Новый вредоносный загрузчик PhantomDL выявлен экспертами F.A.C.C.T. Threat Intelligence

Специалисты из аналитического центра F.A.C.C.T. Threat Intelligence зафиксировали активность нового вредоносного программного обеспечения под названием PhantomDL, которое начали обнаруживать с марта текущего года. Этот загрузчик, по предварительным данным, разработан хакерской группой PhantomCore, известной своими кибершпионскими операциями.

PhantomCore активно действует в России с января 2024 года, основными целями которой часто становятся предприятия военно-промышленного комплекса. Группа применяет фишинговые атаки с использованием зашифрованных вложений, ключ к которым содержится прямо в тексте письма. В качестве приманки злоумышленники используют документы, маскирующиеся под официальные договоры.

PhantomDL является загрузчиком, написанным на языке программирования Go. Вредоносная программа использует уязвимость в программе WinRAR, обозначенную как CVE-2023-38831, что позволяет маскировать исполняемые файлы под архивы RAR. Для усиления скрытности своих операций хакеры, предположительно, используют утилиту Garble для обфускации кода.

На текущий момент аналитики предполагают, что PhantomCore перешла от тестирования своих инструментов к активным атакам, что указывает на усиление угрозы со стороны этой группы. Разработка такого рода вредоносных программ подчеркивает необходимость усиления мер безопасности со стороны потенциальных целей и активизации контрмер в ответ на угрозы кибербезопасности.