16 de diciembre de 2025

Phantom Stealer se propaga vía phishing con archivos ISO y apunta al sector financiero ruso

Phantom Stealer se propaga vía phishing con archivos ISO y apunta al sector financiero ruso

Una campaña de phishing altamente dirigida está utilizando archivos ISO maliciosos como vector de infección para distribuir Phantom Stealer, un malware especializado en el robo de credenciales y datos sensibles. La operación, detectada desde finales de noviembre, tiene como principal objetivo a instituciones financieras en Rusia y representa un riesgo significativo para infraestructuras bancarias y entornos corporativos complejos.

ISO como vector de ataque: evasión silenciosa

Los correos maliciosos suplantan notificaciones legítimas de plataformas ampliamente utilizadas en entornos corporativos, como Microsoft Teams y proveedores de software empresarial. El adjunto, un archivo ISO aparentemente inofensivo, explota la confianza que aún existe en este formato, comúnmente asociado a imágenes de disco y respaldos.

Al montar el archivo ISO en Windows, se ejecuta de forma encubierta un script en PowerShell que descarga y despliega Phantom Stealer desde servidores controlados por los atacantes. Este enfoque permite evadir controles tradicionales de seguridad, ya que muchos motores antivirus y filtros de correo no inspeccionan a fondo el contenido interno de imágenes ISO.

Capacidades del malware Phantom Stealer

Phantom Stealer pertenece a la categoría de infostealers y cuenta con funcionalidades avanzadas para la exfiltración de información crítica, entre ellas:

  • Robo de credenciales almacenadas en navegadores

  • Extracción de cookies de sesión

  • Obtención de datos de tarjetas de crédito

  • Compromiso de tokens de autenticación multifactor (2FA)

  • Recolección de información del sistema para movimientos laterales

Este malware ya había sido observado previamente en campañas dirigidas a Europa del Este, pero el uso sistemático de archivos ISO marca una evolución relevante en su cadena de infección.

Hallazgos y indicadores de compromiso

De acuerdo con un análisis preliminar de Proofpoint, los atacantes aprovechan que los archivos ISO no disparan alertas basadas en extensiones comúnmente bloqueadas como .exe o .js. Esta técnica ha permitido tasas de apertura superiores al 20%, un valor considerablemente alto para campañas de phishing dirigidas.

Entre los indicadores de compromiso identificados se encuentran dominios utilizados para comando y control, como teams-notify[.]com, así como hashes específicos de los archivos maliciosos distribuidos en la campaña.

Impacto en el sector financiero ruso

El sector financiero ruso, ya sometido a presión por sanciones internacionales y amenazas persistentes, ha sido el principal blanco de esta operación. Al menos tres bancos medianos en Moscú y San Petersburgo reportaron incidentes recientes de compromiso limitado, con filtración de datos que podrían facilitar accesos no autorizados a plataformas críticas, incluidos sistemas de mensajería financiera y trading.

Especialistas advierten que este tipo de infecciones no debe verse únicamente como robo de información. En muchos casos, los infostealers funcionan como etapa inicial para ataques más complejos, como despliegues de ransomware, fraude financiero o espionaje corporativo.

Medidas de mitigación recomendadas

Autoridades rusas de respuesta a incidentes han emitido alertas técnicas recomendando:

  • Deshabilitar la montura automática de archivos ISO en sistemas Windows

  • Analizar adjuntos en entornos aislados (sandboxing)

  • Fortalecer la segmentación de red

  • Implementar soluciones EDR con monitoreo de comportamiento

  • Restringir el uso de PowerShell mediante políticas de ejecución estrictas

El Banco Central de Rusia también ha instado a las entidades financieras a reforzar la detección temprana de actividad anómala en endpoints y accesos privilegiados.

Una tendencia que podría escalar globalmente

Esta campaña confirma una tendencia creciente: el uso de contenedores de archivos poco inspeccionados como vector de ataque inicial. Especialistas advierten que este mismo enfoque podría replicarse en otras regiones, incluida Latinoamérica, especialmente en organizaciones con controles de correo electrónico laxos o con dependencia intensiva de plataformas colaborativas.

La atribución preliminar sugiere infraestructura asociada a grupos avanzados de Europa del Este, lo que refuerza la necesidad de cooperación internacional para el rastreo y desmantelamiento de sus servidores de comando y control.

Fuente: https://cybersecuritynews.com/new-phantom-stealer-campaign-hits-windows-machines/
Siguiente → VolkLocker ransomware expone una clave m...
Escrito por:
Luis Carreón
📰 Otras noticias del día
VolkLocker ransomware expone una clave maestra hardcodeada y permite desencriptación gratuita
Grupo Chronus intensifica ataques contra instituciones en Sonora y lanza amenazas directas al Gobierno federal
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio