Злоумышленники начали рассылать письма с вредоносными вложениями, содержащими новый Phantom Stealer, российским и международным компаниям в сферах ритейла, ИТ, промышленности и строительства. Этот инструмент основан на коде ВПО Stealerium. С помощью данного ПО хакеры способны похищать пароли, а также информацию о банковских и криптовалютных счетах, содержимое браузеров и мессенджеров.
Как сообщает IT Speaker в F6, злоумышленники отправляли жертвам письма с темами: See My Nude Pictures and Videos, «Посмотрите мои обнаженные фотографии и видео», «Прикрепленная копия платежа №06162025» и другими.
Эксперты обнаружили в логах стилера IP-адреса устройств, на которых были запущены образцы ВПО. Эти IP-адреса зараженных устройств были связаны с 19 странами, включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и другие.
После активации ВПО передает хакерам следующую информацию: версия Windows, имя ПК, язык системы, наличие антивирусного ПО, данные о CPU, GPU, RAM, батарее, экранах и веб-камерах. Кроме того, он собирает файлы cookie, пароли, информацию о кредитных картах из браузера, изображения и документы жертв. Вся украденная информация отправляется в Telegram-бота papaobilogs, который используется с апреля 2025 года.
Ранее компания F6 совместно с девелопером элитной недвижимости Sminex провела исследование мошеннических схем в области премиального строительства. В результате анализа было обнаружено 64 мошеннических ресурса, незаконно использующих бренд Sminex, включая сайты-клоны и поддельные партнерские программы. Из них 63 уже были заблокированы.
Большинство российских подрядчиков имеют низкий уровень кибербезопасности
