Pune o întrebare

Întreabă-ne (aproape) orice

Cine spune că știe să răspundă la orice întrebare, sigur exagerează… Și noi avem limite, ca oricine 🙂

Îți putem răspunde totuși la destul de multe întrebări despre website-uri, campanii de promovare, online marketing, aplicații și tehnologii web, găzduire, ce viruși sau malware mai bântuie pe internet și alte câteva. Pune mai jos ce te frământă, și lasă-ne unde vrei să îți răspundem. Suntem prompți!

RO

EN

Campanie de phishing rusească vizează echipele financiare cu malware-ul Phantom

Cercetătorii în securitate cibernetică au descoperit o campanie sofisticată de phishing rusească care utilizează fișiere ISO malițioase pentru a implementa malware-ul Phantom de furt de informații împotriva departamentelor de finanțe și contabilitate, conform analizei publicate săptămâna aceasta de Seqrite Labs. Operațiunea, denumită “Operation MoneyMount-ISO,” marchează o evoluție în tacticile infractorilor cibernetici prin valorificarea atașamentelor containerizate pentru a ocoli filtrele tradiționale de securitate ale email-urilor.

Lanțul de atac multi-etapă eludează detectarea

Campania începe cu e-mailuri de phishing în limba rusă care se fac a fi de la TorFX Currency Broker și au ca subiect „Подтверждение банковского перевода” (Confirmarea transferului bancar). Destinatarii primesc o arhivă ZIP de aproximativ 1 MB care conține un fișier ISO malițios deghizat ca document legitim de confirmare a plății.

 

 

Când victimele deschid fișierul ISO, acesta se montează automat ca unitate CD virtuală și dezvăluie un executabil care pare legitim. La executare, fișierul încarcă un DLL criptat numit CreativeAI.dll, care decriptează și injectează payload-ul Phantom Stealer direct în memoria sistemului. Cercetătorii HP au menționat în Raportul privind informațiile despre amenințări din decembrie 2025 că atacatorii au găzduit payload-urile pe Discord pentru a evita construirea de infrastructură și au profitat de reputația pozitivă a domeniului platformei.

Malware-ul încorporează mecanisme extinse anti-analiză, inclusiv detectarea mașinilor virtuale, evitarea sandbox-urilor și proceduri de autodistrugere declanșate când sunt detectate medii de monitorizare. Conform HP, lanțul de infecție a ocolit protecția Memory Integrity din Windows 11 înainte de a injecta cod pentru a permite furtul de acreditări, date de plată și portofele de criptomonede.

 

Capabilități extinse de furt de date

Phantom Stealer colectează date din portofele de criptomonede atât din extensii de browser, cât și din aplicații desktop, vizând zeci de portofele crypto cunoscute. Malware-ul extrage token-uri de autentificare Discord din bazele de date ale browserelor și instalările native, le validează prin API-ul Discord și colectează informații despre utilizatori, inclusiv nume de utilizator, e-mailuri și starea abonamentului.

Capabilitățile suplimentare includ un monitor continuu al clipboard-ului care capturează conținutul în fiecare secundă, un înregistrator global de taste folosind hook-uri Windows de nivel scăzut și recuperarea parolelor salvate și a datelor cardurilor de credit din browserele bazate pe Chromium prin analizarea bazelor de date SQLite. Odată colectate, datele furate sunt împachetate în arhive ZIP cu metadate de sistem și adrese IP publice, apoi exfiltrate prin multiple canale redundante, inclusiv API-uri bot Telegram, webhook-uri Discord și servere FTP cu suport SSL opțional.

 

Recomandări pentru organizații

Cercetătorii Seqrite au subliniat că campania se concentrează în principal pe departamentele de finanțe, contabilitate, trezorerie și plăți din Rusia, cu ținte secundare incluzând departamentele de achiziții, juridic, HR/salarizare și întreprinderile mici și mijlocii vorbitoare de limbă rusă. Analiștii de securitate au avertizat că atacul prezintă riscuri precum furtul de credențiale, fraudă cu facturi și plăți, transferuri neautorizate de fonduri și mișcare laterală în sistemele IT.

Organizațiile ar trebui să implementeze filtrarea continuă a atașamentelor containerizate, să desfășoare soluții de monitorizare a comportamentului memoriei și să consolideze fluxurile de lucru de securitate a e-mailurilor pentru departamentele care gestionează finanțe pentru a se apăra împotriva acestor amenințări. Analiștii recomandă de asemenea restricționarea permisiunilor utilizatorilor pentru a preveni execuția software-ului neautorizat și dezactivarea montării automate a fișierelor ISO acolo unde este posibil.

 

Surse:

https://cybersecuritynews.com/new-phantom-stealer-campaign-hits-windows-machines/amp/

https://www.seqrite.com/blog/operation-moneymount-iso-deploying-phantom-stealer-via-iso-mounted-executables/