Une campagne sophistiquée de phishing vise le secteur financier russe en utilisant des e-mails de phishing contenant des fichiers ISO. Cette menace déployée depuis début 2025 repose sur la diffusion du Phantom Stealer, un logiciel malveillant conçu pour le vol de données sensibles. Les attaques exploitent des leurres de confirmations de paiements, mettant en évidence la nécessité accrue de vigilance en cybersécurité dans un contexte de menaces numériques toujours plus ciblées.
Comment le Phantom Stealer se propage dans le secteur financier russe ?
La campagne nommée Operation MoneyMount-ISO s’appuie sur des e-mails de phishing exploités par des cybercriminels pour infiltrer les entreprises financières et comptables en Russie. Ces messages imitent des communications officielles, incitant à ouvrir un fichier joint ZIP contenant un fichier ISO déguisé en confirmation de virement bancaire. Lorsque ce fichier est exécuté, il monte un lecteur CD virtuel qui lance le Phantom Stealer via une DLL intégrée.
Ce logiciel malveillant est doté de capacités avancées pour collecter des informations : il extrait des données des extensions de portefeuilles de cryptomonnaies, récupère des mots de passe, des cookies, ainsi que des jetons d’authentification Discord, tout en surveillant le presse-papiers et enregistrant les frappes clavier.
Impact sur la sécurité informatique et la confidentialité des données
Les conséquences pour les entités touchées sont considérables. Le Phantom Stealer utilise des techniques d’évasion sophistiquées pour éviter les environnements d’analyse, ce qui complique sa détection. Les données volées sont ensuite transmises via un bot Telegram ou un webhook Discord contrôlé par les attaquants, renforçant la furtivité de la fuite de données.
Les attaques récentes ont montré un focus particulier sur les départements RH et paie, où des fichiers ZIP contenant des leurres sur les primes et politiques internes déploient un implant nommé DUPERUNNER, associé à un cadre de contrôle à distance open source AdaptixC2. Ce mode opératoire souligne l’ingéniosité des hackers en quête de prises de contrôle discrètes et durables des systèmes compromis.
Les stratégies pour faire face à ces cyberattaques
Face à cette cyberattaque, renforcer les mécanismes de filtrage des e-mails s’impose comme un rempart essentiel. La détection des pièces jointes suspectes telles que les fichiers ISO ou des formats compressés inhabituels, combinée à une sensibilisation accrue des équipes financières, peut freiner la propagation du Phantom Stealer.
Le recours à des outils de surveillance réseau pour repérer les transferts de données vers des serveurs FTP externes ou des plateformes de messagerie utilisées par les attaquants est également primordial. Les alertes sur des campagnes similaires, comme celles recensées par Kaspersky ou les analyses présentes sur Cyber Sécurité, apportent des ressources précieuses pour mieux comprendre ces menaces et adapter les défenses.
