PhantomPulse nutzt Prozessinjektion und UAC-Bypass, um Windows-Systeme zu kompromittieren

Ein neu analysierter Remote-Access-Trojaner namens PHANTOMPULSE hat aufgrund seines fortschrittlichen Ansatzes zur Kompromittierung. Die Malware stellt die Endstufe e Ein neu analysierter Remote-Access-Trojaner namens PHANTOMPULSE hat aufgrund seines fortschrittlichen Ansatzes zur Kompromittierung.

Die Malware stellt die Endstufe einer umfassenderen Angriffs-Kette dar, die als REF6598 bezeichnet wird und eine Bedrohungsgruppe darstellt, die aktiv den Kryptowährungs-Sektor angreift. Besonders gefährlich ist PHANTOMPULSE aufgrund der Art und Weise, wie er mehrere fortschrittliche Techniken kombiniert, um die meisten Sicherheitstools zu umgehen.

Der Angriff beginnt, wenn Opfer durch die Missachtung, einem Werkzeug, das unter Entwicklern und Forschern beliebt ist. Sobald ein Ankerpunkt etabliert wurde, platziert ein in-Speicher-Lader namens PHANTOMPULL das PHANTOMPULSE-Implantat auf das kompromittierte System.

Ab diesem Zeitpunkt übernimmt der RAT die Kontrolle, stellt Persistenz her, umgeht die Erkennung und öffnet einen Kommunikationskanal zurück zu seinen Operateuren. Analysten PHANTOMPULSE identifiziert und in einem detaillierten Reverse-Engineering-Bericht dokumentiert, der bei