Phantom Stealer: este malware es más listo que tu administrador de sistemas — sabe cuándo lo vigilan y desaparece.
Ninguna máquina virtual podrá atrapar a este espía.
Durante la observación de la actividad de amenazas digitales, los especialistas de Seqrite Labs identificaron una nueva campaña dirigida denominada Operation MoneyMount-ISO. El ataque tiene como objetivo el robo de información confidencial mediante un esquema de entrega multinivel del software malicioso Phantom Stealer a través de imágenes ISO disfrazadas de confirmaciones de pago.
El ataque comienza con el envío masivo de correos electrónicos supuestamente con información sobre una transferencia bancaria realizada. Estos mensajes están redactados en estilo empresarial y van acompañados de un archivo ZIP llamado «Confirmación de transferencia bancaria». Dentro del archivo ZIP hay un archivo ISO que se monta como un disco virtual y muestra un archivo ejecutable. Ejecutar ese archivo provoca la infección del equipo.
Los principales objetivos son los empleados de los departamentos financieros, contabilidad y pagos de las organizaciones, así como los especialistas de los departamentos jurídico, de recursos humanos y de compras. El envío no está dirigido a personas concretas, lo que indica el carácter masivo del ataque. El uso de un estilo formal dota al correo de credibilidad, especialmente para quienes trabajan con documentación de pagos.
El análisis técnico mostró que el archivo ISO contiene un componente ejecutable que inicia la descarga de una biblioteca adicional con código malicioso cifrado. Tras descifrarlo, ese código inyecta el módulo principal — Phantom Stealer. El malware está protegido contra el análisis: comprueba el entorno en busca de máquinas virtuales, depuradores y herramientas de análisis, y al detectar signos de intervención cesa su actividad y se elimina.
Phantom Stealer recopila un gran volumen de información. Extrae datos de extensiones de navegador de carteras de criptomonedas y de aplicaciones de escritorio, roba contraseñas guardadas, cookies, tarjetas bancarias, tokens de Discord, además de supervisar el portapapeles y registrar pulsaciones de teclas. Toda la información recopilada se estructura, se guarda y se comprime en un archivo al que se añade información del sistema, incluidos la dirección IP, el nombre de usuario y el estado de la protección antivirus.
La transmisión de datos a los atacantes se realiza mediante tres canales: bot de Telegram, webhooks de Discord y servidor FTP. Para la comunicación se usan métodos asíncronos y parámetros de conexión predefinidos, lo que garantiza la entrega fiable de la información a recursos externos.
Operation MoneyMount-ISO refleja la creciente complejidad de las herramientas maliciosas y la intención de eludir las protecciones tradicionales. El uso de archivos ISO como vector inicial de infección permite sortear los filtros de correo electrónico. Dada la orientación del ataque hacia la infraestructura de pagos y financiera, son necesarias medidas para bloquear ese tipo de adjuntos, analizar el comportamiento de procesos en memoria y proteger los canales de correo.