Двухуровневый стилер Phantom Stealer использует редкую технику обхода защиты: анализ новейшей угрозы

Phantom Stealer построен по двухуровневой архитектуре. Внешний слой представляет собой вредоносную библиотеку pdh.dll, скомпилированную с помощью технологии NativeAOT, что делает её практически невидимой для инструментов анализа .NET-приложений. Внутренний слой - это полнофункциональный коммерческий стилер, продаваемый под брендом Phantom Softwares, который внедряется в легитимный процесс Microsoft jsc.exe. Такое разделение позволяет отделить доставку и скрытность от кражи и монетизации данных.

Механизм заражения основан на подмене DLL: злоумышленник помещает вредоносную библиотеку в рабочий каталог приложения, которое обращается к системной библиотеке для замера производительности. Когда приложение вызывает одну из функций, срабатывает подменённый экспорт, активирующий загрузчик. Он декодирует встроенную полезную нагрузку с помощью двойного шифра RC4 и выполняет так называемое вдавливание процесса - замещение кода легитимного процесса jsc.exe своим вредоносным содержимым. Одновременно загрузчик копирует себя в каталог пользовательских данных и устанавливает ключ в реестре для автоматического запуска после перезагрузки системы.

После того как процесс запускается, в дело вступает модуль Phantom Stealer. Прежде чем начать кражу данных, он выполняет обширную проверку окружения на предмет принадлежности к исследовательской или изолированной среде. Аналитики сообщили о 14 различных условиях, при которых стилер немедленно запускает самоуничтожение. В их числе обнаружение облачной среды, подозрительного графического адаптера, запущенных процессов анализа, сервисов песочниц или эмуляторов. Если подозрительное IP-адрес, имя компьютера, учётная запись или GUID системы совпадают с зашитыми в код блок-листами, вредоносная программа удаляет себя. Всего проверяется более 80 идентификаторов, что серьёзно затрудняет анализ в тестовых средах.

Если проверки пройдены, стилер расшифровывает свою конфигурацию и приступает к сбору данных. Его объекты - свыше 70 браузеров на основе Chromium и 15 браузеров на основе Gecko, из которых извлекаются сохранённые пароли, файлы cookies, данные кредитных карт даже с CVV-кодами и профили автозаполнения. Особого внимания заслуживает способность обходить механизм шифрования App-Bound, который Google внедрила в Chrome начиная с версии 127 для защиты учётных данных на уровне приложения. Phantom Stealer использует мост для перехода из 32-битного кода в 64-битный, внедряет код в работающий процесс Chrome и через интерфейсы оболочки браузера восстанавливает ключ шифрования. Большинство рядовых стилеров не умеют обходить эту защиту, что делает Phantom Stealer более опасным инструментом.

Отдельно проработана кража криптовалютных данных. Стилер копирует каталоги 30 настольных кошельков, включая Exodus, Electrum, MetaMask, TrustWallet и другие. Кроме того, он собирает данные из 55 расширений браузерных кошельков. Однако главная опасность кроется в криптовалютном клиппере - фоновом потоке, который непрерывно отслеживает содержимое буфера обмена. Как только пользователь копирует адрес криптовалютного кошелька, клиппер заменяет его на адрес злоумышленника. Семь валют отслеживаются: биткоин, эфир, лайткоин, Bitcoin Cash, Monero, Tron и Solana. Жертва вставляет адрес, который считает правильным, и переводит средства мошеннику, даже не подозревая об атаке.

Функциональность стилера не ограничивается браузерами и кошельками. Он включает кейлоггер, записывающий нажатия клавиш в окнах, названия которых содержат ключевые слова, связанные с общением, финансами и криптовалютами. Каждые полчаса делается снимок экрана. Клиппер буфера обмена записывает любой скопированный текст, включая пароли, ключи API и номера счетов. Устройство также извлекает пароли от Wi-Fi-сетей через команды командной строки, собирает учётные данные FTP-клиентов, почтовых приложений и сессий Telegram. Наконец, в конфигурации предусмотрен модуль сборщика файлов и загрузчик, способный выполнять дополнительные вредоносные программы в памяти без записи на диск.

Все собранные данные архивируются и отправляются злоумышленнику по электронной почте через скомпрометированный почтовый сервер. Интересно, что адрес отправителя подделывает название японской строительной фирмы, используя просроченное доменное имя.

Phantom Stealer - это не просто очередной стилер паролей. Это коммерческая платформа для кражи, построенная с упором на скрытность и закрепление. Использование NativeAOT для маскировки загрузчика, обход шифрования App-Bound в Chrome, обширные проверки на анализ и многоканальная кража данных делают его серьёзным вызовом для систем защиты. Особую опасность представляет криптоклиппер, который работает на уровне системы и не зависит от браузера, а также способность доставлять дополнительные угрозы в память без записи файлов. Для специалистов по безопасности это означает необходимость внедрения многослойной защиты, включающей поведенческий анализ, контроль целостности процессов и мониторинг активности буфера обмена, особенно в средах, где обрабатываются криптовалютные активы и финансовая информация.

Domains

• mail.taikei-rmc-co.biz
• phantomsoftwares.site
• www.phantomsoftwares.site

Emails

• new@taikei-rmc-co.biz
• new2@taikei-rmc-co.biz

MD5

• 12e4b130af651ae53bea75be7fabb751
• aec235738d1c4f06f1b12a8d11a01f4e
• ff185b05b231eed98d33239f1b202241

SHA256

• c6a2681107ce91ebed93ea0502817025aaf7238db8f96012c389c567904789fa
• d2f509efbdb1d4ae68216807648ea34ba8af5778e1626fc67085b832eebfdc53
• d8a05deefe97c6bbe1e083e9d8a182e6b6e5fbc77af483d2cdef0b4cadec22ce

Crypto Wallet Addresses

• BTC bc1qq8zs0ngk6t0ergwdknpc9m4e46pgnnns47h9er
• ETH 0x7e3205A62FCf14a1d50aA7A58B6aE7daC471Ae9e
• LTC LaGNPik4pQrsipv6tXm8YCaMn3T6ZmcHyt
• BCH qq0zxsskgel7vurzqyzdkmepwjunp5vwgvvdlvudkv
• XMR 47NagK8jt1U6UoTzU7mFXPghQbodptiyBZB7MVkxZFyYXpUfJqHAFUR71TH6pTZub13zZS8hz4M6YTuytGwpefVTT8sS1Bc
• TRX TDLVU9c84owCjrKCiHXK27zdLefnM5g941
• SOL B7VfhomCgQXkWeLXKUB7MVrDA7iRHQ5rRMwZ2swad8pL