У червні 2025 року дослідники задокументували фішингову кампанію Phantom Papa, яка розповсюджує стилер Phantom і поєднує перевірені прийоми з новими елементами тиску на жертв. Атака таргетує як російськомовну, так і англомовну аудиторію, використовуючи вкладення, що ведуть до запуску шкідливого коду через ланцюжок RAR → IMG/ISO.
Як працює ланцюжок зараження: від листа до виконуваного файлу
Листи надходять двома мовами; у частині випадків помітні машинні переклади російською. Теми варіюються від провокативних («See My Nude Pictures and Videos», «Подивіться мої відверті фото») до типових фінансових («Прикріплена копія платежу №06162025»), що підвищує відсоток відкриттів вкладень.
У вкладеннях використовуються RAR-архіви, з яких жертві пропонується відкрити файли .img або .iso. Після монтування образу всередині виявляється виконуваний файл. Така тактика часто обходить базові поштові фільтри і руйнує звичні для користувачів «правила безпеки» щодо прямих .exe-вкладень.
Кого цілять: географія та галузі
За телеметрією кампанія зачіпає організації з ритейлу, промисловості, будівництва та ІТ. Активність зафіксована щонайменше у 19 країнах, включно зі США, Росією, Великою Британією, Румунією, Іспанією, Казахстаном та Білоруссю. Частина спрацювань припадає на дослідницькі віртуальні машини, але тренд на широку дистрибуцію очевидний.
Можливості стилера Phantom: що саме викрадають
Phantom побудовано на відкритому коді Stealerium, що прискорило розробку та додало гнучкості. Шкідник збирає системні відомості (версію ОС, ім’я хоста, мову, наявність захисту, параметри CPU/GPU/RAM, батареї, дисплеїв, вебкамер), а також cookies, паролі та дані банківських карток із браузерів, документи та зображення.
Ексфільтрація підтримується через Telegram, Discord та SMTP. У низці випадків дані надсилаються на бота papaobilogs, активного щонайменше з квітня 2025 року — звідси й назва кампанії.
Серед функцій: антианаліз (ускладнює роботу песочниць і реверс-інженерів), кейлоггер, сумісність з обфускаторами, персистентність через планувальник завдань із копіюванням файлів до профільних директорій користувача.
Модуль PornDetector: нова грань тиску на жертв
Окремий компонент відстежує активне вікно і за наявності тригер-рядків на кшталт “porn”, “sex”, “hentai”, “chaturbate” виконує скриншот робочого столу, а за збереження активності — через певний час робить знімок із вебкамери. Це розширює сценарії шантажу та підвищує ризики витоку приватних матеріалів.
Інфраструктура та модель поширення MaaS
Стилер розповсюджується через сайт, домен якого зареєстровано у лютому 2025 року. На майданчику рекламуються суміжні інструменти, зокрема Phantom crypter, Phantom stealer advanced та basic. Така «вітрина» є типовою для екосистеми Malware‑as‑a‑Service і полегшує масштабування атак за моделлю підписки.
Ризики та відповідність MITRE ATT&CK
Повторне використання коду Stealerium та ексфільтрація через легітимні месенджери ускладнюють виявлення традиційними засобами захисту й віддзеркалюють усталений тренд на living-off-the-land services. Набір TTP узгоджується з MITRE ATT&CK: Credential Access (крадіжка артефактів із браузерів, кейлоггінг), Persistence (планувальник завдань), Defense Evasion (антианаліз, обфускація) та Exfiltration через веб‑сервіси.
Практичні рекомендації захисту для організацій
Контроль вихідного трафіку: обмежте доступ до API Telegram/Discord на робочих станціях, де ці сервіси не потрібні. Увімкніть egress‑фільтрацію та моніторинг нетипових HTTPS‑з’єднань.
Поштові шлюзи: блокуйте або карантинуйте вкладення RAR/IMG/ISO, автоматизуйте додаткову перевірку, забороніть монтвання образів для користувачів без підвищених прав.
EDR/NGAV та правила поведінки: виявляйте запуск виконуваних файлів із змонтованих образів, створення задач планувальника невідомими процесами, масове читання профілів браузерів, підозрілі записи у профільні каталоги користувачів.
Захист приватності: сегментуйте доступ до вебкамер, застосовуйте явні запити дозволів і журналювання звернень до камери та буфера обміну.
Навчання персоналу: звертайте увагу на провокативні теми листів, недбалі переклади та несподівані «платіжні» вкладення; впровадьте процедури перевірки документів через незалежні канали.
Phantom Papa демонструє, як поєднання фішингу, образів дисків і модульних стилерів перетворюється на ефективний інструмент крадіжки даних і шантажу. Підсилюйте контроль поштових вкладень і вихідного трафіку, використовуйте поведінкове виявлення та регулярно підвищуйте обізнаність співробітників — це знижує ймовірність витоку облікових даних, фінансової інформації та конфіденційних матеріалів.
