В декабре 2025 года исследователи зафиксировали новую активную фишинговую кампанию, которая использует необычный вектор доставки вредоносного ПО — ISO-образы, монтируемые как виртуальные диски. Кампания, известная как Operation MoneyMount‑ISO, нацелена на корпоративные финансовые, бухгалтерские и юридические отделы. Письма выглядят как обычные уведомления о банковских операциях, внутри которых ZIP-архивы содержат ISO-файлы с именами вроде «Подтверждение перевода». На первый взгляд это привычные документы, но на самом деле они запускают Phantom Stealer — инфостилер, который собирает пароли, данные банковских карт, токены приложений и криптовалютные ключи.
Главная хитрость атаки в том, что ISO-файлы не считаются исполняемыми напрямую и поэтому часто обходят корпоративные фильтры почты и антивирусные проверки. Когда пользователь открывает такой файл, он монтируется как виртуальный диск, а содержащийся там код запускает цепочку заражения почти незаметно. Программа умеет обходить анализ в виртуальных машинах и песочницах, что усложняет обнаружение и расследование инцидентов.
Для корпоративной безопасности это сигнал, что стандартные фильтры на основе расширений и сигнатур уже недостаточны. Не менее важна подготовка сотрудников: даже опытные бухгалтеры или юристы могут открывать вложения, если они выглядят как обычные рабочие документы. Понимание того, что даже ISO-образы могут быть опасны, должно стать частью корпоративной культуры безопасности.
Ключевой урок этой кампании — пересмотреть подходы к фильтрации вложений, анализировать поведение файлов и обеспечивать многоуровневую защиту конечных точек. В современных условиях защита должна учитывать не только известные сигнатуры, но и поведенческие паттерны угроз, социальную инженерию и новые методы доставки вредоносного ПО.