#ParsedReport #CompletenessLow
17-06-2026

Mastra Supply Chain Compromise: easy-day-js Dropper Pulls a Cross-Platform RAT Into @mastra Installs

https://www.upwind.io/feed/mastra-supply-chain-compromise-easy-day-js-dropper-pulls-a-cross-platform-rat-into-mastra-installs

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Mastra, Developer workstations, Continuous integration environments

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1057, T1059.004, T1059.007, T1070.004, T1071.001, T1105, T1119, T1132.001, have more...

IOCs:
File: 9
IP: 2

Soft:
macOS, Linux, Chrome, Caddy

Wallets:
metamask, coinbase, keplr, tronlink

Algorithms:
ecc, base64

Win API:
Lockfile

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
17 июня 2026 года атака через Цепочку поставок была направлена на организацию @mastra/* в npm с внедрением вредоносного пакета easy-day-js@1.11.22, который функционировал как загрузчик для кроссплатформенной Троянской программы (RAT). Атака началась с версии библиотеки, использующей метод typosquatting, что позволило вредоносному пакету оставаться незамеченным в течение 18 часов, прежде чем он выполнил скрипт, обходящий SSL-сертификаты для загрузки RAT. Эта Троянская программа проводила разведку на зараженных системах, собирая конфиденциальную информацию, связанную с криптовалютами, и пересылая ее на удаленный сервер.
-----

17 июня 2026 года была осуществлена масштабная атака на цепочку поставок, в результате которой была скомпрометирована организация @mastra/* в npm путем внедрения вредоносного пакета easy-day-js@1.11.22. Этот пакет функционировал как загрузчик, который при установке запускал скрипт postinstall, приводящий к загрузке и установке кроссплатформенной Троянской программы удаленного доступа (RAT). Данная Троянская программа установила постоянные бэкдоры на системах macOS, Linux и Windows.

Атака произошла вскоре после публикации версии библиотеки dayjs с опечаткой в названии (typosquatted). Изначальный вредоносный пакет easy-day-js@1.11.21 имитировал dayjs, не содержа вредоносного кода, что позволило ему избежать обнаружения примерно в течение 18 часов. Вторая версия внедрила механизм дроппера; в частности, скрипт setup.cjs выполнялся при установке, инициируя различные вредоносные действия. Дроппер модифицировал среду Node.js для обхода проверки SSL-сертификатов и загрузил дополнительную полезную нагрузку с указанного сервера управления (C2).

После выполнения второй стадии полезной нагрузки, 41 КБ зашифрованного RAT, выполнил разведку на хост-системе, собирая информацию об установленных приложениях, запущенных процессах и потенциально прибыльных идентификаторах расширений браузера, связанных с криптокошельками. Эти данные были эксфильтрованы обратно на сервер C2 способом, разработанным для обхода обнаружения традиционными межсетевыми экранами веб-приложений (WAF).

Для тех систем, которые потенциально могли быть скомпрометированы, были описаны несколько индикаторов для проверки заражения. Это включает поиск ссылок на easy-day-js в lock-файлах, мониторинг специфических маркеров временных директорий, а также проверку механизмов закрепления во всех трех операционных системах, вместе с запросами на сетевую активность, связанную с C2-серверами.

Шаги по устранению уязвимости подчеркивают срочные действия, такие как фиксация затронутых пакетов на их предыдущих безопасных версиях, блокировка вредоносного пакета и рассмотрение любой среды разработки, которая выполнила скомпрометированные пакеты, как потенциально нарушенной. Организациям также рекомендуется ротировать учетные данные, которые могли быть раскрыты, особенно поскольку внедренный код использовал среду оболочки по умолчанию для доступа к чувствительным токенам.

В заключение, устранение последствий этой атаки на цепочку поставок требует немедленного обнаружения, изоляции и внедрения строгих мер сетевой безопасности для предотвращения дальнейших контактов с инфраструктурой выявленных злоумышленников.

#ParsedReport #CompletenessMedium
17-06-2026

Anatomy of a Deno-Based Proxy & RAT - InfoGuard Labs

https://labs.infoguard.ch/posts/anatomy_deno_rat/

Report completeness: Medium

Threats:
Deno_tool
Spear-phishing_technique

Victims:
Employees

TTPs:
Tactics: 5
Technics: 14

IOCs:
Path: 7
File: 12
Registry: 2
Command: 1
Coin: 1
Hash: 5
Domain: 1

Soft:
Microsoft Defender, Microsoft Teams, Node.js, ServiceNow

Algorithms:
base64, sha256, zip

Functions:
Teams, TextDecoder

Languages:
javascript, typescript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилась новая угроза вредоносного ПО, использующая Deno в качестве Троянской программы (RAT) и прокси-фреймворка, которая следует за двухэтапной атакой, включающей фишинговые письма и имперсонацию звонков в Microsoft Teams. Модульная архитектура вредоносного ПО состоит из четырех файлов JavaScript, что повышает тактику уклонения за счет распределения функций по отдельным скриптам и подключения к конечной точке управления (command-and-control) через WebSocket на Amazon CloudFront для выполнения команд. Ключевые модули обеспечивают локальное выполнение команд и перемещение через скомпрометированный хост, усложняя усилия по обнаружению.
-----

Недавние расследования выявили новую угрозу вредоносного программного обеспечения, которая использует Deno, безопасную среду выполнения JavaScript и TypeScript, в качестве комбинированной Троянской программы для удаленного доступа (RAT) и фреймворка прокси. Это ВПО появилось в результате сложного двухэтапного процесса атаки, который начался с масштабной кампании спама по электронной почте, направленной на запутывание сотрудников, за которой быстро последовали звонки в имитаторе Microsoft Teams от актора, выдающего себя за службу технической поддержки. Пострадавшие пользователи были вынуждены загрузить и выполнить вредоносный файл с поддельного портала самообслуживания.

Архитектура ВПО отличается от традиционных скомпилированных загрузчиков за счёт модульного дизайна на базе Deno, включающего четыре основных JavaScript-файла. Такая архитектура обеспечивает большую гибкость и уклонение от обнаружения, поскольку разделяет функциональность между несколькими скриптами. Основной бэкдор подключается к WebSocket-конечной точке управления (C2), размещённой на Amazon CloudFront, что позволяет получать инструкции и выполнять локальные команды через вспомогательные сервисы. Использование характеристик Deno, обеспечивающих безопасность по умолчанию, способствует методичному запросу разрешений, распределяя необходимые возможности по различным модулям.

Заметными особенностями ВПО являются использование локальных HTTP-сервисов по протоколу loopback и несколько дочерних процессов, запускаемых основным скриптом-загрузчиком. Основной скрипт app.js координирует работу других модулей, обеспечивая выполнение каждого из них только с необходимыми правами доступа. Такая сегрегация усложняет усилия по обнаружению, поскольку базовые операции могут не вызывать срабатывания систем обнаружения и реагирования на конечных точках (EDR), даже если другие действия, такие как LDAP-запросы, могут их вызывать.

Отдельные модули играют ключевую роль в работе ВПО. Модуль back.js действует как мост C2, поддерживая соединение WebSocket для ретрансляции команд, в то время как helper.js обеспечивает выполнение локальных команд, не вызывая излишнего подозрения, за счет поддержания внутренних взаимодействий. Модуль webui.js имеет решающее значение, поскольку он превращает скомпрометированную хост-машину в сетевой пивот, предоставляя злоумышленникам возможности внутреннего доступа. Эта функция пивотирования позволяет перенаправлять трафик через зараженную машину, позволяя злоумышленникам использовать ее для более глубоких операций по проникновению в сеть.

Усилия по обнаружению не должны полагаться исключительно на выявление вредоносного кода, а вместо этого должны охватывать более широкий подход, включающий поведенческий мониторинг, особенно с акцентом на признаки Имперсонации, всплески спам-активности и подозрительное выполнение Deno с флагами разрешений высокого риска. Обеспечение корреляции между различными выходами телеметрии — такими как данные об идентификации, электронной почте, конечных точках и сети — будет иметь решающее значение для эффективного противодействия этому формирующемуся ландшафту угроз, где социальная инженерия переплетается с передовыми техниками ВПО.

#ParsedReport #CompletenessMedium
17-06-2026

Malware à la Mode: Tracking Dropping Elephant Tradecraft Through a China-Themed Loader Chain

https://www.rapid7.com/blog/post/tr-malware-tracking-dropping-elephant-tradecraft-china-themed-loader-chain

Report completeness: Medium

Actors/Campaigns:
Donot

Threats:
Dll_sideloading_technique
Donut
Sandbox_evasion_technique
Diaphora
Spear-phishing_technique

Victims:
Energy sector

Geo:
China

TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 4
Domain: 2
Path: 3
Command: 1
Hash: 10

Soft:
BinDiff

Algorithms:
sha256, aes, chaskey, base64, aes-256-cbc, salsa20

Functions:
FreeConsole, sub_415750

Win API:
VirtualAlloc, EnumUILanguagesW, LoadLibrary, GetProcAddress, InternetReadFile, BitBlt, GetSystemMetrics

Languages:
powershell

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, windows: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rapid7 выявил сложную вредоносную кампанию злоумышленника Dropping Elephant, использующего документ-приманку на китайскую тематику для развертывания модифицированного in-memory RAT. Ключевые техники включают side-loading DLL Microsoft-бинарника и shellcode Donut для обхода обнаружения. Атака начинается, когда вредоносный ярлык Windows запускает PowerShell-загрузчик, который извлекает ВПО, использующее продвинутые методы уклонения, включая flattening потока управления, зашифрованные коммуникации и техники антианализа.
-----

Исследователи Rapid7 раскрыли сложную вредоносную кампанию, приписываемую злоумышленнику, известному как Dropping Elephant. Эта кампания использует документ-приманку на китайскую тематику для доставки сильно модифицированного трояна удаленного доступа (Троянская программа) в памяти, демонстрируя передовые техники уклонения. Заметные тактики включают боковую загрузку DLL легитимного бинарного файла Microsoft, Fondue.exe, и использование shellcode Donut, который отображает Троянская программа непосредственно в память, тем самым избегая традиционных мер безопасности, ориентированных на диск.

Эволюционировавший RAT демонстрирует сложные проблемы обнаружения благодаря таким методам, как выравнивание потока управления, восстановление API во время выполнения и усиленные каналы управления (C2). Несмотря на значительные изменения, анализ указывает на преемственность с устоявшейся тактикой Dropping Elephant из-за согласованных паттернов беконинга, возможностей создания скриншотов и структур обработки команд.

Атака начинается, когда пользователь взаимодействует с вредоносным ярлыком Windows GRES3001.lnk, замаскированным под PDF-документ, связанный с контрактом в энергетическом секторе Китая. Выполнение ярлыка запускает зашифрованный загрузчик PowerShell, который извлекает как поддельный документ, так и полезную нагрузку ВПО с сервера-посредника. Процесс опирается на стандартные техники обфускации для избежания обнаружения.

После запуска загрузчика он использует подгрузку DLL для выполнения вредоносного файла APPWIZ.cpl. Этот файл служит загрузчиком, отвечающим за чтение и расшифровку следующего этапа полезной нагрузки. Он использует вызовы VirtualAlloc и memcpy для отображения shellcode Donut в сегмент памяти, доступный для записи и выполнения, никогда не записывая финальный RAT на диск. RAT использует шифрование Chaskey, применяет патчинг кода для обхода средств защиты (AMSI, WLDP, ETW) и интегрирует высокий уровень обфускации для усложнения обнаружения угроз.

Затем 32-битный нативный RAT отделяется от консольного интерфейса, динамически разрешает необходимые API и устанавливает связь со своим C2-сервером через HTTPS. Связь использует специфический токен для C2-трафика, а RAT отправляет периодические маячки для проверки связи с сервером. Эти маячки также включают разведывательные данные о хосте жертвы, включая информацию об окружении системы и потенциальных средствах защиты, используя техники антианализа и проверки процессов.

Оперативные тактики, применяемые Dropping Elephant, отражают непрерывные инвестиции в улучшение возможностей своего ВПО, особенно в плане методов обхода обнаружения и доставки. Опора кампании на резидентность в памяти для своего RAT знаменует собой заметный сдвиг от традиционных методов, которые могли оставлять артефакты на диске. Это подчеркивает важность для защитников сосредоточиться на поведенческих индикаторах и видимости на уровне памяти, а не исключительно на традиционных индикаторах компрометации (IOCs), таких как хеш-значения или имена файлов. Анализ предполагает, что обновления в дизайне RAT могут происходить параллельно с неизменными оперативными подходами, что требует постоянной бдительности против этой развивающейся угрозы.

#ParsedReport #CompletenessHigh
17-06-2026

Analysis of APT37 NarwhalRAT Leveraging MS-Themed Phishing and Dead-drop C2

https://www.genians.co.kr/en/blog/threat_intelligence/narwhalrat

Report completeness: High

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Narwhalrat
Dead_drop_technique
Spear-phishing_technique
Rokrat
Sandbox_evasion_technique
Lolbin_technique

Victims:
Korean users

Geo:
Korean, Korea

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1008, T1010, T1025, T1027, T1027.013, T1033, T1036.003, T1036.004, T1036.005, T1036.008, have more...

IOCs:
Domain: 5
Command: 1
File: 16
Path: 1
Url: 2
Hash: 4
IP: 6

Soft:
curl, Windows security, Windows scheduled task, VirtualBox, hyperv, macOS, Internet Explorer, Windows CryptoAPI, Task Scheduler

Algorithms:
aes, base64, aes-128, xor, md5, sha256, zip

Functions:
chr, inside, RtlMoveMemory, SHGetFolderPathA

Win API:
VirtualAlloc, CreateMutexW, GetLastError, GetFileAttributesA, CreateDirectoryA, SetFileAttributesA, SHGetFolderPathA, SHCreateDirectoryExA, CryptDeriveKey, GetForegroundWindow, have more...

Languages:
python, powershell

Links:
https://github.com/LOLBAS-Project/LOLBAS

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 2, code: 2, dump: 1, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NarwhalRAT, связанный со злоумышленником APT37, нацелен на пользователей Южной Кореи с использованием тактик целевого фишинга, применяя обманные LNK-файлы для запуска процесса заражения. Он использует двойную структуру управления для обеспечения связи, которая задействует корейский сервер-ретранслятор и API pCloud, в то время как многоэтапное заражение позволяет ему избегать обнаружения с помощью команд PowerShell и Batch. ВПО может извлекать конфиденциальную информацию с помощью регистрации нажатий клавиш, захвата экрана и сбора данных с USB-устройств, а также демонстрирует продвинутые техники, такие как динамическая конфигурация управления для обеспечения связи и выполнение в памяти, чтобы повысить скрытность и устойчивость.
-----

Анализ NarwhalRAT, приписываемого злоумышленнику APT37, описывает сложную кибератаку, в первую очередь направленную на пользователей Южной Кореи. Первоначальный доступ был получен через Целевой фишинг с использованием электронных писем, замаскированных под сообщения от команды учетной записи Microsoft, при этом вредоносные LNK-файлы побуждали пользователей невольно установить вредоносное ПО NarwhalRAT. Атака использовала двойную структуру управления (C2), применяя как корейский сервер-ретранслятор, так и API pCloud в качестве резолвера мертвой точки для сокрытия своей истинной инфраструктуры.

После запуска файла LNK был инициирован многоэтапный процесс заражения, который включал команды PowerShell и Batch, разработанные для обхода стандартных средств обнаружения безопасности. ВПО собирало различные типы конфиденциальной информации с помощью регистрации нажатий клавиш, захватов экрана, сбора данных с USB-устройств и выполнения удаленных команд. Его операционный фреймворк включал не только локальное хранение файлов, но и возможность выполнения в памяти, что позволяло ему манипулировать системой, не оставляя традиционных следов, характерных для ВПО.

Одной из ключевых особенностей NarwhalRAT является его динамическая конфигурация C2, которая позволяет злоумышленникам изменять параметры связи в реальном времени с помощью зашифрованных настроек, хранящихся в конфигурационном файле. Этот файл, замаскированный под расширение .cat для имитации легитимных файлов Windows, обеспечивал постоянное хранение конфигураций команд и операционных состояний, повышая его скрытность и устойчивость к усилиям по обнаружению.

Вредоносное ПО было искусным в выполнении потенциально вредоносных функций без традиционных методов выполнения на основе файлов, вместо этого полагаясь на библиотеку Python ctypes для прямого взаимодействия с API Windows для таких операций, как выделение памяти и управление процессами. Примечательно, что оно использовало выделение памяти RWX (Чтение-Запись-Выполнение), тактику, часто связанную с продвинутым вредоносным ПО, которое стремится избежать обнаружения, сосредоточенного исключительно на файловой активности.

Более того, оперативные техники, применяемые в NarwhalRAT, демонстрируют заметные параллели с ранее задокументированными инцидентами APT37, особенно в методе целевого фишинга, структуре компонентов ВПО и тактиках, используемых для закрепления и выполнения команд. По сути, NarwhalRAT представляет собой эволюцию существующих возможностей APT37, включающую усовершенствованные методы первоначального доступа, обхода обнаружения и стратегий целевого извлечения информации, адаптированных для конкретной демографической группы пользователей.

Учитывая его сложные методы, организациям рекомендуется укреплять свою защиту, улучшая стратегии обнаружения и реагирования на конечных точках. Это включает в себя фокус не только на традиционных индикаторах компрометации, но и на поведенческих паттернах, указывающих на многоуровневый характер атак, наблюдаемых в цепочке заражения NarwhalRAT.

#ParsedReport #CompletenessLow
17-06-2026

Analysis of Recent Phishing Website Attacks by APT-C-08 (Manlinghua)

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247508668&idx=1&sn=1ec03eafb27735e2f5e3b7ea02e77d42&chksm=f9c191b5ceb618a3a101b03fdfd83de445d8e33839d01840374c7e7035d9e245ecba854efb4d&scene=178&cur_album_id=1955835290309230595&search_click_id=#rd

Report completeness: Low

Actors/Campaigns:
Bitter (motivation: information_theft)

Victims:
Government agencies, Defense contractors, Universities, Overseas institutions, South asian region

Industry:
Education, Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1059.005, T1204.002, T1566.002

IOCs:
Hash: 1
File: 2
Domain: 1
IP: 1

Soft:
LiteSpeed

Algorithms:
md5, zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Manlinghua (APT-C-08), связанная с правительствами стран Южной Азии, усилила целевые атаки на государственные учреждения, оборонные подрядчики и университеты, используя фишинговые сайты для кражи учетных данных пользователей и распространения вредоносных загрузок. Их операции включают VBS-скрипты, которые эксплуатируют доступ для управления устройствами и эксфильтрации конфиденциальных данных, создавая конфигурацию управления (C2) для постоянного выполнения. Эти тактики отражают отточенный подход к социальной инженерии, подчеркивая их угрозу для информационной безопасности.
-----

Группа Manlinghua, идентифицированная как APT-C-08, является сложной целенаправленной угрозой, имеющей связи с правительствами стран Южной Азии. В последнее время они активизировали свою деятельность, особенно нацеливаясь на государственные учреждения, оборонные подрядчики, университеты и зарубежные учреждения в регионе Южной Азии. Недавний анализ выявил их развертывание нескольких фишинговых веб-сайтов, предназначенных для компрометации учетных данных пользователей и распространения вредоносных загрузок.

Фишинговые операции используют веб-сервисы от LiteSpeed, предлагая две основные точки входа: одна маскируется под легитимный почтовый сервис (сайт 163) и предназначена для сбора адресов эл. почты и паролей, а другая создана для доставки VBS-скриптов при взаимодействии пользователя. Злоумышленник использует этот доступ для захвата контроля над процессами устройства, что позволяет ему выполнять эксфильтрацию конфиденциальной информации.

Детальный анализ захваченного вредоносного VBS-скрипта показывает, что злоумышленник настраивает адрес управления (C2) и запланированную задачу для постоянного выполнения. Скрипт создан для резервного копирования вредоносного файла в нескольких местах, одновременно непрерывно получая и выполняя команды с инфраструктуры C2. Этот паттерн демонстрирует соответствие тактикам, техникам и процедурам (TTPs), используемым группой Manlinghua, которая ранее проявляла аналогичный подход при создании фишинговых сайтов и развертывании вредоносного кода.

Архитектура фишинговой веб-страницы повторяет конструкции, использовавшиеся в прошлых кампаниях, что указывает на то, что группа Manlinghua не только вернула ранее установленные тактики, но и доработала их для повышения эффективности. VBS-скрипты выполняют двойную функцию: они обеспечивают постоянное управление скомпрометированными устройствами и способствуют краже данных и выполнению удаленных команд. Этот многогранный подход обходит начальные средства защиты с помощью сложных тактик социальной инженерии, представляя серьезную угрозу конфиденциальности информации, хранящейся на зараженных системах.

В заключение, недавние операции APT-C-08 подчеркивают их постоянную эволюцию в киберугрозах и способность использовать социальную инженерию, демонстрируя системный подход к нарушению мер безопасности и нацеливанию на чувствительные организации через тщательно разработанные фишинговые стратегии.

#ParsedReport #CompletenessHigh
17-06-2026

Phishing Campaign Targets Banks with Fileless Phantom Stealer Malware

https://www.fortra.com/blog/phishing-campaign-targets-banks-fileless-phantom-stealer-malware

Report completeness: High

Threats:
Phantom_stealer
Credential_harvesting_technique
Donut
Process_injection_technique
Marte
Foxveil

Victims:
Banking sector, Financial sector, Corporate sector, High capital organizations

Industry:
Financial

Geo:
Ukraine

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 16
Url: 2
Domain: 2
IP: 3
Command: 2
Hash: 5
Registry: 2
Path: 1

Soft:
Chrome, Firefox, Discord, Telegram, Steam, Windows shell, WinRAR, firefox, chrome, Chromium

Algorithms:
aes-256, xor, sha256, sha1, base64, aes-256-cbc, aes, md5

Win API:
RUN

Languages:
powershell

Platforms:
x64, x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на банковские организации с высоким капиталом, использует вредоносное ПО Phantom Stealer, продаваемое в рамках модели ВПО как услуга злоумышленником Oldphantomoftheopera. Это вредоносное ПО, работающее полностью в памяти для избежания обнаружения, крадет учетные данные, финансовые данные и конфиденциальную информацию из различных приложений и браузеров через зашифрованные пакетные файлы, доставляемые через вредоносные архивы RAR. Оно устанавливает закрепление, внедряя себя в процесс explorer.exe, и использует различные каналы для эксфильтрации данных, усложняя усилия по обнаружению и реагированию.
-----

Выявлена продолжающаяся фишинговая кампания, нацеленная преимущественно на организации с высоким капиталом в банковском секторе, использующая вредоносное ПО Phantom Stealer. Данное ВПО является частью коммерческого предложения Malware-as-a-Service (MaaS), продаваемого злоумышленником, известным как Oldphantomoftheopera, связанным с Phantom Softwares. Основной целью данной кампании является скрытое похищение учетных данных, финансовых данных и конфиденциальной информации у жертв.

Атака начинается с фишинговых писем, содержащих вредоносные архивы RAR, в которых пакетные файлы маскируются под бизнес-документы. После запуска вредоносное ПО работает исключительно в памяти для обхода традиционных механизмов безопасности. Phantom Stealer целенаправленно атакует различные веб-браузеры и приложения, включая Chrome, Firefox, Edge, Discord, Телеграм и Steam. Его функциональность включает кражу финансовой информации, данных криптовалют, сбор нажатий клавиш, создание скриншотов и доступ к Данным из буфера обмена.

Одной из заметных сильных сторон кампании является её многоуровневое запутывание и работа в памяти, что позволяет оставаться незамеченным для обычных средств защиты. Анализ ВПО показал, что механизм атаки включает сильно запутанный пакетный файл, который после выполнения обеспечивает закрепление и внедряет Phantom Stealer в легитимный процесс explorer.exe. Используя PowerShell, ВПО загружает и расшифровывает финальный полезный груз через сложный набор шагов, применяя такие техники, как шифрование Base64 и AES-256-CBC.

Метод доставки вредоносного ПО высоко адаптирован под его цели, используя правдоподобные сценарии для стимулирования выполнения, например, маскируя RAR-архивы под корпоративные запросы на ценовые предложения. Это указывает на стратегический фокус на социальной инженерии, делая фишинговые атаки более убедительными. Актор использует несколько каналов для эксфильтрации, включая Телеграм, Discord, FTP и SMTP, обеспечивая скрытый и безопасный сбор данных.

Операционное воздействие Phantom Stealer является значительным; после установки он может получить доступ ко всем учетным данным, файлам cookie и токенам сессий, хранящимся в браузере, что потенциально приводит к несанкционированному доступу к конфиденциальным данным клиентов и финансовым системам. Скрытная природа ВПО, которое не оставляет следов на диске и работает исключительно в памяти, делает обнаружение исключительно сложным. Даже устоявшиеся решения безопасности зафиксировали низкие показатели обнаружения.

Стратегии смягчения включают блокировку доступа к определенным индикаторам разведки, таким как icanhazip.com, и включение регистрации блоков скриптов PowerShell для выявления аналогичной вредоносной активности. Учитывая чувствительный характер банковского сектора, организациям необходимо проявлять бдительность в отношении попыток фишинга и укреплять обучение по безопасности среди сотрудников, особенно в части несанкционированных вложений. Риск, создаваемый Phantom Stealer, подчеркивает постоянную сложность атак фишинга и изменяющийся ландшафт киберугроз, с которыми сталкиваются финансовые учреждения.