#ParsedReport #CompletenessMedium
13-06-2025

The Growing Risk of Malicious Browser Extensions

https://socket.dev/blog/the-growing-risk-of-malicious-browser-extensions

Report completeness: Medium

Actors/Campaigns:
Phantom_enigma

Threats:
Supply_chain_technique
Shell_shockers
Hvnc_tool

Victims:
Users, Brazilian banking customers, Wikipedia users in turkey

Industry:
Education, Financial, Entertainment

Geo:
Brazilian, Turkey, Latin america

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1059.007, T1102, T1113, T1176, T1185, T1497.002, T1555.003

IOCs:
Url: 2
File: 2
Domain: 2

Soft:
Chrome, Google Chrome, Telegram

Functions:
setInterval

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные браузерные расширения все чаще используют законные разрешения браузера для перехвата сеансов пользователей, кражи учетных данных и манипулирования веб-контентом, создавая серьезные риски для конфиденциальности и безопасности. В качестве примеров можно привести расширение "Shell Shockers io", которое способствует мошенничеству с технической поддержкой, и кампании, подобные "Операция Фантом Энигма", нацеленные на банковских пользователей. Вредоносный фреймворк расширения Chrome, доступный в даркнете, позволяет проводить сложные атаки, включая взлом файлов cookie и кражу криптовалюты, затрагивая миллионы пользователей.
-----

Недавние расследования выявили рост числа вредоносных браузерных расширений, которые перехватывают сеансы пользователей и манипулируют веб-контентом, создавая серьезные угрозы безопасности и конфиденциальности пользователей. Расширение "Shell Shockers io" использует функцию chrome.windows.create для создания обманчивых всплывающих окон, перенаправляющих пользователей на мошеннические страницы технической поддержки с целью извлечения личных и финансовых данных. Другое расширение, облегчающее доступ к Википедии в Турции, использует chrome.WebRequest.onBeforeRequest для перенаправления, подвергая пользователей риску через прокси-домен с уязвимостями.

"Операция Phantom Enigma" была нацелена на бразильских банковских пользователей, которые обошли двухфакторную аутентификацию и украли учетные данные у 722 человек. Вредоносные расширения могут извлекать файлы cookie, пароли и историю посещенных страниц, перехватывать защищенные HTTP-сообщения, перехватывать нажатия клавиш и перенаправлять транзакции с криптовалютой в режиме реального времени. Некоторые из них эволюционировали, включив в себя скрытые виртуальные сетевые вычисления (hVNC) для скрытого управления и мониторинга в режиме реального времени.

Как сообщает GitLab Security, по меньшей мере 3,2 миллиона пользователей пострадали от этих вредоносных расширений, что подчеркивает масштаб угрозы. На форумах Dark web за 100 000 долларов можно приобрести вредоносный фреймворк расширения Chrome, связанный с хакером "rivemks". Этот фреймворк поддерживает фильтрацию файлов cookie браузера, сбор данных с форм и вывод криптовалюты на основе API, активируемый переходами по внешним ссылкам. Эта эволюция указывает на переход от простого рекламного ПО к сложному вредоносному ПО, способному создавать постоянные ботнеты. Регулярное сканирование и обучение пользователей необходимы для устранения этих новых угроз.

#ParsedReport #CompletenessLow
13-06-2025

JSFireTruck: Exploring Malicious JavaScript Using JSF*ck as an Obfuscation Technique

https://unit42.paloaltonetworks.com/malicious-javascript-using-jsfiretruck-as-obfuscation/

Report completeness: Low

Threats:
Jsfiretruck_tool
Jjencode_technique

Geo:
Australia, Middle east, Japan, Asia, India

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1059.007, T1181, T1189, T1190, T1204.001, T1601.001

IOCs:
File: 2
Hash: 25

Soft:
Chrome

Algorithms:
sha256, base64, zip

Functions:
toString

Languages:
javascript

Links:
have more...
https://github.com/aemkei/jsfuck/tree/d274487af8b8f291b27ca79ceaabe736b62d0f79
https://github.com/aemkei/jsfuck
https://github.com/cilame/unjsfuck

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Масштабная кампания по кибербезопасности, получившая название JSFireTruck, внедряет запутанный JavaScript на более чем 269 000 законных веб-сайтов, перенаправляя пользователей на вредоносные сайты с помощью методов iframe. Он использует ограниченное количество символов для обфускации, усложняя обнаружение, и нацелен на пользователей, на которых ссылаются поисковые системы, для фишинга и перехвата кликов.
-----

Недавно была выявлена крупномасштабная кампания по обеспечению кибербезопасности, которая характеризовалась внедрением запутанного кода JavaScript на законные веб-сайты. Этот метод обфускации, называемый в данном анализе JSFireTruck, используется для скрытого перенаправления пользователей на вредоносные сайты, на которых могут размещаться вредоносные программы, эксплойты или рассылаться спам-рассылки. Запутывание скрывает истинную цель кода, усложняя анализ и обнаружение. Используемый JavaScript в основном использует ограниченный набор символов, в частности символы + и ${}, чтобы скрыть свои намерения и поведение от обычного изучения.

Вредоносный JavaScript проверяет отправителя входящего трафика; если он идентифицирует отправителя как поисковую систему, скрипт перенаправляет пользователей на вредоносные URL-адреса. Анализ данных телеметрии показал, что всего за один месяц более 269 000 веб-страниц были заражены этим методом обфускации JSFireTruck, что подчеркивает широкий охват кампании. Стратегия обфускации, которая, как полагают, основана на более раннем методе, известном как Jjencode, доказала свою эффективность в усложнении анализа кода. JSFireTruck может использовать механизм приведения типов в JavaScript для манипулирования строковыми представлениями и создания исполняемого кода из, казалось бы, безобидных символов.

При дальнейшем анализе было обнаружено, что зараженный JavaScript-код реализует перенаправление через iframe. Этот iframe, который накладывается на веб-страницу, предназначен для фиксации взаимодействия с пользователем и дальнейшего сокрытия исходного контента, что делает его инструментом для фишинга, перехвата кликов и других тактик вредоносного перенаправления. Используя передовые методы, злоумышленники могут адаптировать перенаправление в зависимости от того, кто ссылается, гарантируя, что пользователи, перенаправленные из популярных поисковых систем, будут особенно уязвимы.

Общие результаты кампании указывают на скоординированные усилия хакеров по взлому значительного числа законных веб-сайтов, используя их в качестве каналов распространения вредоносного контента. Меры безопасности, такие как расширенная фильтрация URL-адресов и методы машинного обучения, совершенствуются для упреждающего обнаружения и предотвращения таких скрытых угроз JavaScript. Такие меры необходимы для защиты пользователей от растущего числа веб-атак, поскольку тысячи законных сайтов могут невольно стать частью этой вредоносной экосистемы.

#ParsedReport #CompletenessHigh
14-06-2025

Understanding Katz Stealer Malware and Its Credential Theft Capabilities

https://www.picussecurity.com/resource/blog/understanding-katz-stealer-malware-and-its-credential-theft-capabilities

Report completeness: High

Threats:
Katz_stealer
Uac_bypass_technique
Process_hollowing_technique
Chromekatz_tool
Dll_injection_technique
Credential_dumping_technique

Geo:
Moldova, Belarus, Armenia, Uzbekistan, Tajikistan, Kazakhstan, Azerbaijan, Kyrgyzstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1021.001, T1027, T1027.002, T1027.003, T1027.004, T1036.004, T1053.005, T1055, have more...

IOCs:
File: 19
Command: 1
Path: 1
Url: 1
Registry: 1
IP: 2
Domain: 4
Hash: 9

Soft:
Chromium, Discord, Telegram, Outlook, Foxmail, Steam, VirtualBox, Hyper-V, Cloudflare R2, Microsoft Visual Studio, have more...

Wallets:
bitcoincore, electrum, coinomi, daedalus, wassabi, metamask

Crypto:
litecoin, dogecoin, ethereum, monero, ravencoin

Algorithms:
gzip, base64

Functions:
eval

Win API:
GetTickCount64

Win Services:
WebClient

Languages:
powershell, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Katz Stealer, опытный агент MaaS, использует агрессивную кражу учетных данных и тайные операции с помощью фишинга и загрузки поддельного программного обеспечения. Он использует обход контроля учетных записей (UAC) для обеспечения сохранности, использует процесс "опустошения" для скрытности и нацелен на браузеры и Discord для извлечения данных, особенно криптовалютных активов, сохраняя при этом защищенную связь C2 для фильтрации в режиме реального времени.
-----

Katz Stealer - это вредоносная программа для кражи информации как услуга (MaaS), выявленная в 2025 году. Для распространения она использует фишинговые кампании и загрузку поддельного программного обеспечения. Вредоносная программа оснащена модульным механизмом доставки полезной нагрузки для быстрой фильтрации данных. Он использует методы уклонения, такие как внедрение вредоносного кода в файлы изображений и обход контроля учетных записей пользователей (UAC) с помощью cmstp.exe для сохранения.

Заражение начинается с JavaScript-дроппера, который запускает PowerShell для декодирования и загрузки замаскированной полезной нагрузки без записи на диск. Katz Stealer выполняет проверку по черным спискам локализации системы и изолированным средам, чтобы избежать обнаружения. После повышения привилегий с помощью обхода контроля учетных записей он использует удаление процесса для внедрения в MSBuild.exe для получения повышенных разрешений.

Вредоносная программа нацелена на веб-браузеры, в частности Chromium и Firefox, для извлечения конфиденциальной информации, такой как сохраненные учетные данные, токены сеанса, файлы cookie и данные криптовалютного кошелька. Она использует DLL-библиотеку в процессах браузера для доступа к данным с теми же правами, что и браузер. Для Chromium он расшифровывает зашифрованные данные, в то время как для Firefox он извлекает необходимые файлы для восстановления.

Katz Stealer модифицирует JavaScript-пакет приложения Discord для обеспечения постоянного контроля, позволяя злоумышленникам выполнять инструкции при запуске. Он сканирует файлы и ключи криптовалютных кошельков в приложениях и расширениях на предмет кражи. Связь с сервером управления (C2) осуществляется постоянно, используя уникальный идентификатор имплантата для обмена данными в режиме реального времени.

К признакам компрометации относятся определенные строки пользовательского агента, создание временных библиотек DLL в системных папках и подозрительные изменения в учетной записи Discord. index.js файл. Организациям рекомендуется усилить меры безопасности в свете методов Каца Стилера.

#ParsedReport #CompletenessLow
14-06-2025

A deeper look into the threat actor behind the react-native-aria attack

https://www.aikido.dev/blog/react-native-aria-attack

Report completeness: Low

Threats:
Supply_chain_technique

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1195.002

IOCs:
Email: 1
File: 25
IP: 2
Coin: 2

Wallets:
mainnet

Crypto:
binance

Algorithms:
base64

Functions:
eval

Links:
have more...
https://github.com/DogukanGun/TurkClub/commit/84aaa0627ea1f7ce940dc2102cbe3b0f9d51e328
https://github.com/LZeroAnalytics/hardhat-vrf-contracts/commit/f325ab694ff83e12c96a99a58d51635e70edcdbf
https://github.com/LZeroAnalytics/ethereum-faucet/commit/23ea1dd58c5a5c6a69215fc7c739309a5d0a63fb

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер "aminengineerings" загрузил вредоносные пакеты npm, подключенные к новому серверу управления (IP: 166.88.4.2), и расширяет операции по компрометации репозиториев GitHub. Их тактика включает в себя использование блокчейна для обфускации и развертывание троянской программы удаленного доступа, что указывает на сложную эволюцию их методологии атаки.
-----

8 мая 2025 года хакер, идентифицированный как "aminengineerings", загрузил в реестр npm два вредоносных пакета, оба из которых содержали вредоносную полезную нагрузку из своих первоначальных версий. Это указывает на то, что эти пакеты напрямую связаны с операциями хакера. Примечательно, что пакеты ссылаются на версию A4, которая соотносится с недавней атакой, которая означала переход на новый сервер управления (C2). Новый сервер C2 определяется по IP-адресу 166.88.4.2, в то время как ссылки на предыдущий сервер больше нет, что указывает на изменения в инфраструктуре хакера.

Вредоносный код демонстрирует сложное поведение, поскольку он эффективно самонастраивается, используя содержимое двух разных блокчейнов. Этот метод подчеркивает инновационный подход хакера к запутыванию и распространению данных. Кроме того, данные свидетельствуют о том, что злоумышленник не ограничивается пакетами npm, но также компрометирует репозитории GitHub. Это указывает на более широкую кампанию, в рамках которой злоумышленник активно внедряет свои индивидуальные пакеты, интегрированные с трояном удаленного доступа (RAT), и использует технологию блокчейн в качестве механизма распределения своей полезной нагрузки.

Сочетание нацеливания на несколько компонентов экосистемы — npm и GitHub — и использования блокчейна свидетельствует о заметной эволюции методологии атак, повышающей сложность обнаружения и смягчения последствий для затронутых систем. Такая тактика подчеркивает растущую изощренность и адаптивность хакеров в современных условиях кибербезопасности.

#ParsedReport #CompletenessMedium
14-06-2025

Counterfeiting Qi'anxin certificates! Targeted attacks against blockchain customers

https://ti.qianxin.com/blog/articles/counterfeiting-qianxin-certificates-targeted-attacks-against-blockchain-customers-en/

Report completeness: Medium

Threats:
Raindrop_tool
Dcrat
Asyncrat

Victims:
Blockchain customers

Industry:
Financial

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1055.012, T1059.001, T1059.005, T1071.001, T1105, T1204.002, T1218.011

IOCs:
File: 3
Command: 1
Path: 8
IP: 5
Hash: 3
Domain: 1

Crypto:
bitcoin

Algorithms:
md5, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленный хакер, нацеленный на клиентов блокчейна, использует сложные методы, отправляя вредоносный ZIP-файл через Telegram. В ходе атаки используется файл LNK для развертывания троянской программы удаленного доступа DcRat, которая подключается к нескольким серверам C2. Целью операции является использование криптовалютного пространства для создания мошеннических веб-сайтов.
-----

Недавно выявленный хакер нацелился на клиентов блокчейна, и неизвестная группа злоумышленников использовала сложные методы. Операция заключалась в распространении вредоносного ZIP-файла под названием "передача скриншота" 2025.5.31.zip посредством общения один на один в Telegram. Этот ZIP-файл содержит ложный LNK-файл, который при двойном щелчке по которому отображается поддельный снимок экрана с записью транзакции при одновременном развертывании компонента, известного как White Plus Black. Этот компонент облегчает загрузку в память троянской программы удаленного доступа (RAT) с именем DcRat, которая взаимодействует с сервером управления (C2), использующим самозаверяющий сертификат, имитирующий сертификат легитимного пользователя qianxin.com.

Атака еще более осложняется тем, что с удаленного сервера был получен скрипт VBS, который имеет сходство с обычно используемым автоматически генерируемым кодом скрипта GPT и содержит комментарии на китайском языке. Вредоносная логика в скрипте сосредоточена в функции Py_Main, которая предназначена для загрузки шеллкода в память. Этот шеллкод действует как загрузчик для основной полезной нагрузки, DcRat, которая впоследствии подключается к другому серверу C2, расположенному по адресу 103.45.68.150 на порту 80.

После установления соединения полезная нагрузка запускает PowerShell для загрузки дополнительного вредоносного контента для второго этапа выполнения. На этом этапе компонент White Plus Black считывает и расшифровывает файл с именем arphaCrashReport64.ini в виде шелл-кода, который затем выполняется в рамках вновь созданного процесса с именем rundll32.exe. Дальнейшая обработка шелл-кода сохраняет то же поведение полезной нагрузки, снова загружая DcRat, на этот раз подключаясь к другому серверу C2, расположенному по адресу 38.46.13.170 на порту 8080.

Эта инфраструктура, по-видимому, причастна к мошеннической деятельности, направленной на создание веб-сайтов для продажи биткоинов, что подчеркивает намерение хакера использовать криптовалютное пространство для получения злонамеренной выгоды.

#ParsedReport #CompletenessMedium
14-06-2025

Malware disseminationism disguised as a thesis file (KIMSUKY Group)

https://asec.ahnlab.com/ko/88419/

Report completeness: Medium

Actors/Campaigns:
Kimsuky

Threats:
Anydesk_tool
Babyshark
Randomquery

Geo:
North korea, Korean, Russian, Pol

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1053.005, T1059.001, T1105, T1203, T1204.002, T1219, T1566.001, T1567.002, have more...

IOCs:
File: 14
Path: 1
Hash: 5
Url: 5
Domain: 1
IP: 2

Soft:
Dropbox

Algorithms:
base64, md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky провела фишинговую атаку с использованием вредоносного корейского документа, который запускал вредоносные программы, в том числе "cool.exe", с помощью сценария PowerShell. Вредоносная программа облегчает удаленный доступ, скрывая исполняемый файл AnyDesk, используя Dropbox для обмена данными C2 и подчеркивая использование законного программного обеспечения и облачных хранилищ в APT-атаках.
-----

Недавно группа Kimsuky провела фишинговую атаку, выдав ее за запрос на рецензирование диссертации, - тактика, подтвержденная аналитическим центром безопасности Ahnlab (ASEC). Атака была связана с доставкой корейского файла документа, содержащего вредоносный OLE-объект, для доступа к которому пользователям требовался пароль. Приложение, идентифицированное как документ, касающийся "Milly Tech и направления будущей войны на примере войны с Россией и будущей войны будущего", было разработано для совершения вредоносных действий при его открытии.

Когда документ выполняется, он запускает последовательность событий, включая создание запланированной задачи, которая копирует вредоносный исполняемый файл с именем "cool.exe" в каталог по адресу "C:\Users\Public\Music\". Связанные файлы, такие как "cool.exe.manifest" и сценарий PowerShell ("template.ps1"), также размещаются в том же каталоге. Этот скрипт PowerShell инициирует дальнейшую загрузку файлов и облегчает взаимодействие с инфраструктурой командования и контроля (C2) злоумышленника, в частности, используя Dropbox для хранения файлов.

После активации вредоносная программа работает скрытно. Обычный исполняемый файл AnyDesk установлен, но его значок в трее и окно скрыты с помощью скрипта PowerShell, что делает его практически незаметным для пользователя, если он не просматривает список процессов. Такая оперативная методика позволяет злоумышленнику поддерживать удаленный доступ, не привлекая внимания пользователя, тем самым повышая риск длительного проникновения.

Известно, что группа Kimsuky выдает себя за законные организации для проведения APT-атак, особенно против избранных целей. В последнее время наблюдается заметный рост использования легального программного обеспечения во вредоносных целях и использования облачных сервисов хранения данных, таких как Google Drive и Dropbox, для C2 communications. Это повышение подчеркивает важность бдительности пользователей, особенно в отношении выполнения файлов и осведомленности о расширениях файлов, для снижения риска заражения вредоносными программами.

#ParsedReport #CompletenessLow
14-06-2025

Fog Ransomware: Unusual Toolset Used in Recent Attack

https://www.security.com/threat-intelligence/fog-ransomware-attack

Report completeness: Low

Threats:
Fog_ransomware
Adaptixc2_tool
Stowaway_tool
Smbexec_tool
Megasync_tool
Cobalt_strike_tool
Impacket_tool

Victims:
Financial institution, Educational institutions

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1003, T1021.001, T1021.002, T1048, T1059, T1070.004, T1071, T1071.001, T1078, T1082, have more...

IOCs:
Command: 6
File: 7
Path: 4
Hash: 18
IP: 2
Domain: 1

Soft:
Twitter, Microsoft SharePoint, PsExec, Sysinternals

Platforms:
x86

Links:
https://github.com/Adaptix-Framework/AdaptixC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года программа-вымогатель Fog ransomware атаковала финансовое учреждение в Азии, используя для мониторинга Syteca, а также редкие инструменты с открытым исходным кодом, такие как GC2 и Adaptix. Злоумышленники сохраняли работоспособность сети в течение двух недель до развертывания, используя скомпрометированные серверы Exchange и средства последующей эксплуатации для утечки данных, горизонтального перемещения и командно-контрольных функций. Этот инцидент отражает тенденцию, когда атаки программ-вымогателей пересекаются с тактикой шпионажа.
-----

В мае 2025 года программа-вымогатель атаковала финансовое учреждение в Азии с помощью программы-вымогателя Fog. В ходе атаки использовался уникальный набор инструментов, включая инструменты двойного назначения и тестирования на проникновение с открытым исходным кодом, такие как Syteca, которая является законным программным обеспечением для мониторинга сотрудников. Это стало первым документально подтвержденным случаем использования Syteca при атаке программ-вымогателей. Также использовались инструменты с открытым исходным кодом GC2, Adaptix и Stowaway, что указывает на неортодоксальный подход к работе с программами-вымогателями. Злоумышленники продемонстрировали нетипичное поведение, отфильтровав данные и сохранив работоспособность в течение примерно двух недель, прежде чем развернуть программу-вымогатель Fog. Было задействовано как минимум два скомпрометированных сервера Exchange, которые являются обычными целями для программ-вымогателей, использующих известные уязвимости. GC2 использовался для отправки команд и извлечения файлов, поиска команд на Google Диске или в Microsoft SharePoint и управления передачей файлов. Syteca регистрировала действия на экране и нажатия клавиш как ‘sytecaclient.exe" и "update.exe’. Боковое перемещение было облегчено с помощью PsExec и SMBExec, а для архивирования конфиденциальных данных были развернуты утилиты передачи файлов FreeFileSync и MegaSync. Для функций управления использовался маяк Adaptix C2 Agent Beacon. Использование Impacket SMB tool в день активации программы-вымогателя позволяет предположить, что это способствовало развертыванию программы-вымогателя. Атака продемонстрировала признаки, указывающие на шпионские мотивы, наряду с развертыванием программы-вымогателя, с возможностью использования программы-вымогателя в качестве отвлекающего маневра при преследовании шпионских целей.