#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют онлайн-рекламу для распространения вредоносного ПО, уделяя особое внимание вредоносной кампании SYS01 InfoStealer, нацеленной на пользователей по всему миру, с особым акцентом на выдачу себя за популярные бренды для кражи персональных данных. Кампания постоянно развивается и использует вредоносные домены для распространения, при этом вредоносное ПО доставляется через приложение ElectronJS. Киберпреступники, стоящие за кампанией, используют передовые тактики уклонения, включая обнаружение в изолированной среде, чтобы оставаться незамеченными и быстро обновлять свой код, чтобы избежать мер безопасности. Кроме того, успех кампании объясняется структурированной бизнес-моделью, направленной на сбор учетных данных Facebook, особенно бизнес-аккаунтов, для запуска большего количества вредоносной рекламы и монетизации украденных учетных данных на подпольных рынках. Кроме того, пользователи могут получить доступ к инструментам защиты от кибербезопасности, таким как Scamio, предлагаемым Bitdefender для защиты от различных киберугроз.
-----

Киберпреступники используют онлайн-рекламу для распространения вредоносных программ, в частности, с помощью вредоносных рекламных кампаний на платформе Meta, ориентированных в основном на мужчин в возрасте 45 лет и старше.

Вредоносная атака развивается, и вредоносное ПО SYS01 теперь распространяется через приложение ElectronJS, имитирующее популярные программные инструменты для расширения своего охвата.

Кампания использует около сотни вредоносных доменов для распространения вредоносных программ и управления ими в режиме реального времени.

Хакеры используют массовое олицетворение бренда, чтобы привлечь широкую аудиторию, и распространяют вредоносное ПО через ссылки MediaFire в zip-архивах, содержащих электронное приложение, которое работает в фоновом режиме.

Киберпреступники используют продвинутые тактики уклонения, такие как обнаружение в изолированной среде, чтобы оставаться скрытыми от инструментов кибербезопасности, и могут быстро обновлять свой код, чтобы избежать обнаружения.

Успех кампании обусловлен сбором учетных данных Facebook, особенно из бизнес-аккаунтов, для запуска большего количества вредоносной рекламы и расширения масштабов операций за счет монетизации украденных учетных данных на подпольных торговых площадках.

Bitdefender предлагает комплексную защиту от кибербезопасности, включая службу обнаружения мошенничества Scamio на базе искусственного интеллекта, доступную на различных платформах, чтобы помочь пользователям обезопасить себя от онлайн-мошенничества.

#ParsedReport #CompletenessMedium
31-10-2024

Inside Intelligence Center: LUNAR SPIDER Enabling Ransomware Attacks on Financial Sector with Brute Ratel C4 and Latrodectus

https://blog.eclecticiq.com/inside-intelligence-center-lunar-spider-enabling-ransomware-attacks-on-financial-sector-with-brute-ratel-c4-and-latrodectus

Report completeness: Medium

Actors/Campaigns:
Lunar_spider (motivation: financially_motivated)
Alpha_spider
Wizard_spider
Nemty
Twisted_spider

Threats:
Brc4_tool
Latrodectus
Icedid
Blackcat
Smokeloader
Pikabot
Bumblebee
Conti
Trickbot
Nemty
Impacket_tool
Wmiexec_tool
Screenconnect_tool
Cobalt_strike
Streamerrat
Csharp_streamer
Rclone_tool
Seo_poisoning_technique

Geo:
Switzerland, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1105, T1047, T1021, T1547, T1219, T1573

IOCs:
Domain: 12
IP: 1
File: 6
Registry: 1
Path: 1
Url: 8
Hash: 9

Soft:
Windows Installer

Algorithms:
sha256, zip

Languages:
javascript, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе вредоносной кампании, организованной хакерской группой LUNAR SPIDER, в ходе которой использовался запутанный загрузчик JavaScript под названием Latrodectus для доставки вредоносной полезной нагрузки, связанной с вредоносным по Brute Ratel C4. Несмотря на действия правоохранительных органов, нарушающие работу инфраструктуры, LUNAR SPIDER продолжала свою деятельность, сотрудничая с другими группами программ-вымогателей, такими как WIZARD SPIDER. Аналитики отметили адаптивность группы, эволюцию киберопераций, общую инфраструктуру с аффилированными с ALPHV компаниями-вымогателями и изощренную тактику в отношении финансовых услуг. Составление карты тактики и процедур LUNAR SPIDER помогает защитникам выявлять модели поведения, улучшать стратегии обнаружения угроз и смягчения их последствий для группы.
-----

В октябре 2024 года была обнаружена вредоносная рекламная кампания, использующая Latrodectus для доставки Brute Ratel C4, которая, вероятно, связана с русскоязычной хакерской группой LUNAR SPIDER.

LUNAR SPIDER имеет опыт разработки семейств вредоносных программ, таких как IcedID и Latrodectus, и продолжает свою деятельность, несмотря на действия правоохранительных органов в 2024 году, сотрудничая с группами вымогателей, такими как WIZARD SPIDER.

Группа сменила тактику с IcedID на Latrodectus и Brute Ratel C4, при этом было выявлено более 200 связанных вредоносных инфраструктур, что свидетельствует об эффективной координации.

Аналитики EclecticIQ наблюдали за серверами Latrodectus, управляемыми членами LUNAR SPIDER, и связали их с рекламными кампаниями злоумышленников и совместными действиями по вымогательству с ALPHV.

LUNAR SPIDER нацелился на финансовые сервисы, используя SEO-отравление, используя запутанные файлы JavaScript, загрузки MSI и выполнение вредоносных библиотек DLL для скоординированной атаки.

Составление карты тактики LUNAR SPIDER с использованием платформы MITRE ATT&CK framework помогает защитникам в разработке стратегий упреждающего поиска угроз и смягчения их последствий, ускоряя сбор разведывательной информации и время реагирования на киберугрозы.

#ParsedReport #CompletenessHigh
31-10-2024

Strela Stealer targets Central and Southwestern Europe through Stealthy Execution via WebDAV

https://cyble.com/blog/strela-stealer-targets-europe-stealthily-via-webdav

Report completeness: High

Threats:
Strela_stealer
Polyglot_technique
Spear-phishing_technique
Credential_dumping_technique

Geo:
German, Germany, Spain, Spanish

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 7
IP: 1
Hash: 95
Domain: 5

Soft:
Outlook, Microsoft Outlook, Mozilla Thunderbird

Algorithms:
sha256, xor, zip, base64

Win API:
ShowWindow, GetKeyboardLayout, CryptUnprotectData

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в изощренной фишинговой кампании, проводимой вредоносной программой Strela Stealer, нацеленной на пользователей в Центральной и Юго-Западной Европе. Кампания использует различные тактики, такие как отправка фишинговых электронных писем с запутанными файлами JavaScript, для развертывания своей полезной нагрузки и кражи конфиденциальных учетных данных, уделяя особое внимание краже сведений о конфигурации электронной почты и проведению разведки скомпрометированных систем. Вредоносная программа способна собирать и шифровать конфиденциальную информацию из профилей Thunderbird и Outlook, отправляя ее на сервер управления, контролируемый злоумышленниками. Кампания демонстрирует передовые методы доставки вредоносных программ и представляет серьезную угрозу для конфиденциальной информации пользователей, что требует принятия превентивных мер защиты.
-----

Лаборатории Cyble Research and Intelligence Labs раскрыли сложную фишинговую кампанию вредоносного ПО Strela Stealer, нацеленную на пользователей в Центральной и Юго-Западной Европе.

Кампания использует скрытую тактику, выдавая себя за уведомления о выставлении счетов в фишинговых электронных письмах с вложениями ZIP-файлов, содержащих запутанные файлы JavaScript, для развертывания вредоносного ПО.

Программа Strela Stealer нацелена на системы в Германии и Испании, фокусируясь на краже сведений о конфигурации электронной почты и сборе подробной системной информации для разведывательных целей.

Первоначально кампания была нацелена на испаноязычных пользователей с помощью рассылки спама по электронной почте, а затем перешла к использованию фишинговых писем с вложениями в ZIP-файлы, содержащих запутанный код JavaScript.

Strela Stealer собирает данные из профилей Thunderbird и Outlook, шифрует информацию и отправляет ее на сервер управления, контролируемый злоумышленниками.

Недавние итерации кампании Strela Stealer демонстрируют возросшую сложность методов доставки вредоносных программ, позволяющих избежать обнаружения средствами защиты.

Cyble предлагает пакеты поиска угроз с пользовательскими правилами YARA для обнаружения подозрительных действий, связанных с Strela Stealer, повышения уровня безопасности и обеспечения проактивной защиты от передовых тактик вредоносных программ.

#ParsedReport #CompletenessMedium
01-11-2024

New Tradecraft of Iranian Cyber Group Aria Sepehr Ayandehsazan aka Emennet Pasargad

https://www.ic3.gov/CSA/2024/241030.pdf

Report completeness: Medium

Actors/Campaigns:
Marnanbridge (motivation: hacktivism, disinformation)

Threats:
Masscan_tool
Acunetix_tool
Sqlmap_tool

Victims:
French commercial dynamic display provider, Israeli hostages' families, Israeli athletes, Israeli fighter pilots, Uav operators

Industry:
Military, Government

Geo:
Tokyo, France, French, Israel, Israeli, Iran, Usa, Swedish, Japan, Palestinians, Iranian, Sweden, Israelis, United kingdom, Lithuania, Moldova, Lebanon

TTPs:
Tactics: 5
Technics: 16

IOCs:
Email: 1
Domain: 13
IP: 27
File: 1
Hash: 2

Soft:
Telegram, Instagram, Burp Suite, Google Chrome

Win API:
Pie

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в рекомендациях по кибербезопасности, подготовленных ФБР, Министерством финансов США и Национальным управлением по кибербезопасности Израиля, в которых основное внимание уделяется деятельности иранской кибергруппы Emennet Pasargad (ASA), освещаются их киберпреступность, тактика, методы и процедуры (TTP), а также участие в кибер-обеспечивал проведение информационных операций, нацеленных на различные организации, включая летние Олимпийские игры 2024 года, а также израильских частных лиц и организации. В рекомендациях содержится информация об управлении инфраструктурой ASA, использовании скрытых хостинг-провайдеров, участии в операциях по оказанию влияния, разведывательной деятельности и использовании таких инструментов, как VPN-сервисы и трояны для удаленного доступа. Организациям рекомендуется следовать рекомендациям по устранению последствий и обращаться в ФБР, если они подозревают, что ASA является их мишенью.
-----

Иранская кибергруппировка Emennet Pasargad действует под именем Aria Sepehr Ayandehsazan (ASA) и пользуется такими псевдонимами, как Cotton Sandstorm, Marnanbridge и Haywire Kitten.

ASA продемонстрировала новые кибер-технологии при проведении информационных операций с использованием киберпространства, нацеленных на такие мероприятия, как летние Олимпийские игры 2024 года, где они скомпрометировали французского коммерческого поставщика динамических дисплеев.

Компания Emennet Pasargad проявила интерес к сбору контента с IP-камер, использованию онлайн-ресурсов, связанных с искусственным интеллектом, а также к веб-сайтам и средствам массовой информации, связанным с выборами, для оказания потенциального влияния.

ASA использует подставных лиц и фиктивных реселлеров хостинга для обеспечения оперативной серверной инфраструктуры, сотрудничая с такими поставщиками, как Server-Speed, VPS-Agent, BAcloud и Stark Industries Solutions/PQ Hosting, для обфускации.

Группа участвовала в различных информационных операциях с использованием киберпространства, включая деятельность, связанную с конфликтом между Израилем и ХАМАСОМ, используя таких персонажей, как "Кибер-флуд" и "Контакт-HSTG", для оказания воздействия с помощью психологической тактики.

ASA проводила кибератаки на коммерческие организации и занималась разведывательной деятельностью, нацеленной на израильских пилотов истребителей и операторов беспилотных летательных аппаратов, используя коммерческие VPN-сервисы и программы RAT, такие как "bd", для первоначального доступа и эксплуатации.

Организациям рекомендуется следовать рекомендациям по устранению последствий, приведенным в рекомендациях, исследовать и проверять IP-адреса на предмет наличия признаков компрометации и сообщать в ФБР о любых подозрениях в том, что они могут стать мишенью или быть скомпрометированы.

#ParsedReport #CompletenessMedium
01-11-2024

Ngioweb Remains Active 7 Years Later

https://cybersecurity.att.com/blogs/labs-research/ngioweb-remains-active-7-years-later

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Ngioweb
Residential_proxy_technique
Ramnit

Victims:
Linear emerge, Zyxel routers, Neato vacuums, Edgeos infected systems

Industry:
Telco, Government, Iot, Financial, Healthcare

Geo:
Australia, India, Oceania, Japan, Asia, Canada, Canadian

CVEs:
CVE-2023-28769 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)

CVE-2019-7256 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- nortekcontrol linear emerge essential firmware (le1.00-06)

CVE-2022-45440 [Vulners]
CVSS V3.1: 4.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel ax7501-b0 firmware (<5.17\(abpc.3\)c0)

CVE-2023-28770 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- zyxel dx5401-b0 firmware (<5.17\(abyo.1\)c0)


TTPs:
Tactics: 7
Technics: 15

IOCs:
Hash: 2
File: 5
IP: 2

Soft:
Linux, Zyxel, EdgeOS, curl

Crypto:
bitcoin, litecoin

Algorithms:
zip, base64, md5

Languages:
php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в активности, возможностях и влиянии ботнета прокси-серверов Ngioweb, который действует уже семь лет и постоянно сканирует уязвимые устройства для заражения и превращения в прокси-серверы. Злоумышленники продают зараженные системы в качестве локальных прокси-серверов через такие платформы, как Nsocks, ориентируясь на пользователей локальных интернет-провайдеров и используя различные эксплойты для уклонения от обнаружения и совершения вредоносных действий. Связь ботнета с банковским вредоносным ПО и его рост в размерах, а также использование зараженных устройств различными участниками угроз подчеркивают сохраняющуюся угрозу, исходящую от Ngioweb, и проблемы с обнаружением и смягчением последствий его действий.
-----

Ботнет прокси-серверов Ngioweb работает уже семь лет, постоянно сканируя уязвимые устройства и используя различные эксплойты для их заражения и превращения в прокси-серверы. Злоумышленники, стоящие за Ngioweb, продают зараженные системы в качестве локальных прокси-серверов через Nsocks по цене менее 1,50 доллара за 24 часа доступа. Основными объектами атаки являются пользователи интернет-провайдеров, в том числе такие устройства, как Linear eMerge, маршрутизаторы Zyxel и пылесосы Neato. В августе 2018 года Check Point опубликовала подробный анализ Ngioweb, подчеркнув его связь с семейством банковских вредоносных программ Ramnit. Netlab продолжила исследование Ngioweb, раскрывая подробности об алгоритме генерации доменов, коммуникационных протоколах, инфраструктуре командования и контроля, а также используемых уязвимостях.

В 2024 году TrendMicro сообщила об использовании киберпреступниками и государственными структурами местных прокси-провайдеров для вредоносных действий. Примечательно, что вредоносная программа Ngioweb была обнаружена на зараженных устройствах наряду с другими угрозами, такими как Pawn Storm и канадская аптечная банда. Недавнее исследование, проведенное LevelBlue Labs в том же году, выявило продолжающиеся действия по сканированию уязвимых устройств, передающих полезную нагрузку Ngioweb. Троянец работает аналогично предыдущим версиям, с небольшими изменениями, позволяющими избежать обнаружения.

Nsocks, платформа черного рынка, продающая зараженные системы в качестве прокси-серверов, появилась в 2022 году после устранения других известных конкурентов. Она предлагает широкий ассортимент прокси-серверов SOCKS5 по всему миру, цены на которые зависят от типа устройства и продолжительности заражения. Для обеспечения анонимности платежи принимаются только в биткоинах или лайткоинах. Ботнет Ngioweb значительно расширился за последние годы, и в настоящее время в его пуле насчитывается около 30 000 ежедневных IP-адресов, которые в основном скомпрометированы местными интернет-провайдерами и мобильными провайдерами.

Вредоносная программа нацелена на различные устройства, в частности, на маршрутизаторы и устройства интернета вещей, такие как Linear eMerge systems, маршрутизаторы Zyxel, пылесосы Neato и другие. Для развертывания полезной нагрузки Ngioweb используются специальные эксплойты, нацеленные на уязвимости в этих устройствах. Использование вредоносной программой алгоритмов генерации доменов и уникальных методов связи C&C помогает ей избежать обнаружения.

Зараженные пылесосы Neato, несмотря на снятие с производства, остаются подключенными к Интернету и входят в число устройств, скомпрометированных Ngioweb. Широкое распространение зараженных систем, продаваемых в качестве прокси-серверов, подчеркивает доступность анонимизации вредоносных действий для участников угроз. Технические показатели, связанные с Ngioweb, охватывают различные тактические приемы, включая первоначальный доступ, настойчивость, уклонение от защиты, обнаружение, командование и контроль, а также воздействие.

#ParsedReport #CompletenessMedium
03-11-2024

Tricks, Treats, and Threats: Cobalt Strike & the Goblin Lurking in Plain Sight

https://hunt.io/blog/tricks-treats-threats-cobalt-strike-the-goblin-lurking-in-plain-sight

Report completeness: Medium

Threats:
Cobalt_strike
Browserghost_tool
Goblin_tool
Meterpreter_tool
Hackbrowserdata

Victims:
Educational platforms

Industry:
Education, E-commerce

Geo:
Chinese, Hong kong, Malaysia

CVEs:
CVE-2014-4113 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (-)
- microsoft windows 8 (-)
- microsoft windows 8.1 (-)
- microsoft windows rt (-)
- microsoft windows rt 8.1 (-)
have more...
CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 (1903, 1909)
- microsoft windows server 2016 (1903, 1909)


ChatGPT TTPs:
do not use without manual check
T1203, T1071, T1021

IOCs:
IP: 13
Hash: 1
Domain: 9

Soft:
Nginx, Chrome, Firefox

Algorithms:
sha256

Languages:
python, javascript

Links:
have more...
https://github.com/QAX-A-Team/BrowserGhost
https://github.com/xiecat/goblin/blob/master/README\_EN.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении открытого каталога, содержащего набор мощных инструментов, таких как Cobalt Strike, Goblin и BrowserGhost, которые обычно используются в вредоносных целях красными командами и противниками. Представленные инструменты нацелены на последующую эксплуатацию, кражу учетных данных, фишинг и утечку данных из сети. Каталог, размещенный в Гонконге, предлагает информацию о комплексном наборе инструментов для эксплуатации и сохранения данных, а также показатели потенциальной координации между серверами или участниками.
-----

Недавнее открытие открытого каталога в духе Хэллоуина выявило набор инструментов с серьезными возможностями, включая Cobalt Strike, Goblin и BrowserGhost. Хотя названия могут показаться шутливыми, эти инструменты часто используются красными командами и противниками в злонамеренных целях. В open directory был обнаружен Cobalt Strike 4.2, платформа для последующей эксплуатации, а также код для использования уязвимостей, датируемый 2014 годом. BrowserGhost, инструмент для извлечения сохраненных паролей из веб-браузеров, предлагает сосредоточиться на краже учетных данных. В каталоге также был обнаружен фишинговый инструмент Goblin, который, возможно, использовался для таргетинга на образовательные платформы, говорящие на китайском языке.

Открытый каталог, размещенный по адресу 199.187.25.57:8899 на ASN компании Cloudie Limited в Гонконге, позволял получить представление о коллекции потенциально вредоносных инструментов. Наряду с Cobalt Strike 4.2 и папкой Goblin, сервер регистрирует историю команд и выводимые данные. Сервер, по-видимому, работает под управлением операционной системы на базе Linux и использует Python 3.8.10 simpleHTTP версии 0.6 для размещения каталога. Сканеры Hunt выявили несколько серверов Cobalt Strike team, расположенных на разных портах, а также дополнительную полезную нагрузку, связанную с уязвимостями, такими как CVE-2014-4113 и CVE-2020-0796, размещенными в папке cs4.2. Наличие исторического кода эксплойта и полезной нагрузки веб-оболочки указывает на наличие комплексного инструментария, ориентированного на эксплуатацию и сохраняемость.

15 октября на сервере ненадолго был размещен TLS-сертификат Cobalt Strike, который использовался только с другим IP-адресом, что указывает на потенциальную координацию между серверами или участниками. Фишинговый инструмент Goblin, разработанный для командных учений red и blue, использует прокси-трафик для имитации взаимодействия пользователей во время попыток фишинга. Конфигурационный файл YAML выявил проксирование трафика через домены, связанные с платформой Yunxiao DevOps от Alibaba Cloud, и недавно зарегистрированный домен, потенциально имитирующий учебное заведение.

BrowserGhost, который находится в папке Cobalt Strike, представляет собой инструмент для извлечения сохраненных паролей из популярных веб-браузеров. Каталог также содержал HackBrowserData, инструмент для извлечения и расшифровки конфиденциальной информации о браузере. Такое сочетание инструментов позволяет предположить, что оператор заинтересован в получении сохраненных в браузере учетных данных, что указывает на хорошо оснащенную команду red team или злоумышленника, сосредоточенного на утечке данных.

#ParsedReport #CompletenessLow
02-11-2024

Malicious "RedAlert - Rocket Alerts" application targets Israeli phone calls, SMS, and user information

https://www.cloudflare.com/en-au/threat-intelligence/research/report/malicious-redalert-rocket-alerts-application-targets-israeli-phone-calls-sms-and-user-information

Report completeness: Low

Actors/Campaigns:
Anonghost (motivation: hacktivism)

Threats:
Fake_redalert

Victims:
Redalert app users

Geo:
Israel, Israeli

ChatGPT TTPs:
do not use without manual check
T1071, T1027, T1569.002, T1056.001

IOCs:
Url: 5
File: 14
Coin: 1

Soft:
Android

Algorithms:
sha256, cbc, aes

Functions:
FindDebugger, startService, onCreate, RegisterPushAsync, getData, FindEmulator, FindMonkey, isUserAMonkey

Win API:
getMessage

Languages:
java

Platforms:
arm, apple

Links:
https://github.com/eladnava/redalert-android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении вредоносного веб-сайта, на котором размещена поддельная версия приложения RedAlert - Rocket Alerts, выдающего себя за законное приложение, разработанное Эладом Навой. Вредоносное приложение собирает конфиденциальные пользовательские данные и было обнаружено на веб-сайте, полностью имитирующем сайт законного приложения, при этом версия для Android представляет значительный риск из-за загрузки вредоносного APK-файла. Пользователям рекомендуется удалить вредоносное приложение, проверить права доступа и переустановить законную версию из авторизованных источников. Код злоумышленника, встроенный в код законного приложения, инициирует вредоносные действия по сбору пользовательской информации, ее шифрованию и загрузке на HTTP-сервер. Функции защиты от анализа в вредоносном приложении предотвращают попытки анализа во время выполнения, но не статический анализ.
-----

Команда по борьбе с угрозами Cloudforce One в Cloudflare обнаружила вредоносный веб-сайт, на котором размещена поддельная версия приложения RedAlert - Rocket Alerts, выдающего себя за законное приложение RedAlert от Elad Nava.

Пропалестинская хактивистская группа AnonGhost использовала предыдущее приложение для оповещения о ракетном ударе для отправки поддельных предупреждений, включая ложные сообщения о "ядерной бомбе", и утверждала, что атаковала другие приложения для оповещения о ракетном ударе.

Появился новый вредоносный веб-сайт (hxxps://redalerts . me), предлагающий загрузку приложения RedAlert, которое полностью имитирует веб-сайт законного приложения с разницей всего в одну букву в доменном имени. На поддельном сайте был размещен вредоносный APK-файл для версии Android, в то время как ссылка на Apple App Store вела на подлинное приложение.

Вредоносная версия приложения RedAlert собирала конфиденциальные пользовательские данные, включая доступ к контактам, журналам вызовов, SMS-сообщениям, информации учетной записи и т.д., и пользователям, которые ее загрузили, рекомендуется немедленно удалить приложение.

Вредоносный APK-файл при установке инициирует вредоносные действия по сбору пользовательских данных и включает функции защиты от анализа, направленные на обнаружение попыток анализа во время выполнения.

Вредоносный код злоумышленника встроен в законный код повторного оповещения в com.red.alert.activities: Main.java файл, сбор и шифрование конфиденциальных пользовательских данных перед их загрузкой на HTTP-сервер для дополнительной защиты.