«Уважаемые, пришлите цены» — и привет, ваши пароли уже ушли в Telegram. Классика Phantom Stealer
Индустрия кражи чужих секретов окончательно встала на конвейер.
Пока компании обсуждают защиту от сложных атак, злоумышленники продолжают действовать проще — через почту. Достаточно убедительного письма, чтобы сотрудник открыл вложение и запустил вредоносную программу. В конце 2025 года именно такой сценарий снова сработал — на этот раз с инструментом Phantom Stealer, который активно продаётся в подполье как готовый сервис для кражи данных.
Компания Group-IB раскрыла детали масштабной фишинговой кампании, направленной на европейские организации из сферы логистики, промышленности и технологий. С ноября 2025 по январь 2026 года злоумышленники провели пять волн рассылок. Письма отправляли в один день сразу в несколько компаний, не связанных между собой, что характерно для сервисной модели распространения вредоносного ПО.
Phantom Stealer представляет собой инфостилер на базе .NET и входит в комплект «Phantom Project». В набор также входят средства шифрования и удалённого доступа. После запуска программа собирает пароли, cookies, данные автозаполнения и банковских карт из браузеров, перехватывает сессии в Discord, Telegram и Outlook, а также извлекает данные Wi-Fi. Украденную информацию отправляют через популярные каналы связи — от мессенджеров до FTP.
Атака начиналась с писем, замаскированных под деловую переписку. Злоумышленники выдавали себя за торговую компанию и использовали темы, связанные с закупками — запросы цен, номера заказов и коммерческие предложения. Текст письма оставался коротким, всего несколько предложений, зато подпись выглядела максимально убедительно — с адресом, телефонами и реквизитами. При этом в каждом письме повторялись одни и те же ошибки, что указывает на единый шаблон.
Во вложении находился архив — формат менялся от волны к волне. Внутри скрывался JavaScript-загрузчик или исполняемый файл. После открытия начиналась цепочка загрузки и установки стилера.
Технические признаки позволили быстро выявить кампанию. У всех писем не проходила проверка SPF, отсутствовала DKIM-подпись, а структура сообщений повторялась с минимальными изменениями. Такие детали выдают автоматизированную рассылку и подмену отправителя.
Собранные стилерами данные остаются одним из главных ресурсов для последующих атак. Полученные учётные записи используют для проникновения в корпоративные сети, запуска шифровальщиков и мошеннических схем с деловой перепиской. История с Phantom Stealer показывает, что даже массовые и относительно простые рассылки продолжают приносить результат, если не перекрыть главный вектор атаки — электронную почту.