#ParsedReport #ExtractedSchema

Classified images:
windows: 24, schema: 4, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ бэкдора Noodle RAT, его истории, возможностей, развертывания различными группами злоумышленников, использования в шпионской и киберпреступной деятельности, неправильной классификации, потенциальной связи с другими семействами вредоносных программ и значимости для систем Windows и Linux/Unix.
-----

Запись в блоге содержит анализ бэкдора Noodle RAT, который, как подозревается, используется несколькими китайскоязычными группами, занимающимися шпионажем и киберпреступностью. Бэкдор Noodle RAT имеет версии как для Windows (Win.NOODLERAT), так и для Linux (Linux.NOODLERAT). Он имеет долгую историю, с такими версиями, как v1.0.0 для Win.NOODLERAT, выпущенными в июле 2016 года, и v1.0.1 для Linux.NOODLERAT, выпущенными в декабре 2016 года, что предполагает непрерывную разработку и развертывание. Несмотря на то, что Noodle RAT был активен с 2016 года, его изначально неправильно классифицировали и путали с другими семействами вредоносных программ, такими как Gh0st RAT и Rekoobe, вплоть до недавних разоблачений.

Для версии Windows (Win.NOODLERAT) это модульный бэкдор в памяти, созданный на основе шеллкода и используемый в шпионских кампаниях такими группами, как Iron Tiger и Calypso APT. Используются различные загрузчики, такие как MULTIDROP и MICROLOAD, с уникальным дизайном для загрузки и расшифровки полезной нагрузки. C&C communication поддерживает шифрование по протоколам TCP, SSL и HTTP с использованием алгоритмов, таких как RC4, и пользовательских методов с использованием команд XOR и AND. Существуют различные типы Win.NOODLERAT, с различными реализациями команд различными группами участников угроз.

С другой стороны, версия Linux (Linux.NOODLERAT) представляет собой бэкдор ELF, используемый несколькими группами для различных целей, включая получение финансовой выгоды и шпионаж. Он часто используется в качестве дополнительной полезной нагрузки после использования общедоступных приложений. Бэкдор использует различные алгоритмы шифрования для выполнения коммуникационных задач и взаимодействует с C&C серверами по протоколам TCP и HTTP. Кластеры Linux.NOODLERAT основаны на идентификаторах команд бэкдора, причем различные типы, такие как тип 0x03A2 и тип 0x23F8, используются различными группами участников угроз.

Noodle RAT считается новым семейством вредоносных программ, но некоторые производители предполагают, что это может быть вариант существующих вредоносных программ, таких как Gh0st RAT или Rekoobe. В Linux.NOODLERAT было обнаружено сходство кода с Rekoobe v2018, что указывает на возможное копирование кода, хотя также присутствуют уникальные функции. Были обнаружены панель управления и конструктор для Noodle RAT, что указывает на существующую экосистему вредоносного ПО с возможными отношениями между разработчиком и клиентом, лежащими в основе его работы.

В анализе подчеркивается необходимость надлежащей оценки инцидентов, связанных с Noodle RAT, поскольку в течение многих лет ее недооценивали и неправильно классифицировали. Данные телеметрии показали, что Noodle RAT используется в шпионских кампаниях, нацеленных на такие страны, как Таиланд, Индия, Япония, Малайзия и Тайвань, начиная с 2020 года. Наличие образцов Noodle RAT, загруженных на VirusTotal в 2024 году, свидетельствует о его продолжающемся использовании, что указывает на его значимость для злоумышленников, нацеленных на системы Linux/Unix.

#ParsedReport #CompletenessLow
16-06-2024

'Nuking the Duke': Silent Push uncovers control panel infrastructure for 24 different DukeEugene Android malware variants, including ERMAC and HOOKBOT

https://www.silentpush.com/blog/dukeeugene

Report completeness: Low

Actors/Campaigns:
Dukeeugene
Gxc_team

Threats:
Ermac
Hookbot
Chrysaor
Blackrock
Azazel
Haxor
Scarab
Zeus

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1056.004, T1141

IOCs:
Url: 2
IP: 10

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики киберугроз использовали различные методы для выявления и мониторинга индикаторов панели управления, связанных с вариантами DukeEugene, нацеленными на пользователей Android для кражи конфиденциальной информации. Особое внимание уделяется непрерывному мониторингу с акцентом на обнаружение и раскрытие активных панелей, а также доступу к подробным отчетам и каналам IOFA, которые помогают в усилиях по обнаружению угроз, связанных с DukeEugene.
-----

Аналитики Silent Push использовали сканирование нечетких хэшей и запросы на сходство контента, чтобы идентифицировать 24 индикатора будущих атак на панели управления (IOFA), связанных с такими вариантами DukeEugene, как ERMAC, Hook, Loot и Pegasus, которые нацелены на пользователей определенных сервисов. Российская компания DukeEugene известна своими троянскими программами для Android, предназначенными для кражи учетных данных для входа в систему, финансовой информации и конфиденциальных данных. Эти трояны используют различные векторы атак, включая оверлейные атаки, при которых вредоносное ПО перехватывает взаимодействие с законными приложениями.

Связанные с DukeEugene платформы MaaS, такие как ERMAC, Hookbot, Loot, Blackrock и Pegasus, имеют схожую архитектуру и были доступны для продажи на подпольных форумах. Вредоносная инфраструктура DukeEugene для Android была отслежена и проанализирована, при этом некоторые ключевые типы данных были опущены по соображениям безопасности. Пользователи Silent Push Enterprise имеют доступ к подробным отчетам и каналам IOFA, связанным с деятельностью DukeEugene.

В ходе исследования подозрительного российского ASN с использованием веб-сканера Silent Push была обнаружена инфраструктура, связанная с панелью управления ERMAC. С помощью запроса веб-сканера и хэширования содержимого аналитики идентифицировали связанные панели управления DukeEugene в Интернете с порогом сходства 75%. С помощью расширенных запросов к данным было обнаружено в общей сложности 24 панели управления, связанные с DukeEugene.

Особое внимание уделяется непрерывному мониторингу, при этом обнаружение и раскрытие активных панелей с использованием новых HTML-заголовков находится в центре внимания вредоносных программ для Android, предоставляемых Silent Push. Подписчикам Silent Push Enterprise доступны конкретные IOFA, связанные с исследованиями DukeEugene, в том числе данные о доменах и IP-адресах, через специальные каналы вредоносных программ для Android, что помогает в обнаружении угроз. Эта информация публикуется для того, чтобы помочь читателям расширить свои возможности обнаружения угроз, связанных с DukeEugene.

Чтобы получить полный список вредоносных программ IOFA, связанных с исследованиями DukeEugene, пользователи могут воспользоваться корпоративной подпиской Silent Push, предоставляющей доступ к четырем выделенным каналам вредоносных программ для Android. Используя передовые методы сканирования и инструменты мониторинга, аналитики могут отслеживать и выявлять потенциальные угрозы, связанные с вредоносными действиями DukeEugene, направленными против пользователей Android и их конфиденциальных данных.

#ParsedReport #CompletenessMedium
15-06-2024

Arid Viper poisons Android apps with AridSpy

https://www.welivesecurity.com/en/eset-research/arid-viper-poisons-android-apps-with-aridspy

Report completeness: Medium

Actors/Campaigns:
Aridviper (motivation: cyber_espionage)
Kora442

Threats:
Aridspy
Nortirchat
Lapizachat
Reblychat
Typosquatting_technique

Geo:
Egypt, Qatar, Usa, Palestine, Ukraine, Palestinian

TTPs:
Tactics: 7
Technics: 16

IOCs:
File: 21
Domain: 25
IP: 9

Soft:
Android, Microsoft Defender, WhatsApp, Chrome

Wallets:
harmony_wallet

Algorithms:
zip, aes

Languages:
javascript

Links:
https://github.com/eset/malware-ioc/tree/master/aridspy

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET выявили шпионские кампании, проводимые группой Arid Viper Advanced Persistent Threat (APT), нацеленные на пользователей Android в Египте и Палестине. Кампании включают распространение троянских приложений, содержащих многоступенчатое шпионское ПО для Android под названием AridSpy, которое со средней степенью достоверности относится к группе Arid Viper APT. Вредоносное ПО выполняет различные вредоносные действия, включая шпионаж за данными, кейлоггинг и отключение связи. Механизм распространения заключается в убеждении пользователей устанавливать поддельные, но функциональные приложения со специальных веб-сайтов, а устойчивость вредоносного ПО подтверждается постоянным обслуживанием и обновлениями его функциональных возможностей.
-----

Исследователи ESET выявили шпионские кампании, проводимые группой Arid Viper Advanced Persistent Threat (APT), нацеленные на пользователей Android в Египте и Палестине. Эти кампании включают распространение троянских приложений, содержащих многоступенчатое шпионское ПО для Android под названием AridSpy, которое используется для шпионажа за пользовательскими данными. Вредоносное ПО распространяется через специальные веб-сайты, выдающие себя за законные приложения, такие как приложения для обмена сообщениями, приложения для поиска работы и приложение для регистрации актов гражданского состояния в Палестине. Вредоносная программа AridSpy была развернута в пяти кампаниях, начиная с 2022 года, и по крайней мере три из них все еще активны на момент публикации.

AridSpy со средней степенью достоверности относится к группе Arid Viper APT, занимающейся кибершпионажем, которая действует как минимум с 2013 года и известна тем, что нацелена на страны Ближнего Востока с помощью широкого спектра вредоносных программ для платформ Android, iOS и Windows. Исследователи связали различные кампании, распространяющие AridSpy, с группой Arid Viper на основе использования уникального вредоносного файла JavaScript с именем myScript.js. Этот файл отвечает за загрузку вредоносного приложения для Android в рамках различных кампаний и ранее был связан с деятельностью группы во время таких мероприятий, как Чемпионат мира по футболу в Катаре.

Механизм распространения этих кампаний заключается в убеждении пользователей устанавливать поддельные, но функциональные приложения со специальных веб-сайтов. myScript.js Файл запускается для облегчения загрузки вредоносного приложения AridSpy путем создания правильного пути к файлу для загрузки. После установки вредоносная программа AridSpy выполняет различные вредоносные действия, включая фотосъемку с помощью фронтальной камеры, сбор данных о жертвах, таких как местоположение устройства, списки контактов, журналы вызовов и текстовые сообщения, ведение кейлоггинга в таких приложениях, как Facebook Messenger и WhatsApp, и многое другое. Вредоносная программа также имеет возможность отключать связь, переключая домен exfiltration C&C, чтобы избежать обнаружения.

Анализ кампаний по распространению показывает, что троянские приложения содержат аналогичный вредоносный код, который загружает полезную информацию первого и второго этапов с сервера C&C. Полезная информация второго этапа предназначена для извлечения данных жертв в целях шпионажа. У AridSpy разные внутренние номера версий в разных выявленных кампаниях, что говорит о постоянном обслуживании и потенциальных обновлениях его функциональных возможностей. Устойчивость вредоносной программы также подтверждается ее способностью работать независимо, даже если первоначальное троянское приложение было удалено жертвой.

#ParsedReport #CompletenessMedium
15-06-2024

Ransomware Roundup - Shinra and Limpopo Ransomware

https://www.fortinet.com/blog/threat-research/ransomware-roundup-shinra-and-limpopo-ransomware

Report completeness: Medium

Threats:
Limpopo_ransomware
Shinra_ransomware
Shadow_copies_delete_technique
Socotra_ransomware

Geo:
America, Asia, Thailand, Asian, Spain, Israel, Peru, Vietnam, Honduras, Chile, Mexico, Guatemala, Russia, India, Italy, Poland

CVEs:
CVE-2024-22252 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-22253 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1490, T1112, T1547.001, T1059.001

IOCs:
Hash: 6
File: 10
Path: 1
Registry: 3
Url: 1

Soft:
ESXi, Defwatch, internet explorer, Windows defender, Windows security, Windows journal, bcdedit

Algorithms:
sha2

Win Services:
wxServerView, GDscan, QBDBMgrN, ccEvtMgr, ccSetMgr, SavRoam, Sqlservr, sqlagent, SQLADHLP, Culserver, have more...

Languages:
java

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - обзор отчета FortiGuard Labs о борьбе с вирусами-вымогателями, в котором подробно описываются штаммы программ-вымогателей Shinra и Limpopo, их действия, потенциальные варианты, влияние в разных регионах и важность превентивных мер защиты с помощью решений Fortinet.
-----

В обзоре программ-вымогателей, подготовленном FortiGuard Labs, представлена информация о меняющемся ландшафте программ-вымогателей и решениях Fortinet для защиты от различных разновидностей программ-вымогателей. В последнем выпуске рассматриваются программы-вымогатели Shinra и Limpopo.

Программа-вымогатель Shinra, впервые обнаруженная в апреле 2024 года, предусматривает кражу данных жертвы перед шифрованием файлов. Она также удаляет теневые копии томов, что затрудняет восстановление системы. Хотя предполагалось, что название "Shinra" произошло от названия компании, занимающейся видеоиграми, никаких доказательств в пользу этого нет. Источник заражения Shinra остается неизвестным, но ожидается, что он связан с другими группами программ-вымогателей.

С другой стороны, вирус-вымогатель Limpopo также неизвестен. В отчетах указывается, что вирус затронул такие регионы, как Латинская Америка и Таиланд, возможно, распространяясь через троянское программное обеспечение или используя уязвимости. Сообщения с требованием выкупа, связанные с "Лимпопо", были обнаружены в таких странах, как Чили, Гватемала, Индия, Испания и Соединенные Штаты, что свидетельствует о широком охвате.

Программа-вымогатель Shinra выполняет такие действия, как копирование в папки автозагрузки, изменение обоев рабочего стола, удаление теневых копий и изменение политик состояния загрузки. Она использует различные расширения файлов и намекает на потенциальное развитие в будущем. Программа-вымогатель Limpopo шифрует файлы с определенными расширениями и имеет такие потенциальные варианты, как Akgum, Aktakyr и Formosa. Программа-вымогатель Socotra, предположительно использующая уязвимости в продуктах VMware, имеет сходство с Limpopo и стала объектом расследования правоохранительных органов Азии.

Ранее FortiGuard Labs получала запросы о распространении программы-вымогателя Socotra в Азии. Несмотря на то, что реальных образцов с Сокотры обнаружено не было, было установлено, что программа-вымогатель Limpopo нацелена на среды ESXi и отправлена на проверку в феврале 2024 года.

Таким образом, отчет Roundup о программах-вымогателях проливает свет на программы-вымогатели Shinra и Limpopo, их поведение, возможные варианты и влияние в различных регионах. Анализ подчеркивает важность превентивных мер защиты и выделяет решения Fortinet для борьбы с появляющимися угрозами со стороны программ-вымогателей.

#ParsedReport #CompletenessLow
16-06-2024

Search & Spoof: Abuse of Windows Search to Redirect to Malware

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/search-spoof-abuse-of-windows-search-to-redirect-to-malware

Report completeness: Low

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1071.001, T1185, T1566.001, T1204.002

IOCs:
Registry: 2
Hash: 3

Soft:
Windows Search, Windows Explorer

Algorithms:
sha256, sha1, zip, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Trustwave SpiderLabs выявила сложную вредоносную кампанию, направленную на распространение вредоносных программ, нацеленных на функции поиска Windows, встроенные в HTML-код. Злоумышленники манипулируют кодом для обмана пользователей с помощью перенаправления и сокрытия операций, потенциально подвергая риску системы из-за взаимодействия пользователя с вредоносными файлами. Обучение пользователей и активные меры безопасности необходимы для выявления и смягчения последствий таких обманных атак.
-----

Компания Trustwave SpiderLabs выявила сложную вредоносную кампанию, которая использует функции поиска Windows, встроенные в HTML-код, для распространения вредоносных программ. Злоумышленники демонстрируют глубокое понимание уязвимостей системы и поведения пользователей. Анализируя HTML-код и поисковый код Windows, мы можем получить представление об их роли в цепочке атак.

HTML-код содержит тег meta http-equiv="refresh" и атрибут, который заставляет браузер перезагружать страницу и перенаправлять на новый URL без задержки, не предоставляя пользователям возможности обнаружить подозрительную активность. Злоумышленники манипулируют различными компонентами кода, чтобы обмануть пользователей и скрыть свои вредоносные операции. Такие параметры, как query, crumb, displayname и location, используются для перенаправления поиска в определенный каталог, размещенный на вредоносном сервере, замаскированном с помощью Cloudflare. Использование интеграции WebDAV позволяет злоумышленникам выдавать удаленные ресурсы за локальные, что делает обман более убедительным и трудным для распознавания пользователями.

При взаимодействии пользователя с функцией поиска с вредоносного сервера извлекаются определенные файлы, помеченные как "СЧЕТ-ФАКТУРА". В результатах обычно отображается файл быстрого доступа (LNK), указывающий на пакетный скрипт (BAT) на том же сервере. Щелчок по файлу LNK может спровоцировать дальнейшие вредоносные действия, потенциально ставящие под угрозу систему пользователя.

Несмотря на то, что атака не предполагает автоматической установки вредоносного ПО, она основывается на взаимодействии пользователя с подсказками и щелчками мыши для запуска вредоносного скрипта. Эта тактика основана на доверии пользователей к знакомым интерфейсам и обычным действиям, таким как открытие вложений электронной почты, что усложняет обнаружение. В условиях меняющегося ландшафта угроз постоянное обучение пользователей и активные меры безопасности имеют решающее значение для предотвращения таких обманных атак.

#ParsedReport #CompletenessLow
16-06-2024

A Brief History of SmokeLoader, Part 1

https://www.zscaler.com/blogs/security-research/brief-history-smokeloader-part-1

Report completeness: Low

Threats:
Smokeloader
Process_injection_technique
Procmon_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1140, T1055.004, T1055.001, T1041, T1202

IOCs:
File: 1

Soft:
qemu

Algorithms:
rc4, md5, crc-32, xor, base64

Win API:
ZwCreateSection, ZwMapViewOfSection, ZwResumeThread, NtGlobalFlags

Win Services:
bits

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 3, table: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в эволюции и техническом анализе модульного вредоносного ПО SmokeLoader, начиная с его первоначального назначения в качестве загрузчика вторичных вредоносных программ и заканчивая его более продвинутыми возможностями, такими как кража данных, DDoS-атаки и майнинг криптовалют. Анализ охватывает развитие вредоносного ПО с течением времени, включая изменения в методах коммуникации, тактику обхода, позволяющую избежать обнаружения, и значительные улучшения в функциональности.
-----

SmokeLoader - это модульная вредоносная программа, которая впервые появилась в 2011 году и изначально была разработана как загрузчик для запуска вторичных вредоносных программ. За прошедшие годы SmokeLoader значительно эволюционировал, включив в себя новые функциональные возможности, такие как кража данных, DDoS-атаки и майнинг криптовалют. Вредоносная программа использует сложную тактику, чтобы избежать обнаружения и затруднить анализ, включая генерацию поддельного сетевого трафика и запутывающий код.

В мае 2024 года Zscaler ThreatLabZ провел технический анализ SmokeLoader в рамках операции Endgame, целью которой было лечение десятков тысяч зараженных систем. Анализ подробно задокументировал SmokeLoader, охватив его многочисленные версии и эволюцию с течением времени.

В самых ранних версиях SmokeLoader, называемых "доисторическими", отсутствовали номера версий и использовались элементарные методы взаимодействия с серверами управления. В этих версиях использовались различные методы внедрения, такие как шелл-коды, для установления связи и выполнения команд. SmokeLoader постепенно развивался, и в версии 2012 года были внесены значительные улучшения, в том числе такие функции, как асинхронные вызовы процедур (APC) для инъекций.

К 2014 году SmokeLoader претерпел существенные изменения, внедрив многоступенчатый процесс загрузки с поэтапным компонентом, который стал стандартной функцией в последующих версиях. Вредоносная программа также разделила свою функциональность на модули, что позволило интегрировать дополнительные плагины для таких задач, как кража данных и кейлоггинг. Алгоритмы генерации уникальных идентификаторов ботов также стали более сложными, включая информацию о компьютере и томе для идентификации.

SmokeLoader продемонстрировал пристальное внимание к методам антианализа, используя подходы, основанные на хэшировании, для определения местоположения API, шифрования строк и использования приемов запутывания, препятствующих обнаружению. Вредоносная программа постоянно совершенствовала свои механизмы сохранения данных, начиная с использования ключей реестра и заканчивая внедрением механизмов защиты от копирования и сложных алгоритмов расшифровки списков серверов C2.

Что касается коммуникационных протоколов, SmokeLoader использовал текстовые методы шифрования для взаимодействия с серверами C2, перейдя от простых текстовых HTTP-запросов GET в более ранних версиях к зашифрованным данным через HTTP POST-запросы в более поздних версиях.

#ParsedReport #CompletenessHigh
16-06-2024

Shedding Zmiy: in-depth technical analysis of tools

https://rt-solar.ru/solar-4rays/blog/4440

Report completeness: High

Actors/Campaigns:
Shedding_zmiy

Threats:
Bulldog_backdoor
Revshell_tool
Nmap_tool
Nim_loader
Syswhispers_tool
Donut
Ekipa_rat
Xdhijack
Dns_tunneling_technique
Garble_tool
Dll_sideloading_technique
Sliver_c2_tool
Dll_injection_technique
Upx_tool

Geo:
Swedish, Usa, American, Polish

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1055.001, T1574.002, T1574.001, T1070.004, T1562.001, T1553.002

IOCs:
File: 10
Domain: 29
Url: 2
Hash: 60
Path: 1
IP: 3

Soft:
Docker, systemd, Event Tracing for Windows, unix, WireGuard

Algorithms:
sha1, aes-128, sha256, md5, base64, xor, aes

Win API:
NtProtectVirtualMemory, GetProcAddress, RtlQueueItem, DllGetClassObject, MapViewOfFile, ConvertThreadToFiber, VirtualAlloc, CreateFiber, VirtualProtect, SwitchToFiber, have more...

Languages:
python, golang, php

Platforms:
x64, cross-platform

Links:
https://github.com/burrowers/garble
https://github.com/f1zm0/acheron
https://github.com/byt3bl33d3r/OffensiveNim/blob/master/src/unhook.nim
https://github.com/vmihailenco/msgpack
https://github.com/WireGuard/wireguard-windows/blob/dcc0eb72a04ba2c0c83d29bd621a7f66acce0a23/driver/memmod/memmod\_windows.go#L458
https://github.com/quic-go/quic-go
https://github.com/TheWover/donut
https://github.com/miekg/dns
https://github.com/Yardanico/nim-strenc/blob/master/src/strenc.nim
https://github.com/jthuraisamy/SysWhispers2
https://github.com/ajpc500/NimlineWhispers2