Согласно данным решения для защиты корпоративной почты F6 Business Email Protection, получателями вредоносных писем с темами: «See My Nude Pictures and Videos», «Посмотрите мои обнаженные фотографии и видео», «Прикрепленная копия платежа №06162025» и др оказались организации из различных сфер экономики: ритейла, промышленности, строительства, IT. Анализ ВПО опубликован на платформе MDP F6 (F6 Malware Detonation Platform).
В логах стилера были выявлены IP устройств, на которых был запущены образцы ВПО. IP-адреса зараженных устройств оказались связаны с 19 странами мира, включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и другие. Часть из них представляет собой виртуальные машины исследователей.
После запуска ВПО собирает следующую информацию: версия Windows, имя ПК, язык системы, наличие антивируса, информация о CPU, GPU, RAM, батарее, экранах, вебкамерах. Также собирает файлы куки, пароли, кредитные карты из браузера, крадёт изображения и документы. Всю собранную информацию отправляет в данном в случае в Telegram-бот «papaobilogs» — он используется как минимум с апреля 2025, кстати, в честь него и был назван злоумышленник Phantom Papa.
Полный технический анализ Phantom Stealer и индикаторы компрометации (IoC) — в новом блоге F6 Threat Intelligence.