Стефанія А. Автор Стефанія А.
Новини 19 Червня 2026 4 хв читання

RFQ-фішинг

Фейкове вкладення краде браузерні дані. Що перевірити після відкриття.

Phantom Stealer у фішинговому архіві краде облікові дані Windows.

Phantom Stealer поширюють через фальшиві листи із запитом ціни, де звичайний бізнес-документ маскує запуск Windows-скриптів. У звіті Fortra від 16 червня зазначено, що досліджений зразок прийшов як RAR-архів, розпаковував batch-файл 2026REQUEST_FOR_QUOTE.bat, запускав обфускований PowerShell і переходив до безфайлової крадіжки облікових даних.

Практичний ризик простий: якщо користувач відкрив архів і запустив файл усередині, сам лист уже не головна проблема. Стилер може викрасти паролі браузера, cookies, автозаповнення, скриншоти, дані буфера обміну та криптовалютні дані, поки видимого “вікна програми” немає.

Кого це стосується?

Fortra описує кампанію як націлену на банки та інші організації з високою цінністю даних. Але сама приманка знайома майже будь-якій бізнес-пошті: запит ціни від нового постачальника, покупця або контактної особи з закупівель.

Це не означає, що кожен RFQ-лист є шкідливим. Але стиснені архіви, неочікувані скрипти та файли, які просять “відкрити” або “запустити” поза нормальним документообігом, потрібно перевіряти окремо. Схожий контекст фішингу описано в матеріалі про Ghost-Sender в Exchange Online.

Як виглядає фейковий RFQ-лист

У звіті Fortra використано тему запиту ціни. Безпечний ілюстративний приклад виглядає так:

  • Тема: Запит ціни
  • Стиль відправника: новий постачальник, покупець або закупівельник, якого ви не очікували
  • Текст: коротке прохання переглянути вкладений запит сьогодні
  • Вкладення: стиснений архів на кшталт 2026REQUEST_FOR_QUOTE.rar
  • Ознака ризику: всередині архіву є script або batch-файл, а не звичайний PDF, DOCX чи XLSX
Макет фішингового листа із запитом ціни та підозрілим RAR-вкладенням.
Макет фішингового листа показує шаблон вкладення, який варто перевірити перед відкриттям.

Що відбувається після відкриття архіву

Ланцюжок Fortra починався з RAR-архіву та batch-файлу, а далі використовував PowerShell для підготовки стилера. Дослідники також помітили поведінку, яка має насторожити під час перевірки: процеси Chrome, Firefox і Edge запускалися без нормальної дії користувача, а ланцюжок звертався до icanhazip.com, щоб отримати зовнішню IP-адресу.

ОзнакаЧому це важливо
2026REQUEST_FOR_QUOTE.rar або схожий RFQ-архівПриманка виглядає як бізнес-вкладення, а не як очевидний інсталятор.
2026REQUEST_FOR_QUOTE.batBatch-файл усередині архіву із запитом ціни є сильною ознакою шкідливого ланцюжка.
Обфускований PowerShell, зокрема TERROR.ps1 у описаному ланцюжкуPowerShell використовується для декодування та запуску наступних етапів.
Неочікувані процеси браузерівСтилери часто звертаються до сховищ браузера, навіть якщо користувач сам його не відкривав.
Інжект у explorer.exeЗапуск усередині довіреного процесу Windows може приховувати етап викрадення даних.

Що робити, якщо вкладення відкрили

  1. Від’єднайте ПК від мережі. Якщо файл уже запускався, спершу вимкніть Wi-Fi або кабель.
  2. Не тестуйте архів повторно. Збережіть лист і файл для перевірки, але не відкривайте їх знову.
  3. Перевірте скрипти й автозапуск. Шукайте незвичний PowerShell, RunOnce-ключі на кшталт HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, підозрілі елементи автозавантаження та дочірні процеси під explorer.exe.
  4. Змініть паролі з чистого пристрою. Почніть з пошти, банкінгу, VPN, хмарних акаунтів, адмін-доступів і всіх паролів, збережених у браузері.
  5. Відкличте сесії та токени. Стилери можуть викрадати cookies, тому простого скидання пароля не завжди достатньо.
  6. Запустіть повну антивірусну перевірку. Видалення листа не очищає систему, якщо файл уже виконувався.

Якщо підозрілий архів або скрипт запускався у Windows, захисний інструмент може прибрати видимий файл, але залишити скрипт, запис автозапуску, зміну браузера або інжектований процес. Запустіть повну перевірку Gridinsoft Anti-Malware, видаліть знайдене, перезавантажте ПК і повторіть сканування, якщо попередження, дивні входи або підозрілі з’єднання повертаються.

[gs_cta variant=”phishing_download” campaign=”phantom_stealer_rfq_ua” button=”Перевірити ПК після підозрілого RFQ-вкладення”]

Що перевірити перед відкриттям RFQ-архіву

  • Чи очікували ви лист від цього постачальника або покупця?
  • Чи можна підтвердити запит через відомий номер або старий ланцюжок листів?
  • Чи є всередині BAT, CMD, EXE, JS, VBS, SCR, LNK, ISO або інший виконуваний файл?
  • Чи тисне лист терміном “сьогодні” без нормального контексту?
  • Чи був би для такого процесу логічнішим безпечний портал або PDF?

Для схожих сценаріїв дивіться матеріали про Vidar через PowerShell і CryptoBandits.A.

FAQ

Phantom Stealer загрожує лише банкам?

Ні. Описана кампанія націлена на банки та організації з цінними даними, але RFQ-приманка може прийти в будь-яку бізнес-пошту, яка працює із зовнішніми запитами.

Чи достатньо видалити лист?

Ні. Видалення листа прибирає тільки приманку. Якщо файл із архіву запускався, потрібні ізоляція ПК, сканування, зміна паролів і відкликання активних сесій.

Чому RAR-вкладення небезпечне?

RAR не є шкідливим сам по собі, але архів може приховувати скрипт або виконуваний файл під бізнес-назвою. Архів із запитом ціни, всередині якого є BAT або PowerShell-етап, не варто відкривати як звичайний документ.

Джерела

  1. Fortra. “Phishing Campaign Targets Banks with Fileless Phantom Stealer Malware.” Fortra, опубліковано 16 червня 2026, доступ 19 червня 2026. https://www.fortra.com/blog/phishing-campaign-targets-banks-fileless-phantom-stealer-malware
Стефанія А.
Автор Стефанія А.
Усі матеріали

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.