Campanha usa falso comprovante bancário, arquivo ZIP e montagem de ISO para executar ladrão de informações com coleta de área de transferência, teclas digitadas e exfiltração por Telegram, Discord e FTP.
| Componente | Phantom Stealer entregue por anexo de phishing com ZIP e imagem ISO montada como unidade óptica virtual em sistemas Windows. |
| Vetor | E-mails se passam por comunicação financeira sobre confirmação de transferência bancária e induzem a abertura de um arquivo ISO chamado Подтверждение банковского перевода.iso ou Bank transfer confirmation.iso. |
| Impacto | Coleta de conteúdo da área de transferência, registro de teclas digitadas, transferência de arquivos para FTP e exfiltração por bot do Telegram ou webhook do Discord controlado pelo operador. |
| Prioridade | Bloquear anexos ISO recebidos por e-mail, investigar montagens de imagem originadas de diretórios de usuário e conter endpoints que executaram DLLs embutidas no anexo. |
| Artefatos | A cadeia cita CreativeAI.dll como DLL embutida usada para iniciar o Phantom Stealer; outras campanhas relacionadas usam arquivos LNK com nomes de PDF falsos. |
| Alvos | Entidades russas de finanças e contabilidade aparecem como foco principal; compras, jurídico, folha de pagamento, recursos humanos, legal e aeroespacial também aparecem em campanhas correlatas. |
Uma campanha ativa de phishing contra organizações na Rússia está usando iscas financeiras para distribuir o Phantom Stealer por meio de imagens ISO maliciosas. O fluxo começa com e-mails que simulam comunicações bancárias legítimas e pedem confirmação de uma transferência recente. O anexo inicial é um arquivo ZIP apresentado como pacote de detalhes adicionais, mas o conteúdo relevante é uma imagem ISO. Quando o usuário abre a imagem, o Windows a monta como uma unidade óptica virtual, reduzindo a percepção de risco porque o material passa a parecer um disco anexado ao sistema, não apenas um executável recebido por e-mail.
O foco principal observado é o setor financeiro e contábil russo, com setores de compras, jurídico e folha de pagamento aparecendo como alvos secundários. Esse recorte é coerente com a isca usada: áreas que lidam com pagamentos, documentos de transferência e políticas internas financeiras têm maior probabilidade de abrir anexos relacionados a comprovantes, bônus, reembolsos ou confirmações bancárias. O malware entregue, Phantom Stealer, tem comportamento de roubo de informações e opera com coleta de área de transferência, registro de teclas e exfiltração por canais externos, além de mecanismos para interromper a execução quando detecta ambiente de análise.
A cadeia de infecção é composta por múltiplos estágios, mas depende de uma ação inicial do usuário: abrir o anexo ZIP e interagir com a imagem ISO interna. O nome da ISO, apresentado em russo como Подтверждение банковского перевода.iso ou em inglês como Bank transfer confirmation.iso, reforça a narrativa de comprovante bancário. Depois de montada, a imagem funciona como meio de execução para iniciar o Phantom Stealer por intermédio de uma DLL embutida identificada como CreativeAI.dll. O material analisado não traz hash, assinatura, caminho completo em disco ou domínio de download para esse componente, portanto a análise defensiva deve se concentrar no encadeamento de anexo, montagem de imagem, carregamento de DLL e tráfego de saída.
Após iniciado, o Phantom Stealer monitora o conteúdo copiado para a área de transferência, registra teclas digitadas e executa verificações contra ambientes virtualizados, sandboxes e sistemas de análise. Quando esses sinais são detectados, o malware pode abortar a execução, o que limita a visibilidade em ambientes automatizados e exige correlação com telemetria real de endpoints de usuário. A exfiltração foi descrita por três caminhos: bot do Telegram, webhook do Discord controlado pelo atacante e transferência de arquivos para um servidor FTP. Essa combinação indica que a defesa deve observar tanto APIs de serviços legítimos usados de forma abusiva quanto conexões FTP incomuns saindo de estáções de trabalho administrativas ou financeiras.
O mesmo cenário russo também inclui campanhas de phishing com iscas de bônus e políticas financeiras internas para entregar um implante chamado DUPERUNNER, associado ao carregamento do AdaptixC2. Nesse fluxo correlato, um ZIP contém chamarizes com extensões PDF e LNK, e o arquivo LNK com nome semelhante a documento de bônus anual aciona o mecanismo do Windows para buscar o implante em servidor externo. O DUPERUNNER tem a função de recuperar e exibir um PDF de distração enquanto lança o AdaptixC2 por injeção em processos legítimos como explorer.exe, notepad.exe e msedge.exe. Esses detalhes não indicam que o Phantom Stealer use a mesma injeção, mas mostram uma convergência de iscas financeiras, anexos compostos e execução mascarada em campanhas contra entidades russas.
A superfície exposta envolve principalmente usuários de áreas que processam documentos financeiros recebidos por e-mail. Finanças, contabilidade, compras, jurídico, folha de pagamento e recursos humanos são alvos naturais porque recebem anexos de fornecedores, bancos, áreas internas e parceiros. Em ambientes onde imagens ISO não são bloqueadas na borda de e-mail, o anexo pode atravessar controles que ainda priorizam executáveis tradicionais ou macros de documentos Office. A montagem automática ou manual da ISO também cria um ponto de execução diferente do fluxo clássico de arquivo extraído, o que pode dificultar regras simples baseadas apenas em extensão dentro do ZIP.
A atividade correlata contra setores financeiro, jurídico e aeroespacial na Rússia inclui distribuição de Cobalt Strike, Formbook, DarkWatchman, PhantomRemote e páginas de phishing voltadas a credenciais de Microsoft Outlook e Bureau 1440. Também foi observado abuso de servidores de e-mail de empresas russas comprometidas para enviar mensagens de spear phishing, aumentando a credibilidade dos remetentes e reduzindo a efetividade de filtros baseados apenas em reputação externa. Em outra vertente, páginas hospedadas em IPFS e Vercel foram usadas para coleta de credenciais, o que amplia a superfície de investigação para serviços de hospedagem legítimos e infraestrutura descentralizada.
A atribuição mais sensível citada no contexto deve ser tratada com cautela operacional: uma intrusão contra a indústria aeroespacial russa foi relacionada a hacktivistas alinhados a interesses ucranianos e apresenta sobreposição com nomes de campanha como Hive0117, Operation CargoTalon e Rainbow Hyena, também referida como Fairy Trickster, Head Mare e PhantomCore. Essas sobreposições ajudam a orientar inteligência de ameaças, mas não substituem evidência local em logs, amostras, cabeçalhos de e-mail e artefatos de endpoint.
- Estáções Windows de finanças, contabilidade, compras, jurídico, folha de pagamento e recursos humanos que recebem anexos ZIP por e-mail.
- Gateways de e-mail que permitem anexos ISO ou LNK dentro de arquivos compactados sem inspeção aprofundada.
- Endpoints em que montagens de imagem partem de diretórios de usuário, downloads, cache de e-mail ou pastas temporárias.
- Ambientes com acesso liberado a Telegram, Discord webhooks e FTP a partir de estáções de trabalho de usuário.
A investigação deve começar pelo e-mail: mensagens com assunto ou corpo relacionado a confirmação de transferência bancária, comprovante, bônus anual ou política financeira interna merecem correlação com anexos ZIP contendo ISO, LNK ou nomes de PDF falsos. O cabeçalho do e-mail, o domínio do remetente, a trilha de autenticação e o histórico do servidor emissor ajudam a diferenciar abuso de conta comprometida de infraestrutura recém-criada. Como servidores de e-mail de empresas russas comprometidas foram usados em campanhas relacionadas, a reputação do remetente não deve ser tratada como evidência suficiente de benignidade.
No endpoint, os sinais mais úteis são eventos de montagem de imagem ISO a partir de locais de usuário, criação ou carregamento de DLL associada à imagem montada e execução subsequente de processos que não fazem parte do fluxo normal de abertura de documento. Para a cadeia do Phantom Stealer, a presença de CreativeAI.dll em uma unidade montada ou logo após a abertura do anexo é um artefato relevante. Para campanhas correlatas com DUPERUNNER, nomes LNK que terminam em dupla extensão, como arquivo que aparenta ser PDF mas executa atalho, devem ser tratados como prioridade de triagem.
Na rede, a defesa deve procurar padrões de saída incomuns para Telegram, Discord webhooks e FTP originados de estáções administrativas, máquinas de folha de pagamento ou endpoints de contabilidade. O ponto não é bloquear cegamente todo uso legítimo desses serviços, mas identificar conexões iniciadas logo após abertura de anexo, montagem de ISO ou execução de DLL fora de caminhos corporativos conhecidos. Em campanhas de phishing de credenciais, acessos a páginas de autenticação hospedadas em IPFS ou Vercel devem ser avaliados com atenção quando a URL for recebida por e-mail e imitar Microsoft Outlook ou serviços corporativos específicos.
- E-mails com anexos ZIP contendo ISO, LNK ou nomes que simulam documentos financeiros, comprovantes bancários, bônus ou políticas internas.
- Montagem de imagem ISO iniciada a partir de diretórios como downloads, cache de cliente de e-mail, área de trabalho ou pastas temporárias do usuário.
- Carregamento de
CreativeAI.dllou de DLLs a partir de unidade óptica virtual montada logo após interação com e-mail. - Tráfego de saída para Telegram, Discord webhooks ou FTP iniciado por estáções de trabalho de áreas financeiras.
- Processos legítimos como
explorer.exe,notepad.exeoumsedge.exeexibindo comportamento anômalo em campanhas correlatas com injeção do AdaptixC2. - Acessos a páginas de login hospedadas em IPFS ou Vercel que imitam Microsoft Outlook ou serviços de organizações russas específicas.
A resposta defensiva deve priorizar controles de e-mail e endpoint sobre a cadeia de anexos. Arquivos ISO recebidos por e-mail devem ser bloqueados ou colocados em quarentena quando vierem dentro de ZIP, especialmente quando associados a temas financeiros. Arquivos LNK com dupla extensão ou nomes que simulam PDF também devem ser impedidos na borda e no endpoint. A política deve incluir inspeção de conteúdo compactado, não apenas da extensão do anexo externo, porque o primeiro arquivo visível para o usuário pode ser um ZIP aparentemente comum.
Nos endpoints, organizações devem restringir execução a partir de unidades montadas, diretórios temporários e caminhos de usuário quando o arquivo não for assinado ou não pertencer a inventário corporativo aprovado. A telemetria de EDR precisa registrar montagem de ISO, criação de processo, carregamento de DLL, conexões de rede e acesso à área de transferência para permitir reconstrução da cadeia. Quando houver suspeita de execução do Phantom Stealer, a contenção deve considerar coleta de credenciais digitadas, conteúdo copiado e arquivos potencialmente transferidos, além de revogação de sessões e troca de senhas de contas usadas no endpoint.
Para a parte de exfiltração, controles de saída devem aplicar política baseada em necessidade. Estáções de folha de pagamento e contabilidade raramente precisam iniciar FTP para destinos externos ou publicar dados em webhooks do Discord. O uso de Telegram em ambientes corporativos deve ser avaliado conforme a necessidade de negócio e monitorado por destino, processo de origem e horário. Quando houver abuso de serviços legítimos, bloqueio por domínio amplo pode causar impacto operacional; por isso, a resposta mais precisa combina proxy, EDR, DNS, logs de firewall e histórico de processo.
A validação final deve incluir retro-hunting em e-mails antigos, busca por anexos semelhantes, análise de contas que receberam a isca e revisão de permissões das áreas atingidas. Em paralelo, treinamentos pontuais para equipes financeiras devem focar no padrão concreto observado: confirmação de transferência, anexo compactado, imagem ISO montada e falsa aparência de documento. Essa abordagem é mais útil do que alertas genéricos sobre phishing, porque conecta a orientação ao comportamento real da campanha.
- Quarentenar ou bloquear anexos ISO dentro de ZIP em mensagens externas e mensagens internas suspeitas encaminhadas por contas comprometidas.
- Bloquear LNK com dupla extensão e anexos que simulem PDF quando o arquivo real for atalho ou imagem de disco.
- Criar regra de alerta para montagem de ISO a partir de diretórios de usuário seguida de carregamento de DLL ou tráfego externo.
- Restringir FTP, Telegram e Discord webhooks para estáções que não tenham justificativa operacional documentada.
- Isolar endpoints com evidência de execução, coletar artefatos forenses e revisar credenciais usadas após a abertura do anexo.
- Fazer retro-hunting em caixas de e-mail de finanças, contabilidade, compras, jurídico, folha de pagamento e recursos humanos.
0 Comentários