#ParsedReport #CompletenessLow
21-07-2025

ToolShell: A SharePoint RCE chain actively exploited

https://www.varonis.com/blog/toolshell-sharepoint-rce

Report completeness: Low

Threats:
Toolshell_vuln
Sharppyshell_tool
Ysoserial_tool

Victims:
Organizations, Enterprises

Industry:
Military

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1078, T1105, T1133, T1190, T1505.003

IOCs:
File: 3
IP: 3
Hash: 6

Soft:
SharePoint Server, ASP.NET, Twitter

Functions:
It

Languages:
powershell

Links:
https://github.com/pwntester/ysoserial.net
https://github.com/antonioCoco/SharPyShell
https://github.com/kaizensecurity/CVE-2025-53770/tree/master
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ToolShell использует уязвимости в SharePoint (CVE-2025-49706 и CVE-2025-49704) для обеспечения несанкционированного доступа и удаленного выполнения кода без учетных данных. Злоумышленники манипулируют заголовком ссылки для загрузки веб-оболочек, извлечения конфиденциальных ключей и выполнения команд. Угроза усугубляется непатченными системами, особенно старыми версиями SharePoint, что требует немедленной установки исправлений и принятия мер безопасности.
-----

ToolShell представляет собой значительную цепочку эксплойтов, нацеленных на уязвимости SharePoint, что позволяет злоумышленникам получать доступ к корпоративным средам без проверки подлинности. Эта оперативная и масштабируемая угроза использует две известные уязвимости — CVE-2025-49706, которая обходит аутентификацию, и CVE-2025-49704, облегчающую запись произвольных файлов, что позволяет выполнять полный удаленный код без необходимости использования учетных данных. Кроме того, CVE-2025-53770, идентифицированный с помощью фаззинга, является вариантом, который расширяет возможности атаки, поскольку он остается не исправленным в более старых версиях SharePoint.

Основной механизм эксплойта заключается в манипулировании заголовком ссылки для получения доступа к критически важным страницам SharePoint. Используя CVE-2025-49706, злоумышленники могут обойти проверку подлинности. Впоследствии они могут использовать CVE-2025-49704 для загрузки вредоносных файлов, таких как веб-оболочки, в каталоги, подобные /LAYOUTS/15/. После развертывания злоумышленники отправляют HTTP-запросы на загруженную веб-оболочку .aspx, которая взаимодействует с сервером SharePoint для извлечения конфиденциальных криптографических ключей, включая validationKey и decryptionKey. С помощью этих ключей злоумышленники могут генерировать допустимые значения __VIEWSTATE для манипулирования обработкой SharePoint, потенциально выполняя произвольные команды, включая PowerShell.

Ситуация с угрозами усугубляется большим количеством незащищенных серверов SharePoint, выявленных с помощью Shodan и Censys, особенно тех, которые размещены на Windows Server 2016 или более ранних версиях. Эти системы очень уязвимы и стали основной мишенью из-за отсутствия на них последних обновлений для системы безопасности. Эксплойт ToolShell работает с низким уровнем обнаружения; как только злоумышленник установил веб-оболочку, он не осуществляет активного обмена исходящими данными, что сводит к минимуму риск обнаружения обычными системами безопасности. В результате злоумышленники могут получить постоянный доступ, не вызывая тревоги, что позволяет им глубже проникнуть в сеть организации.

Организации, в которых включен интерфейс проверки на наличие вредоносных программ (AMSI), могут подвергаться меньшему риску определенных вредоносных действий, связанных с этим эксплойтом, а среды, оснащенные решениями для обнаружения конечных точек и реагирования на них (EDR), могут обнаруживать аномалии, связанные с несанкционированными процессами или активностью веб-оболочки. Однако одних механизмов обнаружения недостаточно для устранения этой угрозы. Организациям, использующим SharePoint, необходимо своевременно вносить исправления в свои системы, особенно тем, кто все еще использует такие версии, как SharePoint Server 2016 или более ранние, поскольку их уязвимость возрастает.

Для обеспечения безопасности организации должны проводить ротацию ASP.NET вводим машинные ключи при подозрении на компрометацию и сканируем на наличие индикаторов компрометации (IOCs). В долгосрочной перспективе предстоящее прекращение поддержки готовых продуктов SharePoint в июле 2026 года требует активного подхода к устранению этих уязвимостей. Планирование миграции и усиление защиты от устаревающих инфраструктурных угроз будут иметь решающее значение, поскольку ожидается, что в будущем злоумышленники усилят свои атаки.

#ParsedReport #CompletenessMedium
22-07-2025

DeerStealer Malware Delivered Via Weaponized .LNK Using LOLBin Tools

https://cybersecuritynews.com/deerstealer-malware-delivered/

Report completeness: Medium

Threats:
Deerstealer
Lolbin_technique
Interlock

Industry:
Aerospace

Geo:
Iran

TTPs:

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1140, T1204.002, T1566.002

IOCs:
File: 3
Domain: 1
Hash: 2

Soft:
macos

Algorithms:
sha256, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания распространяет вредоносное ПО DeerStealer через .Файлы LNK, используя методы LoLBins, которые используют двоичные файлы Windows, такие как mshta.exe. Многоэтапная атака использует динамическое разрешение пути и кодирование, чтобы избежать обнаружения, демонстрируя сложную стратегию уклонения.
-----

Была выявлена новая фишинговая кампания, которая распространяет вредоносное ПО DeerStealer с помощью специальных файлов .LNK, используя метод, называемый LOLBin. Этот метод использует установленные двоичные файлы Windows, повышая способность вредоносного ПО обходить традиционные средства защиты. Вредоносная программа маскируется под PDF-документ, в частности, под названием "Report.lnk", и инициирует сложную многоэтапную атаку, которая включает в себя mshta.exe, легальный хостинг HTML-приложений Microsoft, в рамках своей реализации.

Цепочка выполнения атаки тщательно структурирована и состоит из пяти этапов: запускается с помощью файла .lnk, затем процесс расширяется с помощью mshta.exe, cmd.exe, PowerShell и, наконец, доставляет полезную нагрузку DeerStealer. Атака особенно примечательна тем, что в ней используется динамическое разрешение пути для mshta.exe, расположенного в каталоге System32. Он запускает этот исполняемый файл с флагами, которые следуют за запутанными строками Base64, используя сложный механизм декодирования символов, который обрабатывает пары символов, преобразует их из шестнадцатеричных в ASCII и использует командлет PowerShell Invoke-Expression (IEX) для создания исполняемых сценариев. Этот метод позволяет скрыть вредоносные операции до их выполнения, что делает инструменты статического анализа неэффективными.

Аналитики обратили внимание на сложность вредоносного ПО DeerStealer и его использование передовых методов уклонения, в частности, на использование метода MITRE ATT&CK T1218.005, который относится к неправильному использованию mshta.exe. Способность вредоносной программы динамически выполнять логику, сохраняя при этом постоянство, является неотъемлемой частью ее работы; она также использует легальный просмотрщик PDF-файлов (Adobe Acrobat) в качестве вводящего в заблуждение средства отвлечения от происходящих вредоносных действий. Эта кампания демонстрирует значительный прогресс в стратегиях доставки вредоносных программ, демонстрируя умение хакеров использовать широко используемые системные инструменты в неблаговидных целях.

#ParsedReport #CompletenessLow
22-07-2025

NET RFQ: Request for Quote Scammers Casting Wide Net to Steal Real Goods

https://www.proofpoint.com/us/blog/threat-insight/net-rfq-request-quote-scammers-casting-wide-net-steal-real-goods

Report completeness: Low

Threats:
Bec_technique

Victims:
Businesses, Corporations, Colleges, Small to midsized city governments

Industry:
Transport, Government, Financial, Education, Healthcare

Geo:
Ghana, African, Nigeria

ChatGPT TTPs:
do not use without manual check
T1078, T1566.001, T1566.002, T1584.001, T1585.001, T1586

IOCs:
Domain: 89
File: 4

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенники, участвующие в запросах предложений, используют финансирование поставщиков для кражи дорогостоящих товаров, в частности электроники, часто используя украденную корпоративную информацию, чтобы выдавать себя за законных поставщиков. Мошенники запрашивают котировки и используют фишинговые схемы для получения конфиденциальных бизнес-данных, в конечном итоге приобретая товары под надуманным предлогом, обычно ориентируясь на развивающиеся регионы. Доставка осуществляется через посредников, а мулы участвуют в распределении украденных товаров.
-----

Мошенничество с запросами ценовых предложений (RFQ) развивается с целью использования возможностей финансирования поставщиков, в частности, с использованием чистых условий финансирования (15, 30, 45 дней) для облегчения кражи дорогостоящих товаров, преимущественно электроники. В таких аферах, как правило, участвуют мошенники, выдающие себя за агентов по закупкам для законных предприятий или организаций, использующие украденную или общедоступную корпоративную информацию для повышения доверия. Участники создают убедительные электронные письма с персонализированными подписями, имитирующими реальный корпоративный бренд, часто ориентируясь на специализированные отрасли, которые размещают конкретные заказы.

Мошенники вступают в контакт, запрашивая цены на продукты, а затем используют эти взаимодействия для внедрения вредоносных программ или фишинговых схем. После получения положительного ответа они часто инициируют запрос на чистое финансирование, который включает предоставление конфиденциальной деловой информации, такой как идентификационный номер работодателя (EIN) и номер DUNS, либо запрашивают подтверждающие документы для обработки. Их конечная цель - обеспечить сохранность товаров под предлогом оплаты в оговоренные сроки, при этом заказчиков часто просят доставить оборудование, которое считается законным и пользуется большим спросом в развивающихся регионах.

Оперативная структура таких мошенников, как правило, включает в себя сеть экспедиторских служб и мулов, которые облегчают получение и перераспределение украденных товаров. Сотрудничая с известными посредниками по доставке, мошенники часто отправляют товары в такие страны, как Нигерия и Гана, пользуясь преимуществами местных служб, но подвергая риску целостность отправлений. Вовлеченность мулов различна; некоторые из них могут быть невольными участниками, в то время как другие являются активными соучастниками, мотивированными личными финансовыми потребностями или связями с преступниками.

Постоянные усилия по отслеживанию и устранению нарушений, включая успешное удаление доменов, свидетельствуют о продолжающейся борьбе исследователей в области кибербезопасности с этими мошенническими предложениями. Критически важным для снижения рисков, связанных с этими мошенничествами, является бдительность при проверке законности запросов на финансирование. Организациям настоятельно рекомендуется проявлять осторожность в отношении срочных финансовых запросов, проверять адреса доставки и подтверждать законность заявлений по прямым каналам связи. Важно тщательно проверять источники электронной почты на предмет подлинности и выявлять любые несоответствия, которые указывают на мошеннические действия.

#ParsedReport #CompletenessLow
22-07-2025

PoisonSeed downgrading FIDO key authentications to fetch user accounts

https://expel.com/blog/poisonseed-downgrading-fido-key-authentications-to-fetch-user-accounts/

Report completeness: Low

Actors/Campaigns:
Poisonseed

Threats:
Aitm_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1111, T1556.003, T1557.002, T1566.001

IOCs:
Domain: 2

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют уязвимости в аутентификации по ключу FIDO с помощью фишинговых атак, в которых используется технология "злоумышленник посередине" (AitM), заставляя пользователей сканировать QR-код на мошенническом сайте после того, как они введут свои учетные данные. Эти инциденты показывают, что злоумышленники могут манипулировать протоколами безопасности FIDO, подчеркивая необходимость в усиленных мерах защиты, таких как требование подключения по Bluetooth для снижения рисков AitM.
-----

Недавние события в области кибербезопасности выявили тревожный метод, используемый злоумышленниками для обхода аутентификации по ключу FIDO, особенно при фишинговых атаках. В ходе атаки используются функции входа с разных устройств, предназначенные для повышения удобства пользователей. В этих инцидентах злоумышленники используют стратегию "противник посередине" (AitM), обманом заставляя жертв сканировать QR-код, появляющийся после ввода их учетных данных на поддельной странице входа в систему.

В одном из зарегистрированных случаев злоумышленник выдавал себя за законную организацию с помощью фишингового электронного письма, перенаправляя пользователей на мошеннический сайт, имитирующий знакомый процесс входа в систему. Пользователи, вводящие свои имена пользователей и пароли, выдают украденные учетные данные; однако ключи FIDO, которые требуют двухфакторной аутентификации, изначально препятствуют атаке из-за необходимости использования второго физического фактора. Проблема возникает после входа в систему, когда фишинговый сайт передает учетные данные на фактический портал для входа в систему, а затем генерирует QR-код, который жертва может отсканировать с помощью приложения MFA authenticator. Эта проверка с помощью QR-кода позволяет злоумышленнику получить незаконный доступ, эффективно снижая уровень безопасности, обеспечиваемый ключами FIDO.

Расследование этой атаки показало, что фишинговый механизм заманивал пользователей в ловушку через авторитетные платформы, такие как Cloudflare, создавая обманчивое ощущение безопасности. К счастью, в данном конкретном случае после перехвата процесса аутентификации не было обнаружено никаких серьезных вредоносных действий, которые вызвали бы рекомендуемые действия, такие как проверка устройств аутентификации, сброс паролей и завершение активных сеансов.

В другом инциденте другая атака использовала процесс аутентификации FIDO еще более прямым образом. В данном случае злоумышленник предположительно сбросил пароль жертвы и зарегистрировал ее собственный ключ FIDO без сложного обмана, характерного для фишинга. Это продемонстрировало тревожащую легкость, с которой злоумышленники могли манипулировать безопасностью учетной записи, обходя традиционные меры предосторожности.

Несмотря на то, что эти инциденты выявляют значительные уязвимости в протоколах безопасности FIDO key, они также подчеркивают постоянную необходимость таких мер аутентификации. Было предложено, чтобы организации включали дополнительные функции защиты, например, требовали подключения Bluetooth между устройством MFA и устройством, пытающимся выполнить вход в систему. Эта корректировка может значительно снизить риск AitM-атак, когда злоумышленники в противном случае могли бы воспользоваться учетными данными пользователя с помощью этого нового метода.

Меняющаяся тактика угроз кибербезопасности иллюстрирует продолжающуюся гонку вооружений между атакующими и обороняющимися, при которой цикл ужесточения мер безопасности продолжается по мере того, как обе стороны адаптируются к возникающим угрозам. Тщательное изучение поведения и инструментов, используемых для защиты учетных записей, включая ключи FIDO, имеет важное значение, поскольку парадигма MFA и безопасных методов использования паролей продолжает подвергаться сомнению в цифровом мире.

#ParsedReport #CompletenessMedium
21-07-2025

SharePoint ToolShell \| Zero-Day Exploited in-the-Wild Targets Enterprise Servers

https://www.sentinelone.com/blog/sharepoint-toolshell-zero-day-exploited-in-the-wild-targets-enterprise-servers/

Report completeness: Medium

Threats:
Toolshell_vuln
Credential_harvesting_technique
Watering_hole_technique

Industry:
Critical_infrastructure

Geo:
Berlin

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1055.004, T1059.001, T1071.001, T1105, T1190, T1505.003

IOCs:
File: 6
Path: 2
Command: 1
IP: 3
Hash: 3

Soft:
Microsoft SharePoint, SharePoint Server, ASP.NET

Algorithms:
sha1, base64, sha512

Functions:
Set-Content

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Корпорация Майкрософт обнаружила уязвимость сроком действия 0 дней в серверах SharePoint (CVE-2025-53770), которая активно использовалась для получения привилегированного доступа через взломанную страницу управления. Злоумышленники использовали пользовательскую веб-оболочку ASPX и разведывательную полезную нагрузку spinstall0.aspx для сбора криптографических материалов. В ходе продолжающихся попыток взлома были отмечены такие методы, как доставка PowerShell и выполнение без использования файлов, что подчеркивает необходимость немедленного исправления и усиления мер безопасности.
-----

19 июля корпорация Майкрософт обнаружила уязвимость продолжительностью 0 дней в локальных серверах Microsoft SharePoint, идентифицированную как "ToolShell" с идентификатором CVE-2025-53770. Эта уязвимость активно используется в дикой природе, наряду со связанным с ней обходным путем, обозначенным как CVE-2025-53771. Уязвимости были связаны с ранее исправленными ошибками (CVE-2025-49704 и CVE-2025-49706), которые были первоначально обнаружены в Pwn2Own Berlin и включены в цепочку атак с удаленным выполнением кода (RCE). Исследователи настоятельно рекомендовали немедленно внести исправления, а также принять дополнительные меры безопасности, такие как включение обнаружения AMSI и изоляция общедоступных серверов SharePoint.

17 июля SentinelOne впервые обнаружила попытки взлома, связанные с ToolShell, что свидетельствует о продолжающейся деятельности, нацеленной на крупные организации в сфере технологического консалтинга, производства и инфраструктуры. Злоумышленник воспользовался страницей управления SharePoint (/ToolPane.aspx), что указывает на возможность уязвимости получить привилегированный доступ. После этого была развернута пользовательская веб-оболочка ASPX, защищенная паролем, с именем "xxx.aspx", позволяющая злоумышленнику выполнять команды в среде. Примечательно, что 18 и 19 июля произошли две волны использования, кульминацией которых стала постоянная полезная нагрузка под названием spinstall0.aspx. Этот файл функционирует не как стандартная командная веб-оболочка, а как утилита разведки и сохранения данных, предназначенная для сбора криптографических материалов, которые могут облегчить дальнейшее использование, например, подделку токенов аутентификации.

Первая волна разработки использовала PowerShell для доставки полезной нагрузки, а сценарий в кодировке base64 был декодирован в каталог МАКЕТОВ SharePoint. Вторая волна также была нацелена на предоставление spinstall0.aspx с небольшими отличиями в промежуточных сценариях. Интересно, что в третьем обнаруженном кластере активности, получившем название "без оболочки", использовались передовые методы, включая выполнение без использования файлов. Этот кластер работал без создания постоянных веб-оболочек, используя выполнение модуля .NET в памяти, что значительно усложняет обнаружение и реагирование. Все действия из этого кластера происходили с одного IP-адреса, что указывает на целенаправленные усилия, вероятно, опытных хакеров, нацеленных на скрытый доступ и сбор учетных данных.

Использование уязвимостей SharePoint иллюстрирует тенденцию, проявляющуюся среди злоумышленников, которые извлекают выгоду из незащищенных систем и используют итеративную разработку эксплойтов. Серверы SharePoint, на которых хранятся критически важные данные организации, являются привлекательными объектами для злоумышленников не только из-за их непосредственного хранения, но и из-за их потенциального использования для проведения дальнейших внутренних атак. Это подчеркивает острую необходимость соблюдения организациями строгих правил безопасности в своих средах SharePoint.

#ParsedReport #CompletenessLow
22-07-2025

Beware of RokRAT malware distribution using malicious Hangul (.HWP) documents

https://asec.ahnlab.com/ko/89116/

Report completeness: Low

Threats:
Rokrat
Dll_sideloading_technique
Spear-phishing_technique

Geo:
North korea, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1105, T1203, T1204.002, T1566.001, T1574.002

IOCs:
File: 11
Hash: 4

Soft:
ShellRunas, Dropbox

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа RokRAT теперь распространяется через документы на языке Хангыль (HWP), используя соблазнительные ссылки для запуска программы ShellRunas.exe, которая загружает credui.библиотека dll для установки вредоносного ПО. Этот сложный метод усиливает усилия социальной инженерии, подчеркивая необходимость усовершенствованных мер обнаружения.
-----

Недавний анализ, проведенный аналитическим центром безопасности AhnLab (ASEC), выявил изменения в методе распространения вредоносного ПО RokRAT, которое теперь распространяется с помощью документов на языке хангыль (HWP) вместо ранее распространенной тактики с использованием файлов быстрого доступа (LNK). Это изменение направлено на снижение скептицизма пользователей, поскольку документы, замаскированные под безобидные отчеты о продажах зерна в Северной Корее, публикуются под такими названиями, как "250615_ Статус работы офиса продаж зерна".

Внутри документа пользователи обнаруживают гиперссылку с надписью "Ссылка на приложение material.docx". При нажатии на эту ссылку запускается окно предупреждения, в котором пользователю предлагается запустить файл с именем ShellRunas.exe, который находится в каталоге %TEMP%. Примечательно, что ShellRunas.exe встроен в документ в виде OLE-объекта, который процесс Hangul автоматически генерирует в папке %TEMP% пользователя при обращении к соответствующей странице документа.

В дополнение к ShellRunas.exe, документ также содержит второй OLE-объект, связанный с credui.dll, который аналогичным образом генерируется в каталоге %TEMP%. Выполнение ShellRunas.exe, легитимного исполняемого файла, подписанного сертификатом Microsoft, облегчает загрузку вредоносного credui.библиотека dll использует метод, известный как боковая загрузка библиотеки DLL. Этот подход позволяет злоумышленнику выполнить вредоносный код под видом доверенного приложения. После запуска credui.библиотека dll загружает из Dropbox измененный файл изображения с именем Father.jpg. Хотя изображение выглядит безобидным, в нем скрыт шелл-код, который внедряет вредоносную программу RokRAT в память.

RokRAT - это мощная вредоносная программа, способная извлекать пользовательские данные и выполнять различные команды по указанию злоумышленника. Развивающаяся тактика распространения RokRAT, которая использует социальную инженерию с помощью, казалось бы, невинных ссылок на документы, подчеркивает необходимость повышенной бдительности и внедрения эффективных мер обнаружения для противодействия этим сложным угрозам.

#ParsedReport #CompletenessLow
22-07-2025

Beware of malicious LNK distribution that steals information by disguising the card company's security email authentication window

https://asec.ahnlab.com/ko/89126/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1005, T1055.002, T1056.001, T1059.001, T1105, T1170, T1204.001, T1204.002, T1218.011, T1566.001, have more...

IOCs:
Path: 2
File: 4
Hash: 5
Url: 3
Domain: 1

Soft:
chrome, chrome, opera, firefox, outlook

Algorithms:
md5

Languages:
powershell