Российские органы власти столкнулись с новой волной фишинга, распространяющего стилер Phantom Stealer

По данным экспертов по информационной безопасности, атака начинается с рассылки целевых фишинговых писем. Злоумышленники маскируют сообщения под деловую переписку, связанную с финансовыми операциями. Во вложение письма добавляется архивный файл с названием «Прикрепленная копия платежа №06162025.rar». Этот архив содержит образ диска в формате ISO с аналогичным наименованием - «Прикрепленная копия платежа №06162025.iso».

Когда пользователь, обманутый правдоподобным предлогом, запускает ISO-файл, операционная система монтирует его как виртуальный диск. Внутри образа находится исполняемый файл «Прикрепленная копия платежа №06162025.exe». Его запуск инициирует два параллельных процесса. Во-первых, на экране жертвы открывается документ-приманка, например, якобы квитанция или платежное поручение. Это делается для отвлечения внимания и создания видимости легитимности файла. Одновременно с этим в фоновом режиме происходит внедрение на компьютер вредоносного полезного груза.

В данной кампании злоумышленники применяют троянец-стилер Phantom Stealer. Эта программа предназначена для скрытого сбора и кражи самой разнообразной информации с зараженного компьютера. Обычно вор (stealer) собирает сохраненные в браузерах логины и пароли, данные банковских карт, файлы cookies, историю посещений, а также информацию из установленных мессенджеров и клиентов криптовалютных кошельков. Похищенные данные затем тайно передаются на контролируемые злоумышленниками серверы.

Использование формата ISO является современным тактическим приемом, позволяющим обходить некоторые традиционные средства защиты. В отличие от исполняемых файлов формата EXE, которые часто блокируются почтовыми фильтрами, файлы образов дисков реже вызывают подозрения у пользователей и систем. Более того, многие стандартные правила безопасности в корпоративных средах могут быть менее строгими к монтированию ISO-образов.

Целевой характер атак на государственные структуры и объекты КИИ указывает на высокий уровень подготовки злоумышленников. Вероятно, речь идет либо о финансово мотивированной группировке, либо о хакерах, работающих в интересах иностранных государств (так называемые APT-группы). Кража учетных данных и технической информации с таких систем может быть использована для дальнейших, более глубоких вторжений, шпионажа или дестабилизации работы критически важных служб.

Эксперты рекомендуют организациям, особенно в госсекторе, усилить меры безопасности. Ключевыми шагами должны стать регулярное обучение сотрудников по распознаванию фишинговых писем, запрет на запуск исполняемых файлов из непроверенных источников, включая смонтированные образы, и установка современных решений класса EDR (Endpoint Detection and Response). Также необходимо строгое соблюдение политик наименьших привилегий для пользовательских учетных записей. Инциденты с подобными письмами следует немедленно сообщать в службы информационной безопасности и в государственные структуры, такие как ФСТЭК России и ГосСОПКА.

Текущая кампания наглядно демонстрирует эволюцию тактик киберпреступников, которые постоянно ищут новые способы обхода защитных механизмов. Сочетание социальной инженерии, доверия к формату документов и мощного вредоносного ПО делает такие атаки особенно опасными для организаций, работающих с чувствительной информацией.

MD5

• 0f0192a4ee52729730cffb49c67f1e3b
• 1942ecd5945d8ffc9c9a4c9f78b1832c
• 225eafff6079cb1e726bc1ff4255225c
• 35ed4a54fdcf4e328d57364ea7cdfae1
• 66dac3aa64fe9033b388d60cccd4bbd4
• 68ba1559bf4d230b8adcd11e481b2ef4
• 6b70f446f72166947a7705b1f5b1a21e
• 91441a640db47a03a4e6b4a8355cf4c4
• c675457083bbc4f4645bdfad1d73ad4b
• d3d88b82623692c9c47d6add3660732f
• ee2c8ae67a134ee1d3645afc94955b56
• f327cf2bfcc4eb48664e621fae0cd5cd