#ParsedReport #CompletenessLow
05-06-2025

How a Malicious Excel File (CVE-2017-0199) Delivers the FormBook Payload

https://www.fortinet.com/blog/threat-research/how-a-malicious-excel-file-cve-2017-0199-delivers-the-formbook-payload

Report completeness: Low

Threats:
Formbook

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056.001, T1071.001, T1105, T1113, T1203, T1218.005, T1497.001, T1566.001, have more...

IOCs:
File: 1
Url: 3
Hash: 5

Soft:
Microsoft Office

Algorithms:
sha256, xor, base64

Win API:
IsDebuggerPresent

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 3, dump: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью фишинговой кампании были устаревшие приложения Microsoft Office (2007-2016), использующие уязвимость CVE-2017-0199 для распространения вредоносного ПО FormBook с помощью вредоносных вложений Excel. Атака использует эксплойт OLE для запуска HTA-скрипта для загрузки полезной нагрузки, захвата конфиденциальных данных с помощью кейлоггинга и мониторинга буфера обмена.
-----

Компания FortiGuard Labs выявила масштабную фишинговую кампанию, использующую уязвимости в устаревших приложениях Microsoft Office. В частности, кампания нацелена на версии Office с 2007 по 2016 год, используя уязвимость CVE-2017-0199, которая связана с возможностями OLE (связывания и внедрения объектов) этих приложений. Основной целью этой кампании является распространение FormBook, вредоносного ПО для кражи информации, способного захватывать конфиденциальные данные, такие как учетные данные для входа в систему, нажатия клавиш и информацию из буфера обмена.

Фишинговые электронные письма, используемые в этой кампании, маскируются под заказы на продажу и содержат вредоносные вложения Excel. Когда пользователь открывает зараженный документ, он отправляет HTTP-запрос на удаленный сервер для загрузки вредоносного HTA-файла. При этом используется уязвимость CVE-2017-0199, которая приводит к загрузке и выполнению HTA-скрипта с помощью приложения Microsoft HTA (mshta.exe). Хотя официальные исправления доступны уже много лет, многие организации остаются уязвимыми из-за сбоев в обновлении программного обеспечения, несогласованного применения исправлений или неадекватных мер безопасности.

Проанализировав образцы вредоносного ПО, исследователи отметили, что вредоносное ПО FormBook встроено в запись данных ресурса с надписью "SCRIPT". Из содержания этого раздела следует, что оно может быть сгенерировано с помощью сценариев AutoIt, которые включают методы защиты от отладки с использованием IsDebuggerPresent API. Если обнаружена отладка, в примере будет просто указано, что это скомпилированный сторонними разработчиками сценарий автоматической загрузки.

Весь процесс, следующий за запуском вредоносного файла Excel, включает загрузку и выполнение команды "sihost.exe", которая впоследствии извлекает "springmaker" – промежуточную полезную нагрузку, которая в конечном итоге приводит к доставке FormBook. Последствия этой кампании серьезны, поскольку она позволяет злоумышленникам компрометировать пользовательские устройства и извлекать конфиденциальную информацию, что подчеркивает острую необходимость проявлять бдительность в отношении протоколов безопасности электронной почты и управления исправлениями программного обеспечения для устранения таких угроз.

#ParsedReport #CompletenessLow
05-06-2025

Mandiant Exposes Salesforce Phishing Campaign as Infostealer Malware Emerges as a Parallel Threat

https://www.infostealers.com/article/mandiant-exposes-salesforce-phishing-campaign-as-infostealer-malware-emerges-as-a-parallel-threat/

Report completeness: Low

Actors/Campaigns:
Gehenna

Threats:
Azorult
Lumma_stealer
Amos_stealer
Allakore_rat
Meduza
Meta_stealer
Raccoon_stealer
Redline_stealer
Stealc
Vidar_stealer

Victims:
Coca-cola, Tiffany & co., Adidas, Samsung, Royal mail, Osf digital, Tiffany employees, Adidas vendor, Salesforce users

Industry:
E-commerce

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1078, T1185, T1555.003

Soft:
Twitter, macOS

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, table: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Mandiant сообщила о вредоносной кампании, нацеленной на аккаунты Salesforce, в ходе которой злоумышленники выдавали себя за сотрудников ИТ-службы поддержки, чтобы получить коды MFA для утечки данных. Кроме того, вредоносное ПО Infostealer используется для сбора учетных данных, предоставляя долгосрочный доступ к скомпрометированным платформам. Недавние взломы в Coca-Cola и других компаниях иллюстрируют растущий риск для CRM-систем, связанный как с социальной инженерией, так и с вредоносными программами.
-----

Компания Mandiant сообщила о сложной кампании с использованием голосового фишинга, или вишинга, для получения несанкционированного доступа к учетным записям Salesforce. Злоумышленники, выдававшие себя за сотрудников ИТ-службы поддержки, успешно обманывали жертв, заставляя их раскрывать коды многофакторной аутентификации, тем самым компрометируя среду Salesforce и впоследствии извлекая конфиденциальные данные в целях вымогательства. Эта операция подчеркивает тревожную тенденцию в киберпреступности, когда хакеры все чаще нацеливаются на облачные платформы для управления взаимоотношениями с клиентами (CRM), такие как Salesforce.

Наряду с выводами Mandiant, исследование, проведенное компанией Hudson Rock, привлекло внимание к вредоносному ПО Infostealer как к альтернативному способу доступа злоумышленников к этим ценным платформам. В отличие от методов фишинга в режиме реального времени, инфокрады могут незаметно собирать учетные данные и сеансовые файлы cookie с зараженных компьютеров, предоставляя долгосрочный доступ даже после первоначального заражения. Hudson Rock выявил многочисленные скомпрометированные учетные данные, связанные с Salesforce, подчеркнув значительный риск, который представляют тысячи компаний из-за заражения этими вредоносными программами.

Конкретные случаи демонстрируют последствия таких угроз. Например, Gehenna group взяла на себя ответственность за кражу 64 гигабайт клиентских данных из Coca-Cola, используя учетные данные, полученные в результате заражения Azorult Infostealer, которое произошло в августе 2020 года. Хотя Coca-Cola не подтвердила метод взлома, характер предыдущих атак позволяет предположить, что они основывались на учетных данных из журналов Infostealer. Аналогичным образом, нарушение, обнаруженное Tiffany & Co. в мае 2025 года, указывало на несанкционированный доступ к сторонней платформе управления, вероятно, Salesforce Commerce Cloud, связанной с сотрудником, зараженным Lumma Infostealer. Это заражение скомпрометировало большое количество учетных данных, связанных с инфраструктурой Salesforce компании Tiffany.

Взлом Adidas также подчеркивает риск, связанный с компрометацией поставщиков: Hudson Rock отмечает, что в журналах Infostealer было обнаружено 88 скомпрометированных учетных данных, связанных со средой Salesforce Adidas. Эти случаи отражают более широкую тему: по мере того как CRM-системы, такие как Salesforce, становятся все более интегрированными в бизнес-процессы, киберпреступники становятся все более агрессивными. Простота получения действительных учетных данных CRM с помощью вредоносного ПО позволяет злоумышленникам обходить традиционные методы фишинга, что приводит к потенциально серьезным нарушениям.

Результаты исследования показывают, что тактика социальной инженерии, использованная в кампании Mandiant, и скрытый постоянный риск, связанный с вредоносным ПО Infostealer, представляют собой две угрозы, от которых организации должны тщательно защищаться. Оба метода доступа представляют значительные риски, и пренебрежение любым из них может привести к существенной потере данных. Исторические случаи заражения, описанные в этих нарушениях, иллюстрируют, как скрытые угрозы могут быть восстановлены для использования уязвимостей, подчеркивая необходимость принятия комплексных мер безопасности, которые эффективно борются как с социальной инженерией, так и с вредоносными программами.

#ParsedReport #CompletenessHigh
04-06-2025

The Bitter End: Unraveling Eight Years of Espionage AnticsPart One

https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one

Report completeness: High

Actors/Campaigns:
Bitter (motivation: cyber_espionage)
Mysterious_elephant
Apt59

Threats:
Spear-phishing_technique
Artradownloader
Grimresource_technique
Wmrat
Miyarat
Havoc
Kugelblitz
Bdarkrat
Orpcbackdoor

Industry:
Financial, Maritime, Government, Energy, Military

Geo:
Turkish, America, Asia, Mauritius, China, Bangladesh, Asian, Chinese, Pakistan, India, Madagascar, Korea, Indian

CVEs:
CVE-2024-43572 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.20796)
- microsoft windows 10 1607 (<10.0.14393.7428)
- microsoft windows 10 1809 (<10.0.17763.6414)
- microsoft windows 10 21h2 (<10.0.19044.5011)
- microsoft windows 10 22h2 (<10.0.19045.5011)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1053.005, T1059.001, T1059.003, T1071.001, T1095, T1105, T1190, T1204.002, have more...

IOCs:
File: 16
Domain: 8
Command: 7
Url: 13
IP: 1
Hash: 10

Soft:
ProtonMail, Android, curl, Ubuntu, LiteSpeed, confluence, Microsoft Access

Algorithms:
exhibit, sha256, zip

Functions:
Get-Content

Languages:
powershell, php

Links:
https://github.com/EmergingThreats/threatresearch/blob/master/ta397/ta397.csv

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, chart: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA397 - поддерживаемый государством хакер, связанный с индийской разведкой, нацеленный на правительственные и оборонные структуры в Европе и Азии. Они внедряют вредоносное ПО с помощью фишинга и используют запланированные задачи с различными типами файлов для доставки полезной нагрузки, используя CVE-2024-43572. Их деятельность отражает систематический подход к шпионажу, который со временем адаптирует методы и интегрирует такие инструменты, как Kugelblitz, сохраняя при этом согласованную структуру инфраструктуры.
-----

TA397 идентифицирован как хакер, поддерживаемый государством, который, вероятно, действует от имени индийских спецслужб и занимается сбором разведданных, уделяя основное внимание правительственным и оборонным структурам в Европе и Азии, особенно тем, которые связаны с Китаем, Пакистаном и соседними странами. Оперативная деятельность группы характеризуется предсказуемой методологией, включая использование электронных писем для шпионажа в качестве основного средства получения первоначального доступа. Хотя возможности TA397 не так велики по сравнению с другими действующими лицами, поддерживаемыми государством, группа демонстрирует высокий уровень активности и креативности в своей оперативной тактике.

Со временем TA397 адаптировал свои технологии, перейдя от использования известных CVE к использованию запланированных задач для доставки полезной нагрузки. Современные методологии включают использование различных типов файлов, таких как архивы MSC, LNK, CHM и RAR, для создания запланированных задач, которые облегчают дальнейшее развертывание вредоносного ПО. Эти задачи предназначены для скрытого выполнения команд, загрузки полезной нагрузки и регулярного мониторинга систем-жертв, что позволяет использовать скрытые типы файлов, такие как файлы MSC, для задания запланированных задач для выполнения в PowerShell. Кампании группы были нацелены на организации, специализирующиеся на дипломатических и военных вопросах, и привязывали тематику фишинговых электронных писем к актуальным геополитическим событиям, чтобы повысить эффективность их использования для обмана.

Вредоносное ПО, используемое TA397, включая такие инструменты, как Kugelblitz и различные RATs, еще раз демонстрирует их изощренность в работе. Их инфраструктура отличается высокой степенью достоверности — она была выбрана благодаря последовательным схемам, включая структурированное использование URI на PHP, содержащих имя компьютера и логин жертвы, и использование сертификатов Let's Encrypt на их серверах. Эти факторы позволяют надежно обнаруживать действия TA397. Анализ временных меток их операций в основном соотносится с индийским стандартным временем, что подтверждает оценку их географических и временных характеристик.

Уязвимости, используемые TA397, включают CVE-2024-43572, известную как GrimResource, которая позволяет удаленно выполнять код в контексте mmc.exe, что они активно использовали в недавних кампаниях. Примечательно, что они исторически полагались на вредоносные программы, такие как ArtraDownloader, хотя недавние инновации включают интеграцию новых методов доставки последующих полезных загрузок после первоначального заражения.

В конечном счете, TA397 является примером настойчивого хакера, который сочетает систематические методы шпионажа с постоянно развивающимся набором инструментов и подходов. Их стратегии нацеливания основаны на глубоком понимании геополитических условий и оперативной безопасности, что делает их важным игроком в сфере государственного кибершпионажа. Их инфраструктура частично совпадает с инфраструктурой других известных индийских хакеров, что свидетельствует о совместной работе по сбору разведданных в рамках операций, проводимых при поддержке государства. Такая интеграция усилий различных групп подчеркивает общие цели кибершпионажа в Южной Азии, особенно в вопросах национальной безопасности и дипломатической значимости.

#ParsedReport #CompletenessLow
05-06-2025

Fake WordPress Caching Plugin Used to Steal Admin Credentials

https://blog.sucuri.net/2025/06/fake-wordpress-caching-plugin-used-to-steal-admin-credentials.html

Report completeness: Low

Victims:
Wordpress sites

Geo:
Hong kong

TTPs:

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1140, T1195.002, T1564.006

IOCs:
File: 2
Url: 1
Domain: 1

Soft:
WordPress, Linux

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют сайты WordPress, загружая вредоносные плагины, такие как "wp-runtime-cache", которые крадут учетные данные администратора. Этот плагин содержит запутанный PHP-код, активируется при входе в систему и передает пользовательские данные на внешние серверы, выявляя критические уязвимости в системе безопасности WordPress. Регулярные проверки и надежные методы обеспечения безопасности необходимы для устранения этих угроз.
-----

Недавние инциденты продемонстрировали тревожную тенденцию среди киберпреступников, которые эксплуатируют сайты WordPress, загружая вредоносные плагины, которые могут служить различным гнусным целям, включая кражу учетных данных администратора. Одна конкретная угроза была связана с плагином под названием "wp-runtime-cache", найденным в каталоге wp-content/plugins, который изначально казался безобидным из-за его функции кэширования, обычно используемой для оптимизации производительности. Однако отсутствие стандартных опций управления кэшем и отсутствие плагина в списке плагинов администратора вызвали подозрения в его злом умысле.

В результате расследования было обнаружено, что wp-runtime-cache содержит только один PHP-файл, что нетипично для легальных плагинов, которые обычно содержат несколько файлов. Ключевыми признаками вредоносного поведения были пустые поля для описания плагина, автора и URL-адреса службы поддержки в сочетании с наличием запутанного кода, использующего кодировку base64 и имена случайных переменных. Особую тревогу вызвала функция под названием "infiltrateDocumentStore0460", предполагающая намерение тайно проникнуть в системный контент — что-то без законного обоснования в действующих плагинах.

Каждый раз, когда страница загружается, вредоносное ПО активируется в среде сайта, особенно во время сеансов входа в систему с помощью wp-администратора. Вредоносное ПО собирает регистрационные данные пользователя и оценивает возможности вошедшего в систему пользователя в соответствии с предопределенными ролями. Эта функциональность выполняется с помощью встроенной функции WordPress wp_remote_post, которая передает массивы данных на внешние серверы, тем самым облегчая извлечение данных злоумышленниками. Кроме того, функция с именем "detachConcurrency0788" проверяет наличие предварительно сгенерированного хэш-значения, чтобы отличать законных пользователей от злоумышленников. Если злоумышленник идентифицирован, плагин остается видимым; в противном случае он скрывается из списка плагинов, сохраняя скрытность.

При отслеживании домена, связанного с этой вредоносной активностью, в последних регистрационных данных были обнаружены расхождения, свидетельствующие о тактике злоумышленников — домен зарегистрирован в Арканзасе, но привязан к телефонному коду Гонконга, что свидетельствует о намеренной попытке избежать обнаружения. Полученные данные указывают на критические уязвимости, возникающие, когда злоумышленники получают безопасный доступ к сайту, используя скрытые вредоносные действия для сбора учетных данных администратора и передачи этих данных на внешние серверы для дальнейшего использования.

Следовательно, регулярные проверки плагинов и пользователей становятся обязательными для обслуживания веб-сайта, наряду с такими рекомендациями, как поддержание обновленных паролей администратора, использование двухфакторной аутентификации и применение ограничений IP на странице входа в WordPress, которые могут предотвратить несанкционированный доступ. В случае любой компрометации, связанной с учетными данными администратора, ключевой мерой противодействия является обновление настроек WordPress, содержащихся в файле wp-config.php, чтобы защитить данные для входа в систему от повторной компрометации с помощью ранее полученных хэшированных паролей. Эти меры предосторожности жизненно важны для повышения безопасности установок WordPress от возникающих угроз.

#ParsedReport #CompletenessLow
05-06-2025

Decoding ClickFix: Lessons from the Latest Browser-Based Phish

https://slashnext.com/blog/decoding-clickfix-lessons-from-the-latest-browser-based-phish/

Report completeness: Low

Threats:
Clickfix_technique
Fakecaptcha_technique
Clipboard_injection_technique
Lumma_stealer
Stealc
Netsupportmanager_rat

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.001, T1140, T1204.001, T1566, T1566.002

IOCs:
File: 2

Soft:
Cloudflare Turnstile

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClickFix - это фишинговый метод, который имитирует законный процесс проверки безопасности, заставляя пользователей выполнять вредоносные команды PowerShell с помощью поддельной капчи. Он использует тактику обфускации и социальной инженерии, чтобы использовать "усталость от проверки", в результате чего жертвы непреднамеренно устанавливают вредоносное ПО, обходя традиционные меры безопасности.
-----

ClickFix - это новый метод социальной инженерии фишинга, который заставляет пользователей выполнять вредоносные команды на своих устройствах, маскируясь под законный процесс проверки безопасности. Атака часто принимает форму поддельной капчи, напоминающей такие сервисы, как Turnstile от Cloudflare, и убеждает жертв вставлять и запускать вредоносный код, не осознавая присущего им риска. Когда пользователи сталкиваются с этим мошенническим интерфейсом, они приходят к выводу, что им необходимо убедиться в своей человечности, выполнив шаги по обеспечению безопасности. Однако за кулисами при разработке атаки используется сценарий, который незаметно вводит вредоносную команду в буфер обмена пользователя.

На практике, как только пользователь взаимодействует с установленным флажком, ему предлагается выполнить команду в диалоговом окне запуска Windows, нажав Windows+R и используя Ctrl+V, чтобы вставить встроенную команду PowerShell, а затем нажать Enter. Эта команда, которая часто представляет собой простую строку кода, обычно извлекает и запускает вредоносные программы второго этапа, минуя традиционную проверку антивирусом и запросы на загрузку. Пользователь невольно становится инициатором установки вредоносного ПО, что значительно повышает эффективность атаки.

Фишинговая страница ClickFix сама по себе представляет собой автономный HTML-файл, который воспроизводит внешний вид законного интерфейса Cloudflare. Злоумышленники часто запутывают код, чтобы замаскировать его вредоносную функциональность, и используют различные методы для поддержания иллюзии легитимности, такие как генерация случайных идентификаторов Cloudflare Ray и настройка доменных имен. Эта путаница скрывает встроенную команду PowerShell, которая обычно кодируется во избежание обнаружения. Когда пользователи выполняют поддельные шаги проверки, их, по сути, обманом заставляют запускать законные утилиты Windows с вредоносной полезной нагрузкой, что позволяет избежать проверки со стороны средств веб-безопасности.

Несмотря на свою простоту, ClickFix использует феномен, известный как "усталость от проверки", при котором современные интернет-пользователи вынуждены быстро выполнять запросы, с которыми они регулярно сталкиваются. Злоумышленники используют этот психологический фактор, отправляя фишинговые страницы с, казалось бы, безобидных URL-адресов или даже с взломанных законных сайтов. Отсутствие быстро обнаруживаемых предупреждающих знаков, таких как загрузка файлов или необычные приглашения, создает у пользователей ложное чувство безопасности, способствуя успеху атак с помощью ClickFix.

По мере развития ClickFix традиционные меры безопасности могут с трудом поспевать за ними. Тактика, используемая в этих кампаниях, подчеркивает необходимость тщательного соблюдения мер безопасности, особенно при распознавании обманчивой природы таких методов социальной инженерии. Понимание механизма, лежащего в основе таких атак, как ClickFix, имеет решающее значение для разработки эффективных контрмер и повышения осведомленности пользователей о потенциальных рисках.

#ParsedReport #CompletenessMedium
05-06-2025

DuplexSpy RAT: Stealthy Windows Malware Enabling Full Remote Control and Surveillance

https://www.cyfirma.com/research/duplexspy-rat-stealthy-windows-malware-enabling-full-remote-control-and-surveillance/

Report completeness: Medium

Threats:
Duplexspy_rat
Process_injection_technique
Dll_sideloading_technique
Dll_injection_technique

TTPs:
Tactics: 9
Technics: 34

IOCs:
File: 13
Registry: 1
Hash: 2

Soft:
Windows Registry, MariaDB, Microsoft SQL Server, MySQL, Redis, Linux, Ubuntu, Visual Studio, Chrome, Firefox, Active Directory, have more...

Algorithms:
aes, cbc, base64

Functions:
Main, Connect, BringToFront, Activate, Windows, UAC, LoadToMemory

Win API:
SetSuspendState, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, GetCurrentProcess

Languages:
java, python, php, perl, javascript, powershell

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DuplexSpy RAT - это троян для удаленного доступа с возможностью регистрации нажатий клавиш, захвата экрана, доступа к веб-камере и аудиозаписи. Он использует методы сохранения данных, такие как изменение реестра и внедрение DLL-библиотеки, для скрытности, а также имеет командную оболочку для выполнения команд в режиме реального времени. Его бесфайловые технологии позволяют ему избегать обнаружения, что требует повышения осведомленности о безопасности и средств защиты.
-----

DuplexSpy RAT - это многогранный троян для удаленного доступа (RAT), предназначенный для наблюдения за зараженными системами и контроля над ними. Его возможности включают регистрацию нажатий клавиш, захват экрана, доступ к веб-камере, аудиозапись и удаленное выполнение командной строки. RAT известен своими стратегиями сохранения, использующими методы, которые включают копирование самого себя в папку автозагрузки и изменение реестра Windows для обеспечения автоматического запуска при запуске системы. В частности, он добавляет запись с именем "Центр обновления Windows" в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, имитируя законный процесс Windows, чтобы избежать подозрений пользователя.

Компонент keylogger перехватывает ввод с клавиатуры низкого уровня с помощью перехватчика Windows, фиксирует нажатия клавиш и сохраняет их во временном RTF-файле. Этот файл периодически отправляется на удаленный сервер, зашифрованный для скрытности с использованием протоколов AES и RSA. Кроме того, DuplexSpy использует внедрение библиотеки DLL для выполнения кода в памяти, используя различные функции Windows API для динамической загрузки вредоносных сборок, не оставляя следов на диске, что расширяет возможности скрытности.

DuplexSpy включает в себя бэкдор командной оболочки, который позволяет выполнять команды на компьютере жертвы в режиме реального времени. Вредоносная программа отправляет и получает закодированные команды на свой сервер управления (C2) и с него и может выполнять системные команды, такие как завершение работы или перезапуск, тем самым нарушая доступность системы. RAT оснащен модулем защиты от процессов, который постоянно отслеживает наличие программного обеспечения безопасности, завершая все процессы, которые соответствуют предопределенному черному списку, для поддержания контроля над системной средой.

Кроме того, DuplexSpy включает в себя класс AudioPlayer, который позволяет вести аудионаблюдение путем воспроизведения звуков или использования микрофона устройства для записи, что представляет собой расширенные возможности в области психологических манипуляций и сбора информации. Класс Webcam обеспечивает непрерывную потоковую передачу видеоматериалов, превращая зараженное устройство в инструмент наблюдения.

Функциональность графического интерфейса вредоносного ПО позволяет злоумышленникам настраивать свою полезную нагрузку с минимальными техническими знаниями. Его открытый исходный код, созданный в образовательных целях, но активно используемый злоумышленниками, способствует росту популярности удобных в использовании модульных вредоносных программ, которые представляют значительный риск для отдельных лиц и организаций.

Внедрение бесфайловых технологий позволяет DuplexSpy избегать обнаружения с помощью традиционных средств защиты, что делает важными механизмы проактивной защиты. По мере развития ситуации с угрозами потенциал таких продвинутых RAT в обход традиционных средств защиты подчеркивает необходимость повышения осведомленности пользователей и разработки многоуровневых стратегий защиты от изощренных хакеров.