#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания использует уязвимости в системе приглашений Discord, перехватывая ссылки с истекшим сроком действия для перенаправления пользователей на вредоносные серверы. Она использует AsyncRAT и Skuld Stealer для удаленного доступа и кражи данных, используя методы обхода защиты. Злоумышленники приспособились обходить шифрование Chrome, расширяя свои возможности по извлечению конфиденциальных данных.
-----

Недавнее расследование, проведенное компанией Check Point Research, выявило сложную вредоносную кампанию, которая использует уязвимости в системе приглашений Discord, в частности, с целью перехвата просроченных или удаленных приглашающих ссылок. Злоумышленники используют эти ссылки для перенаправления пользователей с надежных платформ на вредоносные серверы Discord, внедряя инструменты, которые обходят традиционные меры безопасности. Вредоносная кампания использует комбинацию методов социальной инженерии, включая метод ClickFix, многоступенчатые загрузчики и временные обходы, для доставки вредоносных программ, таких как AsyncRAT и специализированный вариант Skuld Stealer.

Заражение начинается с того, что злоумышленники перехватывают приглашающие ссылки из законных сообществ, которые потеряли свои привилегии премиум-сервера. После истечения срока действия этих ссылок злоумышленники могут использовать их для своих собственных вредоносных серверов. Пользователи, переходящие по этим ссылкам, перенаправляются на фишинговый сайт, созданный для имитации пользовательского интерфейса Discord, где им предлагается выполнить действия, которые заканчиваются выполнением команды PowerShell для загрузки и запуска начальной полезной нагрузки — загрузчика, который извлекает вредоносное программное обеспечение, размещенное в облачных сервисах, таких как GitHub и Bitbucket.

Основные полезные приложения, AsyncRAT и Skuld Stealer, предоставляют широкие возможности для удаленного управления и фильтрации данных. AsyncRAT - это троян для удаленного доступа, который позволяет злоумышленникам получить полный контроль над скомпрометированными системами, используя метод извлечения адресов серверов управления из общедоступных документов, подобных тем, которые можно найти на Pastebin. Между тем, Skuld Stealer нацелен на конфиденциальную информацию из браузеров, игровых платформ и криптовалютных кошельков, включая токены аутентификации Discord и начальные фразы кошелька.

Примечательно, что версия Skuld фильтрует данные через веб-узлы Discord, которые обеспечивают одностороннюю связь, позволяя передавать данные, не привлекая внимания механизмов безопасности. Вредоносная программа использует уникальные методы, позволяющие избежать обнаружения, такие как мониторинг параметров командной строки и задержка выполнения команд.

Кроме того, злоумышленники изменили свой подход, чтобы обойти шифрование Chrome с привязкой к приложениям (ABE), которое защищает данные файлов cookie. Используя такие инструменты, как ChromeKatz, они могут напрямую обращаться к памяти браузера, похищая файлы cookie из последних версий Chrome, Edge и Brave. Этот метод расширяет возможности вредоносного ПО извлекать токены и данные сеанса в обход средств защиты, предназначенных для предотвращения кражи файлов cookie.

Кампания продолжает развиваться, ориентируясь на пользователей криптовалют и используя механизмы постоянного выполнения, гарантирующие, что вредоносное ПО сможет восстановить контроль над зараженными системами, даже если оно будет первоначально удалено. Несмотря на усилия Discord по отключению выявленного вредоносного бота, потенциальная возможность создания злоумышленниками новых эксплойтов, использующих те же уязвимости, остается серьезной проблемой.

#ParsedReport #CompletenessHigh
13-06-2025

Don't Get Caught in the Headlights - DeerStealer Analysis

https://www.esentire.com/blog/dont-get-caught-in-the-headlights-deerstealer-analysis

Report completeness: High

Actors/Campaigns:
Luciferxfiles

Threats:
Deerstealer
Hvnc_tool
Hijackloader
Clickfix_technique
More_eggs
Xfiles_stealer
Steganography_technique
Lolbin_technique
Sandbox_evasion_technique
Tigervnc_tool
Realvnc_tool
Ultra_vnc_tool
Anydesk_tool
Teamviewer_tool

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1021.003, T1027, T1027.001, T1027.002, T1036.004, T1055.002, T1055.012, T1056.001, have more...

IOCs:
File: 8
Url: 4
Registry: 2
Domain: 13
Hash: 9

Soft:
MacOS, curl, Q-Dir, Chromium, Microsoft Edge, Google Chrome, Discord, Telegram, WhatsApp, Pidgin, have more...

Wallets:
coinomi, bitcoincore, exodus_wallet, jaxx, guarda_wallet, electrum

Crypto:
monero

Algorithms:
zip, xor

Functions:
SetCurrentDirectoryW

Win API:
VirtualProtect, FatalAppExitW, LocalAlloc, GetModuleFileNameW, CreateFileA, GetFileSize, ReadFile, LoadLibraryA

Languages:
python, powershell

Platforms:
x64

Links:
have more...
https://github.com/eSentire/iocs/blob/main/DeerStealer/DeerStealer.py
https://github.com/eSentire/iocs/blob/main/DeerStealer/decrypt\_stage\_2.py
https://github.com/eSentire/iocs/blob/main/DeerStealer/api\_hash.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, dump: 3, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года хакеры использовали пользователей с помощью метода ClickFix для развертывания вредоносного ПО HijackLoader, которое использует стеганографию для хранения конфигурации. Часто в паре с DeerStealer он извлекает конфиденциальную информацию, включая данные о криптовалютах, используя зашифрованную связь с серверами C2 и продвинутую тактику уклонения.
-----

В мае 2025 года хакеры все чаще предпринимали попытки загрузить и запустить сложную вредоносную программу, известную как HijackLoader, часто используя DeerStealer — программу для кражи информации, которую пользователь "LuciferXfiles" рекламировал на форумах даркнета - в качестве конечной полезной нагрузки. Основной метод доступа, наблюдаемый в этих цепочках атак, называется ClickFix, который использует пользователей, перенаправляя их на фишинговые страницы, вызывая выполнение вредоносных команд в командной строке Windows. Первоначальная последовательность действий включает загрузку неподписанной версии допустимой библиотеки DLL с именем "cmdres.dll", которая была изменена для облегчения выполнения HijackLoader.

HijackLoader, известный своим первым появлением в 2023 году, использует стеганографию для хранения своей конфигурации и операционных компонентов в зашифрованных изображениях формата PNG. После его развертывания запускается DeerStealer, предоставляя хакерам широкие возможности для извлечения конфиденциальной информации, включая данные криптовалютного кошелька, файлы cookie браузера, пароли и другие персональные данные. Развивающийся характер DeerStealer включает в себя запланированную интеграцию с поддержкой macOS и расширенные функции, использующие искусственный интеллект для автоматической проверки баланса криптовалюты.

Вредоносное ПО подробно описано на уровнях подписки, где более высокие уровни предоставляют доступ к таким функциям, как скрытое шпионское ПО и возможность удаленного управления с помощью функции скрытых виртуальных сетевых вычислений (VNC), работающей со скоростью 30 кадров в секунду. DeerStealer оснащен обширной функциональностью clipper, поддерживает более 14 типов криптовалют и ориентирован на более чем 800 расширений крипто-кошелька для браузера. Регистрация нажатий клавиш в реальном времени и сбор данных являются важными функциями, позволяющими собирать конфиденциальные данные из популярных приложений и клиентского программного обеспечения, включая различные почтовые клиенты и VPN-сервисы.

Связь между скомпрометированными компьютерами и сервером управления (C2) осуществляется по протоколу HTTPS, где зашифрованные ответы, содержащие параметры конфигурации, передаются после снятия отпечатков пальцев с компьютера-жертвы. Первоначальные запросы вредоносного ПО собирают множество идентификаторов, таких как дата установки компьютера и GUID, что обеспечивает надежную разведывательную способность, которая адаптирует свои операции в зависимости от системы жертвы. Используемые методы предлагают передовые методы обфускации, позволяющие избежать обнаружения, и используют среды, подобные виртуальным машинам, для усложнения статического анализа.

Уделяя особое внимание личной информации, DeerStealer нацелен на важные платформы и приложения, включая Discord, Telegram и различные криптовалютные клиенты, а также планирует расширить охват популярных игровых сервисов и сервисов обмена сообщениями. Более того, хакер поддерживает бизнес-модель работы, предлагая клиентам дифференцированные услуги, и использует панель управления на основе браузера для облегчения управления несколькими ботами. Сложность его архитектуры свидетельствует о значительном расширении спектра угроз, что свидетельствует о растущей сложности инфраструктур киберпреступности.

#ParsedReport #CompletenessLow
12-06-2025

Graphite Caught First Forensic Confirmation of Paragon s iOS Mercenary Spyware Finds Journalists Targeted

https://citizenlab.ca/2025/06/first-forensic-confirmation-of-paragons-ios-mercenary-spyware-finds-journalists-targeted/

Report completeness: Low

Threats:
Paragon_graphite
Bigpretzel
Smallpretzel

Victims:
Ciro pellegrino, Francesco cancellato, Luca casarini, Beppe caccia

Industry:
Education, Government

Geo:
Italy, Italian

CVEs:
CVE-2025-43200 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1041, T1203, T1583.001, T1589.002, T1616, T1620

IOCs:
Url: 1
IP: 1

Soft:
iMessage, Android, WhatsApp

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
29 апреля 2025 года Apple предупредила пользователей iOS о шпионской атаке с использованием программы Graphite от Paragon, связанной с CVE-2025-43200 в iOS 18.2.1. Судебно-медицинская экспертиза выявила скомпрометированные устройства двух журналистов, что указывает на сложный эксплойт iMessage. Продолжающиеся расследования выявили целенаправленную деятельность операторов Graphite по созданию инфраструктуры, что вызвало обеспокоенность по поводу агрессивной слежки за журналистами в Европе.
-----

29 апреля 2025 года Apple проинформировала группу избранных пользователей iOS о сложной программе-шпионе Graphite mercenary от Paragon. Судебно-медицинская экспертиза подтвердила, что устройства двух журналистов, в том числе Сиро Пеллегрино и неназванного европейского журналиста, были взломаны. Атака была идентифицирована как эксплойт с нулевым щелчком мыши, связанный с CVE-2025-43200, уязвимостью, присутствующей в iOS 18.2.1, но устраненной в iOS 18.3.1. Результаты судебной экспертизы показали, что устройство одного журналиста начало проявлять признаки взлома в январе и феврале 2025 года, о чем свидетельствуют журналы подключения устройства к определенному серверу связанный с Graphite, получивший название ATTACKER1, предполагает, что шпионское ПО было развернуто с помощью сложной атаки на iMessage, которая оставалась невидимой для целей.

Дальнейшие расследования показали, что аналогичные признаки компрометации были обнаружены на iPhone Пеллегрино, а это означает, что целью обоих журналистов был один и тот же оператор Graphite. Полученные данные указывали на наличие выделенной инфраструктуры для каждого клиента шпионского ПО, что позволяет предположить, что ATTACKER1 был связан исключительно с одним пользователем сервисов Paragon, который нацелился на обоих пользователей.

В отдельном сообщении от 5 июня 2025 года комитет по надзору правительства Италии признал факт использования шпионской программы Paragon Graphite против других лиц, в частности Луки Казарини и доктора Джузеппе "Беппе" Качча, подтвержденный судебно-медицинскими доказательствами и анализом метаданных. Несмотря на предложение Paragon помочь в расследовании невыясненных целей, включая мистера Канчеллато, итальянское правительство отклонило его, сославшись на соображения национальной безопасности.

В ходе текущего анализа было подтверждено, что три европейских журналиста стали объектами атаки Graphite, что свидетельствует о заметном росте агрессивного характера шпионских программ, нацеленных на журналистов в Европе. Были высказаны опасения по поводу подотчетности и полномочий, в соответствии с которыми работают клиенты Paragon, что указывает на тревожную тенденцию к слежке при недостаточном надзоре. В ходе анализа все еще изучаются более широкие последствия и масштабы применения законодательства, касающегося использования шпионских программ, что еще раз подчеркивает необходимость бдительности журналистов и представителей гражданского общества, которые могут получать предупреждения, связанные со шпионскими программами. Кроме того, успешная судебно-медицинская идентификация Graphite на устройствах остается единичной, особенно в системах Android, что подчеркивает трудности, с которыми приходится сталкиваться при подтверждении успешных компрометаций.

#ParsedReport #CompletenessLow
13-06-2025

Exchange Mutations: Malicious Code in Outlook Pages

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/exchange-mutations-vredonosnyj-kod-v-stranicah-outlook/

Report completeness: Low

Threats:
Dns_tunneling_technique

Victims:
State organizations, It companies, Industrial companies, Logistics companies

Industry:
Logistic

Geo:
Kazakhstan, Russian federation, Australia, Netherlands, Portugal, South africa, Arab emirates, Russian, Iran, Mozambique, Georgia, Taiwan, Zambia, Turkey, Morocco, Greece, Viet nam, China, Lebanon, Mexico, Saudi arabia, United arab emirates, Uzbekistan, Iraq, Kuwait, Senegal, Pakistan, Egypt

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1056, T1056.001, T1059.007, T1071.001, T1078, T1189, T1190, T1567.002, have more...

IOCs:
File: 1

Soft:
Outlook, Microsoft Exchange Server, Discord, Telegram, Microsoft Exchange

Algorithms:
aes, xor

Functions:
Date

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный кейлоггер, нацеленный на серверные системы Microsoft Exchange, скомпрометировал учетные данные пользователей в 26 странах, используя вредоносный JavaScript для перехвата данных во время аутентификации. Злоумышленники используют известные уязвимости в устаревших версиях Exchange и используют различные методы утечки данных, что подчеркивает необходимость улучшения управления уязвимостями и регулярного обновления программного обеспечения.
-----

Недавние расследования выявили продолжающуюся хакерскую атаку с использованием сложного кейлоггера, нацеленного на серверные системы Microsoft Exchange. В ходе атак, впервые выявленных в мае 2024 года, вредоносный код был внедрен на страницы аутентификации сервера, что привело к компрометации учетных данных пользователей в 26 странах. Обнаружение было произведено командой реагирования на инциденты Positive Technologies, что выявило постоянную проблему уязвимостей на общедоступных серверах Exchange, многие из которых все еще работали под управлением устаревших версий.

Обнаруженные кейлоггеры можно разделить на два основных типа в зависимости от их реализации. Вредоносный JavaScript интегрируется в процесс аутентификации, перехватывая учетные данные пользователя по мере их ввода. После сбора данные отправляются с помощью XHR-запросов по определенным путям на взломанный сервер, чему способствует функция обработчика, предназначенная для записи украденной информации в доступный файл. Этот метод, при котором файл, содержащий украденные данные, находится на сервере и доступен из внешней сети, позволяет злоумышленникам сохранять незаметное присутствие в течение длительного времени.

Различные кейлоггеры различаются по способам сбора данных. Некоторые из них используют выделенные серверы для хранения данных, в то время как другие используют легальные сервисы, такие как Telegram или Discord, для сокрытия своей активности. Примечательно, что злоумышленники использовали уникальный идентификатор для классификации украденных учетных записей целевой организацией, что повышало эффективность их работы.

В ходе исследования было выявлено около 65 жертв, в основном из государственных структур и таких секторов, как информационные технологии, логистика и промышленность. В основе атак лежат известные уязвимости в программном обеспечении Microsoft Exchange, при которых внедрение вредоносного кода на законные страницы аутентификации позволяет злоумышленникам собирать конфиденциальную информацию без немедленного обнаружения. Применяемая тактика подчеркивает необходимость совершенствования методов управления уязвимостями. Для организаций крайне важно внедрять надежные системы отслеживания уязвимостей, регулярно обновлять программное обеспечение до последних версий и использовать системы обнаружения для снижения рисков. Постоянный мониторинг информационной безопасности, особенно критически важных серверов, подключенных к Интернету, необходим для предотвращения подобных взломов и обеспечения целостности пользовательских данных.

#ParsedReport #CompletenessMedium
13-06-2025

The Growing Risk of Malicious Browser Extensions

https://socket.dev/blog/the-growing-risk-of-malicious-browser-extensions

Report completeness: Medium

Actors/Campaigns:
Phantom_enigma

Threats:
Supply_chain_technique
Shell_shockers
Hvnc_tool

Victims:
Users, Brazilian banking customers, Wikipedia users in turkey

Industry:
Education, Financial, Entertainment

Geo:
Brazilian, Turkey, Latin america

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1059.007, T1102, T1113, T1176, T1185, T1497.002, T1555.003

IOCs:
Url: 2
File: 2
Domain: 2

Soft:
Chrome, Google Chrome, Telegram

Functions:
setInterval

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные браузерные расширения все чаще используют законные разрешения браузера для перехвата сеансов пользователей, кражи учетных данных и манипулирования веб-контентом, создавая серьезные риски для конфиденциальности и безопасности. В качестве примеров можно привести расширение "Shell Shockers io", которое способствует мошенничеству с технической поддержкой, и кампании, подобные "Операция Фантом Энигма", нацеленные на банковских пользователей. Вредоносный фреймворк расширения Chrome, доступный в даркнете, позволяет проводить сложные атаки, включая взлом файлов cookie и кражу криптовалюты, затрагивая миллионы пользователей.
-----

Недавние расследования выявили рост числа вредоносных браузерных расширений, которые перехватывают сеансы пользователей и манипулируют веб-контентом, создавая серьезные угрозы безопасности и конфиденциальности пользователей. Расширение "Shell Shockers io" использует функцию chrome.windows.create для создания обманчивых всплывающих окон, перенаправляющих пользователей на мошеннические страницы технической поддержки с целью извлечения личных и финансовых данных. Другое расширение, облегчающее доступ к Википедии в Турции, использует chrome.WebRequest.onBeforeRequest для перенаправления, подвергая пользователей риску через прокси-домен с уязвимостями.

"Операция Phantom Enigma" была нацелена на бразильских банковских пользователей, которые обошли двухфакторную аутентификацию и украли учетные данные у 722 человек. Вредоносные расширения могут извлекать файлы cookie, пароли и историю посещенных страниц, перехватывать защищенные HTTP-сообщения, перехватывать нажатия клавиш и перенаправлять транзакции с криптовалютой в режиме реального времени. Некоторые из них эволюционировали, включив в себя скрытые виртуальные сетевые вычисления (hVNC) для скрытого управления и мониторинга в режиме реального времени.

Как сообщает GitLab Security, по меньшей мере 3,2 миллиона пользователей пострадали от этих вредоносных расширений, что подчеркивает масштаб угрозы. На форумах Dark web за 100 000 долларов можно приобрести вредоносный фреймворк расширения Chrome, связанный с хакером "rivemks". Этот фреймворк поддерживает фильтрацию файлов cookie браузера, сбор данных с форм и вывод криптовалюты на основе API, активируемый переходами по внешним ссылкам. Эта эволюция указывает на переход от простого рекламного ПО к сложному вредоносному ПО, способному создавать постоянные ботнеты. Регулярное сканирование и обучение пользователей необходимы для устранения этих новых угроз.

#ParsedReport #CompletenessLow
13-06-2025

JSFireTruck: Exploring Malicious JavaScript Using JSF*ck as an Obfuscation Technique

https://unit42.paloaltonetworks.com/malicious-javascript-using-jsfiretruck-as-obfuscation/

Report completeness: Low

Threats:
Jsfiretruck_tool
Jjencode_technique

Geo:
Australia, Middle east, Japan, Asia, India

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1059.007, T1181, T1189, T1190, T1204.001, T1601.001

IOCs:
File: 2
Hash: 25

Soft:
Chrome

Algorithms:
sha256, base64, zip

Functions:
toString

Languages:
javascript

Links:
have more...
https://github.com/aemkei/jsfuck/tree/d274487af8b8f291b27ca79ceaabe736b62d0f79
https://github.com/aemkei/jsfuck
https://github.com/cilame/unjsfuck

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Масштабная кампания по кибербезопасности, получившая название JSFireTruck, внедряет запутанный JavaScript на более чем 269 000 законных веб-сайтов, перенаправляя пользователей на вредоносные сайты с помощью методов iframe. Он использует ограниченное количество символов для обфускации, усложняя обнаружение, и нацелен на пользователей, на которых ссылаются поисковые системы, для фишинга и перехвата кликов.
-----

Недавно была выявлена крупномасштабная кампания по обеспечению кибербезопасности, которая характеризовалась внедрением запутанного кода JavaScript на законные веб-сайты. Этот метод обфускации, называемый в данном анализе JSFireTruck, используется для скрытого перенаправления пользователей на вредоносные сайты, на которых могут размещаться вредоносные программы, эксплойты или рассылаться спам-рассылки. Запутывание скрывает истинную цель кода, усложняя анализ и обнаружение. Используемый JavaScript в основном использует ограниченный набор символов, в частности символы + и ${}, чтобы скрыть свои намерения и поведение от обычного изучения.

Вредоносный JavaScript проверяет отправителя входящего трафика; если он идентифицирует отправителя как поисковую систему, скрипт перенаправляет пользователей на вредоносные URL-адреса. Анализ данных телеметрии показал, что всего за один месяц более 269 000 веб-страниц были заражены этим методом обфускации JSFireTruck, что подчеркивает широкий охват кампании. Стратегия обфускации, которая, как полагают, основана на более раннем методе, известном как Jjencode, доказала свою эффективность в усложнении анализа кода. JSFireTruck может использовать механизм приведения типов в JavaScript для манипулирования строковыми представлениями и создания исполняемого кода из, казалось бы, безобидных символов.

При дальнейшем анализе было обнаружено, что зараженный JavaScript-код реализует перенаправление через iframe. Этот iframe, который накладывается на веб-страницу, предназначен для фиксации взаимодействия с пользователем и дальнейшего сокрытия исходного контента, что делает его инструментом для фишинга, перехвата кликов и других тактик вредоносного перенаправления. Используя передовые методы, злоумышленники могут адаптировать перенаправление в зависимости от того, кто ссылается, гарантируя, что пользователи, перенаправленные из популярных поисковых систем, будут особенно уязвимы.

Общие результаты кампании указывают на скоординированные усилия хакеров по взлому значительного числа законных веб-сайтов, используя их в качестве каналов распространения вредоносного контента. Меры безопасности, такие как расширенная фильтрация URL-адресов и методы машинного обучения, совершенствуются для упреждающего обнаружения и предотвращения таких скрытых угроз JavaScript. Такие меры необходимы для защиты пользователей от растущего числа веб-атак, поскольку тысячи законных сайтов могут невольно стать частью этой вредоносной экосистемы.

#ParsedReport #CompletenessHigh
14-06-2025

Understanding Katz Stealer Malware and Its Credential Theft Capabilities

https://www.picussecurity.com/resource/blog/understanding-katz-stealer-malware-and-its-credential-theft-capabilities

Report completeness: High

Threats:
Katz_stealer
Uac_bypass_technique
Process_hollowing_technique
Chromekatz_tool
Dll_injection_technique
Credential_dumping_technique

Geo:
Moldova, Belarus, Armenia, Uzbekistan, Tajikistan, Kazakhstan, Azerbaijan, Kyrgyzstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1021.001, T1027, T1027.002, T1027.003, T1027.004, T1036.004, T1053.005, T1055, have more...

IOCs:
File: 19
Command: 1
Path: 1
Url: 1
Registry: 1
IP: 2
Domain: 4
Hash: 9

Soft:
Chromium, Discord, Telegram, Outlook, Foxmail, Steam, VirtualBox, Hyper-V, Cloudflare R2, Microsoft Visual Studio, have more...

Wallets:
bitcoincore, electrum, coinomi, daedalus, wassabi, metamask

Crypto:
litecoin, dogecoin, ethereum, monero, ravencoin

Algorithms:
gzip, base64

Functions:
eval

Win API:
GetTickCount64

Win Services:
WebClient

Languages:
powershell, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4