Письма обещают откровенное — на деле воруют всё: новая атака накрыла десятки стран

Летом в почтовых ящиках начали появляться письма с темами, которые трудно не заметить: "Посмотрите мои обнажённые фото и видео" или "Прикреплённая копия платежа №06162025". За этой провокацией скрывается свежая фишинговая кампания Phantom Papa. Получатель открывает вложенный архив, внутри — якобы образ диска, а на деле запускается программа, которая вытягивает всё ценное из компьютера.

Что крадут

Phantom Stealer умеет больше, чем обычный вирус: он заглядывает в браузеры и мессенджеры, перехватывает нажатия клавиш, ворует пароли, данные карт и криптокошельков, а затем отправляет добычу через Telegram, Discord или почтовые серверы. Следы кампании уже нашли в логах устройств из 19 стран, включая Россию, США и Великобританию. Часть "жертв" оказалась исследовательскими машинами, но масштабы всё равно впечатляют.

Следы и совпадения

Исследователи заметили, что у Phantom Stealer есть общее с другим известным вредоносом — Agent Tesla. Совпадают иконки и настройки почтовых аккаунтов для сбора логов. Это наводит на мысль, что операторы могли унаследовать старую инфраструктуру или даже работать бок о бок. Дополняет картину сайт phantomsoftwares[.]site, где открыто рекламируются разные "продукты" линейки Phantom, включая "stealer basic" и "advanced".

Почему это работает

Трюк стар как интернет: письмо с соблазнительной темой, грубый перевод, вложение, которое притворяется безобидным файлом. Но формула всё ещё работает, потому что адресаты надеются увидеть что-то интересное или торопятся открыть "счёт". В итоге их компьютеры оказываются в руках тех, кто придумал операцию Phantom Papa. А та, судя по скорости распространения, едва ли останется локальным эпизодом.