СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.12.2025
#ИБ

Операция MoneyMount-ISO: Phantom Stealer атакует финансовый сектор

Seqrite Labs выявили вредоносную кампанию, обозначенную как MoneyMount-ISO. По анализу исследователей, кампания исходит из России и ориентирована в первую очередь на финансовый сектор — цель злоумышленников: развертывание инфостиллера Phantom и массовая кража учетных данных, данных платёжных карт и информации о криптокошельках.

Схема атаки: фишинг и ISO-вложение

Атака начинается с фишингового письма, маскируемого под уведомление о банковском переводе. В письме содержится архив ZIP с вложением в формате ISO; сам файл в отчёте описан как Банковский перевод confirmation.iso. При открытии ISO-образ автоматически монтируется и демонстрирует исполняемый файл, который запускает дальнейшую цепочку заражения.

  • Первый этап: ZIP-архив с ISO-файлом, замаскированным под подтверждение перевода.
  • Внутри ISO — исполняемый файл, который загружает в память дополнительные компоненты.
  • Дальнейшая загрузка и внедрение — многоэтапная цепочка, ведущая к развертыванию Phantom Stealer.

Первичная полезная нагрузка: CreativeAI.dll

Первая полезная нагрузка называется CreativeAI.dll. Это DLL-библиотека, содержащая зашифрованный модуль. После расшифровки библиотека внедряет в систему Phantom Stealer, что свидетельствует о целенаправленной и модульной архитектуре вредоносного семейства.

Возможности и модули Phantom Stealer

Phantom Stealer оснащён множеством модулей для масштабного сбора данных. Основные из них:

  • Извлечение данных криптовалютных кошельков — модуль BrowserWallets сопоставляет имена кошельков с extension IDs и получает доступ к настройкам профиля пользователя.
  • Сбор токенов Discord — сканирование файлов LevelDB в поиске шаблонов токенов.
  • Воровство паролей, cookies и данных кредитных карт, хранящихся в браузерах на базе Chromium.
  • Модуль Chromium Recovery систематически сканирует и расшифровывает пользовательские данные из различных SQLite-баз, экспортируя их в структурированные форматы для дальнейшего использования злоумышленниками.
  • Мониторинг буфера обмена и захват текста — компонент ClipLogger постоянно следит за clipboard и сохраняет текстовые записи.
  • Кейлоггер — установка низкоуровневого keyboard hook для регистрации нажатий клавиш и расширенного перехвата вводимых данных.
  • Развитые возможности антианализа — вредоносное ПО использует специализированный класс антианализа для обнаружения виртуальных сред и настроек, управляемых аналитиками; при обнаружении проверок возможна самоуничтожение вредоноса.
  • Механизм эксфильтрации — похищенные данные отправляются злоумышленникам через командно‑управляющий канал, использующий зашифрованный bot token.

Последствия для финансовых организаций

Для организаций финансового сектора кампания несет ряд рисков:

  • кража учетных данных и последующие несанкционированные переводы;
  • мошенничество со счетами и платежами;
  • утечка токенов и доступа к сервисам (включая Discord и криптокошельки);
  • компрометация браузерных хранилищ паролей и платёжных реквизитов.

Рекомендации

Исходя из структуры атаки и возможностей вредоноса, Seqrite Labs указывает на необходимость усиления базовой защиты и проактивных мер:

  • усилить фильтрацию входящей почты и блокировку потенциально опасных вложений (включая .iso и ZIP с исполняемыми файлами);
  • обеспечить работу EDR/Антивируса с выявлением внедрений DLL и подозрительных инъекций в память;
  • внедрить многофакторную аутентификацию для критичных сервисов и банковских операций;
  • контролировать и ограничивать установку расширений браузера и доступ к профилям пользователей;
  • мониторить аномальную исходящую активность, связанную с передачей данных на внешние сервисы (включая использование сторонних bot token для exfiltration).

«Операция MoneyMount-ISO использует многоэтапную цепочку с замаскированными ISO-вложениями и модульным инфостилером Phantom, что делает её серьёзной угрозой для финансового сектора», — отмечают исследователи Seqrite Labs.

Кампания демонстрирует, что злоумышленники продолжают совершенствовать техники социальной инженерии и модульную архитектуру вредоноса для обхода защитных мер. Финансовым организациям и пользователям следует сохранять бдительность при работе с почтой и вложениями, а также регулярно обновлять механизмы защиты и политики безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: