‘Bonifici Bancari’ e Fiducia Tradita: Phantom Stealer Prende di Mira la Finanza Russa in una Raffinata Campagna di Phishing con File ISO

Tutto inizia con un’email convincente - una di quelle che sembrano appartenere a qualsiasi casella di posta di un contabile. Una conferma di bonifico di routine, un allegato dall’aspetto ufficiale e un senso di urgenza. Ma all’interno del file ZIP non c’è un documento innocuo; è un cavallo di Troia digitale. In una nuova campagna che sta scuotendo il settore finanziario russo, gli aggressori utilizzano immagini disco ISO per diffondere Phantom Stealer, un famigerato malware per il furto di informazioni, attraverso una rete di inganni e sofisticate tecniche informatiche.

Anatomia di un Colpo: Come Phantom Stealer Si Insinua

L’operazione - battezzata “MoneyMount-ISO” dai laboratori Seqrite - si basa su una catena d’infezione ben studiata. Le vittime ricevono un’email di phishing, abilmente camuffata da comunicazione finanziaria legittima. L’allegato, solitamente un archivio ZIP, contiene un file ISO dal nome rassicurante (“Conferma bonifico bancario.iso”). Quando un dipendente ignaro monta il file ISO, viene eseguita una DLL nascosta (CreativeAI.dll), che avvia Phantom Stealer sul sistema.

Una volta all’interno, Phantom Stealer va a caccia di dati sensibili: password dei browser, cookie, dettagli di carte di credito e, soprattutto, informazioni dai portafogli di criptovalute. Non si limita ai file statici - questo stealer registra i tasti premuti, monitora l’attività degli appunti ed è progettato per rilevare se viene analizzato o eseguito in una sandbox. Se percepisce di essere sotto osservazione, si cancella senza lasciare tracce.

L’esfiltrazione è altrettanto furtiva. I dati rubati vengono inviati tramite bot Telegram o webhook Discord, confondendosi con il traffico internet quotidiano. In alcuni casi, i file vengono silenziosamente caricati su server FTP controllati dagli aggressori.

Oltre Phantom: Un’Offensiva Più Ampia

Non si tratta di un episodio isolato. Le organizzazioni russe - soprattutto i reparti paghe e risorse umane - sono anch’esse bersaglio di attacchi di phishing che diffondono un nuovo impianto chiamato DUPERUNNER. Questo malware carica AdaptixC2, uno strumento open-source di comando e controllo, ingannando gli utenti con documenti esca e file di collegamento LNK malevoli. Nel frattempo, settori come quello aerospaziale vengono presi di mira con Cobalt Strike e Formbook, mentre gruppi hacktivisti allineati con interessi ucraini sfruttano il caos del conflitto geopolitico in corso.

Alcuni attacchi vanno oltre, reindirizzando le vittime verso pagine di phishing ospitate su piattaforme decentralizzate come IPFS, con l’obiettivo di carpire credenziali da obiettivi di alto profilo, tra cui Microsoft Outlook e Bureau 1440, un attore chiave nell’industria aerospaziale russa.

Conclusione: Nessuna Fine all’Orizzonte per l’Inganno Digitale

Mentre i settori finanziario e industriale russi restano nel mirino, queste campagne di phishing segnano una nuova era del crimine informatico - dove gli aggressori fondono ingegnosità tecnica e manipolazione psicologica. Con tattiche in continua evoluzione e bersagli sempre più ampi, le organizzazioni devono restare vigili, perché il “bonifico bancario” di oggi potrebbe essere la violazione di domani.