Phantom Stealer: bezplikowy malware kradnący dane z przeglądarek i przejmujący sesje użytkowników

Wprowadzenie do problemu / definicja

Phantom Stealer to złośliwe oprogramowanie z kategorii infostealerów, którego głównym celem jest kradzież danych przechowywanych w przeglądarkach internetowych. Zagrożenie koncentruje się na pozyskiwaniu haseł, ciasteczek sesyjnych, danych autofill oraz informacji finansowych, a jego skuteczność zwiększa bezplikowy model działania i uruchamianie kluczowych komponentów bezpośrednio w pamięci operacyjnej.

Taka konstrukcja utrudnia wykrycie przez tradycyjne rozwiązania bezpieczeństwa oparte głównie na sygnaturach. W praktyce oznacza to, że organizacje mogą mieć do czynienia z aktywną kradzieżą poświadczeń, zanim narzędzia ochronne jednoznacznie zidentyfikują incydent.

W skrócie

Badacze bezpieczeństwa opisali kampanię phishingową wykorzystującą Phantom Stealera przeciwko organizacjom o wysokiej wartości biznesowej, w tym podmiotom z sektora finansowego. Malware został zaprojektowany do pozyskiwania zapisanych haseł, cookies, danych formularzy, informacji z portfeli kryptowalutowych, zawartości schowka oraz zrzutów ekranu.

• Atak zwykle zaczyna się od wiadomości phishingowej z pozornie legalnym załącznikiem.
• Łańcuch infekcji opiera się na skryptach i wielowarstwowej obfuskacji.
• Ładunek uruchamiany jest głównie w pamięci, bez pozostawiania oczywistych artefaktów na dysku.
• Dane są eksfiltrowane wieloma kanałami równolegle.
• Phantom Stealer funkcjonuje w modelu Malware-as-a-Service, co zwiększa skalę zagrożenia.

Kontekst / historia

Rynek infostealerów od lat ewoluuje w kierunku narzędzi wyspecjalizowanych w atakach na przeglądarki, ponieważ to właśnie one stały się centralnym punktem dostępu do usług SaaS, bankowości internetowej i systemów chmurowych. Przejęcie danych przeglądarkowych często daje atakującym dostęp nie do jednego konta, lecz do całego zestawu usług wykorzystywanych przez pracownika.

Phantom Stealer wpisuje się w ten trend, łącząc model subskrypcyjny MaaS z technikami ukrywania aktywności typowymi dla bardziej zaawansowanych operacji. Z dostępnych analiz wynika, że kampanie z jego użyciem były obserwowane wcześniej również w sektorach takich jak logistyka, produkcja i technologie, jednak obecna aktywność wskazuje na bardziej ukierunkowane wykorzystanie phishingu wobec organizacji, w których pojedyncze poświadczenia mogą umożliwić dostęp do systemów finansowych, danych klientów lub kont uprzywilejowanych.

Analiza techniczna

Łańcuch infekcji najczęściej rozpoczyna się od wiadomości e-mail podszywającej się pod legalną komunikację biznesową, na przykład zapytanie ofertowe lub dokument operacyjny. Po otwarciu załącznika uruchamiany jest zaciemniony plik wsadowy, który inicjuje wieloetapowy proces dostarczenia właściwego ładunku.

W analizowanych kampaniach zastosowano kilka warstw ukrywania działania, co utrudnia zarówno analizę statyczną, jak i szybką identyfikację pełnego przebiegu ataku.

• obfuskowane polecenia PowerShell,
• ukryte znaki Unicode,
• ciągi zakodowane w Base64,
• maskowanie wywołań API,
• wielowarstwowe dekodowanie i przygotowanie ładunku w pamięci.

Istotne jest to, że zaawansowanie dotyczy nie tylko samego stealera, ale również droppera odpowiedzialnego za jego dostarczenie. Pośrednie etapy służą do przygotowania środowiska uruchomieniowego oraz wstrzyknięcia kodu do legalnych procesów systemowych, takich jak Windows Explorer. Taki sposób działania zmniejsza widoczność malware i utrudnia jego korelację z pierwotnym załącznikiem.

Po skutecznym uruchomieniu Phantom Stealer uzyskuje dostęp do szerokiego zakresu danych użytkownika i organizacji.

• zapisane hasła przeglądarkowe,
• cookies sesyjne,
• dane formularzy i autofill,
• informacje z menedżerów haseł,
• dane z aplikacji SaaS i systemów bankowych,
• zawartość schowka,
• zrzuty ekranu,
• wybrane informacje finansowe i kryptowalutowe.

Na szczególną uwagę zasługuje wielokanałowa eksfiltracja danych. Równoległe wykorzystanie kilku ścieżek komunikacji sprawia, że zablokowanie pojedynczego kanału nie musi zatrzymać wycieku. Dla obrońców oznacza to konieczność szerszej obserwacji ruchu wychodzącego oraz korelacji anomalii na poziomie endpointu, procesów i sieci.

Konsekwencje / ryzyko

Ryzyko związane z Phantom Stealerem jest wysokie, ponieważ kradzież cookies sesyjnych może umożliwić przejęcie aktywnych sesji bez znajomości hasła. W środowiskach firmowych taki scenariusz bywa szczególnie niebezpieczny, gdy użytkownik jest już zalogowany do systemów chmurowych, paneli administracyjnych lub narzędzi finansowych.

Dostęp do danych przeglądarkowych często oznacza kompromitację wielu usług jednocześnie. Jeden zainfekowany endpoint może więc stać się punktem wejścia do dalszego ruchu bocznego, eskalacji uprawnień oraz nadużyć finansowych.

• nieautoryzowany dostęp do systemów wewnętrznych,
• przejęcie kont uprzywilejowanych,
• oszustwa finansowe,
• kradzież danych klientów,
• dalszy ruch boczny w sieci,
• sprzedaż pozyskanych logów innym grupom przestępczym.

Dodatkowym czynnikiem ryzyka jest model MaaS. Rozdzielenie autorów narzędzia od operatorów kampanii pozwala szybciej aktualizować malware, skalować jego użycie i dynamicznie zmieniać infrastrukturę. W efekcie wskaźniki kompromitacji mogą szybko się dezaktualizować, a obrona oparta wyłącznie na znanych artefaktach pozostaje niewystarczająca.

Rekomendacje

Organizacje powinny zakładać, że wykrywanie wyłącznie po sygnaturach nie zapewni skutecznej ochrony przed zagrożeniami klasy Phantom Stealer. Konieczne jest połączenie widoczności telemetrycznej, analizy behawioralnej i ochrony tożsamości użytkowników.

• wdrożenie EDR lub XDR z naciskiem na analizę behawioralną,
• monitorowanie nietypowych uruchomień PowerShell, batch i interpreterów skryptowych,
• detekcja podejrzanych linii poleceń, process injection i anomalii pamięciowych,
• ograniczenie uruchamiania skryptów i makr z nieufnych źródeł,
• stosowanie zasad least privilege dla użytkowników i stacji roboczych,
• wzmocnienie ochrony poczty przez mechanizmy antyphishingowe i sandboxing załączników,
• wymuszenie MFA tam, gdzie to możliwe, z uwzględnieniem ryzyka kradzieży sesji,
• regularny przegląd i ograniczanie zapisanych poświadczeń w przeglądarkach,
• segmentacja dostępu do systemów finansowych i administracyjnych,
• szkolenia użytkowników z rozpoznawania fałszywych dokumentów biznesowych,
• aktywny threat hunting z użyciem danych z endpointów, proxy i poczty.

W praktyce szczególnie istotne będzie monitorowanie zależności między otwarciem załącznika, uruchomieniem skryptu, nietypową aktywnością procesów potomnych oraz próbami dostępu do magazynów poświadczeń przeglądarek. Tego rodzaju korelacja może pozwolić wykryć atak jeszcze przed pełną eksfiltracją danych.

Podsumowanie

Phantom Stealer pokazuje, że współczesne infostealery są projektowane przede wszystkim z myślą o przejęciu tożsamości cyfrowej użytkownika, a nie tylko o instalacji szkodliwego pliku na dysku. Połączenie phishingu, działania bezplikowego, obfuskacji i wielokanałowej eksfiltracji znacząco podnosi skuteczność kampanii oraz utrudnia ich analizę.

Dla zespołów bezpieczeństwa oznacza to konieczność przesunięcia ciężaru obrony z prostego wykrywania sygnatur na ochronę sesji, analizę zachowania procesów i pełniejszą widoczność aktywności w pamięci. To właśnie przeglądarka i przechowywane w niej dane stają się dziś jednym z najważniejszych celów cyberprzestępców.

Źródła

• Dark Reading – Fileless Phantom Stealer Targets Browser Credentials
• Fortra – raport analityczny dotyczący Phantom Stealer
• Group-IB – analiza kampanii Phantom Stealer
• MITRE ATT&CK – techniki związane z phishingiem, PowerShell i process injection
• CISA – wytyczne dotyczące phishingu i ochrony endpointów