#ParsedReport #CompletenessLow
02-06-2025

Glitch-hosted Phishing Uses Telegram & Fake CAPTCHAs to Target Navy Federal Credit Union Customers

https://www.netskope.com/blog/glitch-hosted-phishing-uses-telegram-fake-captchas-to-target-navy-federal-credit-union-customers

Report completeness: Low

Threats:
Fakecaptcha_technique
Glitch

Victims:
Navy federal credit union members, T-mobile accounts, Companies email users, Credit card holders, Other banks customers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1071.001, T1111, T1140, T1204, T1566.002, T1567.002

IOCs:
Url: 200

Soft:
Telegram, Node.js, AWS Amplify

Algorithms:
exhibit

Win API:
sendMessage

Languages:
javascript

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Phishing/Glitch

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Участились фишинговые кампании с использованием платформы Glitch, в первую очередь нацеленные на членов Федерального кредитного союза Navy, которые используют ее возможности для быстрого развертывания фишинговых страниц. Злоумышленники крадут конфиденциальные данные через Telegram и используют поддельные капчи, чтобы избежать обнаружения.
-----

Лаборатория Netskope Threat Labs выявила значительное увеличение числа фишинговых атак с использованием платформы Glitch в период с января по апрель 2025 года. Кампании были нацелены в первую очередь на членов Федерального кредитного союза Navy, затронув более 830 организаций и более 3000 пользователей. Злоумышленники стремятся украсть конфиденциальную информацию, такую как учетные данные для входа в систему электронной почты и банковских услуг, а также данные кредитной карты. Примечательным аспектом этих фишинговых операций является использование Telegram для сбора данных, включая одноразовые пароли (OTP), что позволяет им обходить многофакторную аутентификацию (MFA).

Платформа для размещения веб-приложений Glitch позволяет пользователям создавать и развертывать приложения непосредственно из браузеров. Злоумышленники используют возможности Glitch для бесплатного размещения фишинговых страниц, используя такие функциональные возможности, как функция "Remix", для быстрого создания уникальных поддоменов. Такая гибкость позволяет им в течение нескольких минут предпринимать многочисленные попытки фишинга, нацеливаясь не только на Федеральный кредитный союз ВМС, но и на аккаунты T-Mobile и различные компании для получения конфиденциальной информации о электронной почте и кредитных картах.

Методология фишинга включает в себя ввод страницы для входа в систему, на которой жертвы вводят свои имена пользователей и пароли. Злоумышленники собирают дополнительные данные, такие как общедоступные IP-адреса и информацию о геолокации, с помощью JavaScript, которые отправляются им через Telegram. После получения учетных данных злоумышленники запрашивают у жертвы OTP-сообщение, отправленное на ее телефон. После ввода эта информация передается через Telegram, что предоставляет злоумышленникам несанкционированный доступ к учетным записям жертвы.

Кроме того, многие фишинговые кампании теперь включают в себя вводящие в заблуждение элементы, такие как поддельные капчи, чтобы предотвратить обнаружение статическими веб-сканерами. Поддельная капча предназначена для того, чтобы ввести жертв в заблуждение, заставив их думать, что они должны пройти проверку. Этот скрипт заменяет флажок на счетчик, который при нажатии перенаправляет жертвы непосредственно на фишинговую полезную информацию. Распространенность поддельных капч в фишинговых атаках указывает на то, что киберпреступники используют новую тактику сокрытия своих операций.

#ParsedReport #CompletenessMedium
02-06-2025

VIPERSOFTX is attacked by cryptocurrency users

https://asec.ahnlab.com/ko/88265/

Report completeness: Medium

Threats:
Vipersoftx
Quasar_rat
Tesseract_stealer
Purecryptor
Purehvnc_tool
Clipbanker

Victims:
Cryptocurrency users

Geo:
Korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1043, T1053.005, T1056.001, T1059.001, T1105, T1113, T1204.002, have more...

IOCs:
Hash: 5
Url: 5
IP: 5

Soft:
task scheduler, Chrome, Opera, Opera GX, Firefox, Vivaldi, Chrome Canary

Algorithms:
md5, base64, aes

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники VIPERSOFTX распространяют вредоносное ПО для кражи криптовалют, используя скрипты PowerShell для установки дополнительных полезных программ, таких как Quasar RAT и TesserActStealers. Их тактика заключается в маскировке вредоносного ПО под законное программное обеспечение, манипулировании данными из буфера обмена для перенаправления средств и использовании различных методов удаленного доступа и утечки данных.
-----

Злоумышленники VIPERSOFTX распространяют вредоносное ПО, предназначенное для кражи криптовалюты. Вредоносное ПО VIPERSOFTX позволяет выполнять команды и извлекать информацию о криптовалюте. Похитители TesserActStealers используют Quasar RAT для удаленного доступа и извлечения данных с помощью распознавания текста с открытым исходным кодом. Злоумышленники устанавливают скрипты PowerShell на взломанные системы для загрузки дополнительной полезной информации. Эти скрипты выполняют различные вредоносные функции и устанавливают Quasar RAT, который обычно используется для доступа к криптовалютным кошелькам. VIPERSOFTX маскирует вредоносное ПО под взломы или кейгены, чтобы воспользоваться доверием пользователей. К методам распространения относятся торрент-сайты и вредоносные электронные письма. Взломанные системы устанавливают запланированные задачи для выполнения вредоносных скриптов PowerShell. Скрипты часто расшифровывают и выполняют закодированные команды для дальнейших действий. Загрузчики используют DNS-запросы для получения конфигураций сервера управления (C&C). Вредоносная программа защищает содержимое буфера обмена, перехватывая адреса криптовалютных кошельков и изменяя их для перенаправления средств. VIPERSOFTX использует Quasar RAT для регистрации ключей и поиска информации об учетной записи. PureCryPter используется для доставки полезной информации и уклонения от нее; Purehvnc используется для контроля зараженных систем. VIPERSOFTX использует для пользователей криптовалют сложные вредоносные программы для кражи данных.

#ParsedReport #CompletenessLow
02-06-2025

Victims risk AsyncRAT infection after being redirected to fake Booking.com sites

https://www.malwarebytes.com/blog/news/2025/06/victims-risk-asyncrat-infection-after-being-redirected-to-fake-booking-sites

Report completeness: Low

Threats:
Asyncrat
Fakecaptcha_technique

Victims:
Individuals, Travelers, Online users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1056.001, T1059.001, T1071.001, T1105, T1204.001, T1216.001, T1219, T1566.002

IOCs:
Command: 2
File: 4
Domain: 14

Soft:
Chrome

Functions:
JavaScript

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники размещают вводящие в заблуждение ссылки на игровых платформах и в социальных сетях, что приводит пользователей на мошеннические сайты, похожие на Booking.com, которые используют поддельные капчи для получения доступа к буферу обмена. Эта манипуляция позволяет загружать бэкдор.AsyncRAT - вредоносная программа, позволяющая удаленно управлять зараженными устройствами и представляющая значительную угрозу безопасности. Пользователям следует избегать выполнения подозрительных инструкций и использовать антивирусные решения для защиты от подобных угроз.
-----

Недавние действия киберпреступников были сосредоточены на манипулировании ссылками на игровых веб-сайтах и в социальных сетях, особенно с помощью спонсорской рекламы, с целью перенаправления пользователей на мошеннические сайты, маскирующиеся под Booking.com. Эта тактика основана на том факте, что значительная часть путешественников (40%) используют обычный онлайн-поиск для бронирования, что создает возможности для мошенников. Как только пользователи переходят по этим обманчивым ссылкам, они попадают на сайты, содержащие поддельную капчу. Эта капча предлагает пользователям предоставить доступ к буферу обмена, что фактически позволяет сайту использовать их данные в буфере обмена.

Существенный риск заключается в вредоносной природе этих поддельных CAPTCHAs, при помощи которых пользователей обманом заставляют копировать определенный контент, который им предлагается вставить в диалоговое окно запуска Windows. Если пользователь выполнит это требование, может открыться окно PowerShell, позволяющее загрузить и запустить файл с именем ckjg.exe. Этот файл, в свою очередь, загружает и запускает другой файл с именем Stub.exe, который был идентифицирован Malwarebytes и ThreatDown как черный ход.AsyncRAT. Эта вредоносная программа функционирует как инструмент удаленного доступа (RAT), позволяющий злоумышленнику получить удаленный контроль над зараженным устройством, создавая серьезную угрозу конфиденциальности и безопасности пользователей.

Чтобы снизить угрозу, создаваемую подобными мошенническими действиями, пользователям рекомендуется воздерживаться от выполнения любых инструкций, генерируемых подозрительными веб-сайтами, без тщательного изучения. Крайне важно использовать активные средства защиты от вредоносных программ, которые могут блокировать вредоносные веб-сайты и скрипты. Кроме того, рекомендуется использовать браузерные расширения, предназначенные для предотвращения доступа к вредоносным доменам и мошенничеству. В документе о функциях JavaScript была обнаружена одна конкретная уязвимость.execCommand(копия), которая отвечает за доступ к буферу обмена; отключение JavaScript может снизить этот риск, хотя это может затруднить работу многих законных веб-сайтов. Использование различных браузеров для различных целей также может повысить безопасность пользователей при навигации по онлайн-угрозам.

#ParsedReport #CompletenessMedium
02-06-2025

Attacker exploits misconfigured AI tool to run AI-generated payload

https://sysdig.com/blog/attacker-exploits-misconfigured-ai-tool-to-run-ai-generated-payload/

Report completeness: Medium

Threats:
Processhider
T-rex
Xmrig_miner

Victims:
Open webui users, Sysdig customer training system

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1059.006, T1071.001, T1078.001, T1105, T1140, T1176, T1190, have more...

IOCs:
File: 26
Url: 4
Coin: 2
IP: 1
Hash: 10

Soft:
Linux, Discord, ChatGPT, systemd, Chrome

Crypto:
monero, ravencoin

Algorithms:
base64, kawpow, xor, sha256

Functions:
kill_miners, boot, ProcessBuilder

Win API:
IsProcessorFeaturePresent, IsDebuggerPresent

Languages:
javascript, java, python, perl, powershell

Platforms:
cross-platform

Links:
https://github.com/open-webui/open-webui/blob/4ce1e88750c6da2f94b834697902ceb9f5524726/src/lib/components/workspace/Tools/ToolkitEditor.svelte#L50
https://github.com/htr-tech/PyObfuscate/tree/master

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали неправильно настроенную открытую систему WebUI, предоставив несанкционированный доступ для выполнения вредоносных сценариев Python, созданных с помощью искусственного интеллекта, которые были нацелены на Linux и Windows. Вредоносная программа использовала криптоминеры (T-Rex, XMRig) и методы обфускации, в том числе веб-браузер Discord для C2, в то время как инфокрады были нацелены на кражу учетных данных. Атака подчеркнула необходимость многоуровневого обнаружения угроз для защиты от таких уязвимостей.
-----

Недавняя атака на неправильно сконфигурированную систему Open WebUI выявила значительные хакерские атаки, используемые злоумышленниками. Open WebUI, приложение с интерфейсом искусственного интеллекта, которое расширяет возможности large language models (LLM), было непреднамеренно размещено в Интернете, что позволило получить несанкционированный доступ с правами администратора из-за отсутствия аутентификации. Эта неправильная настройка позволила злоумышленникам загрузить и запустить вредоносный скрипт на Python, созданный с помощью искусственного интеллекта, используя открытые инструменты WebUI. Вредоносная полезная нагрузка была разработана для платформ Linux и Windows.

Злоумышленники вставили запутанный код на Python в открытый WebUI, который был тщательно закодирован с использованием метода, называемого "pyklump". После выполнения этот код в первую очередь был нацелен на загрузку криптоминеров, в частности T—Rex и XMRig, использующих методы обфускации для обхода механизмов обнаружения. В ходе атаки также использовался веб-интерфейс Discord для управления (C2), облегчающий фильтрацию данных с помощью структурированных полезных данных. Полезная нагрузка была специально нацелена на майнинг криптовалют Monero и Kawpow путем подключения к определенным пулам майнинга.

Для систем Linux вредоносный скрипт скомпилировал две встроенные программы на C, которые использовались для сокрытия процессов криптодобычи с помощью библиотеки processhider. Эта библиотека позволяла скрыть вредоносные действия от стандартных системных утилит, отфильтровав жестко заданное имя процесса "systemd". Кроме того, постоянство было достигнуто с помощью службы systemd, маскирующейся под законную службу с именем "ptorch_updater"..

На стороне Windows путь атаки расходился с функциональностью "start_miner", который не только инициировал процесс майнинга, но и установил Java Development Kit (JDK) для запуска вторичного вредоносного Java-приложения, загруженного с внешнего сервера. Этот загрузчик Java был разработан для поддержания дальнейшей вредоносной функциональности, избегая проверок безопасности с помощью флагов командной строки, которые отключают мониторинг и проверку.

Тактика хакеров включала в себя использование инфокрадов, способных красть учетные данные из веб-браузеров и коммуникационных платформ, таких как Discord. Пытаясь перехватить токены аутентификации Discord, злоумышленники использовали украденную информацию для дальнейшего проникновения в среду жертв. Этот сложный уровень атаки подчеркнул растущую тенденцию использования искусственного интеллекта и сложных методов написания сценариев для разработки более быстрого и эффективного вредоносного ПО.

Несмотря на сложный характер атаки, ее обнаружение было достигнуто благодаря решениям безопасности Sysdig, которые выявили множество угроз во время выполнения, включая создание вредоносных общих объектов и поиск подозрительных доменов. Этот инцидент подчеркнул, что случайные неправильные настройки, особенно в системах, подключенных к Интернету, представляют собой серьезные риски, что требует применения надежных многоуровневых стратегий обнаружения угроз для защиты от таких появляющихся хакеров.

#ParsedReport #CompletenessLow
02-06-2025

Malicious npm Packages Target BSC and Ethereum to Drain Crypto Wallets

https://socket.dev/blog/malicious-npm-packages-target-bsc-and-ethereum

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Cryptocurrency users

Industry:
Financial, Petroleum

Geo:
Russian

TTPs:

IOCs:
Email: 1
File: 11
Coin: 1

Soft:
Node.js, Outlook

Crypto:
ethereum

Functions:
getEnv, getNodeUrl, validateToken

Languages:
javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были идентифицированы четыре вредоносных пакета npm, нацеленных на пользователей Ethereum и Binance Smart Chain, предназначенных для утечки 80% средств на кошельках с использованием методов опечатывания. Скрипты оценивают баланс кошелька, переводят средства на адреса, контролируемые злоумышленниками, и включают элементы обфускации, чтобы ввести пользователей в заблуждение относительно их истинной цели.
-----

Недавно исследовательская группа Socket Threat обнаружила четыре вредоносных пакета npm, предназначенных для утечки до 85% средств на криптовалютных кошельках, специально предназначенных для пользователей Ethereum и Binance Smart Chain (BSC). Идентифицированные пакеты — pancake_uniswap_validators_utils_snipe, pancakeswap-oracle-prediction, ethereum-smart-contract и env-process — в совокупности получили более 2100 загрузок. Хакер, стоящий за этими пакетами, известный как @crypto-exploit, использовал стратегию, которая включала в себя опечатку законных пакетов, чтобы заманить ничего не подозревающих пользователей криптовалюты к загрузке вредоносного кода.

Вредоносный пакет pancake_uniswap_validators_utils_snipe, который был загружен 350 раз, был самым ранним из четырех пакетов, созданных злоумышленником, в то время как env-process - самым последним. Вредоносные скрипты предназначены для оценки общего баланса целевого кошелька и перевода указанной суммы — примерно 80% — на кошелек, контролируемый злоумышленником. Этот метод представляет собой заранее продуманную тактику, направленную на минимизацию обнаружения и обеспечение того, чтобы в кошельке жертвы оставалось достаточно средств для покрытия комиссионных за транзакции в блокчейне. Вредоносный скрипт содержит жестко запрограммированную логику, которая устанавливает контактный адрес для передачи, создает транзакцию и транслирует ее, используя закрытый ключ жертвы, если он был неправильно сохранен в качестве переменной среды.

В дополнение к эксплуататорскому поведению злоумышленник внедрил в свой код элементы запутывания и маскировки. Например, метод validateToken() используется в скриптах для обеспечения легитимной функциональности, что потенциально позволяет избежать подозрений. Аналогичным образом, пакет env-process был помечен за то, что он запутывал законный пакет Node.js process, который имеет решающее значение для обеспечения функциональности nextTick в средах без прямого доступа к Node.js.

Другой помеченный пакет, ethereum-smart-contract, нацелен на использование доверия пользователей, напоминая законный пакет ethereum-smart-contracts, который предоставляет доступ к функциональным возможностям смарт-контрактов. Здесь также постоянно используется известный вредоносный адрес Ethereum. Использование консольного входа в систему в этих сценариях, по-видимому, является преднамеренной тактикой для дальнейшей маскировки их злонамеренных намерений и имитации корректной работы.

#ParsedReport #CompletenessLow
03-06-2025

Malicious Ruby Gems Exfiltrate Telegram Tokens and Messages Following Vietnam Ban

https://socket.dev/blog/malicious-ruby-gems-exfiltrate-telegram-tokens-and-messages-following-vietnam-ban

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique
Credential_stealing_technique

Victims:
Developers

Geo:
Vietnam, Vietnamese

TTPs:

IOCs:
Url: 3
Domain: 1

Soft:
Telegram

Functions:
Telegram

Languages:
ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок, нацеленная на экосистему RubyGems, была связана с хакером, который опубликовал вредоносные программы, имитирующие легальные плагины Fastlane. Эти программы тайно передают данные через жестко запрограммированный сервер C2, в частности, используя разработчиков, которые ищут обходные пути во время запрета Telegram во Вьетнаме.
-----

Недавнее исследование выявило атаку на цепочку поставок, нацеленную на экосистему RubyGems, которую приписывают хакеру, действующему под псевдонимами Bi nam, buidanhnam и si_mobile. Этот злоумышленник опубликовал два вредоносных приложения под названием "fastlane-plugin-telegram-proxy" и "fastlane-plugin-proxy_teleram", которые предназначены для имитации законных плагинов Fastlane. Эти драгоценные камни облегчают скрытую фильтрацию данных, передаваемых через Telegram API, путем перенаправления всего трафика на сервер управления (C2), контролируемый участником. Примечательно, что атака совпала с общенациональным запретом Telegram во Вьетнаме, что указывает на то, что разработчики, ищущие обходные пути, вероятно, были основными целями атаки.

Вредоносные гемы в точности повторяют законный проект "fastlane-plugin-telegram", используемый для отправки уведомлений о развертывании с конвейеров CI/CD. Хакер внес минимальные изменения, в первую очередь заменив законную конечную точку API Telegram на жестко заданный адрес C2. Это изменение позволяет всем коммуникациям в Telegram, включая токены ботов, идентификаторы чатов, содержимое сообщений и вложенные файлы, передаваться через прокси—сервер участника. Важно отметить, что функциональные возможности плагина остались неизменными, а это означает, что законное взаимодействие с Telegram не будет затронуто, что усложнит усилия по обнаружению.

Жестко запрограммированная конечная точка C2, "rough-breeze-0c37.buidanhnam95.workers.dev", имеет решающее значение для работы вредоносных плагинов. Она служит заменой официальному API Telegram и собирает конфиденциальные данные без согласия пользователя. Хотя хакер утверждает, что прокси-сервер не хранит и не изменяет токены ботов, это утверждение не поддается проверке и вводит в заблуждение из-за потенциальной возможности регистрации или изменения данных при их прохождении через прокси-сервер. Общий дизайн и исполнение предполагают явное намерение украсть учетные данные под видом законного инструмента.

Особое беспокойство вызывает метод маскировки, использованный при создании этих драгоценных камней, который включал в себя незначительные типографские изменения в названии и брендинге, что позволило им органично вписаться в экосистему. Такой подход не только опирается на существующее доверие к законным инструментам Fastlane, но и использует возросший спрос на прокси-решения в свете запрета Telegram. Такой стратегический выбор времени подчеркивает осведомленность противника о местных геополитических событиях во Вьетнаме, повышая вероятность преднамеренной попытки использовать уязвимых разработчиков.

#ParsedReport #CompletenessLow
03-06-2025

The Transparent Tribe Vibe: APT36 Returns With CapraRAT Impersonating Viber

https://www.cloudsek.com/blog/the-transparent-tribe-vibe-apt36-returns-with-caprarat-impersonating-viber

Report completeness: Low

Actors/Campaigns:
Transparenttribe

Threats:
Caprarat
Crimson_rat
Androrat_rat

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1123, T1412, T1422, T1430, T1435, T1446, T1471, T1583.003

IOCs:
Hash: 3
IP: 1

Soft:
Viber, Android, Google Play

Algorithms:
md5