O PHANTOMPULSE, um novo trojan de acesso remoto para Windows, foi detalhado em uma campanha que combina engenharia social, injeção de processos, bypass de UAC e comunicação por blockchain para comprometer sistemas ligados ao setor de criptomoedas.
O malware aparece como carga final da cadeia REF6598, que começa com abuso de plugins do Obsidian.
Após obter o primeiro acesso, um loader em memória chamado PHANTOMPULL instala o implante e prepara o ambiente para persistência e comunicação com os operadores.
A análise aponta que o PHANTOMPULSE possui três técnicas de injeção de processo.
Uma delas, chamada PhantomInject, injeta shellcode ao sobrescrever partes de uma DLL legítima do Windows, a dbghelp.dll, reduzindo sinais comuns de execução suspeita em memória.
Para cargas executáveis, o malware usa uma técnica chamada DbgNexum, baseada na Windows Debug API.
Outro ponto sensível é o bypass de UAC.
O implante explora uma interface COM do Windows para criar uma tarefa agendada com privilégios elevados e relançar o malware com direitos administrativos.
Se o método falha, ele tenta novas variantes usando um processo rundll32.
Os pesquisadores observaram indícios de desenvolvimento assistido por IA, incluindo mensagens internas detalhadas e estruturas de depuração incomuns.
