Исследователи в июне 2025 года задокументировали новую фишинговую кампанию Phantom Papa, распространяющую стилер Phantom. Атака ориентирована на русскоязычную и англоязычную аудиторию и использует вложения, ведущие к запуску вредоносного кода через цепочку RAR → IMG/ISO. Кампания примечательна набором функций для скрытности и сбора чувствительных данных, а также нетипичным модулем, реагирующим на контент для взрослых.
Как работает кампания Phantom Papa
Письма приходят на русском и английском языках; в ряде случаев русскоязычные тексты заметно переведены с помощью онлайн‑переводчика. Темы варьируются от провокационных (“See My Nude Pictures and Videos”, «Посмотрите мои обнаженные фотографии и видео») до традиционных для фишинга («Прикрепленная копия платежа №06162025»), что повышает вероятность открытия вложений.
Во вложениях используются RAR‑архивы, из которых доставляются файлы форматов .img и .iso. При открытии такого образа он монтируется в системе, а внутри расположен исполняемый файл. Подобная тактика позволяет обходить базовые почтовые фильтры и привычные для пользователей сценарии проверки вложений.
Согласно собранным логам, цели кампании включают организации из ритейла, промышленности, строительства и ИТ. Активность наблюдалась на устройствах минимум из 19 стран (включая США, Россию, Великобританию, Румынию, Испанию, Казахстан, Беларусь и др.), хотя часть попаданий приходится на виртуальные машины исследователей.
Возможности стилера Phantom
Phantom базируется на публичном коде Stealerium, что ускоряет разработку и упрощает модификации. Вредонос собирает системные сведения (версия Windows, имя хоста, язык, наличие антивируса, характеристики CPU/GPU/RAM, параметры батареи, количество и тип дисплеев, доступность веб-камер), а также извлекает cookies, пароли и данные банковских карт из браузеров, документы и изображения.
Для эксфильтрации поддерживаются Telegram, Discord и SMTP. В ряде случаев данные отправляются боту papaobilogs, используемому как минимум с апреля 2025 года — в его честь кампания и получила название «Phantom Papa».
Набор функций включает антианализ (затрудняет работу песочниц и инструментов реверса), автозапуск, кейлоггер и совместимость с популярными обфускаторами. Для закрепления в системе вредонос копирует себя в %APPDATA%\iWlfdcmimm.exe и %TEMP%\tmpB043.tmp, создавая отложенную задачу в планировщике Windows.
Необычный модуль PornDetector
Отдельный модуль отслеживает активное окно и при обнаружении подстрок “porn”, “sex”, “hentai”, “chaturbate” делает скриншот рабочего стола (папка %LOCALAPPDATA%\[0-9a-f]{32}\logs\nsfw\yyyy-MM-dd\HH.mm.ss\) и через 12 секунд — при сохранении активности окна — снимок с веб‑камеры. Такой подход расширяет вектор шантажа и увеличивает давление на жертв.
Инфраструктура и распространение
По данным исследователей, стилер распространяется через сайт, доменное имя которого зарегистрировано в феврале 2025 года. На площадке предлагаются смежные инструменты: Phantom crypter, Phantom stealer advanced и Phantom stealer basic. Наличие «витрины» типично для экосистемы MaaS (Malware‑as‑a‑Service) и облегчает масштабирование атак.
Оценка рисков и связь с трендами
Повторное использование открытого кода Stealerium и эксфильтрация через легитимные мессенджеры отражают устойчивый тренд: злоумышленники опираются на доступные каналы и сервисы, чтобы усложнить обнаружение и блокировку. Доставка через IMG/ISO снижает заметность на уровне почтовых шлюзов и эксплуатирует доверие пользователей к «образам дисков».
Набор TTP в целом соответствует техникам MITRE ATT&CK: сбор учетных данных и артефактов из браузеров, кейлоггинг, персистентность через планировщик задач и эксфильтрация через веб‑сервисы. Добавление модуля PornDetector повышает риск компрометации приватности и давления на пострадавших.
Рекомендации по защите
Ограничьте трафик к Telegram/Discord и другим мессенджерам на рабочих станциях, где это не требуется по бизнес‑задачам. Настройте egress‑контроль и мониторинг нетипичных HTTP(S)‑соединений к API этих платформ.
Блокируйте на почтовых шлюзах вложения RAR/IMG/ISO либо переводите их в карантин с дополнительной проверкой. Внедрите политику запрета монтирования образов дисков пользователями без админ‑прав.
Используйте EDR/NGAV с поведенческими правилами: создание задач планировщика неизвестными процессами, запуск исполняемых файлов из смонтированных образов, запись в %APPDATA% и %TEMP%, массовое чтение профилей браузеров.
Примените сегментацию прав доступа к веб‑камерам и настройте уведомления/запрет на вызовы API камеры для нелегитимных процессов. Включите журналирование обращений к периферии и буферу обмена.
Проведите обучение сотрудников: распознавание плохих переводов, провокационных тем и неожиданных «платежных» вложений. Утвердите процедуру проверки подтверждающих документов по независимым каналам.
Phantom Papa демонстрирует, как комбинация привычного фишинга, образных файлов и готовых модулей превращается в эффективный инструмент кражи данных. Организациям стоит усилить контроль почтовых вложений и исходящего трафика, применять поведенческое обнаружение и регулярно обучать пользователей. Чем раньше в цепочке атаки сработают политики и телеметрия, тем ниже риск утечки учетных данных, финансовой информации и конфиденциальных материалов.
