BI.ZONE упростила внедрение AntiFraud и усилила защиту от фрода

BI.ZONE упростила внедрение AntiFraud и усилила защиту от фрода

BI.ZONE упростила внедрение AntiFraud и усилила защиту от фрода

BI.ZONE выпустила обновлённую версию своей системы противодействия мошенничеству AntiFraud. Нововведения упростили внедрение решения и усилили защиту от фрод-атак, которые в последние годы только набирают обороты.

По данным Банка России, только за первый квартал 2025 года злоумышленники похитили 6,9 млрд рублей. За весь 2024 год сумма достигла 27,5 млрд рублей — на 74% больше, чем годом ранее. Основные потери пришлись на физических лиц, а главными каналами стали онлайн-переводы.

Одна из главных новинок — коробочная версия AntiFraud, которую теперь можно развернуть самостоятельно. Раньше требовалась поэтапная настройка с участием инженеров, теперь всё сводится к установке нескольких пакетов, что экономит ресурсы и время.

Также добавлена авторизация через Keycloak — это позволяет сотрудникам входить в систему по корпоративным учётным данным и упрощает управление доступом.

Изменился и интерфейс конструктора правил. Теперь специалисты могут создавать и проверять новые правила без знания точных названий атрибутов и функций: система предлагает подходящие варианты на русском и английском. Появилась возможность протестировать правила на исторических данных до запуска в «боевом» режиме.

Обновление упростило и работу с моделями ИИ. Если раньше настройка требовала привлечения экспертов со стороны, теперь инженеры могут использовать готовые шаблоны или загружать свои модели, например на базе XGBoost, через новый интерфейс.

Также переработана система записи событий в базу данных: стало меньше сервисов и зависимостей между ними, а значит — выше устойчивость к сбоям и стабильнее работа при больших объёмах данных.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Исследователи нашли Phantom Stealer в рассылке с пикантными вложениями

В июне 2025 года специалисты F6 Threat Intelligence заметили свежую фишинговую волну, которую окрестили Phantom Papa. Злоумышленники шлют письма на русском и английском с откровенными темами вроде «See My Nude Pictures and Videos» или «Посмотрите мои обнаженные фото и видео», а также с приманкой «Прикрепленная копия платежа №06162025». Внутри — архивы, которые в итоге запускают крадущий данные Phantom Stealer.

Phantom Stealer — новый «сборщик» данных, основанный на коде Stealerium. Он вытягивает пароли, данные банков и криптокошельков, содержимое браузеров и мессенджеров, делает скриншоты и перехватывает нажатия клавиш.

Для отправки награбленного используют Telegram, Discord или SMTP; в одной из кампаний фигурировал телеграм-бот papaobilogs (активен минимум с апреля 2025-го).

Как распространяют

  • Письма приходят с провокационными темами и корявым переводом на русский — явный след онлайн-переводчика.
  • Во вложениях — архивы .rar с образами .iso/.img, которые при открытии монтируются как диск и маскируют запуск «сборщика».
  • По данным F6 Business Email Protection, письма летят в компании из ретейла, промышленности, строительства, ИТ и др.

Масштаб

В логах обнаружены IP с устройств в 19 странах (включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и др.). Часть адресов — исследовательские виртуальные машины, но кампания явно не локальная.

 

Детали, на которые стоит обратить внимание

  • Из писем: «See My Nude Pictures and Videos», «Смотрите мои видео с обнаженными фотографиями», «Прикрепленная копия платежа №06162025».
  • Примеры хэшей вложений: 0f0192a4ee52729730cffb49c67f1e3b, 91441a640db47a03a4e6b4a8355cf4c4.
  • После запуска «сборщик» может:
    • закрепляться в системе (через планировщик задач/автозапуск),
    • добавлять исключение в Windows Defender,
    • отправлять архив с данными сразу на C2 либо, если он больше 20 МБ, — на файлообменник и передавать ссылку.

 

Отдельная ниточка тянется к семейству Agent Tesla: F6 нашла старые образцы с такой же иконкой и одинаковыми параметрами почтового аккаунта-получателя логов, что и в одной из конфигураций Phantom Stealer. Это может указывать на пересечение операторов или «наследование» инфраструктуры.

Где это продают

Исследователи нашли сайт phantomsoftwares[.]site (домен с февраля 2025 года), где рекламируются «продукты» линейки Phantom: от «crypter» до «stealer basic/advanced».

Что делать компаниям прямо сейчас

  • Фильтровать вложения и образы (.iso, .img) на почтовых шлюзах, включить разархивацию и статический анализ вложений.
  • Резко ограничить исполнение из пользовательских каталогов и отключить автозапуск образов.
  • Мониторить аномалии: создание задач в планировщике, правки настроек защитника, подозрительные сетевые соединения к Telegram/Discord API и SMTP-узлам.
  • Проверить утечки учёток и принудительно сбросить пароли в браузерах/мессенджерах.
  • Провести обучение сотрудников: не открывать «пикантные» вложения и «платёжки» из неожиданных писем, даже если тема выглядит убедительно.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru