Hackers visam sistemas Windows usando Phantom Stealer oculto em arquivos ISO

Hackers visam sistemas Windows usando Phantom Stealer oculto em arquivos ISO

O Seqrite Labs descobriu uma campanha ativa de phishing na Rússia que entrega malware Phantom para roubo de informações por meio de arquivos ISO maliciosos incorporados em e-mails falsos de confirmação de pagamento.

O ataque sofisticado visa principalmente profissionais de finanças e contabilidade na Rússia, usando táticas de engenharia social para enganar as vítimas e fazê-las executar cargas maliciosas que roubam credenciais, criptomoeda carteiras, dados do navegador e arquivos confidenciais.

A campanha concentra-se principalmente nos departamentos de finanças, contabilidade, tesouraria e pagamentos das organizações russas.

Os alvos secundários incluem equipes de compras, departamentos jurídicos, pessoal de RH e folha de pagamento, assistentes executivos e pequenas e médias empresas que operam em regiões de língua russa.

O ataque apresenta riscos significativos, incluindo roubo de credenciais, fraude em faturas, transferências financeiras não autorizadas e potencial movimento lateral para sistemas de TI mais amplos.

Origens da campanha de phishing

Pesquisadores Seqrite identificou um e-mail de phishing em russo intitulado “Подтверждение банковского перевода” (Confirmação de transferência bancária) originado de endereços de e-mail comprometidos.

A mensagem se faz passar pelo TorFX Currency Broker e usa linguagem comercial formal para parecer legítima para o pessoal financeiro.

O e-mail contém um arquivo ZIP malicioso de aproximadamente 1 megabyte que oculta um arquivo ISO projetado para contornar os controles de segurança tradicionais.

O domínio do remetente “iskra-svarka.ru” e o domínio falsificado “agroterminal.c” não têm relação com a suposta organização, revelando sinais claros de falsificação de e-mail e táticas de falsificação de identidade projetadas para estabelecer falsa credibilidade com vítimas em potencial.

Quando a vítima abre o anexo ZIP e executa o arquivo ISO, ele é montado automaticamente como uma unidade de CD virtual, revelando um executável disfarçado como um documento legítimo de confirmação de pagamento.

O executável carrega cargas adicionais na memória, começando com um arquivo DLL chamado CreativeAI.dll que contém código criptografado.

Esse DLL descriptografa e injeta a versão final do malware Phantom Stealer no sistema.

O malware emprega técnicas de esteganografia, ocultando códigos maliciosos nos objetos System.Drawing.Bitmap para escapar da detecção.

Essa abordagem em camadas permite que os invasores contornem as soluções de segurança que verificam principalmente assinaturas de malware conhecidas.

A Operação MoneyMount-ISO representa uma tendência em evolução em que os agentes de ameaças aproveitam executáveis ​​montados em ISO para entregar ladrões de mercadorias enquanto evitam os controles de segurança perimetral.

A atração de engenharia social de confirmação de pagamento da campanha, combinada com domínios comerciais russos falsificados, indica atividade de roubo de credenciais altamente direcionada, explicitamente projetada para funções relacionadas a finanças.

A crescente sofisticação do malware ladrão distribuído por meio de formatos de arquivo não convencionais exige uma abordagem de defesa em várias camadas que combine controles técnicos com educação do usuário.

COIs:

27bc3c4eed4e70ff5a438815b1694f83150c36d351ae1095c2811c962591e1bf E-mail
4b16604768565571f692d3fa84bda41ad8e244f95fbe6ab37b62291c5f9b3599 Подтверждение банковского перевода.zip
60994115258335b1e380002c7efcbb47682f644cb6a41585a1737b136e7544f9 Подтверждение банковского перевода.iso
78826700c53185405a0a3897848ca8474920804a01172f987a18bd3ef9a4fc77 HvNC.exe

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.