Папа не смог: эксперты F6 исследовали вредоносные рассылки с новым Phantom Stealer
В июне 2025 года специалисты F6 Threat Intelligence обнаружили новую вредоносную активность, которую назвали Phantom Papa. Злоумышленники рассылали письма весьма фривольного содержания на русском и английском языках с вредоносными вложениями, содержащими новый Phantom Stealer. Все подробности — в новом блоге.
Это ВПО основано на коде ВПО Stealerium и позволяет собирать пароли, банковскую и криптовалютную информацию, содержимое браузеров и мессенджеров. Также у него есть функция антианализа, автозапуска, кейлоггер и поддержка популярных обфускаторов. Для эксфильтрации данных может использовать Telegram, Discord или SMTP.
Phantom Stealer продаётся на сайте phantomsoftwares[.]site, домен был зарегистрирован в феврале 2025 года. Помимо него, представлены ещё несколько продуктов:
Phantom crypter
Phantom stealer advanced
Phantom stealer basic
Согласно данным решения для защиты корпоративной почты F6 Business Email Protection, получателями вредоносных писем оказались организации из различных сфер экономики: ритейла, промышленности, строительства, IT. В логах стилера были выявлены IP устройств, на которых был запущены образцы ВПО. IP-адреса зараженных устройств оказались связаны с 19 странами мира, включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и другие. Согласно нашему анализу, часть из них представляет собой виртуальные машины исследователей.
Темы писем:
See My Nude Pictures and Videos;
Посмотрите мои обнаженные фотографии и видео;
Прикрепленная копия платежа №06162025.
Примеры писем:
Письмо было явно переведено с английского на русский язык с помощью переводчика:
Вложения:
See My Nude Pictures and Videos.rar (MD5: 0f0192a4ee52729730cffb49c67f1e3b)
См
Читать на habr.com
