Pesquisadores em cibersegurança divulgaram detalhes de uma campanha ativa de phishing que tem como alvo diversos setores na Rússia.
A estratégia utiliza e-mails maliciosos para distribuir o malware Phantom Stealer, disfarçado em arquivos ISO — formatos ópticos que são montados como drives virtuais no sistema infectado.
Batizada de Operation MoneyMount-ISO pela Seqrite Labs, a campanha mira principalmente entidades financeiras e contábeis, com procuradorias, departamentos jurídicos e de folha de pagamento como alvos secundários.
De acordo com a empresa, “essa campanha emprega um falso comprovante de pagamento para disseminar o Phantom Stealer por meio de uma cadeia de anexos em várias etapas”.
O ataque se inicia com um e-mail simulando comunicações financeiras legítimas e solicitando a confirmação de uma transferência bancária recente.
O anexo é um arquivo ZIP que supostamente traz mais detalhes, mas na verdade contém um arquivo ISO.
Ao ser aberto, o ISO é montado como um drive virtual e executa o Phantom Stealer por meio de uma DLL embutida chamada “CreativeAI.dll”.
O Phantom Stealer é capaz de coletar dados de extensões de carteiras de criptomoedas em navegadores baseados em Chromium, além de aplicativos de carteira para desktop.
Também captura arquivos, tokens de autenticação do Discord, senhas salvas no navegador, cookies e informações de cartões de crédito.
O malware monitora a área de transferência, registra teclas digitadas e verifica se está rodando em ambientes virtualizados ou sandbox.
Caso identifique essas condições, interrompe sua execução para evitar análises.
A exfiltração dos dados ocorre por meio de um bot no Telegram ou de um webhook no Discord controlado pelos atacantes, além de permitir a transferência para servidores FTP.
Nos últimos meses, departamentos de recursos humanos e folha de pagamento de organizações russas têm sido alvos de e-mails de phishing com iscas relacionadas a bônus ou políticas financeiras internas, usados para instalar um implantador até então desconhecido, chamado DUPERUNNER.
Esse malware carrega o AdaptixC2, um framework open-source de comando e controle (C2).
A campanha, chamada DupeHike, está vinculada ao grupo de ameaças UNG0902.
Segundo a Seqrite, o arquivo ZIP inicial contém iscas nas extensões PDF e LNK, usadas para baixar o DUPERUNNER.
O arquivo LNK, com nome que simula um documento sobre bônus anual, utiliza o “powershell.exe” para baixar o malware de um servidor externo.
O objetivo do implantador é exibir um PDF falso como distração e executar o módulo AdaptixC2, injetando-o em processos legítimos do Windows, como “explorer.exe”, “notepad.exe” e “msedge.exe”.
Outras campanhas de phishing na Rússia têm como alvo os setores financeiro, jurídico e aeroespacial, distribuindo ferramentas maliciosas como Cobalt Strike, Formbook, DarkWatchman e PhantomRemote, capazes de roubar dados e assumir controle remoto das máquinas das vítimas.
E-mails enviados a partir de servidores comprometidos dessas empresas russas são usados para disparar as mensagens direcionadas.
A empresa francesa Intrinsec associou o conjunto de ataques contra a indústria aeroespacial russa a hacktivistas alinhados aos interesses ucranianos.
Detectadas entre junho e setembro de 2025, as ações revelam conexões com grupos conhecidos como Hive0117, Operation CargoTalon e Rainbow Hyena (também chamados Fairy Trickster, Head Mare e PhantomCore).
Algumas campanhas redirecionam usuários para páginas de phishing hospedadas no InterPlanetary File System (IPFS) e na plataforma Vercel, com o objetivo de roubar credenciais do Microsoft Outlook e da Bureau 1440, uma empresa aeroespacial russa.
De acordo com a Intrinsec, “as campanhas observadas entre junho e setembro de 2025 visam comprometer entidades que cooperam ativamente com o exército russo, sobretudo em meio ao atual conflito com a Ucrânia e às sanções ocidentais impostas”.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...