AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Campaña activa de phishing distribuye Phantom Stealer en Rusia a través de imágenes ISO

admin

Introducción

Una reciente investigación de Seqrite Labs ha sacado a la luz una campaña de phishing altamente dirigida, bautizada como «Operación MoneyMount-ISO», que se encuentra actualmente en curso y afecta a múltiples sectores en Rusia. El vector principal utilizado por los atacantes es el envío de correos electrónicos maliciosos que distribuyen imágenes ISO, con el objetivo de instalar el infame malware Phantom Stealer en las estaciones de trabajo de las víctimas. Este artículo desglosa en profundidad los aspectos técnicos, el impacto y las implicaciones de esta amenaza, ofreciendo recomendaciones específicas para los profesionales de ciberseguridad encargados de proteger entornos empresariales.

Contexto del Incidente

La Operación MoneyMount-ISO ha mostrado una orientación especialmente marcada hacia entidades de los sectores financiero y contable, aunque también se han identificado víctimas en áreas de adquisiciones, departamentos legales y nóminas. Según los datos recopilados por Seqrite Labs, la campaña se ha intensificado durante el primer semestre de 2024, con cientos de organizaciones rusas recibiendo correos fraudulentos de aspecto legítimo que buscan explotar la confianza y los procedimientos internos habituales.

El uso de imágenes ISO como vector de entrega responde a una tendencia creciente, observada especialmente desde que Microsoft deshabilitó por defecto la ejecución automática de macros en documentos de Office. Las imágenes ISO permiten evadir controles básicos y soluciones de seguridad tradicionales, facilitando la ejecución de scripts o binarios maliciosos en los equipos de los usuarios.

Detalles Técnicos: CVE, vectores de ataque y TTPs

El vector inicial de ataque consiste en el envío de correos electrónicos cuidadosamente elaborados que simulan comunicaciones oficiales o transacciones rutinarias. Estos mensajes contienen archivos adjuntos en formato ISO, que una vez montados por el usuario, exponen ejecutables o scripts preparados para desplegar Phantom Stealer.

El malware Phantom Stealer es un stealer modular avanzado, especializado en la exfiltración de credenciales almacenadas en navegadores, carteras de criptomonedas, tokens de acceso y otros datos sensibles. Su código muestra capacidades de evasión avanzadas, como empaquetado y ofuscación dinámica, detección de entornos sandbox y mecanismos anti-VM.

Los procedimientos, técnicas y tácticas (TTPs) identificados se alinean principalmente con los siguientes apartados del marco MITRE ATT&CK:

– Initial Access: Phishing (T1566.001)
– Execution: User Execution (T1204.002)
– Defense Evasion: Obfuscated Files or Information (T1027)
– Credential Access: Credentials from Web Browsers (T1555.003)
– Exfiltration: Exfiltration Over C2 Channel (T1041)

No se han asociado CVEs específicos a la explotación, ya que el ataque depende de la ingeniería social y la ejecución directa de archivos maliciosos por parte del usuario. En cuanto a IoCs (Indicadores de Compromiso), se han identificado hashes de las imágenes ISO, direcciones IP de los servidores C2 y rutas de archivos generados por Phantom Stealer.

Impacto y Riesgos

El impacto potencial de esta campaña es considerable, especialmente para organizaciones donde la integridad de datos financieros y confidenciales es crítica. Phantom Stealer puede recopilar y exfiltrar grandes volúmenes de datos en cuestión de minutos, facilitando el acceso no autorizado a infraestructuras internas, cuentas bancarias, plataformas de trading y sistemas de nómina.

Según estimaciones preliminares, hasta un 15% de los ataques han resultado en compromisos exitosos, con pérdidas económicas que pueden oscilar entre los 10.000 y 250.000 euros según la sensibilidad de los datos robados y el tamaño de la organización. La exposición de información personal y financiera puede además conllevar sanciones regulatorias bajo marcos como el GDPR y la directiva NIS2, en caso de que los afectados mantengan relaciones comerciales con entidades europeas o almacenen datos de ciudadanos de la UE.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a campañas similares, los expertos recomiendan:

– Bloquear la ejecución automática de imágenes ISO en estaciones de trabajo.
– Fortalecer la formación en concienciación sobre phishing, especialmente en departamentos financieros y administrativos.
– Implementar soluciones de EDR capaces de detectar el montaje y ejecución de archivos desde imágenes ópticas virtuales.
– Monitorizar IoCs asociados publicados por Seqrite Labs y otros CSIRTs.
– Revisar y actualizar las políticas de acceso y privilegios, minimizando la exposición de credenciales y datos críticos.
– Aplicar segmentación de red y controles de salida para evitar exfiltración de datos mediante canales C2.

Opinión de Expertos

Analistas de seguridad consultados coinciden en que el uso de imágenes ISO representa una evolución táctica significativa, explotando lagunas en la protección endpoint y la falta de concienciación sobre nuevos vectores. “Las campañas de phishing han mutado; ya no basta con bloquear macros, los atacantes buscan constantemente formatos alternativos”, apunta Natalia Sidorova, CISO de una entidad bancaria rusa. Por su parte, expertos en threat hunting señalan el aumento de la colaboración entre grupos de ciberdelincuentes para compartir herramientas como Phantom Stealer y reutilizar infraestructuras C2.

Implicaciones para Empresas y Usuarios

Las empresas deben asumir que los ataques de phishing evolucionan constantemente y que los mecanismos tradicionales de filtrado de correo y bloqueo de extensiones pueden resultar insuficientes. La protección efectiva pasa por una combinación de tecnología, formación y respuesta rápida ante incidentes. Para los usuarios corporativos, el simple hecho de montar una imagen ISO desconocida puede suponer el inicio de una cadena de compromiso, subrayando la necesidad de revisar y actualizar los procedimientos internos de gestión de archivos adjuntos.

Conclusiones

La Operación MoneyMount-ISO demuestra que la sofisticación de las campañas de phishing sigue en aumento, con atacantes adaptando sus técnicas para maximizar la tasa de éxito y evadir mecanismos de defensa tradicionales. La combinación de ingeniería social avanzada, uso de formatos alternativos y malware especializado como Phantom Stealer constituye una amenaza crítica para sectores sensibles. La respuesta debe ser holística y proactiva, integrando visibilidad, prevención y resiliencia organizacional.

(Fuente: feeds.feedburner.com)