По данным IBM X-Force Threat Intelligence Index 2025, инфостилеры - самый распространённый тип малвари в 2024 году: 32% всех инцидентов, впереди даже ransomware. Когда в конце 2025-го Group-IB зафиксировала пять волн фишинговых рассылок с Phantom Stealer по европейской логистике и промышленности, я вытащил семпл из песочницы и увидел знакомый каркас: open-source проект Stealerium, перекрашенный в коммерческий продукт с подпиской. Phantom Project - не просто стилер, а MaaS-кит из трёх компонентов: инфостилер, криптер и RAT. Ниже - разбор infection chain от фишингового письма до эксфильтрации, препарирование .NET-бинаря, маппинг по MITRE ATT&CK и детектирующие правила, с которых можно начать threat hunting.
Бизнес-логика: от украденного пароля до ransomware-инцидента
Прежде чем лезть в дизассемблер, разберёмся, почему инфостилеры стали товаром номер один на underground-маркетплейсах.Цепочка монетизации работает как конвейер. Оператор MaaS-кита рассылает стилер тысячам жертв, собранные логи (credentials, cookies, session tokens) выставляются на продажу на XSS, BreachForums и аналогичных площадках. Покупатели логов фильтруют корпоративные учётки, initial access broker перепродаёт доступ ransomware-группировкам - и дальше шифровальщик и вымогательство. По данным CrowdStrike Global Threat Report 2025, 75% всех вторжений в 2024 году использовали действительные учётные данные. Не эксплойты, не zero-day - украденные пароли и сессионные токены.
Verizon DBIR 2025 дополняет картину: 38% утечек связаны с кражей credentials (метрика breach root causes - в отличие от CrowdStrike, который считает долю intrusions с valid credentials). IBM X-Force фиксирует рост таких атак на 71% год к году. Phantom Stealer - очередная входная точка в эту цепочку, нацеленная на ретейл, промышленность, строительство и ИТ-сектор (F6). В европейской кампании, зафиксированной Group-IB, акцент на логистику, промышленность и технологический сектор. 86% всех атак в 2024 году имели финансовую мотивацию (CrowdStrike), а генерация фишинговых писем с помощью GenAI ускорилась в 11,4 раза при сопоставимом качестве (IBM X-Force). MaaS-киты вроде Phantom Project снижают порог входа для операторов до нуля - купил подписку, запустил рассылку, жди логи.
Phantom Project: состав MaaS-кита и модель подписки
Phantom Project продаётся как подписочный комплект (по данным Infosecurity Magazine и Group-IB):- Phantom Stealer - .NET-инфостилер, основной компонент для кражи данных
- Криптер - обфускатор для обхода антивирусных движков (T1027.002, Software Packing)
- RAT - модуль удалённого доступа для постэксплуатации (T1219, Remote Access Tools)
Родословная: от Stealerium до коммерческого продукта
Phantom Stealer не написан с нуля. Кодовая база восходит к open-source проекту Stealerium (GitHub, статус - архивирован), который был выложен как «образовательный инструмент». По данным Seqrite Labs (цитируется VCSolutions), исследователи фиксируют значительное перекрытие кода между Phantom Stealer, Stealerium и ещё одним форком - Warp Stealer. Различия между вариантами - в модулях отчётности и каналах эксфильтрации.По анализу F6, Phantom Stealer серьёзно вырос относительно Stealerium: бинарь весит около 6,5 МБ за счёт встроенных модулей SQLite (для работы с базами браузеров) и криптографической библиотеки BouncyCastle. У оригинального Stealerium таких зависимостей не было - это была голая заготовка.
Отдельный интересный факт: F6 установила, что части инфраструктуры Phantom Stealer и Stealerium пересекаются с Agent Tesla - в некоторых образцах использовался один и тот же почтовый аккаунт на Yandex для эксфильтрации. Это может указывать на общего оператора или shared backend. Для threat intelligence - ценный маркер: если в вашей инфраструктуре засветился Agent Tesla, стоит поискать и артефакты Phantom Stealer.
| Характеристика | Stealerium | Phantom Stealer |
|---|---|---|
| Кодовая база | Open-source (.NET) | Форк Stealerium |
| Размер бинаря | ~1-2 MB | ~6,5 MB |
| SQLite-модуль | Нет | Да |
| BouncyCastle | Нет | Да |
| Антианализ | Базовый | Расширенный (VM, AV, sandbox) |
| Каналы эксфильтрации | Telegram, Discord | Telegram, Discord, SMTP, Zulip, GoFile |
| Модель поставки | Бесплатно (GitHub) | MaaS (подписка) |
| Статус | Архивирован | Активно продаётся, обновляется |
Цепочка заражения: от фишинга до payload
Initial access: фишинг с ISO-образами и JS-дропперами
[Применимо: внешняя атака, все типы инфраструктуры]Group-IB зафиксировала устойчивую фишинговую кампанию между ноябрём 2025 и январём 2026 года - пять волн рассылок по логистике, промышленности и технологическому сектору Европы. Атакующие нацеливались на несколько несвязанных компаний в один день - паттерн, характерный для stealer-as-a-service операций. Не таргет, а ковровая бомбардировка.
Два основных вектора доставки:
ISO-образы. Фишинговое письмо содержит архив (.rar) с ISO/IMG-образом внутри. При открытии ISO на Windows система автоматически монтирует его как виртуальный CD-привод. Внутри - исполняемый файл, замаскированный под документ (например, «Bank transfer confirmation»). Двойной клик - и малварь запущена. По данным F6, темы писем варьировались от провокационных («See My Nude Pictures and Videos») до деловых («Important Receipt document №06162025»). Креатив операторов, мягко говоря, разнообразный.
JavaScript/VBS-дропперы. Архив содержит обфусцированный скрипт, который запускает многоступенчатую цепочку загрузки.
Характерные индикаторы кампании (выявлены Group-IB):
- Провал SPF-аутентификации отправителя
- Отсутствие DKIM-подписей
- Повторное использование шаблонов писем и безличные приветствия
- Однотипные орфографические ошибки
- Ротация инфраструктуры при сохранении шаблонов
Execution: многоступенчатая загрузка и стеганография
Unit 42 (Palo Alto Networks) отслеживает связанный .NET-лоадер - PhantomVAI Loader, который используется в фишинговых кампаниях со стилерами. Механизм загрузки многоступенчатый - и тут начинается самое интересное:Этап 1. Обфусцированный JavaScript/VBS содержит Base64-кодированный PowerShell-скрипт, который исполняется для загрузки следующей стадии. Часть фишинговых писем использует homograph-атаки - замену латинских символов Unicode-аналогами для обхода email-фильтров.
Этап 2. PowerShell скачивает GIF или изображение, внутри которого скрыт payload методом стеганографии. По анализу Unit 42, текст встраивается между маркерами (в одном из семплов -
<<sudo_png>> и <<sudo_odt>>) - это Base64-закодированная DLL. Скрипт ищет текст между маркерами, декодирует и загружает .NET-лоадер. Матрёшка в чистом виде.Этап 3. Лоадер (C#) делает три вещи: проверяет окружение на виртуальную машину (на базе GitHub-проекта VMDetector - если VM обнаружена, выполнение может прерываться или модифицироваться в зависимости от семпла), ставит persistence и загружает финальный payload. Инъекция payload - через process hollowing (T1055.012) в легитимный процесс. По наблюдениям Unit 42, в большинстве случаев целью служит
MSBuild.exe из каталогов .NET Framework - злоупотребление доверенной утилитой разработчика (T1127.001).Persistence и evasion: закрепление в системе
После запуска Phantom Stealer использует несколько механизмов persistence одновременно:- Копирование в
%AppData%и%Temp% - Создание задачи в планировщике Windows
- Добавление исключения для себя в Windows Defender через PowerShell (
Add-MpPreference -ExclusionPath) - Запись в ключ реестра
Runдля автозапуска (T1547.001, Registry Run Keys / Startup Folder)
GetKeyboardLayout (раскладка клавиатуры, возвращает HKL), GetSystemDefaultLangID/GetUserDefaultLCID (язык/локаль системы) и GetLocaleInfoA (получение полей локали по LCID) сравнивает значения с хардкодированным списком LCID/LANGID стран СНГ. При совпадении - выполнение прекращается. Стандартный маркер происхождения автора из региона СНГ, тут без сюрпризов.Что по evasion на практике - ограничения:
- Проверка VM на базе VMDetector - техника уже хорошо известна. Современные sandbox-решения (ANY.RUN, Cape Sandbox в bare-metal режиме) маскируют VM-артефакты, так что этот чек обходится на раз
- Добавление исключения в Defender через PowerShell генерирует Event ID 5007 (Windows Defender configuration changed) в логах Defender. Это общее событие конфигурационных изменений, нужен парсинг полей Old Value/New Value для выделения именно ExclusionPath. Microsoft Defender for Endpoint имеет встроенный alert на модификацию Defender Exclusion (ASR). Для CrowdStrike Falcon и SentinelOne - детект конфигурируется как custom IOA/rule
- Тройная persistence (scheduled task + registry + Defender exclusion) парадоксально увеличивает attack surface для детектирования. Три точки срабатывания вместо одной - спасибо, что не прячетесь
- Process hollowing в
MSBuild.exe- детектируется Elastic Defend через ETW Threat Intelligence провайдер, который перехватывает вызовы памяти процессов (VirtualAlloc/WriteProcessMemory), характерные для process hollowing. CrowdStrike Falcon ловит этот паттерн через user-mode хуки на уровне агента
Что собирает Phantom Stealer
Phantom Stealer тащит всё, до чего может дотянуться. По анализам Group-IB, F6 и VCSolutions:
Браузерные данные (T1555.003, Credentials from Web Browsers): сохранённые пароли из десятков браузеров, cookies и session tokens, данные автозаполнения, информация о платёжных картах. SQLite-модуль нужен именно для этого - браузеры на Chromium хранят credentials в SQLite-базах, BouncyCastle используется для расшифровки данных, защищённых DPAPI.
Мессенджеры и почта: сессионные данные Telegram, токены Discord, учётные данные email-клиентов.
Системные данные: информация об ОС, учётные данные Wi-Fi, VPN и FTP-клиентов, Steam и игровые аккаунты. Криптовалютные кошельки - файлы
wallet.dat, расширения браузеров.Surveillance-модуль: скриншоты экрана (T1113, Screen Capture), захват нажатий клавиш (T1056.001, Keylogging). VCSolutions отмечает нестандартную функцию: Phantom Stealer умеет детектировать контент для взрослых на экране и делать скриншот вместе с фото веб-камеры - для sextortion-схем. Вот это уже неприятный штрих.
Каналы эксфильтрации (T1041, Exfiltration Over C2 Channel): Telegram-бот (в одной из кампаний - бот «papaobilogs», активен с апреля 2025), Discord webhook, SMTP, Zulip (корпоративный мессенджер) и GoFile (файловый хостинг). Использование Zulip и GoFile - отличительная черта Phantom Stealer: эти сервисы редко попадают в чёрные списки прокси и DLP-систем, что усложняет сетевой детект. Если у вас нет правил на GoFile - самое время их добавить.
Маппинг Phantom Stealer по MITRE ATT&CK
| Тактика | Техника | ID | Реализация |
|---|---|---|---|
| Defense Evasion | Software Packing | T1027.002 | Криптер в составе Phantom Project |
| Defense Evasion, Privilege Escalation | Process Hollowing | T1055.012 | Инъекция payload в MSBuild.exe |
| Defense Evasion, Execution | Trusted Developer Utilities: MSBuild | T1127.001 | Злоупотребление MSBuild.exe как доверенным процессом |
| Credential Access | Credentials from Web Browsers | T1555.003 | Извлечение паролей и cookies |
| Collection, Credential Access | Keylogging | T1056.001 | Захват нажатий клавиш |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | Telegram, Discord, SMTP, Zulip, GoFile |
| Collection | Screen Capture | T1113 | Скриншоты и surveillance-модуль |
| Persistence | Registry Run Keys / Startup Folder | T1547.001 | Автозапуск через ключ реестра Run |
| Command and Control | Remote Access Tools | T1219 | RAT-компонент кита |
Детектирование Phantom Stealer: Sigma и YARA
Оба правила - стартовая точка, не production-ready. Sigma-правило покрывает только один из трёх механизмов persistence. YARA-правило даст false positives на легитимные .NET-приложения с SQLite - нужна whitelist-фаза. Разные билды Phantom Stealer могут использовать различные SQLite-библиотеки, так что правило требует тюнинга под конкретные семплы. Для полноценного покрытия стоит дополнить набор правилами на process hollowing (Sysmon Event ID 8 + 10), регистровые модификации (Event ID 13) и сетевые обращения к нетипичным API из .NET-процессов.
Сетевой детект
На уровне трафика искать: HTTP(S)-запросы кapi.telegram.org/bot* из процессов, не являющихся Telegram-клиентом; uploads на gofile.io из незнакомых процессов; обращения к Zulip API, если организация не использует Zulip; загрузку изображений (GIF, PNG) с последующим spawn'ом PowerShell - маркер стеганографического лоадера. Ограничение, о котором стоит помнить: детект по Telegram API бесполезен, если организация не блокирует Telegram на периметре - а в российских компаниях Telegram чаще всего разрешён.Место в kill chain: от стилера до полной компрометации
Phantom Stealer - инструмент initial access и credential harvesting. Его позиция в полной цепочке:- Recon - оператор покупает email-списки целевого сектора или использует OSINT
- Initial Access - фишинговая рассылка с ISO-вложением или JS-дроппером
- Execution - многоступенчатая загрузка: JS/VBS -> PowerShell -> стеганография -> .NET-лоадер -> process hollowing
- Persistence - scheduled task + registry Run key + Defender exclusion
- Collection - массовый сбор credentials, cookies, sessions, crypto wallets
- Exfiltration - отправка логов через Telegram/Discord/SMTP/Zulip/GoFile
- Downstream - логи продаются на underground-маркетплейсах -> IAB фильтрует корпоративные credentials -> ransomware-группировка получает initial foothold через легитимные учётные данные
Для red team анализ Phantom Stealer полезен при моделировании реалистичных фишинговых кампаний и тестировании SOC: infection chain с ISO-образами и стеганографией - валидный сценарий для оценки email-защиты и endpoint-детектирования. Для blue team - конкретные TTPs и IoC дают материал для threat hunting до появления стилера в инфраструктуре.
32% всех инцидентов за 2024 год - инфостилеры. И это данные до того, как Phantom Project вышел на рынок. Я анализирую образцы стилеров не первый год и вижу устойчивый тренд: порог входа для операторов падает с каждым кварталом. Phantom Stealer - форк бесплатного GitHub-проекта, который один разработчик (или маленькая группа) превратил в коммерческий продукт. Это не APT-уровень. Это commodity malware, и именно поэтому оно опаснее для большинства организаций: массовость покрывает то, что не покрывает сложность. APT таргетирует десятки компаний, commodity stealer - сотни тысяч.
SPF-fail и отсутствие DKIM в фишинговых письмах Phantom Stealer - показательная деталь: операторы даже не пытаются пройти email-аутентификацию. И при этом пять волн рассылки дошли до целей. У значительной части организаций до сих пор нет жёсткой политики DMARC в режиме reject - а ведь это базовая мера, не требующая бюджета. С Defender exclusion через PowerShell - та же история: CrowdStrike Falcon или SentinelOne ловят это за секунду. Phantom Stealer работает не потому, что он технически изощрён, а потому, что его целевая аудитория - компании без EDR или с EDR в режиме «мониторинг без блокировки». Индустрия тратит ресурсы на атрибуцию APT и zero-day, а реальный ущерб наносят форки open-source стилеров, рассылаемые через письма с орфографическими ошибками. Проверьте свой DMARC-рекорд и правила на
Add-MpPreference - если хотя бы одного из двух нет, вы в зоне поражения этой штуки.
Последнее редактирование модератором:
