Phantom Stealer - Nova pretnja koja krade kredencijale iz pregledača
Phantom Stealer malver krade kredencijale iz pregledača putem fišing kampanja sa bezbednosnim tehnikom izvršavanja u memoriji.
Šta se desilo?
Bezbednosni istraživači iz kompanije Fortra otkrili su aktivnu kampanju u kojoj napadači koriste Phantom Stealer - malver namenjen krađi kredencijala i sesijskih kolačića iz pregledača. Napadi se šire kroz fišing e-mailove sa naizgled legitimnim poslovnim dokumentima, a posebnu opasnost predstavlja činjenica da se malver izvršava isključivo u RAM memoriji, čineći ga veoma teško vidljivim za tradicionalne sisteme zaštite.
Koga pogađa?
Primat napada su banke i druge institucije sa visokom vrednošću. Fortra i Group-IB dokumentuju kampanje usmerene na kompanije iz logistike, proizvodnje i tehnološkog sektora, posebno u Evropi. Opasnost je univerzalna - bilo koji zaposlenik koji koristi pregledač može biti meta.
Kako se zaštititi?
- Edukujte zaposlene o prepoznavanju fišing e-mailova sa sumnjivim prilozima
- Primenjujte pristupe zasnove na ponašanju korišćenjem EDR/AV rešenja umesto samo signaturnih sistema
- Redovno ažurirajte pregledače i operativni sistem sa najnovijim bezbednosnim zakrkama
- Koristite upravljače lozinkama sa javnim/privatnim ključevima umesto čuvanja lozinki u pregledačima
- Omogućite dvofaktorsku autentifikaciju na svim kritičnim aplikacijama i servisima
- Pratite anomalne procese i sumnjive komandne linije na svim krajnjim tačkama
- Razmislite o korišćenju fizičkih sigurnosnih ključeva za pristup bankarskim sistemima
Tehnički detalji
Phantom Stealer je malver dostupan kao usluga (MaaS) po ceni od 70 do 240 dolara mesečno. Infektivni lanac počinje sa obfuskovanom batch datotekom iz fišing e-maila, koja pokreće višestepeni napad sa skrivenim karakterima, Base64 kodovanjem, XOR šifriranjem i donut tehnikom. Malver se injektuje u Windows Explorer proces i može krastavati lozinke iz Chrome-a, Firefox-a i Edge pregledača, kao i podatke o kripto novčanicima, snimke ekrana, Log datoteke, autofill podatke, menadžere lozinki i sesijske kolačiće. Egzfiltracija se vrši kroz četiri paralelna kanala - Telegram, Discord, FTP i SMTP - za osiguranje redundantnosti. Group-IB je dokumentovao aktivne kampanje između novembra 2025. i januara 2026. godine.
Preporuka Sajber Radara
Organizacije ne smeju da se oslanjaju samo na signaturne sisteme - napadači su krenuli na sofisticiranije tehnike bez ostavlja traga na disku. Prioritet je primena bihejvioralno-orijentisanih EDR rešenja i kontinuiranog obučavanja zaposlenih o fišing hazardima.
