كشفت تقارير أمنية حديثة عن حملة تصيد إلكتروني نشطة تستهدف على نطاق واسع قطاعات حيوية في روسيا، باستخدام رسائل بريدية خادعة تحمل ملفات ISO ضارة لنشر برنامج “فانتوم ستيلر” الخبيث لسرقة المعلومات الحساسة، مع تركيز خاص على المؤسسات المالية والمحاسبية.
حملة “أوبراشن موني ماونت”: اصطياد القطاع المالي الروسي
أطلقت شركة “سيكرايت لابز” للأمن السيبراني على هذه الحملة اسم “أوبراشن موني ماونت-أيزو”. وتهدف الحملة في المقام الأول إلى كيانات القطاع المالي والمحاسبي، بينما تشمل أهدافاً ثانوية مثل أقسام المشتريات والشؤون القانونية وكشوف المرتبات. تستخدم الحملة طعماً خادعاً يتخذ شكل تأكيد دفع مالي، لدفع الضحايا إلى فتح مرفق بريدي يؤدي في النهاية إلى تنصيب برنامج فانتوم ستيلر المسروق للمعلومات عبر سلسلة متعددة المراحل من الملفات المرفقة.
سلسلة العدوى: من البريد الإلكتروني إلى محرك أقراص افتراضي خبيث
تبدأ سلسلة العدوى برسالة بريد إلكتروني تصيدية تتظاهر بأنها اتصالات مالية رسمية، وتطالب المستلم بتأكيد عملية تحويل بنكي حديثة. يحتوي البريد على ملف مضغوط (ZIP) يدعي أنه يحمل تفاصيل إضافية، ولكنه في الواقع يحتوي على صورة قرص (ISO). عند فتح ملف الـ ISO، يظهر كنظام محرك أقراص ضوئي افتراضي على نظام الضحية، لكنه في الحقيقة ملف قابل للتنفيذ مصمم لإطلاق برنامج فانتوم ستيلر عبر مكتبة DLL مدمجة تحمل اسم “CreativeAI.dll”.
قدرات فانتوم ستيلر: سرقة شاملة للمعلومات المالية والرقمية
يتمتع برنامج فانتوم ستيلر بقدرات خطيرة لجمع البيانات الحساسة، حيث يستطيع استخراج المعلومات من محافظ العملات المشفرة المثبتة كإضافات في متصفحات كروميوم، وكذلك من تطبيقات المحافظ الرقمية على سطح المكتب. كما يجمع الملفات، ورمز مصادقة “ديسكورد”، وكلمات مرور المتصفحات، والكوكيز، وتفاصيل بطاقات الائتمان. ويراقب البرنامج أيضًا محتوى الحافظة (كليب بورد)، ويسجل ضغطات المفاتيح، ويقوم بسلسلة فحوصات للكشف عن وجوده في بيئات افتراضية أو محصنة (ساند بوكس) للتجنب. يتم نقل البيانات المسروقة إما عبر بوت على تطبيق “تيليجرام” أو إلى “ويب هوك” يتحكم فيه المهاجم على ديسكورد، مع إمكانية نقل الملفات إلى خادم FTP.
مشهد تهديدات أوسع: أدوات خبيثة متعددة تستهدف قطاعات روسية حساسة
لا تمثل حملة فانتوم ستيلر سوى جزء من مشهد التهديدات الأوسع الذي يستهدف المؤسسات الروسية. ففي الأشهر الأخيرة، تعرضت أقسام الموارد البشرية والرواتب لهجمات تصيد تستخدم طعوماً تتعلق بالمكافآت أو السياسات المالية الداخلية لنشر برنامج ضار جديد غير موثق سابقاً يُدعى “دوبيرانر”، والذي يقوم بدوره بتحميل إطار عمل “أدابتيكس سي 2” مفتوح المصدر للتحكم عن بعد.
كما استهدفت حملات تصيد أخرى قطاعات الطيران والفضاء والقانون في روسيا، لتوزيع أدوات خبيثة مثل “كوبالت سترايك” و”فورم بوك” و”دارك واتشمان” و”فانتوم ريموت” القادرة على سرقة البيانات والتحكم المباشر في الأنظمة. ولجأ المهاجمون إلى اختراق خوادم البريد الإلكتروني للشركات الروسية نفسها لإرسال رسائل التصيد المركز منها. وقد ارتبطت بعض هذه الهجمات، وفقاً لشركة “إينترينسيك” الفرنسية، بمجموعات هاكتفيست مؤيدة للمصالح الأوكرانية، بهدف استهداف كيانات تتعاون مع الجيش الروسي وسط الصراع الجاري.
