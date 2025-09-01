Интеграция
Папа не смог: эксперты F6 исследовали вредоносные рассылки с новым Phantom Stealer

Специалисты F6 Threat Intelligence обнаружили новую вредоносную активность, которую назвали Phantom Papa. Злоумышленники рассылали по российским и иностранным компаниям из сферы ритейла, промышленности и строительства письма весьма фривольного содержания с вредоносными вложениями, содержащими новый Phantom Stealer. Он основан на коде ВПО Stealerium и позволяет собирать с зараженного устройства пароли, банковскую и криптовалютную информацию, содержимое браузеров и мессенджеров. Об этом CNews сообщили представители F6.

Согласно данным решения для защиты корпоративной почты F6 Business Email Protection, получателями вредоносных писем с темами: «See My Nude Pictures and Videos», «Посмотрите мои обнаженные фотографии и видео», «Прикрепленная копия платежа №06162025» и др. оказались организации из различных сфер экономики: ритейла, промышленности, строительства, ИT. Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).

В логах стилера были выявлены IP устройств, на которых был запущены образцы ВПО. IP-адреса зараженных устройств оказались связаны с 19 странами мира, включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и другие. Часть из них представляет собой виртуальные машины исследователей.

После запуска ВПО собирает следующую информацию: версия Windows, имя ПК, язык системы, наличие антивируса, информация о CPU, GPU, RAM, батарее, экранах, вебкамерах. Также собирает файлы куки, пароли, кредитные карты из браузера, крадёт изображения и документы. Всю собранную информацию отправляет в данном в случае в Telegram-бот «papaobilogs» — он используется как минимум с апреля 2025 г., кстати, в честь него и был назван злоумышленник Phantom Papa.

