Negli ultimi mesi, la Russia è stata colpita da una massiccia campagna di phishing che mira principalmente al settore finanziario e ad altri settori sensibili come legale, procurement e payroll. I cybercriminali utilizzano email di phishing con allegati ISO per diffondere il malware Phantom Stealer, una minaccia progettata per sottrarre informazioni sensibili dagli utenti colpiti.

La tecnica di attacco parte da un’email camuffata da comunicazione bancaria ufficiale che invita la vittima a confermare un trasferimento bancario. In allegato, si trova un archivio ZIP che, a sua volta, contiene un file ISO. Questo file, una volta aperto, viene montato come unità CD virtuale e contiene un eseguibile che attiva Phantom Stealer tramite una DLL incorporata.

Phantom Stealer è in grado di rubare dati da estensioni di portafogli di criptovaluta nei browser basati su Chromium, da applicazioni desktop per wallet, oltre a prelevare file, token di autenticazione Discord, password, cookie e dati delle carte di credito memorizzate nel browser. Il malware tiene traccia degli appunti, registra i tasti premuti e verifica se si trova in ambienti di analisi o virtualizzazione, interrompendo l’esecuzione in tali casi per evitare di essere scoperto.

I dati sottratti vengono esfiltrati tramite bot di Telegram, webhook Discord oppure inviati a un server FTP controllato dagli attaccanti. Questa strategia multi-canale rende più difficile il tracciamento e il blocco delle attività malevole.

Altre campagne e malware individuati

Parallelamente, sono state rilevate altre campagne di phishing in Russia che sfruttano allegati ZIP con file PDF e LNK, che scaricano un secondo malware chiamato DUPERUNNER. Questo, una volta eseguito, lancia AdaptixC2, un framework open source di comando e controllo, spesso iniettato in processi legittimi di Windows come explorer.exe o notepad.exe.

Anche settori come quello aerospaziale sono stati presi di mira, con campagne che distribuiscono Cobalt Strike, Formbook, DarkWatchman e PhantomRemote. Gli attaccanti sfruttano server di posta elettronica compromessi per inviare email di spear-phishing, aumentando la credibilità della comunicazione agli occhi delle vittime. In alcuni casi, le campagne di phishing reindirizzano le vittime verso pagine di login fasulle ospitate su IPFS o Vercel, con l’obiettivo di rubare credenziali di accesso a servizi come Microsoft Outlook o piattaforme aziendali russe.

Questi attacchi sono stati in parte ricondotti ad hacktivisti di area ucraina, con l’obiettivo di colpire aziende che collaborano con le forze armate russe. Le campagne sono caratterizzate da sofisticazione crescente e da una forte componente di ingegneria sociale, sfruttando tematiche finanziarie e documenti interni per indurre all’apertura degli allegati dannosi.