СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
16.12.2025
#ИБ

Через поддельные платёжные письма в России распространяют вирус Phantom в ISO-архивах

Через поддельные платёжные письма в России распространяют вирус Phantom в ISO-архивах

Изображение: recraft

Специалисты по кибербезопасности из компании Seqrite Labs задокументировали новую фишинговую операцию под названием MoneyMount-ISO, ориентированную на русскоязычных пользователей и корпоративные сегменты. В этом случае распространяется вредоносная программа Phantom Stealer, задачей которой является сбор конфиденциальной информации с заражённых устройств.

Как указано в отчёте, инициаторами кампании, вероятно, являются злоумышленники из России. В качестве приманки используется типовое письмо на деловом русском языке с темой «Подтверждение банковского перевода». Его цель — убедить получателя открыть вложенный ZIP-архив объёмом около 1 МБ. Архив содержит ISO-файл, который при открытии автоматически монтируется как виртуальный диск и демонстрирует исполняемый файл, замаскированный под платёжный документ.

После запуска этот файл активирует поэтапную загрузку вредоносного содержимого. Сначала разворачивается DLL-библиотека, после чего на устройстве в оперативной памяти запускается Phantom Stealer. В процессе задействуются инструменты обхода защитных сред, в том числе песочниц и виртуальных машин, что затрудняет анализ кода.

Целью атаки становятся устройства, с которых можно извлечь следующие данные:

  • сохранённые в браузерах логины и пароли;
  • cookies и данные банковских карт;
  • содержимое криптовалютных кошельков;
  • записи клавиатуры и буфера обмена;
  • токены авторизации в мессенджере Discord.

Все собранные сведения упаковываются в архив и отправляются злоумышленникам через Telegram-ботов, Discord-вебхуки и FTP-хосты. Такой подход позволяет обойти стандартные меры блокировки и делает отслеживание каждой атаки значительно сложнее.

Аналитики Seqrite Labs отмечают, что рассылка ориентирована на должности с доступом к финансовым или юридическим документам. В зону риска попадают:

  • бухгалтерия, казначейство, департаменты платежей;
  • юристы, специалисты по закупкам, кадровые службы;
  • помощники руководителей и сотрудники небольших компаний, работающих на русском языке.

В компании также заявили, что сама структура атаки отражает новые подходы в обходе защитных решений электронной почты. ISO-файлы стали популярным каналом для доставки вредоносных программ, поскольку антивирусные фильтры редко распознают их как угрозу на начальной стадии.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: