Hack Alerta

Campanha 'MoneyMount-ISO' usa ISOs para espalhar Phantom Stealer

Por Redação Hack Alerta Publicado em 13/12/2025 05:01 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisadores identificaram a campanha 'Operation MoneyMount-ISO', que entrega o infostealer Phantom por meio de arquivos ISO auto-montáveis anexados em e-mails de confirmação de pagamento. O ataque foca equipes financeiras, utiliza execução em memória via DLLs e exfiltra dados por Telegram, Discord e FTP. Recomenda-se bloquear anexos containerizados, desabilitar montagem automática de ISOs e reforçar detecções EDR.

Campanha 'MoneyMount-ISO' usa ISOs para espalhar Phantom Stealer

Pesquisadores divulgaram uma campanha de phishing que utiliza arquivos ISO auto-montáveis para entregar o infostealer Phantom em máquinas Windows. O ataque foca equipes financeiras e usa confirmações de pagamento falsificadas para induzir a execução do payload.

Descoberta e escopo / O que mudou agora

Relatórios coletados por analistas indicam que a campanha, apelidada de "Operation MoneyMount-ISO", afeta principalmente organizações com equipes de finanças, contabilidade, tesouraria e pagamentos, com foco inicial em vítimas na Rússia. A cadeia de ataque foi observada em e-mails em idioma russo que contêm um ZIP com um arquivo ISO malicioso; ao montar o ISO a vítima encontra um executável que carrega posteriormente um DLL chamado CreativeAI.dll, responsável por descriptografar e injetar a versão final do Phantom Stealer na memória.

Vetor e exploração / Mitigações

O vetor primário é phishing com anexo compactado. O fluxo observado é:

  • E-mail de engenharia social (falsificando confirmação de transferência/bank transfer).
  • ZIP anexado contendo um arquivo ISO que se auto-monta como drive virtual.
  • Executável apresentado como documento legítimo dentro do ISO.
  • Carregamento em memória de DLLs (CreativeAI.dll) que decryptam e injetam o infostealer.

Mitigações recomendadas com base nas observações públicas:

  • Bloquear/inspecionar anexos containerizados (ZIP, ISO) no gateway de e-mail; desarmar e analisar automaticamente antes da entrega.
  • Desabilitar montagem automática de imagens ISO nas máquinas de usuários quando possível; aplicar políticas de execução restrita (AppLocker, Defender Application Control).
  • Monitoramento baseado em comportamento de memória (EDR com detecção de injeção e execução em memória) e detecção de técnicas anti-análise.
  • Reforçar treinamentos de phishing com foco em equipes financeiras e fluxos de pagamento.
  • Implementar bloqueios de exfiltração conhecidos (bloqueio de canais de Telegram/Discord não autorizados, controles de FTP/SSL e monitoramento outbound).

Impacto e alcance / Setores afetados

Phantom Stealer tem capacidades ampliadas de coleta: roubo de credenciais, tokens de Discord, carteiras de criptomoedas (extensões e apps), keylogging, monitor de clipboard com captura por segundo e extração de cartões e senhas de navegadores Chromium via SQLite. A exfiltração é redundante — Telegram bots, Discord webhooks e servidores FTP — o que aumenta a probabilidade de sucesso em ambientes com controles básicos de saída. O impacto potencial é elevado para organizações financeiras, provedores de pagamentos e empresas que processam transferências internacionais.

Limites das informações / O que falta saber

As fontes públicas citam IOCs e o fluxo de ataque, mas não há dados disponíveis sobre o número de vítimas confirmadas ou sobre compromissos em organizações fora da Rússia. Também não foi publicado um relatório técnico completo do(s) atacante(s) por uma autoridade que identifique infraestruturas de comando e controle com precisão temporária; portanto, a atribuição e o alcance global permanecem não confirmados.

IOCs observados

Hash e nomes de arquivos reportados pelas análises:

  • 27bc3c4eed4e70ff5a438815b1694f83150c36d351ae1095c2811c962591e1bf — email (hash relacionado ao anexo)
  • 4b16604768565571f692d3fa84bda41ad8e244f95fbe6ab37b62291c5f9b3599 — Подтверждение банковского перевода.zip
  • 60994115258335b1e380002c7efcbb47682f644cb6a41585a1737b136e7544f9 — Подтверждение банковского перевода.iso
  • 78826700c53185405a0a3897848ca8474920804a01172f987a18bd3ef9a4fc77 — HvNC.exe

Repercussão / Próximos passos

Equipes de segurança devem priorizar a triagem de e-mails com anexos containerizados e ajustar detecções EDR para padrões de injeção em memória e monitoramento de clipboard. Operadores de SOC precisam revisar regras de prevenção de perda de dados (DLP) e filtrar comunicações com provedores de Telegram/Discord não autorizados. Se houver suspeita de comprometimento, recomenda-se coletar preservação de memória e fluxos de rede para análise e, se possível, isolar sistemas afetados antes de uma varredura forense.

Observações finais

As recomendações acima refletem apenas os fatos publicados pelas análises disponíveis. Não há informações públicas suficientes para quantificar vítimas ou confirmar expansão da campanha além do escopo inicialmente relatado; equipes devem tratar a ameaça como ativa e aplicar contenção preventiva.

Baseado em publicação original de Cyber Security News
Tags: #phantom-stealer #infostealer #iso #phishing #windows #malware #ioc #financeiro #russia
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar