#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в смещении тенденций распространения вредоносных программ с документов MSOffice в сторону таких форматов, как LNK и CHM, с акцентом на появление нового типа вредоносных программ, использующих формат файлов MSC, используемый в консоли управления Microsoft. В ходе анализа были выявлены проблемы, связанные с вредоносным ПО формата MSC, статус его распространения и тактика, используемая злоумышленниками для обмана пользователей с целью получения вредоносной полезной нагрузки.
-----

Тенденции распространения вредоносных программ смещаются от документов MSOffice к таким форматам, как LNK и CHM. Во втором квартале текущего года был выявлен новый тип вредоносного ПО, использующего формат файлов MSC (snap-ins/Management Saved Console), используемый в консоли управления Microsoft (MMC). Файлы формата MSC основаны на XML и могут выполнять такие задачи, как выполнение сценариев, команд и программ. Среди обнаруженных вредоносных программ формата MSC были выявлены два типа: одна из них использует уязвимость CVE-2024-43572 в apds.dll и другой, выполняющий работу с командной строкой через панель задач консоли MMC.

Анализ статуса распространения вредоносного ПО формата MSC по состоянию на октябрь 2024 года показывает диапазон значений на графике, где более высокое значение указывает на увеличение распространения вредоносного ПО. Злоумышленники все чаще используют незнакомые форматы, чтобы обманом заставить пользователей запускать вредоносное ПО, не вызывая подозрений. Обычным пользователям сложно понять назначение или функциональность файлов MSC, и из-за их простого выполнения с помощью двойного щелчка ожидается, что их распространение будет продолжаться.

Один из распространенных типов вредоносных программ MSC использует уязвимость CVE-2024-43572 в apds.dll для выполнения вредоносной нагрузки. Этот тип часто маскируется значками файлов, напоминающими документы PDF или Word, чтобы казаться безобидным. Другой тип вредоносного ПО использует консольную панель задач MMC для выполнения команд, аналогичным образом маскируясь под файл документа или папку. Примечательно, что группа Kimsuky была идентифицирована как распространяющая это вредоносное ПО, в частности, нацеленное на внутренних пользователей и использующее документы-приманки в процессе своей работы.

#ParsedReport #CompletenessMedium
22-11-2024

Unveiling WolfsBane: Gelsemium s Linux counterpart to Gelsevirine

https://www.welivesecurity.com/en/eset-research/unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine

Report completeness: Medium

Actors/Campaigns:
Gelsemium (motivation: cyber_espionage)

Threats:
Wolfsbane
Gelsevirine
Project_wood
Firewood
Dynamic_linker_hijacking_technique
Timestomp_technique
Gelsemine
Antsword
Beurk
Sshdoor

Geo:
Singapore, Philippines, Middle east, Chinese, China, Taiwan, Asia, Ukraine

TTPs:
Tactics: 9
Technics: 22

IOCs:
File: 5
Domain: 2
Hash: 19

Soft:
Linux, Unix, Systemd, Visual Basic for Applications, Apache Tomcat, SELinux, OpenSSH

Algorithms:
aes, rc4, xor, sha1, base64

Languages:
java

Links:
https://github.com/unix-thrust/beurk/tree/dev
https://github.com/AntSwordProject/AntSword-JSP-Template/blob/master/web/shell.jsp
https://github.com/tennc/webshell/blob/master/jsp/icesword.jsp
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи ESET обнаружили новые бэкдоры для Linux, связанные с китайской Gelsemium group и Project Wood, что указывает на переход к использованию вредоносных программ для Linux группами APT в связи с улучшением мер безопасности Windows. Бэкдоры, названные WolfsBane и FireWood, предназначены для кибершпионажа и обеспечения постоянного доступа для сбора разведданных, с акцентом на использование уязвимостей в системах Linux, работающих через Интернет. Открытие подчеркивает эволюцию тактики хакеров, нацеленных на системы Linux на фоне улучшения безопасности Windows.
-----

Исследователи ESET недавно обнаружили ранее неизвестные бэкдоры для Linux, связанные с китайской Gelsemium group и Project Wood. Первый бэкдор под названием WolfsBane был создан компанией Gelsemium на основе его сходства с известными вредоносными программами для Windows, используемыми этой группой. WolfsBane предназначен для кибершпионажа, нацеленного на конфиденциальные данные с помощью скрытного выполнения команд и поддержания постоянного доступа. Кроме того, был обнаружен второй бэкдор для Linux, FireWood, но он лишь предположительно связан с Gelsemium, и предполагается, что он может быть распространен среди различных китайских APT-групп.

Переход к вредоносному ПО для Linux в APT groups становится все более заметным из-за усовершенствований в мерах безопасности Windows, таких как широкое использование инструментов EDR и решение Microsoft отключить макросы VBA по умолчанию. Этот сдвиг вынуждает хакеров изучать альтернативные направления атак, уделяя особое внимание использованию уязвимостей в системах, ориентированных на Интернет, многие из которых основаны на Linux.

Исследование выявило сходство кода между бэкдорами Linux и известными вредоносными программами для Windows, используемыми Gelsemium, что указывает на тесную связь. WolfsBane идентифицируется как Linux-аналог Gelsevirine, в то время как FireWood ассоциируется с Project Wood. Обнаруженные вредоносные программы направлены на сохранение постоянного доступа для сбора разведывательной информации, избегая при этом обнаружения. Архивы, содержащие эти образцы Linux, были обнаружены в 2023 году на Тайване, Филиппинах и в Сингапуре, вероятно, в результате действий по реагированию на инциденты на скомпрометированных серверах.

Цепочка выполнения бэкдора WolfsBane включает в себя дроппер, лаунчер и компоненты бэкдора, которые стремятся обеспечить постоянство и скрыть вредоносные действия с помощью руткитов на уровне пользователя. С другой стороны, бэкдор FireWood является продолжением вредоносного ПО Project Wood, использующего модули драйверов ядра для сокрытия процессов и взаимодействия с драйверами ядра по протоколу Netlink.

В дополнение к бэкдорам, другие инструменты, найденные в архивах, включают в себя программу для кражи паролей SSH и различные веб-оболочки, предназначенные для удаленного управления и утечки данных. Это обнаружение вредоносных программ для Linux, используемых Gelsemium, представляет собой значительный сдвиг в их тактике и подчеркивает растущее внимание хакеров к системам Linux на фоне улучшенных мер безопасности Windows.

#ParsedReport #CompletenessLow
22-11-2024

Tracing the Path of VietCredCare and DuckTail: Vietnamese dark market of infostealers data

https://www.group-ib.com/blog/tracing-the-path-of-vietcredcare-and-ducktail

Report completeness: Low

Actors/Campaigns:
Ducktail (motivation: cyber_criminal, financially_motivated)

Threats:
Vietcredcare
Ducktail_stealer
Spear-phishing_technique

Victims:
Facebook business accounts

Industry:
E-commerce

Geo:
Vietnamese, Vietnam

ChatGPT TTPs:
do not use without manual check
T1071, T1566.001, T1078, T1036.005, T1105

Soft:
Telegram, Microsoft Excel, WhatsApp, Dropbox, Microsoft OneDrive, CocCoc, Firefox, Mozilla Firefox, Microsoft Edge, Google Chrome, have more...

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в сравнении двух вьетнамских семейств вредоносных программ VietCredCare и DuckTail, которые нацелены на бизнес-аккаунты Facebook для проведения несанкционированных рекламных кампаний. Несмотря на различия в операционных моделях, структуре кода и стратегиях монетизации, у них есть общие черты в таких тактиках, как таргетинг на аккаунты Facebook, использование фишинга и использование Telegram для утечки данных. Обе группы действуют независимо в сфере киберугроз во Вьетнаме, и, хотя некоторые из них были арестованы, после ареста продолжают появляться новые версии инфокрадов. Конечная цель этих семейств вредоносных программ - использовать скомпрометированные учетные записи для получения финансовой выгоды, что подчеркивает сохраняющуюся угрозу кражи учетных записей в социальных сетях во Вьетнаме.
-----

В мае 2024 года во Вьетнаме были арестованы более 20 человек, участвовавших в кампаниях по распространению информации на Facebook.

Два семейства вредоносных программ, VietCredCare и DuckTail, контролируемые вьетнамскими хакерами, нацелились на бизнес-аккаунты Facebook для проведения несанкционированных рекламных кампаний.

Активность VietCredCare снизилась после арестов, в то время как DuckTail продолжила свою деятельность, проводя текущие кампании и обновляя информацию.

VietCredCare и DuckTail имеют разные операционные модели, структуру кода, методы распространения и стратегии монетизации, что указывает на независимые операции.

После ареста появились новые версии инфокрадов, нацеленных на аккаунты Facebook.

Операторы монетизируют украденные данные, продавая скомпрометированные аккаунты, предлагая рекламные кампании в Facebook и создавая поддельные интернет-магазины.

VietCredCare и DuckTail схожи в таргетинге на аккаунты Facebook, краже информации, тактике скрытого фишинга и использовании Telegram для утечки данных.

VietCredCare распространялась через платформы обмена сообщениями и электронную почту, в то время как DuckTail использовала профессионально выглядящие приманки на таких платформах, как LinkedIn и ссылки на облачные хранилища для распространения.

VietCredCare отправляет данные жертв через Telegram в текстовых файлах, в то время как DuckTail отправляет зашифрованные данные в ZIP-архивах, включая информацию о браузере, IP-адреса и данные учетной записи Facebook.

Операторы обрабатывают украденные данные для идентификации с помощью файлов cookie или токенов сеанса, при этом VietCredCare в основном продает скомпрометированные аккаунты, а DuckTail фокусируется на успешных рекламных кампаниях или использует аккаунты Facebook Business Manager для поддельной рекламы магазинов.

Несмотря на различия, оба семейства вредоносных программ нацелены на использование скомпрометированных аккаунтов для получения финансовой выгоды, демонстрируя экосистему аналогичных вредоносных программ, нацеленных на аккаунты Facebook во Вьетнаме.

#ParsedReport #CompletenessMedium
22-11-2024

A Bag of RATs: VenomRAT vs. AsyncRAT

https://www.rapid7.com/blog/post/2024/11/21/a-bag-of-rats-venomrat-vs-asyncrat

Report completeness: Medium

Actors/Campaigns:
Blindeagle
Nullbulge
Opera1er

Threats:
Venomrat
Asyncrat
Dcrat
Quasar_rat
Amsi_bypass_technique
Sharpsploit

TTPs:
Tactics: 1
Technics: 12

IOCs:
File: 18
Hash: 2

Soft:
NET Framework, VirtualBox, Hyper-V, Windows Registry, Windows security, Event Tracing for Windows

Algorithms:
aes

Functions:
GetCPUName, GetRAM, GetGPU, GetInstalledApplications, GetUserProcessList, GetLibraryAddress, GetExportAddress

Win API:
msiScanBuffer in, EtwEventWrite, CheckRemoteDebuggerPresent, CreateToolhelp32Snapshot, AmsiScanBuffer, NtProtectVirtualMemory

YARA: Found

Links:
https://github.com/mandiant/capa/tree/master/web/explorer
https://github.com/TheWover/DInvoke
https://github.com/cobbr/SharpSploit/tree/master/SharpSploit/Evasion
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в сравнении и анализе двух популярных инструментов удаленного доступа, VenomRAT и AsyncRAT, которые развились из проекта с открытым исходным кодом QuasarRAT. Анализ выявляет их функциональные возможности, различия и эволюцию, подчеркивая необходимость в обновленных правилах обнаружения для устранения этих различных угроз. Кроме того, в тексте упоминается, что Rapid7 распространяет обновленное правило VenomRAT YARA, чтобы помочь в обнаружении и реагировании.
-----

В тексте обсуждается появление двух популярных инструментов удаленного доступа (RATs), известных как VenomRAT и AsyncRAT, которые произошли от проекта с открытым исходным кодом QuasarRAT. Эти крысы привлекли к себе внимание благодаря их частому использованию различными хакерами, такими как Blind Eagle, Coral Rider, NullBulge и OPERA1ER. Несмотря на общие корни, VenomRAT и AsyncRAT со временем разошлись в функционале и поведении, что создает проблемы для систем обнаружения.

Был проведен подробный технический анализ, в котором сравнивались архитектура, возможности и тактика VenomRAT и AsyncRAT. Оба RAT разработаны на C# и основаны на платформе .NET Framework. Анализ выявил общие характеристики, включая использование стандартных библиотек для обработки файлов и шифрования. Однако были также выявлены некоторые различия, такие как уникальная длина кода шифрования и реализация кейлоггинга. Было обнаружено, что VenomRAT обладает более совершенными методами обхода и возможностями аппаратного взаимодействия по сравнению с AsyncRAT.

Одной из примечательных особенностей VenomRAT является включение специальных классов, таких как AntiProcess и Camera, которые отсутствуют в AsyncRAT. Класс AntiProcess служит в качестве компонента защиты от мониторинга и детектирования, позволяя обходить механизмы безопасности, такие как AMSI и ETW, чтобы избежать использования антивирусов и средств мониторинга. Класс DInvokeCore в VenomRAT динамически разрешает и вызывает функции Windows API во время выполнения, что затрудняет выявление вредоносных действий традиционными системами обнаружения.

Анализ показывает, как VenomRAT эволюционировал, выйдя за рамки семейства QuasarRAT, включив возможности других проектов с открытым исходным кодом, таких как DcRAT и SharpSploit. Хотя VenomRAT и AsyncRAT связаны, VenomRAT демонстрирует более сложные методы уклонения. Подчеркивается важность рассмотрения их как отдельных угроз, что настоятельно призывает поставщиков средств безопасности соответствующим образом обновить свои правила обнаружения.

Чтобы помочь в обнаружении и реагировании, Rapid7 представила сообществу обновленное правило VenomRAT YARA. Клиентам, использующим InsightIDR и управляемые службы обнаружения и реагирования, рекомендуется установить Insight Agent на все применимые хосты, чтобы улучшить видимость потенциальных угроз безопасности. Предоставленное правило YARA нацелено на вредоносные хэши, связанные с поведением, приписываемым VenomRAT, с целью улучшения охвата обнаружения.

#ParsedReport #CompletenessLow
22-11-2024

Cracking Braodo Stealer: Analyzing Python Malware and Its Obfuscated Loader

https://www.splunk.com/en_us/blog/security/cracking-braodo-stealer-analyzing-python-malware-and-its-obfuscated-loader.html

Report completeness: Low

Threats:
Braodo
Abobus_tool
Msedge

TTPs:

IOCs:
File: 8

Soft:
Telegram, Chrome, Firefox, Opera, Chromium, chrome, Firefox, Slack

Algorithms:
zip, base64, aes

Languages:
python, powershell

Links:
https://github.com/EscaLag/Abobus-obfuscator
have more...
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Braodo Stealer - это семейство сложных вредоносных программ, которые нацелены на конфиденциальную информацию, такую как учетные данные, файлы cookie и системные данные, используя различные методы обфускации, чтобы избежать обнаружения. Для распространения он использует такие платформы, как GitHub и GitLab, использует ботов Telegram в качестве каналов связи C2 и фокусируется на извлечении учетных данных из популярных веб-браузеров. Обсуждаются методы обнаружения и стратегии смягчения последствий, которые помогут специалистам по безопасности эффективно бороться с этой киберугрозой.
-----

Braodo Stealer - это семейство сложных вредоносных программ, нацеленных на конфиденциальную информацию, такую как учетные данные, файлы cookie и системные данные.

Он в основном написан на Python и использует различные методы обфускации, чтобы избежать обнаружения.

Braodo Stealer использует такие платформы, как GitHub и GitLab, для распространения своих вредоносных программ.

Он использует Telegram-ботов в качестве каналов управления для скрытой коммуникации и утечки данных.

Вредоносная программа использует запутанный пакетный скрипт в качестве загрузчика своей полезной нагрузки, чтобы препятствовать обнаружению.

Braodo Stealer обеспечивает устойчивость на скомпрометированных хостах, используя ключи запуска реестра для автоматического выполнения своего кода при загрузке системы.

Он собирает учетные данные из таких веб-браузеров, как Chrome, Firefox, Microsoft Edge и других.

Методы обнаружения Braodo Stealer включают мониторинг временных каталогов на наличие файлов, содержащих пароли, файлы cookie и сохраненную информацию об учетной записи для входа.

Команда исследователей угроз Splunk предоставляет ценную информацию и ресурсы для борьбы с Braodo Stealer.

#ParsedReport #CompletenessMedium
22-11-2024

AiTM Phishing, Hold the Gabagool: Analyzing the Gabagool Phishing Kit. Case study

https://medium.com/trac-labs/aitm-phishing-hold-the-gabagool-analyzing-the-gabagool-phishing-kit-531f5bbaf0e4

Report completeness: Medium

Threats:
Aitm_technique
Gabagool_tool
Credential_harvesting_technique

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1078

IOCs:
Hash: 2
File: 3
Coin: 1

Soft:
Cloudflare R2, Twitter, Selenium, CryptoJS, office365, outlook, Unix

Algorithms:
hmac, aes, sha256, base64

Functions:
setCookie, getCookie, setInterval

Languages:
javascript

Platforms:
x64

Links:
https://github.com/TRACLabs1/Phishing/blob/main/Gabagool/Gabagool-IOCs-11-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что фишинговая кампания Gabagool нацелена на корпоративных и государственных служащих, используя пакеты Cloudflare R2 для размещения вредоносного контента. Злоумышленники начинают свои операции с компрометации учетных записей электронной почты и отправки фишинговых писем, содержащих вредоносные ссылки, которые ведут к поддельным документам, размещенным на таких платформах, как SharePoint, и перенаправляют жертв на скрытые фишинговые страницы в корзинах Cloudflare R2. В кампании также используются такие тактические приемы, как укороченные URL-адреса с цепочками перенаправлений и шифрование AES для связи с сервером. Аналитикам Threat intelligence рекомендуется отслеживать соответствующие показатели компрометации и анализировать сетевой трафик для выявления угроз и устранения их последствий.
-----

Фишинговая кампания под названием "Gabagool" нацелена на корпоративных и государственных служащих.

Использует пакеты Cloudflare R2 для размещения вредоносного контента, используя репутацию Cloudflare.

Злоумышленники компрометируют учетные записи электронной почты, чтобы отправлять фишинговые письма с вредоносными ссылками на поддельные документы, размещенные на таких платформах, как SharePoint, SugarSync или Box.

URL-адреса, используемые в кампании, имеют определенный формат и ведут на фишинговые целевые страницы для сбора учетных данных.

Используется множество тактик, включая сокращенные URL-адреса, схемы QR-кодов и шифрование AES для безопасной связи с сервером.

Код набора для фишинга включает в себя функции для манипулирования стилями CSS, отслеживания взаимодействия пользователя с целевой страницей и сбора введенных пользователем данных.

Рекомендации включают мониторинг подключений к пакетам Cloudflare R2, отслеживание трафика на известные вредоносные серверы и анализ сетевого трафика на наличие признаков компрометации.

#ParsedReport #CompletenessLow
25-11-2024

Ghost Tap: New cash-out tactic with NFC Relay

https://www.threatfabric.com/blogs/ghost-tap-new-cash-out-tactic-with-nfc-relay

Report completeness: Low

Threats:
Ghost_tap_technique
Nfskate
Ngate
Nfcgate_tool

Industry:
Financial, Retail

ChatGPT TTPs:
do not use without manual check
T1576, T1056, T1566

Soft:
Android

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в появлении новой тактики мошенничества под названием "Призрачный перехват", которая заключается в том, что киберпреступники используют украденные данные кредитных карт, привязанных к мобильным платежным сервисам, таким как Google Pay и Apple Pay, посредством ретрансляции трафика NFC. Эта тактика позволяет совершать значительные покупки в автономном режиме с помощью украденных карт, привязанных к новым устройствам, сохраняя при этом анонимность, что создает трудности для финансовых учреждений в выявлении и предотвращении такого мошенничества. Сотрудничество и передовые методы обнаружения необходимы для борьбы с возникающими угрозами в финансовом секторе.
-----

Мошенники постоянно ищут новые способы обналичивания украденных средств, стремясь избежать обнаружения финансовыми учреждениями и сохранить анонимность. Недавно аналитики ThreatFabric раскрыли новую тактику, известную как "Призрачный перехват", при которой хакеры используют украденные данные кредитных карт, привязанных к мобильным платежным сервисам, таким как Google Pay и Apple Pay, посредством ретрансляции трафика NFC.

В рамках этой схемы киберпреступники получают OTP от банков, часто используя такие тактические приемы, как вредоносное ПО для мобильного банкинга, оверлейные атаки, кейлоггинг или фишинг. Привязывая украденные карты к новым устройствам, преступники могут совершать значительные покупки в автономном режиме, используя привязанные карты. Однако этот метод сопряжен с рисками, поскольку прямое использование украденных карт может привести к идентификации правоохранительными органами, а быстрая обработка нескольких карт может увеличить вероятность их блокировки эмитентами.

Чтобы решить эти проблемы, хакеры внедрили инструмент NFCGate для ретрансляции NFC-трафика между устройством с украденной картой и mule (физическим лицом, совершающим покупки в розничной сети), что позволяет осуществлять масштабные выплаты при сохранении анонимности. Эта тактика использует законные исследовательские инструменты, такие как NFCGate, в злонамеренных целях, демонстрируя, как киберпреступники используют научные исследования для получения незаконной выгоды.

Финансовые учреждения сталкиваются с трудностями при выявлении мошенничества с использованием Ghost Tap из-за таких признаков, как карты, привязанные к новым устройствам, или многочисленные транзакции, совершенные в недоступных местах в течение короткого периода времени. Поскольку киберпреступники все больше внимания уделяют атакам на основе NFC, метод Ghost Tap представляет серьезную проблему для организаций, позволяя совершать быстрые и анонимные мошеннические покупки, которые могут остаться незамеченными механизмами борьбы с мошенничеством.

Эффективное предотвращение мошенничества с использованием Ghost Tap требует бдительности в отношении подозрительного поведения на устройствах клиентов, которое может указывать на кражу данных кредитных карт, что может привести к несанкционированным транзакциям. Поскольку финансовый сектор сталкивается с ростом числа атак на основе NFC, сотрудничество и передовые методы обнаружения необходимы для борьбы с возникающими угрозами и эффективной защиты активов клиентов.

#ParsedReport #CompletenessMedium
24-11-2024

MUT-8694: An NPM and PyPI Malicious Campaign Targeting Windows Users

https://securitylabs.datadoghq.com/articles/mut-8964-an-npm-and-pypi-malicious-campaign-targeting-windows-users

Report completeness: Medium

Actors/Campaigns:
Mut-8694

Threats:
Supply_chain_technique
Blankgrabber
Skuld
Typosquatting_technique
Screen_shotting_technique
Uac_bypass_technique

Victims:
Developers, Discord users

Industry:
Entertainment

Geo:
England, United kingdom, London

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1195, T1027, T1105, T1185, T1562.001, T1113

IOCs:
File: 4
Url: 5
Command: 6
Path: 2
Registry: 1
Hash: 3

Soft:
Android, Roblox, PyInstaller, Telegram, Discord, Windows Defender, Chromium, twitter

Wallets:
exodus_wallet, electrum

Crypto:
ethereum

Algorithms:
base64, zip

Functions:
Set-MpPreference, Windows

Win API:
IsDebuggerPresent

Languages:
javascript, powershell, python

Platforms:
apple

YARA: Found

Links:
https://github.com/hackirby/skuld/tree/main
https://github.com/Blank-c/Blank-Grabber
have more...