Phantom Stealer 3.5 rouba credenciais via instaladores falsos
Pesquisadores identificaram a versão 3.5 do Phantom Stealer executando uma cadeia de ataque sofisticada que extrai credenciais, cookies de navegador, dados de cartão e carteiras de criptomoedas a partir de instaladores falsos.
Descoberta e escopo
Relatório técnico do K7 Security Labs, reproduzido pelo veículo, descreve que o vetor inicial frequentemente usado é um arquivo que parece ser um instalador legítimo da Adobe (ex.: "Adobe 11.7.7") mas trata‑se de um documento XML ofuscado com JavaScript embutido. O arquivo identifica‑se como dataset observado a partir de 29 de outubro de 2025 e aciona um script PowerShell remoto que inicia a cadeia de compromisso.
Vetor e técnica de execução
O instalador falso faz o download de um script PowerShell hospedado em positivepay-messages.com/file/floor.ps1. Esse script contém dados criptografados com RC4; após a decriptação, instruções carregam um assembly .NET diretamente em memória. A segunda fase carrega um componente chamado BLACKHAWK.dll que realiza injeção de processo na ferramenta legítima Aspnetcompiler.exe do Windows.
Evasão e persistência
Conforme detalhado, o Phantom Stealer implementa várias checagens anti‑análise, incluindo detecção de ambientes virtuais e sandboxes com base em uma lista codificada de 112 nomes de usuário. Se detectar um ambiente controlado, o malware chega a se autodestruir criando um arquivo batch para terminar seu processo. Outra técnica notável é o uso de Heavens Gate — transição de processos 32‑bit para execução 64‑bit — para evitar user‑mode hooks e executar syscalls nativos x64.
Coleta e exfiltração de dados
Uma vez em execução, o stealer acessa bancos de dados de navegadores (Chrome e Edge) e decripta credenciais usando chaves extraídas do sistema. Também coleta configurações de email do Outlook, realiza keylogging, captura screenshots (relatados a cada 1000 milissegundos no material técnico) e procura por carteiras de criptomoedas. Para exfiltração, utiliza múltiplos canais: SMTP, FTP e plataformas de comunicação como Telegram e Discord; os dados são organizados com nomes de máquina e timestamps.
Indicadores técnicos e limitações do que se sabe
O relatório menciona explicitamente os artefatos já citados (instalador falso, URL do PowerShell, BLACKHAWK.dll, Aspnetcompiler.exe, lista de 112 usernames, uso de RC4 e Heavens Gate). O que falta em fontes públicas é um indicador de compromisso (IoC) consolidado — hashes de amostras, domínios adicionais usados para C2 além do URL identificado, e métricas de impacto (número de vítimas) não foram publicados no resumo disponível.
Mitigação e recomendações
- Bloquear e monitorar downloads de instaladores não verificados e anexos que se passem por atualizadores de software.
- Aplicar filtragem de e‑mail e sandboxing de anexos para reduzir vetores de entrega baseados em engenharia social.
- Usar proteções de endpoint com capacidade de detectar injeção de processo e carregamento de assemblies em memória.
- Restringir execução de scripts PowerShell não assinados e habilitar políticas de Application Control onde possível.
- Auditar e proteger bancos de chaves do sistema e mecanismos de criptografia usados por navegadores e aplicações para minimizar o risco de decriptação local por malware.
Observações finais
O K7 Security Labs fornece a análise técnica que fundamenta as observações acima; entretanto, o material público disponível não inclui estatísticas de alcance da campanha nem um pacote completo de IoCs. Equipes de segurança que detectarem artefatos mencionados devem avaliar imediatamente e correlacionar com telemetria interna.