В июне 2025 года специалисты F6 Threat Intelligence обнаружили новую вредоносную активность, которую назвали Phantom Papa. Злоумышленники рассылали письма весьма фривольного содержания на русском и английском языках с вредоносными вложениями, содержащими новый Phantom Stealer. Все подробности — в новом блоге.
Это ВПО основано на коде ВПО Stealerium и позволяет собирать пароли, банковскую и криптовалютную информацию, содержимое браузеров и мессенджеров. Также у него есть функция антианализа, автозапуска, кейлоггер и поддержка популярных обфускаторов. Для эксфильтрации данных может использовать Telegram, Discord или SMTP. Phantom Stealer продаётся на сайте phantomsoftwares[.]site, домен был зарегистрирован в феврале 2025 года. Помимо него, представлены ещё несколько продуктов:
Рис. 1-2 Скриншоты сайта
Phantom crypter
Phantom stealer advanced
Phantom stealer basic
Согласно данным решения для защиты корпоративной почты F6 Business Email Protection, получателями вредоносных писем оказались организации из различных сфер экономики: ритейла, промышленности, строительства, IT. В логах стилера были выявлены IP устройств, на которых был запущены образцы ВПО. IP-адреса зараженных устройств оказались связаны с 19 странами мира, включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и другие. Согласно нашему анализу, часть из них представляет собой виртуальные машины исследователей.
Рис. 3 Принадлежность IP-адресов зараженных устройств Phantom Stealer
Темы писем:
See My Nude Pictures and Videos;
Посмотрите мои обнаженные фотографии и видео;
Прикрепленная копия платежа №06162025.
Примеры писем:
Рис. 4 -5 примеры писемРис. 4 -5 Примеры писем из вредоносных рассылок
Письмо было явно переведено с английского на русский язык с помощью переводчика:
Рис. 6 Письмо на русском языке
Вложения:
See My Nude Pictures and Videos.rar (MD5: 0f0192a4ee52729730cffb49c67f1e3b)
Смотрите мои видео с обнаженными фотографиями.rar (MD5: 0f0192a4ee52729730cffb49c67f1e3b)
Прикрепленная копия платежа №06162025.rar (MD5: 91441a640db47a03a4e6b4a8355cf4c4)
В архивах злоумышленники доставляли файлы с расширением .img и .iso. Рассмотрим процесс выполнения вредоносной программы на примере семпла «Прикрепленная копия платежа №06162025.rar» (MD5: 91441a640db47a03a4e6b4a8355cf4c4). Внутри архива расположен .iso файл. Пользователь, открыв данный файл, смонтирует образ, внутри которого расположен исполняемый файл.
Пример дерева процессов после запуска в системе F6 MXDR представлен ниже:
Рис.7 Дерево процессов после запуска
После запуска ВПО собирает следующую информацию: версия Windows, имя ПК, язык системы, наличие антивируса, информация о CPU, GPU, RAM, батарее, экранах, вебкамерах. Также собирает файлы куки, пароли, кредитные карты из браузера, крадёт изображения и документы. Всю собранную информацию отправляет в данном в случае в Telegram-бот. Telegram-бот называется «papaobilogs» и используется минимум с апреля 2025, в «честь него» и был назван злоумышленник (Phantom Papa). Полный технический анализ Phantom Stealer и индикаторы компрометации (IoC) — в новом блоге F6 Threat Intelligence.
Источник: habr.com