Malware ladrón fantasma
Analistas de seguridad han descubierto una campaña de phishing activa y bien coordinada dirigida a organizaciones de diversos sectores en Rusia. La operación, identificada como Operación MoneyMount-ISO, se basa en correos electrónicos de phishing cuidadosamente diseñados que distribuyen el malware Phantom Stealer mediante archivos adjuntos maliciosos de imágenes de disco ISO. La campaña pone de manifiesto una tendencia continua hacia formatos de archivos adjuntos menos comunes para eludir los controles de seguridad tradicionales del correo electrónico.
Tabla de contenido
Objetivos principales y enfoque sectorial
Los atacantes han demostrado una clara preferencia por las organizaciones que gestionan habitualmente transacciones financieras y documentación confidencial. Los departamentos de finanzas y contabilidad parecen ser el principal objetivo, mientras que los equipos de compras, jurídicos y nóminas también han sido blanco recurrente. Estos puestos son especialmente atractivos para los cibercriminales debido a su acceso a flujos de trabajo de pago, credenciales y datos financieros confidenciales.
Señuelos de correo electrónico engañosos y entrega inicial
El proceso de infección comienza con mensajes de phishing diseñados para simular correspondencia financiera legítima. Se solicita a las víctimas que verifiquen o confirmen una transferencia bancaria reciente, lo que genera una sensación de urgencia y credibilidad. Cada mensaje incluye un archivo ZIP que se presenta como documentación de respaldo. En lugar de contener archivos inofensivos, el archivo oculta una imagen ISO maliciosa que se monta como una unidad de CD virtual al abrirse.
Abuso de imágenes ISO para la ejecución de malware
El archivo ISO montado, titulado "Подтверждение банковского перевода.iso" o "Bank transfer confirmation.iso", actúa como el principal vehículo de ejecución. Dentro de la imagen se encuentra una biblioteca de enlaces dinámicos maliciosa llamada CreativeAI.dll, que se invoca automáticamente para ejecutar Phantom Stealer. Esta técnica permite a los atacantes ejecutar malware, reduciendo la dependencia de los archivos ejecutables tradicionales, que tienen mayor probabilidad de ser bloqueados.
Capacidades del malware Phantom Stealer
Una vez implementado, Phantom Stealer se centra en recopilar una amplia gama de información confidencial de los sistemas infectados. Sus funciones incluyen:
Extraer datos de las extensiones del navegador de billeteras de criptomonedas en navegadores basados en Chromium y de aplicaciones de billetera de escritorio independientes, además de robar contraseñas del navegador, cookies, datos de tarjetas de crédito almacenados, tokens de autenticación de Discord y archivos locales seleccionados.
Supervisar la actividad del portapapeles, registrar pulsaciones de teclas y realizar comprobaciones del entorno para detectar máquinas virtuales, entornos sandbox o herramientas de análisis, finalizándose si se identifican dichas condiciones.
Canales de exfiltración y comando
Los datos robados se transmiten a través de múltiples canales controlados por el atacante para garantizar la fiabilidad y la flexibilidad. Phantom Stealer está configurado para exfiltrar información mediante un bot de Telegram o un webhook de Discord controlado por el atacante. Además, el malware permite la transferencia directa de archivos a un servidor FTP externo, lo que permite el robo masivo de datos y operaciones de seguimiento.
