#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Mahaca, занимающаяся APT с 2009 года, занимается кибершпионажем в Азии, используя вредоносные файлы LNK для загрузки поддельных PDF-файлов. Это приводит к созданию загрузчика на основе Rust, Winver.exe который развертывает троянскую программу на C# под названием Protego для сбора конфиденциальных данных, используя такие методы, как подмена университетских доменов и интеграция различных инструментов с открытым исходным кодом для расширения функциональности.
-----

Группа Mahaca, также известная как Patchwork или Dropping Elephant, - это организация APT, которая, как полагают, имеет южноазиатское происхождение и действует по меньшей мере с ноября 2009 года. Эта группа в основном занимается кибершпионажем, нацеленным на различные секторы, включая правительственные, военные, энергетические и научные круги, особенно в Азии.

Недавний анализ, проведенный Центром анализа угроз Qi'anxin, выявил кампанию с использованием вредоносных файлов LNK, которые использовались для загрузки поддельных документов, выдаваемых за учебные материалы, в частности, в энергетическом секторе. Механизм атаки начинается с загрузки вредоносного файла LNK в формате PDF с поддельного университетского домена (jlu-edu.org), предназначенного для маскировки атаки под законную. Затем этот документ запускает полезную нагрузку, которая представляет собой загрузчик на основе Rust с именем Winver.exe. Этот загрузчик работает скрытно, маскируясь под системную программу, предназначенную для сбора информации о версии, в то время как на самом деле он настраивает сохранение запланированных задач в системе.

После запуска загрузчик расшифровывает и обнаруживает троянца на C# под названием Protego, который собирает конфиденциальную информацию, такую как имя хоста, пользовательские данные и UUID устройства. Троянец устанавливает соединение с сервером управления (C2) в два этапа. Первый этап отправляет зашифрованные идентификаторы на C2, в то время как второй этап собирает экспортный IP-адрес зараженного устройства и отправляет собранные данные обратно на сервер. Соединение становится полностью работоспособным, когда сервер отвечает сообщением определенного содержания, что позволяет троянцу получать и выполнять дальнейшие инструкции.

В дополнение к основному троянцу на C#, Mahaca интегрировала различные платформы для троянцев с открытым исходным кодом, включая Quasar RAT, для расширения своих возможностей в области кражи разведывательных данных. Последовательное использование аналогичных архитектур троянцев на C# и множество функций удаленного управления во время своих кампаний по атакам свидетельствует о надежной и развивающейся стратегии. Более того, тактика группы по подделке университетских доменов указывает на постоянные попытки скрыть свои вредоносные сообщения и действия под прикрытием законности.

Эксперты по безопасности советуют пользователям проявлять осторожность в отношении фишинговых атак, особенно в отношении ссылок и вложений из неизвестных источников. Регулярное обновление и исправление систем, своевременное создание резервных копий важных файлов и использование аналитических инструментов для неизвестных приложений также рекомендуются в качестве превентивных мер против таких угроз.

#ParsedReport #CompletenessMedium
10-07-2025

GitHub Abused to Spread Malware Disguised as Free VPN

https://www.cyfirma.com/research/github-abused-to-spread-malware-disguised-as-free-vpn/

Report completeness: Medium

Threats:
Dll_sideloading_technique
Process_injection_technique
Lumma_stealer

Victims:
Organizations, Individuals, Users seeking free software

Geo:
French

TTPs:
Tactics: 8
Technics: 17

IOCs:
Domain: 9
File: 10
Hash: 2

Algorithms:
sha256, zip, exhibit, md5, base64

Functions:
GetBase64String, SinCosMath, GetLocalError, GetMarked, GetGameData, NtCreateThreadEx

Win API:
LoadLibrary, GetProcAddress, FreeLibrary, CloseHandle, WaitForSingleObject, IsDebuggerPresent, VirtualAlloc, NtWriteVirtualMemory, NtGetContextThread, CreateProcessW, have more...

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания на GitHub маскирует вредоносную нагрузку под законные инструменты, доставляя Lumma Stealer с помощью программы-перехватчика с именем Launch.exe. В ней используются такие методы, как внедрение процессов и дополнительная загрузка DLL-файлов, а также законные процессы Windows, позволяющие избежать обнаружения и обеспечить постоянство. Связь с сервером C2 через explorationmsn.store указывает на наличие ссылок на инфраструктуру Lumma Stealer, что свидетельствует о растущем злоупотреблении платформами для распространения вредоносных программ.
-----

Недавний анализ, проведенный CYFIRMA, выявил появляющуюся вредоносную кампанию, размещенную на GitHub, где хакеры маскируют вредоносные программы под законные инструменты, такие как "Бесплатный VPN для ПК" и "Средство смены скинов Minecraft". Основной полезной нагрузкой является вредоносная программа-дроппер под названием Launch.exe, которая использует различные методы, включая внедрение процессов, стороннюю загрузку библиотек DLL и скрытое выполнение, для доставки Lumma Stealer, вредоносного ПО для кражи информации. Вредоносная программа распространяется через репозитории GitHub с поддельными проектами, которые содержат подробные инструкции и защищенные паролем ZIP-файлы для обхода мер безопасности.

Вредоносная кампания использует DLL-файл с кодировкой Base64 и обфускацией, который динамически доставляется и выполняется в памяти. В рамках своей стратегии обхода вредоносное ПО использует легитимные процессы Windows, в частности MSBuild.exe и aspnet_regiis.exe, для обхода типичных средств контроля безопасности. Наличие бессмысленных метаданных сборки, которые не соотносятся ни с одним известным программным обеспечением или организацией, наводит на мысль об использовании разработчика вредоносного ПО для сокрытия его происхождения и уклонения от попыток обнаружения.

Технические индикаторы показывают, что вредоносная программа использует P/Invoke для вызова различных функций Windows API, позволяя выполнять такие вредоносные действия, как динамическая загрузка библиотек DLL и управление потоком выполнения. После выполнения Launch.exe вредоносная программа удаляет DLL-файл msvcp110.dll из каталога AppData пользователя и использует метод декодирования и маскировки его полезной нагрузки, скрывая данные Base64 за бессмысленным текстом. Вредоносный код предназначен для поддержания постоянства работы путем вызова нескольких функций Windows, которые облегчают выделение памяти и контроль над продолжением выполнения.

Примечательно, что вредоносная программа также пытается установить связь с сервером управления через домен explorationmsn.store, который демонстрирует шаблоны, соответствующие известной инфраструктуре Lumma Stealer. Эта кампания подчеркивает растущее злоупотребление такими платформами, как GitHub, для распространения вредоносных программ и подчеркивает необходимость усовершенствованных решений для мониторинга для обнаружения и предотвращения таких угроз. Было разработано соответствующее правило YARA, помогающее идентифицировать экземпляры программы Lumma Stealer, замаскированной под законное программное обеспечение, на основе определенных доменов и хэшей файлов.

Хакер, стоящий за этими кампаниями, остается неустановленным, что демонстрирует проблемы с установлением авторства и подчеркивает важность тщательного поиска угроз в средах с открытым исходным кодом для снижения рисков, связанных с такими APT.

#ParsedReport #CompletenessMedium
10-07-2025

Wing FTP Server Remote Code Execution (CVE-2025-47812) Exploited in the Wild

https://www.huntress.com/blog/wing-ftp-server-remote-code-execution-cve-2025-47812-exploited-in-wild

Report completeness: Medium

Threats:
Screenconnect_tool
Trojan:win32/ceprolad.a

Victims:
Wing ftp server users

CVEs:
CVE-2025-47812 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1055, T1059.001, T1059.003, T1059.004, T1070.004, T1071.001, T1105, T1190, T1204.002, T1219, have more...

IOCs:
File: 10
Path: 16
Url: 4
Command: 12
Domain: 1
IP: 5
Hash: 2

Soft:
Linux, macOS, Microsoft Defender, curl

Algorithms:
sha256

Functions:
hx

Languages:
powershell, lua, python

Platforms:
x86

SIGMA: Found

Links:
https://github.com/huntresslabs/threat-intel/blob/main/2025/2025-07/WingFTP\_CVE-2025-47812/sigma/windows\_susp\_command\_shell\_from\_wingftp\_process.yml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-47812 - критическая уязвимость в FTP-сервере Wing до версии 7.4.4, позволяющая внедрять Lua-код с помощью неправильной обработки нулевых байт при вводе имени пользователя, что потенциально может привести к удаленному выполнению кода. Злоумышленники используют это, создавая имена пользователей, которые манипулируют данными сеанса, но многие попытки были пресечены мерами безопасности. Организациям рекомендуется обновиться до версии 7.4.4, чтобы снизить риски.
-----

CVE-2025-47812 - это критическая уязвимость, обнаруженная в FTP-сервере Wing до версии 7.4.4, затрагивающая несколько платформ, включая Windows, Linux и macOS. Уязвимость возникает из-за неправильной обработки нулевых байт при вводе имени пользователя во время процесса аутентификации, в частности, через конечную точку loginok.html. Используя этот недостаток, злоумышленники могут внедрить Lua-код, что может привести к удаленному выполнению кода с правами root или системного уровня.

Вектор атаки начинается, когда злоумышленник вводит имя пользователя, содержащее нулевой байт (%00), что позволяет ему нарушить ожидаемую обработку строки имени пользователя. После нулевого байта они добавляют символы, которые интерпретируются как код Lua, который манипулирует объектными файлами сеанса, в которых обычно хранится информация о пользователе, такая как текущий каталог и IP-адрес. Эта полезная информация заканчивается комментарием для сохранения синтаксиса, что позволяет эффективно внедрять вредоносные команды Lua.

Чтобы успешно воспользоваться этой уязвимостью, злоумышленник должен пройти аутентификацию, используя либо действительные учетные данные учетной записи, либо, если это разрешено, анонимную учетную запись, для которой не требуется пароль. После аутентификации злоумышленник может запустить выполнение введенного Lua-кода, заставив приложение десериализовать объектные файлы сеанса с помощью дополнительных запросов.

Наблюдаемое поведение злоумышленников, использующих эту уязвимость, свидетельствует о некоторой неопытности, поскольку некоторые команды не удалось выполнить из-за неправильного синтаксиса или вмешательства защитника Microsoft. Например, злоумышленник попытался использовать команду curl для загрузки дополнительных полезных данных, включая установщик программного обеспечения для удаленного доступа (ScreenConnect), но неправильно настроил команду. Эта неправильная настройка подчеркивает трудности, с которыми сталкиваются менее опытные хакеры при попытках взлома. В ходе своей деятельности злоумышленники использовали различные методы, включая попытки запуска Powershell и использование маячков, но им часто мешали существующие механизмы безопасности.

По состоянию на начало июля 2025 года, хотя использование CVE-2025-47812 было отмечено по крайней мере в одной клиентской системе, организациям, использующим уязвимые версии FTP-сервера Wing, необходимо проявлять бдительность. Настоятельно рекомендуется обновить все установки до версии 7.4.4, чтобы снизить риск дальнейшего использования этой уязвимости. Эти события показывают, что, несмотря на усилия злоумышленников, эффективные меры безопасности по-прежнему могут препятствовать успешным попыткам использования.

#ParsedReport #CompletenessLow
11-07-2025

Pre-Auth SQL Injection to RCE - Fortinet FortiWeb Fabric Connector (CVE-2025-25257)

https://labs.watchtowr.com/pre-auth-sql-injection-to-rce-fortinet-fortiweb-fabric-connector-cve-2025-25257/

Report completeness: Low

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)

CVE-2025-25257 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059, T1059.006, T1071.001, T1105, T1190, T1505.003, T1565.001

IOCs:
File: 2

Soft:
MySQL

Functions:
SetHandler, UNHEX

Languages:
python

Links:
https://github.com/watchtowrlabs/watchTowr-vs-FortiWeb-CVE-2025-25257?ref=labs.watchtowr.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-25257 влияет на FortiWeb Fabric Connector, позволяя выполнять SQL-инъекцию через заголовок Authorization, что приводит к потенциальному удаленному выполнению команды (RCE) через инструкцию INTO OUTFILE в MySQL. Злоумышленники могут использовать скрипт Python в каталоге cgi-bin для выполнения команд, используя перехватчики конфигурации Python и разделенные на части полезные нагрузки с помощью UNHEX(), несмотря на ограничения на запись файлов.
-----

CVE-2025-25257 представляет собой уязвимость SQL-инъекции перед аутентификацией в FortiWeb Fabric Connector, позволяющую злоумышленникам манипулировать запросом MySQL с помощью специально созданных входных данных, передаваемых через заголовок Authorization. Уязвимая функция get_fabric_user_by_token встраивает управляемый пользователем ввод непосредственно в инструкцию MySQL, что делает ее уязвимой для методов SQL-инъекций, таких как classic ИЛИ 1=1.

Изучение возможностей SQL-инъекций приводит к возможности удаленного выполнения команд (RCE) за счет использования инструкции INTO OUTFILE в MySQL. Эта инструкция обычно ограничена правами доступа к файлам, поскольку она записывает файлы с привилегиями пользователя процесса MySQL — часто пользователя mysql. Существенным ограничением является то, что INTO OUTFILE требует, чтобы целевой файл не существовал заранее; в противном случае операция завершается неудачей, что создает проблему для злоумышленников.

Однако есть возможность использовать существующий файл Python в каталоге cgi-bin, который может быть запущен Apache как CGI-скрипт. Анализ строки shebang скрипта на Python показывает, что он работает под /bin/python при каждом обращении к нему. Эта модель выполнения позволяет использовать технологию, использующую специфичные для сайта настройки Python, поскольку она позволяет вставлять произвольные пути в путь поиска модуля Python. Создав файл .pth, наличие которого запускает выполнение встроенного кода Python, злоумышленник может использовать это для выполнения произвольных команд.

Несмотря на ограничение, согласно которому INTO OUTFILE разрешает запись только в новые файлы, обходной путь заключается в использовании функции UNHEX() в MySQL для обработки фрагментированных полезных данных. Этот метод позволяет злоумышленникам хранить полезную информацию в нескольких столбцах, где прямая запись в файл ограничена, а затем извлекать и выполнять эту полезную информацию. Однако отсутствие в MySQL поддержки перехода к исходящим файлам и относительным путям добавляет сложности. Вместо этого злоумышленники могут использовать текущий контекст рабочего каталога, из которого работает процесс MySQL, что позволяет им косвенно записывать полезные данные, которые могут выполняться в вышеупомянутой среде Python.

#ParsedReport #CompletenessLow
12-07-2025

Weekly Threat Infrastructure Investigation(Week27)

https://disconinja.hatenablog.com/entry/2025/07/12/161448

Report completeness: Low

Threats:
Cobalt_strike_tool
Brc4_tool
Sliver_c2_tool
Plugx_rat
Netsupportmanager_rat

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105

IOCs:
IP: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование выявило девять активных серверов C2 в Японии, включая многочисленные случаи сбоя Cobalt Strike, что указывает на продолжающиеся хакерские атаки и злоупотребление этим инструментом хакерами в злонамеренных целях.
-----

В ходе расследования, проведенного с 30 июня по 6 июля 2025 года, с помощью функции поиска Censys был проведен анализ использования инфраструктуры командования и контроля (C2) в Японии. Этот анализ выявил в общей сложности девять серверов C2, которые работали в течение этого периода. Примечательно, что расследование подтвердило, что на этих серверах были активны многочисленные экземпляры Cobalt Strike, что указывает на наличие этого хорошо известного инструмента тестирования на проникновение, который часто используется хакерами для совершения вредоносных действий. Идентификация этих серверов C2 свидетельствует о том, что в регионе постоянно действуют хакеры, что подчеркивает важность бдительности в отношении потенциального использования таких инфраструктур для организации атак.

#ParsedReport #CompletenessLow
12-07-2025

Evolving Tactics of SLOW#TEMPEST: A Deep Dive Into Advanced Malware Techniques

https://unit42.paloaltonetworks.com/slow-tempest-malware-obfuscation/

Report completeness: Low

Actors/Campaigns:
Slow_tempest

Threats:
Dll_sideloading_technique
Unicorn_tool

Geo:
Japan, Middle east, Australia, India, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1055.001, T1106, T1204.002, T1574.002

IOCs:
Hash: 3
File: 2

Soft:
DingTalk

Algorithms:
sha256

Functions:
Windows

Win API:
GlobalMemoryStatusEx

Languages:
python

Links:
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/emu\_call\_rax\_idapython.py
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/emu\_jmp\_rax\_idapython.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносного ПО, связанный с кампанией SLOW#TEMPEST, использует сложные методы обфускации, используя формат файла ISO, чтобы избежать обнаружения. В нем есть две вредоносные библиотеки DLL, одна из которых использует стороннюю загрузку DLL через DingTalk.exe. Вредоносная программа использует запутывание графика потока управления и косвенные вызовы функций, что усложняет традиционные методы обнаружения и подчеркивает необходимость использования передовых методов динамического анализа.
-----

В конце 2024 года был обнаружен вариант вредоносного ПО, связанного с кампанией SLOW#TEMPEST, который выявил сложные методы обфускации, используемые его авторами. Это вредоносное ПО распространяется в формате ISO-файла, что обычно используется для объединения нескольких компонентов, чтобы избежать первоначального обнаружения. ISO содержит 11 файлов, два из которых являются вредоносными: DLL-файл загрузчика с именем zlibwapi.dll, который расшифровывает и выполняет встроенную полезную нагрузку, и ipc_core.dll - целевой файл, содержащий фактическую полезную нагрузку, добавленную в конце. Библиотека DLL-загрузчика запускается с помощью метода, известного как боковая загрузка библиотеки DLL, при этом для загрузки вредоносной библиотеки DLL используется законный исполняемый файл с подписью DingTalk.exe. Такое отделение полезной нагрузки от загрузчика усложняет усилия по обнаружению, поскольку для выполнения вредоносного кода должны присутствовать оба компонента.

Вредоносная программа использует обфускацию графов потоков управления (CFG) для изменения порядка выполнения инструкций, что значительно затрудняет как статический, так и динамический методы анализа. Традиционные средства обнаружения, основанные на предсказуемом потоке управления, становятся неэффективными; злоумышленники скрывают вредоносные операции, вводя в заблуждение пути выполнения. В ходе анализа также было обнаружено, что вредоносная программа использует косвенные вызовы функций, при которых адреса функций динамически вычисляются во время выполнения, что усложняет идентификацию фактического вредоносного поведения во время статической оценки.

Эти эволюционирующие тактики подчеркивают острую необходимость для специалистов по безопасности использовать передовые методы динамического анализа, такие как эмуляция, параллельно с традиционным статическим анализом для эффективного выявления и понимания современных вредоносных программ. Как показала кампания SLOW#TEMPEST, такие методы обфускации усложняют обнаружение угроз и их устранение, что напрямую влияет на безопасность организации. Всестороннее понимание этих методов необходимо для разработки надежных правил обнаружения, которые могут противодействовать продвинутым вредоносным программам.

#ParsedReport #CompletenessLow
12-07-2025

Phishing Attack Targets Canadian Infrastructure on Canada Day

https://blog.cyberarmor.tech/phishing-attack-targets-canadian-infrastructure-on-canada-day/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Critical infrastructure personnel, Municipal services, Private contractors, Construction and engineering firms, Energy providers, Plumbing and hvac services, Infrastructure contractors

Industry:
Critical_infrastructure, Energy

Geo:
Canada, Canadian, Quebec

ChatGPT TTPs:
do not use without manual check
T1078, T1192, T1566.001

IOCs:
Domain: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на критически важную инфраструктуру Канады, использовала приманки в формате PDF для кражи учетных данных пользователей, что привело к компрометации почти 300 сотрудников в таких секторах, как энергетика и строительство. Атака повышает риски будущих серьезных угроз, включая программы-вымогатели и слежку, что подчеркивает необходимость проявлять бдительность во время национальных праздников.
-----

В День Канады киберпреступники запустили масштабную фишинговую кампанию, нацеленную на жизненно важные сектора канадской инфраструктуры, в частности на строительство, энергетику, сантехнику и коммунальные услуги. Эта атака была выявлена ранним утром и характеризовалась использованием приманки в формате PDF, предназначенной для сбора учетных данных электронной почты пользователей. Кампания включала в себя серию электронных писем, созданных с помощью социальных сетей, которые выдавали себя за уведомления об услугах, обновления учетной записи и запросы на вход в систему, чтобы обманом заставить пользователей предоставить конфиденциальную информацию.

Масштаб атаки был значительным: более 900 пользователей по всему миру стали жертвами кражи учетных данных, из которых почти 300, как было подтверждено, были из Канады. Среди этих людей были сотрудники критически важных инфраструктурных секторов, муниципальных служб и частных подрядчиков, что подчеркивало серьезность угрозы для всех основных служб. Среди уязвимых групп были строительные и инжиниринговые фирмы, отвечающие за региональное развитие, поставщики энергии, связанные с производством и распределением электроэнергии, а также службы сантехники и кондиционирования воздуха, имеющие решающее значение для поддержания эксплуатационной целостности зданий и общественных объектов.

Последствия такой скоординированной фишинговой кампании ужасны. Успешные взломы могут привести к несанкционированному доступу к внутренним системам, нарушению предоставления услуг и нарушению операций технического обслуживания. Кроме того, эта атака может подготовить почву для более серьезных угроз, включая внедрение программ-вымогателей, взлом цепочки поставок или масштабные операции по наблюдению за критически важными службами.

Этот инцидент подчеркивает настойчивый характер хакеров, предполагая, что злоумышленники используют национальные праздники для совершения своих атак. Таким образом, это подчеркивает необходимость постоянной бдительности и принятия упреждающих мер для защиты инфраструктуры от новых хакеров.

#ParsedReport #CompletenessHigh
12-07-2025

OCTALYN STEALER UNMASKED

https://www.cyfirma.com/research/octalyn-stealer-unmasked/

Report completeness: High

Threats:
Octalyn

Industry:
Entertainment

TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 6
Url: 1
Registry: 1
Hash: 7

Soft:
Telegram, Discord, Google Chrome, Chrome, Microsoft Edge, Opera, Windows shell, winlogon, Windows Registry, Instagram, have more...

Wallets:
metamask, tronlink

Crypto:
bitcoin, ethereum, litecoin, monero, binance

Algorithms:
zip, base64

Win API:
GetTempPathA, ShellExecuteA

Languages:
powershell, delphi

YARA: Found