Злоумышленники рассылают вредоносные файлы с Phantom Stealer

Злоумышленники начали отправлять российским и зарубежным компаниям из сфер ритейла, ИТ, промышленности и строительства письма с вредоносными вложениями, содержащими новый Phantom Stealer. Он основан на коде ВПО Stealerium. С его помощью хакеры могут красть пароли, банковскую и криптовалютную информацию, содержимое браузеров и мессенджеров. 

Как сообщили IT Speaker в F6, злоумышленники отправляли жертвам письма со следующими темами: See My Nude Pictures and Videos, «Посмотрите мои обнаженные фотографии и видео», «Прикрепленная копия платежа №06162025» и другими. 

Специалисты обнаружили в логах стилера IP устройств, на которых были запущены образцы ВПО. IP-адреса зараженных устройств оказались связаны с 19 странами мира, включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и другие. 

После запуска ВПО передает хакерам следующую информацию: версия Windows, имя ПК, язык системы, наличие антивируса, данные о CPU, GPU, RAM, батарее, экранах, вебкамерах. Также он собирает файлы куки, пароли, кредитные карты из браузера, изображения и документы жертв. Вся украденная информация поступала в Telegram-бот papaobilogs, который используется с апреля 2025.

Ранее компания F6 совместно с девелопером элитной недвижимости Sminex провела исследование обманных схем в сфере премиального строительства. В результате анализа было выявлено 64 мошеннических ресурса, незаконно использующих бренд Sminex, включая сайты-клоны и фальшивые партнерские программы. Из них 63 уже заблокированы.