Phantom Stealer που επιτίθεται σε χρήστες για να κλέψει ευαίσθητα δεδομένα όπως κωδικούς πρόσβασης, cookies προγράμματος περιήγησης, δεδομένα πιστωτικών καρτών

Η έκδοση 3.5 του Phantom Stealer έχει αναδειχθεί ως σοβαρή απειλή για τους χρήστες σε όλο τον κόσμο, ικανή να εξάγει ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης, cookie προγράμματος περιήγησης, στοιχεία πιστωτικών καρτών και δεδομένα πορτοφολιού κρυπτονομισμάτων.

Αυτό το εξελιγμένο κακόβουλο λογισμικό λειτουργεί μέσω παραπλανητικών συσκευασιών, που συχνά μεταμφιέζονται ως νόμιμα προγράμματα εγκατάστασης λογισμικού της Adobe, γεγονός που καθιστά δύσκολο για τους χρήστες που δεν γνωρίζουν τον εντοπισμό του κινδύνου πριν εμφανιστεί μόλυνση.

Η επίθεση ξεκινά με ένα ψεύτικο αρχείο εγκατάστασης Adobe 11.7.7, το οποίο αναγνωρίστηκε για πρώτη φορά στις 29 Οκτωβρίου 2025. Το αρχείο είναι στην πραγματικότητα ένα συγκεχυμένο έγγραφο XML που περιέχει ενσωματωμένο κώδικα JavaScript που έχει σχεδιαστεί για να ενεργοποιεί μια αλυσίδα κακόβουλων δραστηριοτήτων.

Όταν εκτελείται, το αρχείο κατεβάζει ένα σενάριο PowerShell από έναν απομακρυσμένο διακομιστή, θέτοντας το υπόβαθρο για βαθύτερο συμβιβασμό του συστήματος και συλλογή δεδομένων.

Ερευνητές της K7 Security Labs αναγνωρισθείς ότι το Phantom Stealer χρησιμοποιεί έναν μηχανισμό μόλυνσης πολλαπλών σταδίων που επιδεικνύει σημαντική τεχνική πολυπλοκότητα.

Το κακόβουλο λογισμικό κατεβάζει μια ασαφή δέσμη ενεργειών PowerShell από τη διεύθυνση URL positivepay-messages.com/file/floor.ps1, η οποία εκτελείται με κρυφά χαρακτηριστικά και παρακάμπτοντας τις πολιτικές ασφαλείας.

Αυτή η δέσμη ενεργειών περιέχει δεδομένα κρυπτογραφημένα με RC4 που, μόλις αποκρυπτογραφηθούν, αποκαλύπτουν οδηγίες για τη φόρτωση μιας διάταξης .NET απευθείας στη μνήμη.

Η δεύτερη φάση περιλαμβάνει τον εγχυτήρα BLACKHAWK.dll, ένα κρίσιμο στοιχείο που εκτελεί την ένεση διεργασίας στο νόμιμο βοηθητικό πρόγραμμα των Windows Aspnetcompiler.exe.

Αυτή η τεχνική έγχυσης φορτώνει κακόβουλο κώδικα σε μια αξιόπιστη διαδικασία συστήματος, επιτρέποντας στον κλέφτη να λειτουργεί υπό το ραντάρ του λογισμικού ασφαλείας.

Το κακόβουλο λογισμικό παρακολουθεί συνεχώς εάν το Aspnetcompiler.exe εκτελείται σε διαστήματα πέντε δευτερολέπτων, διασφαλίζοντας μόνιμη λειτουργία.

Τεχνικές Έγχυσης Διαδικασίας και Αποφυγής

Το Phantom Stealer αξιοποιεί προηγμένες μεθόδους αποφυγής για να αποφύγει τον εντοπισμό και την ανάλυση. Το κακόβουλο λογισμικό εφαρμόζει πολυάριθμους ελέγχους κατά της ανάλυσης, συμπεριλαμβανομένου του εντοπισμού εικονικών μηχανών, κουτιών δοκιμών και εργαλείων παρακολούθησης μέσω ύποπτης αντιστοίχισης ονόματος χρήστη με μια κωδικοποιημένη λίστα 112 ονομάτων χρήστη sandbox.

Εάν εντοπιστούν τέτοια περιβάλλοντα, το κακόβουλο λογισμικό αυτοκαταστρέφεται δημιουργώντας ένα αρχείο δέσμης που τερματίζει αναγκαστικά τη διαδικασία του.

Το πιο αξιοσημείωτο είναι ότι ο κλέφτης χρησιμοποιεί Heavens Gate, μια εξελιγμένη τεχνική αποφυγής λειτουργίας χρήστη όπου οι διαδικασίες 32-bit μεταβαίνουν σε λειτουργία εκτέλεσης 64-bit.

Αυτό επιτρέπει στο κακόβουλο λογισμικό να παρακάμπτει τα άγκιστρα λειτουργίας χρήστη 32-bit και να εκτελεί απευθείας κλήσεις συστήματος x64, να έχει πρόσβαση σε ευαίσθητα δεδομένα χωρίς να ενεργοποιεί μηχανισμούς ασφαλείας που έχουν σχεδιαστεί για την παρακολούθηση της συμπεριφοράς της διαδικασίας.

Μόλις εγκατασταθεί, το Phantom Stealer εξάγει τα διαπιστευτήρια του προγράμματος περιήγησης, συμπεριλαμβανομένων των δεδομένων Chrome και Edge, αποκτώντας πρόσβαση σε κρυπτογραφημένες βάσεις δεδομένων και αποκρυπτογραφώντας τες χρησιμοποιώντας εξαγόμενα κλειδιά κρυπτογράφησης.

Το κακόβουλο λογισμικό συλλέγει διαπιστευτήρια πορτοφολιού κρυπτονομισμάτων, διαμορφώσεις email του Outlook, δεδομένα πληκτρολογημένα και πληροφορίες συστήματος, συμπεριλαμβανομένων στιγμιότυπων οθόνης που λαμβάνονται κάθε 1000 χιλιοστά του δευτερολέπτου.

Για την εξαγωγή δεδομένων, ο κλέφτης χρησιμοποιεί πολλά κανάλια, συμπεριλαμβανομένων των πρωτοκόλλων SMTP, FTP και πλατφορμών επικοινωνίας όπως το Telegram και το Discord.

Τα κλεμμένα δεδομένα οργανώνονται με ονόματα υπολογιστών και χρονικές σημάνσεις, δημιουργώντας μια οργανωμένη αποθήκη πληροφοριών θυμάτων έτοιμη για κακόβουλη χρήση.

Οι οργανισμοί θα πρέπει να εφαρμόζουν ισχυρό φιλτράρισμα email, τακτικές ενημερώσεις λογισμικού και προηγμένη προστασία τελικού σημείου για να αμυνθούν έναντι αυτής της εξελισσόμενης απειλής.