thực hiện một loạt các kiểm tra để phát hiện môi trường ảo hóa, hộp cát hoặc môi trường phân tích, và nếu có, sẽ dừng quá trình thực thi. Việc đánh cắp dữ liệu được thực hiện thông qua bot Telegram hoặc webhook Discord do kẻ tấn công kiểm soát. Thêm vào đó, phần mềm đánh cắp dữ liệu cho phép truyền tệp đến máy chủ FTP.

Trong những tháng gần đây, các tổ chức của Nga, chủ yếu là các bộ phận nhân sự và tiền lương, cũng đã trở thành mục tiêu của các email lừa đảo sử dụng các chiêu trò liên quan đến tiền thưởng hoặc các chính sách tài chính nội bộ để triển khai một phần mềm độc hại chưa từng được ghi nhận trước đây có tên DUPERUNNER, phần mềm này sẽ tải AdaptixC2, một khung điều khiển và kiểm soát (C2) mã nguồn mở.

Chiến dịch này, được đặt tên là DupeHike, được cho là xuất phát từ một nhóm tin tặc có tên UNG0902.

"Tệp ZIP này được sử dụng như một nguồn lây nhiễm ban đầu dựa trên tấn công lừa đảo có chủ đích, chứa các phần mềm giả mạo có phần mở rộng PDF và LNK, tải xuống phần mềm độc hại DUPERUNNER, cuối cùng thực thi Adaptix C2 Beacon," Seqrite cho biết.

Tệp LNK ("Документ_1_О_размере_годовой_премии.pdf.lnk" hoặc "Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk") sẽ tiến hành tải xuống DUPERUNNER từ một máy chủ bên ngoài bằng cách sử dụng "powershell.exe". Nhiệm vụ chính của phần mềm độc hại này là truy xuất và hiển thị một tệp PDF giả mạo và khởi chạy AdaptixC2 bằng cách tiêm nó vào một tiến trình Windows hợp pháp như "explorer.exe", "notepad.exe" và "msedge.exe".

Các chiến dịch lừa đảo khác đã nhắm vào các lĩnh vực tài chính, pháp luật và hàng không vũ trụ ở Nga để phát tán Cobalt Strike và các công cụ độc hại như Formbook, DarkWatchman và PhantomRemote, có khả năng đánh cắp dữ liệu và điều khiển bàn phím từ xa. Máy chủ email của các công ty Nga bị xâm nhập được sử dụng để gửi các tin nhắn lừa đảo có chủ đích.

Công ty an ninh mạng Intrinsec của Pháp cho rằng loạt tấn công nhắm vào ngành công nghiệp hàng không vũ trụ Nga là do các nhóm tin tặc hoạt động vì mục đích chính trị có liên kết với lợi ích của Ukraine thực hiện. Hoạt động này, được phát hiện từ tháng 6 đến tháng 9 năm 2025, có sự trùng lặp với Hive0117, Operation CargoTalon và Rainbow Hyena (còn được gọi là Fairy Trickster, Head Mare và PhantomCore).

Một số nỗ lực này cũng được phát hiện là chuyển hướng người dùng đến các trang đăng nhập lừa đảo được lưu trữ trên Hệ thống Tệp Liên Hành tinh ( IPFS ) và Vercel, được thiết kế để đánh cắp thông tin đăng nhập liên quan đến Microsoft Outlook và Bureau 1440, một công ty hàng không vũ trụ của Nga.

Intrinsec cho biết : "Các chiến dịch được quan sát từ tháng 6 đến tháng 9 năm 2025 [...] nhằm mục đích làm suy yếu các thực thể đang tích cực hợp tác với quân đội Nga trong cuộc xung đột hiện tại với Ukraine, phần lớn bị đánh giá là chịu lệnh trừng phạt của phương Tây".