Phantom Stealer: Nguy hiểm rò rỉ dữ liệu từ Phishing ISO

Các nhà nghiên cứu đã phát hiện một chiến dịch phishing tinh vi, mang tên Operation MoneyMount-ISO, triển khai mã độc đánh cắp thông tin Phantom Stealer thông qua các tệp ISO độc hại. Chiến dịch này đặc biệt nhắm vào các phòng ban tài chính và kế toán, sử dụng email xác nhận thanh toán giả mạo để lừa nạn nhân thực thi payload.

Mục tiêu chính bao gồm các bộ phận tài chính, kế toán, ngân quỹ và thanh toán tại Nga. Các mục tiêu phụ mở rộng sang bộ phận mua sắm, pháp lý, nhân sự/tiền lương, trợ lý điều hành và các doanh nghiệp vừa và nhỏ nói tiếng Nga. Cuộc tấn công mạng này đặt ra các rủi ro đáng kể như đánh cắp thông tin xác thực, gian lận hóa đơn và thanh toán, chuyển tiền trái phép, và khả năng di chuyển ngang trong hệ thống IT.

Chi Tiết Kỹ Thuật Về Chuỗi Lây Nhiễm

Quá trình lây nhiễm khởi đầu bằng một email tấn công phishing bằng tiếng Nga với tiêu đề “Подтверждение банковского перевода” (Xác nhận chuyển khoản ngân hàng).

Email giả mạo nhà môi giới tiền tệ TorFX Currency Broker và chứa một tệp đính kèm ZIP có kích thước khoảng 1 MB. Khi nạn nhân mở tệp ZIP này, họ sẽ thấy một tệp ISO độc hại được ngụy trang thành tài liệu xác nhận chuyển khoản ngân hàng hợp pháp. Tệp ISO này chính là vector lây nhiễm cho mã độc Phantom Stealer.

Khi được thực thi, tệp ISO sẽ tự động mount dưới dạng ổ đĩa CD ảo, hiển thị một tệp thực thi có vẻ hợp pháp. Tệp thực thi này sau đó tải các payload bổ sung vào bộ nhớ, bao gồm một DLL tên là CreativeAI.dll chứa mã đã mã hóa.

DLL này chịu trách nhiệm giải mã và tiêm phiên bản cuối cùng của mã độc Phantom Stealer vào hệ thống, hoàn tất quá trình lây nhiễm ban đầu.

Khả Năng Vượt Trội Của Mã Độc Phantom Stealer

Phantom Stealer là một công cụ đánh cắp dữ liệu toàn diện với nhiều khả năng mở rộng. Mã độc này tích hợp các kỹ thuật chống phân tích tinh vi, cho phép nó phát hiện môi trường ảo hóa và các công cụ bảo mật. Nếu bị phát hiện, Phantom Stealer sẽ tự động hủy bỏ để tránh bị phân tích sâu hơn.

Thu Thập Dữ Liệu Ví Tiền Điện Tử

Theo báo cáo từ Seqrite, mã độc Phantom Stealer có khả năng thu thập dữ liệu ví tiền điện tử từ cả tiện ích mở rộng trình duyệt và ứng dụng máy tính để bàn. Mã độc này nhắm mục tiêu vào hàng chục ví tiền điện tử phổ biến đã biết.

Trích Xuất Thông Tin Discord

Phantom Stealer trích xuất token xác thực Discord từ các cơ sở dữ liệu trình duyệt và cài đặt Discord gốc. Mã độc cũng xác thực các token này thông qua API của Discord và thu thập thông tin người dùng bao gồm tên người dùng, địa chỉ email và trạng thái đăng ký Nitro của tài khoản.

Giám Sát Clipboard Liên Tục

Một tính năng đáng chú ý khác của Phantom Stealer là triển khai trình giám sát clipboard liên tục. Nó ghi lại nội dung clipboard mỗi giây và lưu trữ các mục có dấu thời gian để chuẩn bị cho việc đánh cắp dữ liệu sau này.

Ghi Lại Thao Tác Bàn Phím và Thu Hồi Dữ Liệu Nhạy Cảm

Các khả năng bổ sung của Phantom Stealer chứng tỏ sự nguy hiểm của nó trong việc rò rỉ dữ liệu:

• Triển khai một trình ghi lại thao tác bàn phím (keystroke logger) toàn cầu sử dụng các hook cấp thấp của Windows.
• Khôi phục mật khẩu đã lưu và dữ liệu thẻ tín dụng từ các trình duyệt dựa trên Chromium thông qua phân tích cơ sở dữ liệu SQLite.
• Thu thập các tệp tin mục tiêu dựa trên các tiêu chí đã định trước bởi kẻ tấn công.

Cơ Chế Đánh Cắp và Đưa Dữ Liệu Ra Ngoài

Sau khi thu thập, mã độc Phantom Stealer đóng gói dữ liệu đánh cắp vào một tệp lưu trữ ZIP. Tệp này bao gồm siêu dữ liệu hệ thống, địa chỉ IP công cộng và các thiết lập cấu hình cụ thể của hệ thống bị nhiễm.

Mã độc sử dụng nhiều kênh để đưa dữ liệu ra ngoài (exfiltration), bao gồm API Telegram bot, Discord webhooks và máy chủ FTP với hỗ trợ SSL tùy chọn. Điều này đảm bảo những kẻ tấn công nhận được thông tin đánh cắp qua các phương pháp liên lạc dự phòng và khó bị chặn.

Biện Pháp Phòng Ngừa và Bảo Vệ

Để chống lại những mối đe dọa đang phát triển này và tăng cường an toàn thông tin, các tổ chức cần triển khai các biện pháp sau:

• Thực hiện lọc liên tục các tệp đính kèm được đóng gói (containerized attachments) tại cấp độ gateway email và endpoint.
• Triển khai các giải pháp giám sát hành vi bộ nhớ (memory-behavior monitoring solutions) để phát hiện các hoạt động bất thường của tiến trình liên quan đến Phantom Stealer.
• Tăng cường quy trình bảo mật mạng và email cho các bộ phận liên quan đến tài chính, bao gồm đào tạo nhân viên về nhận diện email tấn công phishing.

Việc áp dụng các biện pháp này sẽ giúp giảm thiểu rủi ro từ các cuộc tấn công tinh vi như Operation MoneyMount-ISO và bảo vệ khỏi các biến thể của Phantom Stealer.