#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый хакер использует вредоносные файлы LNK, которые выдают себя за электронные письма для проверки подлинности по системе безопасности, используя динамически загружаемые библиотеки DLL для кейлоггинга и кражи информации. Атака начинается с того, что HTML-файл создает вредоносную библиотеку DLL (sys.dll), запускаемую с помощью rundll32.exe, которая загружает дополнительные библиотеки DLL, которые функционируют как инфокрады и вредоносные программы-бэкдоры. Это отражает эволюцию тактики социальной инженерии, направленной на то, чтобы обманом заставить пользователей запускать вредоносные файлы.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил о новом методе хакерской атаки, использующем вредоносные файлы LNK, которые выдают себя за защищенные окна аутентификации по электронной почте от компаний-эмитентов кредитных карт. Эти файлы LNK созданы таким образом, чтобы они напоминали законные названия финансовых учреждений, а разработанная стратегия кражи информации позволила отказаться от использования сценариев PowerShell, которые использовались ранее. Вместо этого атака теперь использует динамически загружаемые DLL-файлы, что расширяет возможности ведения кейлоггинга и сбора пользовательской информации при выполнении файлов-приманок для маскировки своих злонамеренных намерений.

Вредоносные действия начинаются при запуске HTML-файла, который, в свою очередь, создает вредоносную библиотеку DLL, идентифицируемую как sys.dll, и текстовый файл с именем user.txt, содержащий URL-адрес для загрузки дополнительных полезных файлов. После его создания sys.dll выполняется с помощью rundll32.exe, что приводит к развитию атаки. Затем он загружает три дополнительных DLL-файла (app, net, notepad.log), как указано в user.txt, процесс выполняется с помощью рефлексивного метода. Этот метод заключается во внедрении библиотеки DLL приложения непосредственно в запущенный процесс, такой как chrome.exe, что позволяет вредоносному ПО скрытно работать, загружая библиотеку DLL непосредственно в память, что позволяет обойти многие традиционные механизмы обнаружения.

Загруженные DLL-файлы выполняют различные функции: app и net служат в качестве вредоносных программ Infostealer, которым поручено тайно собирать конфиденциальную пользовательскую информацию, в то время как notepad.log выполняет функцию вредоносного ПО с черным ходом, вероятно, обеспечивая несанкционированный удаленный доступ к скомпрометированным системам. Распространение этих вредоносных файлов LNK, часто замаскированных под безопасные документы или электронные письма, свидетельствует о продолжающемся развитии тактики социальной инженерии, направленной на то, чтобы обманом заставить пользователей запускать вредоносные файлы. Сложность вектора атаки вызывает опасения, особенно в связи с тем, что все чаще происходит выдача себя за авторитетные организации. Поэтому пользователям рекомендуется проявлять повышенную осторожность в отношении этих угроз, учитывая обманчивый характер этих вредоносных действий, которые провоцируют непреднамеренное выполнение вредоносного программного обеспечения.

#ParsedReport #CompletenessHigh
22-07-2025

#StopRansomware: Interlock

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a

Report completeness: High

Threats:
Interlock
Kerberoasting_technique
Clickfix_technique
Rhysida
Lumma_stealer
Darkgate
Cobalt_strike_tool
Systembc
Interlockrat
Nodesnake
Berserkstealer
Anydesk_tool
Putty_tool
Azcopy_tool
Screenconnect_tool
Fakecaptcha_technique
Process_injection_technique
Fortra_tool

Victims:
Business, Critical infrastructure sectors, Universities

Industry:
Government, Critical_infrastructure, Education, Healthcare

Geo:
America

TTPs:
Tactics: 13
Technics: 25

IOCs:
File: 12
Command: 1
Hash: 38

Soft:
Linux, Tor browser, Google Chrome, Microsoft Edge, Windows Registry, Chrome, WinSCP, ESXi, macOS, PSExec, have more...

Crypto:
bitcoin

Algorithms:
sha1, sha256, base64, aes

Functions:
Get-Service, Get-PSDrive, remove

Languages:
powershell

Platforms:
cross-platform

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock нацелена на предприятия Северной Америки и Европы, используя модель двойного вымогательства с загрузкой с места происшествия и социальной инженерией для получения первоначального доступа. Он использует PowerShell для обеспечения сохраняемости, перехватывает учетные данные и шифрует данные с помощью AES и RSA, оставляя файлы с расширением .interlock. Вредоносная программа поражает как Windows, так и Linux, используя передовые методы фильтрации и подчеркивая важность строгих мер безопасности.
-----

Версия программы-вымогателя Interlock впервые появилась в конце сентября 2024 года и была нацелена на предприятия и критически важную инфраструктуру в Северной Америке и Европе. Отличающаяся оппортунистическими и финансово мотивированными атаками, Interlock использует модель двойного вымогательства, которая включает в себя как утечку данных, так и шифрование системы. Первоначальные методы доступа нетипичны для программ-вымогателей, в основном они включают в себя загрузку с взломанных веб-сайтов и метод социальной инженерии ClickFix, который обманом заставляет пользователей запускать вредоносные скрипты под предлогом устранения неполадок в их системах.

Получив доступ, эти злоумышленники развертывают сценарии PowerShell, которые могут обеспечить постоянство, изменяя конфигурации запуска Windows и регистрируя ключи. Примечательно, что эти сценарии могут маскировать вредоносные действия, используя законные имена файлов, тем самым избегая обнаружения. Установив точки соприкосновения, злоумышленники используют устройства для кражи учетных данных и кейлоггеры для сбора конфиденциальной информации о пользователях и учетных данных для входа в систему, что может облегчить перемещение по сети жертвы, используя такие методы, как протокол удаленного рабочего стола (RDP). Такие инструменты, как Cobalt Strike и SystemBC, используются для командования и контроля операций.

Шифрование происходит после фильтрации данных с использованием комбинации алгоритмов Advanced Encryption Standard (AES) и Rivest-Shamir-Adleman (RSA), в результате чего жертвы получают файлы с расширениями .interlock или .1nt3rlock. Механизм, лежащий в основе шифрования, включает в себя исполняемые файлы, которые могут самоуничтожаться, что затрудняет восстановление. Кроме того, программа-вымогатель Interlock использует сложные методы эксфильтрации с помощью таких инструментов, как AzCopy, нацеленных на учетные записи хранилища Microsoft Azure, наряду с традиционными средствами передачи файлов.

Вредоносная программа предназначена для работы как в среде Windows, так и в среде Linux, и обладает особыми возможностями шифрования виртуальных машин, а в будущем, возможно, и более широких систем. Угроза усугубляется тем, что авторы могут использовать методы Kerberoasting для взлома учетных записей администраторов, повышая тем самым свои привилегии доступа. Организациям настоятельно рекомендуется внедрять многофакторную аутентификацию, поддерживать современные системы, сегментировать сети и использовать надежные средства обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с программами-вымогателями Interlock. В рекомендациях подчеркивается важность своевременного уведомления соответствующих органов о случаях использования программ-вымогателей.

#ParsedReport #CompletenessLow
22-07-2025

Cato CTRL Threat Research: Investigation of RMM Tools Leveraged by Ransomware Gangs in Real-World Incidents

https://www.catonetworks.com/blog/cato-ctrl-investigation-of-rmm-tools/

Report completeness: Low

Threats:
Hunters_international
Anydesk_tool
Screenconnect_tool
Medusa_ransomware
Simplehelp_tool
Living_off_ai_technique
Bloodhound_tool

Victims:
Manufacturing organization, Construction organization, Non-profit organization

Industry:
Military, Education, Healthcare

ChatGPT TTPs:
do not use without manual check
T1021, T1047, T1053, T1059.001, T1078, T1102, T1105, T1136, T1210, T1219, have more...

Soft:
PDQ Deploy

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструменты RMM все чаще становятся мишенью программ-вымогателей из-за их легитимности и возможностей доступа, позволяющих осуществлять первоначальный доступ, сохранение и эксфильтрацию данных в обход мер безопасности. В ходе известных инцидентов такие группы, как Hunters International, использовали AnyDesk для длительного доступа, а Medusa использовала вредоносные установки для проникновения. Организациям следует усилить мониторинг и контроль доступа, чтобы смягчить эти возникающие угрозы.
-----

Инструменты RMM все чаще становятся мишенью банд вымогателей из-за их надежного статуса и функциональных возможностей. Расследования выявили злоупотребления инструментами RMM, такими как AnyDesk и ScreenConnect, в ходе кампаний по вымогательству в период с конца 2024 по начало 2025 года. Эти инструменты использовались для первоначального доступа, сохранения данных, перемещения по сети и утечки данных из сети в обход традиционных мер безопасности. Инструменты RMM работают аналогично RATs, что затрудняет обнаружение вредоносных действий, которые могут выглядеть как законные ИТ-операции. Группы программ-вымогателей предпочитают коммерческие RMM из-за их модульной конструкции и законного использования, что помогает избежать обнаружения. В третьем квартале 2024 года Международная группа Hunters использовала AnyDesk и ScreenConnect для обеспечения доступа, прежде чем совершить атаку на производственную компанию в Великобритании. В четвертом квартале 2024 года Medusa group использовала вредоносную программу установки ScreenConnect против строительной фирмы из США для внутренней разведки. В первом квартале 2025 года одна некоммерческая организация в США была взломана неустановленной группой, использующей SimpleHelp и AnyDesk для перемещения по сети. Анализ включал тесты сетевого поведения инструментов RMM для выявления уникальных моделей трафика, указывающих на несанкционированное использование. Организациям рекомендуется внедрять надежные средства оперативного контроля, отслеживать использование RMM, обеспечивать безопасный доступ с помощью строгой аутентификации и улучшать механизмы обнаружения поведенческих нарушений. Этот подход направлен на то, чтобы отличать законное управление от потенциально вредоносных действий, улучшая защиту от вторжений на основе RMM.

#ParsedReport #CompletenessLow
22-07-2025

How to protect yourself from Toolshell-Critical Zero-Day chains in Microsoft Sharepoint

https://rt-solar.ru/solar-4rays/blog/5721/

Report completeness: Low

Threats:
Toolshell_vuln
Proxylogon_exploit

Geo:
Russian

CVEs:
CVE-2025-49701 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20424, 2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49703 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021, 2024)
- microsoft sharepoint_server (2016, 2019)
- microsoft word (2016)
have more...
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


IOCs:
Path: 4
File: 3
IP: 14
Hash: 1

Soft:
Microsoft Sharepoint, SharePoint server

Platforms:
x64

#ParsedReport #CompletenessMedium
22-07-2025

Lookout Discovers Iranian APT MuddyWater Leveraging DCHSpy During Israel-Iran Conflict

https://www.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Faraja

Threats:
Dchspy
Sandstrike
Metasploit_tool
Androrat_rat
Ahmyth_rat
Bouldspy
Guardzoo_tool
Spymax

Victims:
Activists, Journalists, Government entities, Private entities, Enemy soldiers, Assad's forces, Baháʼí practitioners

Industry:
Software_development, Government, Telco, Petroleum, Financial

Geo:
Iranian, Syria, Asia, Canada, America, Iranians, Iran, Africa, Middle east, Romania, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1059.006, T1071.001, T1105, T1204.002, T1402, T1409, T1412, have more...

IOCs:
Url: 15
Hash: 7
Domain: 1

Soft:
StarLink, Android, WhatsApp, Telegram, HideVPN, EarthVPN

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lookout обнаружил новые образцы DCHSpy, инструмента слежки за Android от иранской группы MuddyWater, который собирает конфиденциальные данные и маскируется под законные приложения. Распространение вредоносного ПО в основном происходит через вредоносные URL-адреса на платформах обмена сообщениями, используя социально-политические настроения. Скомпрометированные данные шифруются и загружаются на сервер C2 с использованием протокола SFTP, что свидетельствует о передовой тактике работы.
-----

Компания Lookout обнаружила четыре новых образца DCHSpy, программного обеспечения для слежки за Android, которое использовалось иранской группой кибершпионажа MuddyWater вскоре после эскалации израильско-иранского конфликта. DCHSpy, предположительно разработанный и поддерживаемый MuddyWater, собирает различные конфиденциальные данные с зараженных устройств, включая данные WhatsApp, SMS-сообщения, журналы вызовов, контакты, файлы, данные о местоположении, а также может записывать аудио и изображения с помощью микрофона и камеры устройства. Эта вредоносная программа особенно примечательна своей способностью маскироваться под законные приложения, такие как VPN и банковские приложения, чтобы заманивать цели.

Группа MuddyWater связана с Министерством разведки и безопасности Ирана (MOIS) и нацелена на широкий круг организаций в различных секторах, включая телекоммуникации, местное управление, оборону и энергетику, в таких регионах, как Ближний Восток, Азия и Северная Америка. Возрождение DCHSpy, по-видимому, совпало с сохраняющейся геополитической напряженностью, демонстрируя способность MuddyWater разрабатывать и внедрять передовые инструменты наблюдения с новыми функциями, такими как возможность извлечения конкретных файловых данных, представляющих интерес.

Что касается распространения, то DCHSpy в основном распространяется через вредоносные URL-адреса, размещаемые на популярных платформах обмена сообщениями, таких как Telegram. Исследователи заметили, что в последних версиях DCHSpy используются запутанные темы и языки, которые привлекают несогласных в Иране, используя социально-политические настроения для увеличения числа пользователей. Вредоносное ПО было обнаружено в приложениях, которые выдают себя за VPN-сервисы, такие как EarthVPN и ComodoVPN, особенно в те моменты, когда в Иране продвигаются законные сервисы, такие как Starlink, для обхода интернет-цензуры.

Как только данные с зараженного устройства оказываются скомпрометированными, они шифруются и загружаются на сервер управления (C2) с использованием протокола безопасной передачи файлов (SFTP). Эта инфраструктура указывает на сложную операцию, аналогичную другой вредоносной программе для Android, SandStrike, которая, как сообщалось ранее, использовалась против практикующих Бахаи.

MuddyWater уже много лет использует различные семейства мобильных вредоносных программ для слежки. Lookout отслеживает около 17 различных типов мобильных вредоносных программ, связанных как минимум с 10 иранскими точками доступа (APT). Эти последние образцы DCHSpy свидетельствуют о продолжающемся совершенствовании возможностей иранского программного обеспечения для слежки, особенно в связи с ростом политических волнений в регионе. Lookout продолжает внимательно следить за деятельностью MuddyWater и информировать своих клиентов о любых значительных изменениях в этой области.

#ParsedReport #CompletenessLow
22-07-2025

CVE-202553770/TOOLSHELL: HUNTING DOWN THE ATTACKER TECHNIQUES &VICTIMS

https://theravenfile.com/2025/07/22/cve-2025-53770-toolshell-hunting-down-the-attacker-techniques-victims/

Report completeness: Low

Actors/Campaigns:
Arcanedoor

Threats:
Toolshell_vuln
Barracuda_tool

Victims:
Microsoft sharepoint users

Geo:
Ireland, Iran, Greece, Germany, Russia

CVEs:
CVE-2025-53700 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1036, T1070.004, T1071.001, T1090.002, T1105, T1210, T1497.003, T1562.001

IOCs:
Coin: 1
Hash: 5
File: 6
IP: 11

Soft:
Twitter, Microsoft SharePoint Server, Microsoft SharePoint, Sharepoint Server, Chrome, Microsoft Edge, Chromium

Algorithms:
md5, sha256, ecdsa, base64

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Использование уязвимости десериализации CVE-2025-53770 в Microsoft SharePoint Server широко распространено, особенно в Иране и других регионах. Злоумышленники используют измененные файлы журналов для маскировки вредоносных действий и используют процессы Microsoft Edge для тактики уклонения, используя при этом надежные службы для управления.
-----

В статье рассматривается продолжающаяся эксплуатация критической уязвимости десериализации, идентифицированной как CVE-2025-53770, для локального сервера Microsoft SharePoint Server. Эта уязвимость активно используется в реальных атаках, что заставляет корпорацию Майкрософт временно принимать меры по ее устранению, пока разрабатывается полное исправление. Анализ показывает значительное распространение уязвимых систем в Иране, за которым следуют Соединенные Штаты, Ирландия, Германия и Россия. Примечательно, что Греция стала пятым регионом, наиболее подверженным влиянию конкретной версии SharePoint (16.0.0.17928), которая была выпущена в июне 2025 года.

Ключевой аспект эксплойта заключается в том, что хакеры используют вредоносные файлы, такие как измененный файл журнала (MD5: bd3d4d19c81f11175d7f43234d3dc8d8), чтобы обойти механизмы обнаружения. Этот файл связан с протоколом клиентских обновлений Google (CUP), используемым Chrome и другими приложениями Google для проверки обновлений и синхронизации времени. Злоумышленники манипулировали этим трафиком, используя его в качестве приманки, чтобы чередовать вредоносные действия с законными сетевыми запросами, эффективно маскируясь под безобидные.

При изучении цепочки эксплойтов анализ выявил злоупотребление служебными процессами Microsoft Edge, выделив три различные роли, которые эти процессы играют в атаке. К ним относятся запуск фоновых служб с отключенной "изолированной системой" для обеспечения операций высокого уровня и обход брандмауэра и прокси-фильтров путем имитации действий браузера. В частности, это включает в себя ручной вызов аварийной телеметрии Chromium, чтобы скрыть сообщения об ошибках и манипулировать средами выполнения, особенно в защищенных или изолированных контекстах. Такое поведение соответствует общепризнанной тактике уклонения и имитации, наблюдаемой в продвинутых платформах после эксплуатации.

В ходе расследования была выявлена инфраструктура, используемая злоумышленниками, которая в основном опирается на авторитетные сервисы, такие как Microsoft, Google Cloudflare, Akamai и Fastly, для связи командования и контроля. Однако в нем также указывается, что G-Core Labs является необычным хостинг-провайдером, участвовавшим в предыдущих кампаниях по использованию уязвимостей нулевого дня против Barracuda и ArcaneDoor. Подход злоумышленников отражает использование устаревших вредоносных компонентов, что указывает на предпочтение устоявшихся методов обхода современных технологий обнаружения. Кроме того, серверы VULTR упоминаются в качестве хостинга для вредоносных эксплойтов, что подчеркивает разнообразие инфраструктуры, используемой для их работы. В целом, анализ дает критическую информацию о динамике эксплойтов и методах работы задействованных хакеров.

#ParsedReport #CompletenessLow
22-07-2025

New version of ACRStealer is in circulation with active modifications

https://asec.ahnlab.com/ko/89115/

Report completeness: Low

Threats:
Acr_stealer
Heavens_gate_technique
Amatera_stealer

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1071.004, T1095, T1105, T1119

IOCs:
IP: 6
Hash: 5

Soft:
Steam, chrome

Algorithms:
rc4, base64, md5, cbc, aes-256, aes

Win API:
NtCreateFile, NtDeviceIoControlFile

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ACRStealer - это вредоносная программа-похититель информации, действующая с начала 2023 года, использующая Google Docs и Steam для обмена данными C2 с помощью метода DeadDropResolver. В его последней версии реализованы сложные методы уклонения, включая метод "Небесных врат" и прямую связь с водителем AFD, что повышает его скрытность от наблюдения. Компания также использует зашифрованную передачу данных с использованием AES-256 и провела ребрендинг под названием AmateraStealer, постоянно совершенствуя свои возможности по краже информации.
-----

ACRStealer - это сложная вредоносная программа для кражи информации, которая активно распространяется с начала 2023 года. Она использует Google Docs и Steam для обмена данными между командами и контролем (C2) с помощью технологии DeadDropResolver (DDR). Недавние события указывают на то, что появилась модифицированная версия ACRStealer, которая предоставляет расширенные возможности для уклонения от обнаружения и противодействия усилиям по анализу, сохраняя при этом свою основную функцию - кражу информации.

Последняя версия ACRStealer использует технологию Heaven's Gate, которая позволяет выполнять код x64 в рамках процесса WoW64. Этот метод особенно эффективен для обхода обнаружения, тем более что он неприменим к процессорам x86. В отличие от стандартной практики, вредоносная программа устанавливает свои соединения C2, напрямую взаимодействуя с драйвером AFD, используя низкоуровневые функции NT, такие как NtCreateFile и NtDeviceIoControlFile, вместо того, чтобы полагаться на традиционные библиотеки, такие как WinHTTP и Winsock. Такой подход не только повышает скрытность его работы, но и позволяет вредоносному ПО избегать обнаружения обычными средствами мониторинга.

C2-коммуникация вредоносной программы претерпела изменения; она отправляет отдельные, жестко закодированные адреса домена хоста и фактические IP-адреса в заголовках HTTP. Этот метод особенно опасен, когда используются популярные домены, что приводит к неправильной идентификации сервера C2 некоторыми средствами безопасности. Для обмена данными используются протоколы HTTP и HTTPS, причем CloudFlare изначально использовался для HTTPS, что ограничивало возможность внесения изменений. В сценариях, требующих вмешательства в работу хоста, использовался самозаверяющий сертификат, а также усовершенствования для шифрования как исходящих, так и входящих данных, выходящие за рамки возможностей HTTPS. Алгоритм AES-256 (CBC) шифрует эти данные с помощью ключей, жестко закодированных в вредоносной программе.

Были внесены дополнительные изменения в процесс обмена данными C2. Предыдущие методы, использующие пути, такие как /Up/x и /enc_Up/x, были заменены случайными строками, выдаваемыми сервером при первоначальном подключении. Это добавляет дополнительный уровень к процессу обмена данными, создавая вариативность идентификаторов. Кроме того, запросы конфигурационных данных были переведены с метода GET на метод POST с полезной нагрузкой, структурированной в формате JSON, что исключает зависимость от предыдущих идентификационных строк.

ACRStealer по-прежнему способен красть информацию из различных браузеров, извлекая конфиденциальные данные, связанные с учетными записями, документами и криптовалютными кошельками. Вредоносная программа также сохраняет способность устанавливать дополнительные вредоносные компоненты в зависимости от ответов C2. Примечательно, что, как сообщалось, ACRStealer был переименован в AmateraStealer, что подчеркивает его активный и развивающийся характер как одной из наиболее динамично изменяющихся угроз для кражи информации, с которыми мы сталкиваемся в настоящее время. Постоянная бдительность и обновленные средства защиты имеют решающее значение, поскольку злоумышленники постоянно совершенствуют его функциональные возможности.

#ParsedReport #CompletenessMedium
22-07-2025

Gamers get ready: under the guise of cheats and mods, scammers distribute Trojan.Scavenger for the theft of cryptocurrency and passwords

https://news.drweb.ru/show/?i=15036&lng=ru&c=5

Report completeness: Medium

Threats:
Dllsearchorder_hijacking_technique
Scavenger
Typosquatting_technique

Victims:
Windows users, Russian enterprises

Industry:
Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055, T1071.001, T1074, T1105, T1119, T1132, T1204.002, T1213, have more...

IOCs:
File: 23
Hash: 23
Domain: 3

Soft:
Chromium, Google Chrome, Microsoft Edge, Yandex Browser, Opera, Bitwarden, LastPass

Wallets:
metamask, exodus_wallet

Algorithms:
zip

Win API:
CreateFilew

Languages:
javascript

Links:
https://github.com/DoctorWebLtd/malware-iocs/tree/master/Trojan.Scavenger

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Dr.Web обнаружила семейство троянских программ ScaveNger, нацеленных на системы Windows с целью кражи конфиденциальной информации о криптовалюте и паролях. Используя DLL-файлы для перехвата порядка поиска, эти трояны проникают в системы через легальные приложения и могут отключать функции безопасности. Они собирают данные из таких кошельков, как Phantom и Metamask, а также из менеджеров паролей, избегая при этом виртуализированных сред и шифруя связь со своими командными серверами.
-----

Компания Dr. Web выявила семейство вредоносных троянских программ, известных как ScaveNger, которые нацелены на пользователей Windows с целью кражи конфиденциальной информации, связанной с криптовалютами и менеджерами паролей. Эти трояны используют метод перехвата DLL-файлов для заражения систем, используя легальные приложения в качестве средств развертывания. Этот метод заключается в размещении вредоносных библиотек DLL в местах, выбранных Windows в качестве приоритетных для поиска в библиотеке, гарантируя, что вредоносный код будет выполнен как часть законного приложения.

Процесс заражения трояном.Программа Scavenger является многоуровневой и начинается с загрузки троянских программ, которые могут проникать в целевые системы различными способами, включая пиратское программное обеспечение с торрент-сайтов. Например, троян.Scavenger.1 представляет собой библиотеку DLL с именем umpdc.dll и обычно распространяется вместе с играми, такими как Oblivion Remastered. После активации он извлекает дополнительные вредоносные модули, такие как Trojan.Scavenger.2, а затем и Trojan.Scavenger.3 и Trojan.Scavenger.4.

Троян.Scavenger.3 маскируется под легальную системную библиотеку в каталогах браузеров на базе Chromium. Он нейтрализует защитные функции, такие как "песочница", и модифицирует такие функции, как проверка расширений, путем исправления библиотеки. Этот троян захватывает конфиденциальные данные с криптовалютных кошельков, включая приватные ключи и мнемонические фразы, с таких платформ, как Phantom и Metamask, и собирает пароли из менеджеров паролей, таких как BitWarden и Lastpass.

Троянец.Scavenger.4, с другой стороны, специально манипулирует криптовалютным кошельком Exodus, выполняя перехват порядка поиска в DLL-библиотеке, чтобы перехватить функции в движке V8 для отслеживания ответов в формате JSON, тем самым перехватывая парольные фразы и отправляя их на свой сервер управления (C2).

Примечательным аспектом этого семейства троянских программ является их способность обнаруживать виртуализированные среды, что приводит к их завершению в случае обнаружения. Кроме того, они используют единый протокол связи со своим сервером C2, который включает механизм генерации ключей и проверки подлинности для обеспечения зашифрованной связи.

Dr.Web уведомил разработчиков об уязвимостях, используемых этими троянами, в частности, об перехвате порядка поиска в DLL-библиотеках; однако было сочтено, что эти уязвимости не требуют немедленного исправления. Важно отметить, что антивирусные решения Dr. Web уже включают средства защиты от подобных уязвимостей, снижая риски, связанные с троянцами.Вредоносное ПО Scavenger для своих пользователей.