#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock, действующая с сентября 2024 года, нацелена на критически важную инфраструктуру, используя тактику двойного вымогательства, шифрования данных и угрозы утечки. Первоначальный доступ к ней осуществляется с помощью скачиваний с мобильных устройств и социальной инженерии, а разведка и кража учетных данных осуществляются с помощью таких инструментов, как Cobalt Strike и Lumma. Программа-вымогатель использует AES и RSA для шифрования и избегает обнаружения, маскируясь; для безопасной передачи данных при эксфильтрации используются AzCopy и WinSCP.
-----

Программа-вымогатель Interlock, финансово мотивированная хакерская группа, впервые обнаруженная в сентябре 2024 года, известна своими оппортунистическими атаками на критически важную инфраструктуру и различные секторы в Северной Америке и Европе. С конца 2024 года они проводят атаки, которые носят особенно разрушительный характер, особенно затрагивая виртуализированные среды, работающие как на операционных системах Windows, так и на Linux. Злоумышленники используют тактику двойного вымогательства, при которой они не только шифруют данные жертв, но и угрожают утечкой конфиденциальной информации, если их требования о выкупе не будут выполнены. Их переговорный процесс уникален; вместо того, чтобы изначально предоставлять конкретные суммы выкупа, они присваивают жертвам уникальный идентификатор для связи на платформах на базе Tor, демонстрируя свою приверженность усилению давления на цели, не соблюдающие требования.

Первоначальный доступ для блокировки можно получить с помощью передовых методов, в том числе путем скачивания с взломанных веб-сайтов и метода, называемого ClickFix. Эта тактика использует социальную инженерию, чтобы обманом заставить пользователей запускать вредоносные сценарии PowerShell, замаскированные под законные операции, такие как ввод КАПЧИ. Получив доступ, операторы вредоносного ПО проводят тщательную разведку и используют инструменты удаленного доступа, такие как Cobalt Strike, AnyDesk и PuTTY. Они также используют устройства для кражи учетных данных, такие как Lumma и Berserk, для сбора информации, а также множество регистраторов нажатий клавиш для перехвата конфиденциальных данных.

Чтобы обеспечить устойчивость в сетях жертвы, операторы блокировки вносят изменения в реестр и размещают вредоносные двоичные файлы в папке запуска Windows. Примечательно, что программа-вымогатель маскируется под законные файлы, такие как conhost.exe, чтобы избежать обнаружения. После проникновения злоумышленники повышают привилегии, потенциально используя Kerberoasting для таргетинга на учетные записи с высокими привилегиями. В процессе шифрования используется комбинация алгоритмов AES и RSA, к уязвимым файлам добавляются расширения .interlock или .1nt3rlock, а исходный двоичный файл программы-вымогателя часто удаляется после выполнения, чтобы устранить криминалистические следы.

Утечка данных обычно осуществляется с помощью таких инструментов, как AzCopy, которые загружают украденные файлы в хранилище Azure, управляемое злоумышленниками. Кроме того, они могут использовать средства передачи файлов, такие как WinSCP, для безопасного перемещения данных. Программа-вымогатель Interlock подчеркивает свою постоянную угрозу, внедряя пользовательские трояны для удаленного доступа (RATs) и средства управления коммуникациями (C2). Разработанные группой методики подчеркивают важность надежных мер безопасности для организаций, подверженных риску подобных атак.

#ParsedReport #CompletenessLow
23-07-2025

Gunra Ransomware Threat Emerges as New Ransomware DLS Collection Status

https://asec.ahnlab.com/ko/89153/

Report completeness: Low

Threats:
Gunra
Conti
Blackbasta
Shadow_copies_delete_technique

Industry:
E-commerce, Government

Geo:
Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1486, T1490

IOCs:
Command: 1
File: 2
Hash: 5

Algorithms:
chacha20, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Gunra, появившаяся в апреле 2025 года, демонстрирует сходство кода с Conti и оказывает давление на жертв, заставляя их вести переговоры в течение пяти дней. Он шифрует файлы, удаляет теневые копии и предоставляет уведомления о требовании выкупа, подчеркивая растущую угрозу программ-вымогателей и необходимость принятия надежных мер безопасности.
-----

AhnLab TIP обеспечивает детальный мониторинг активности групп вымогателей, уделяя особое внимание их присутствию на форумах и торговых площадках. Платформа позволяет пользователям отслеживать тенденции среди наиболее активных групп вымогателей, что может помочь в прогнозировании целенаправленных атак и совершенствовании мер по выявлению внутренних угроз. Такой упреждающий подход является ключом к предотвращению потенциального ущерба от подобных атак. В первой половине 2025 года появилось несколько групп программ-вымогателей, которые, в частности, создали новые специализированные сайты для утечки информации (DLS). Одна особенно опасная группа, Gunra ransomware, была идентифицирована в связи с ее деятельностью, начавшейся 10 апреля 2025 года, и примечательна тем, что демонстрирует сходство кода с ранее печально известной программой-вымогателем Conti.

По оценкам экспертов, Gunra частично использовала исходный код Conti, а также усовершенствовала свой подход к переговорам и тактике социальной инженерии. В частности, Gunra использует стратегию, которая заставляет жертв начать переговоры в строго установленный пятидневный срок, что отличает ее от многих аналогичных программ-вымогателей. В блоге подробно описывается процесс работы программы-вымогателя Gunra, раскрывается ее метод шифрования файлов и подход к управлению системными ресурсами. В блоге создается поток, посвященный шифрованию файлов, на основе количества логических ядер процессора, обнаруженных на зараженной машине. После шифрования Gunra пытается удалить теневые копии томов зараженной системы, чтобы затруднить восстановление.

Кроме того, Gunra генерирует уведомление о требовании выкупа под названием "R3ADM3.txt" в папке, содержащей зашифрованные файлы, в соответствии с типичными протоколами программ-вымогателей, предлагая жертвам посетить указанный сайт для получения инструкций по оплате, которые облегчат расшифровку. Растущее число сайтов, использующих DLS-программы-вымогатели, представляет все большую угрозу безопасности как для частных лиц, так и для организаций. Следовательно, для защиты критически важных активов рекомендуется использовать ряд строгих протоколов безопасности. К ним относятся резервное копирование важных данных в удаленное хранилище, отключенное от основной сервисной сети, обеспечение надежного контроля доступа и проведение регулярных тренировок по восстановлению хранилища резервных копий. Организации нуждаются не только в резервном копировании, но и в комплексной стратегии реагирования для повышения целостности и возможностей восстановления своих систем резервного копирования.

#ParsedReport #CompletenessLow
23-07-2025

Surveillance Malware Hidden in npm and PyPI Packages Targets Developers with Keyloggers, Webcam Capture, and Credential Theft

https://socket.dev/blog/surveillance-malware-hidden-in-npm-and-pypi-packages

Report completeness: Low

Threats:
Credential_harvesting_technique
Supply_chain_technique

Victims:
Developers, Users

TTPs:

IOCs:
File: 23
Url: 3

Soft:
Outlook, Slack, Gmail, Node.js

Functions:
setCookie

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Четыре вредоносных пакета для npm и PyPI, которые были загружены более чем 56 000 раз, используются в качестве вредоносных программ для наблюдения, позволяющих вести кейлоггинг, захват экрана и кражу учетных данных. В пакетах используются такие методы, как самовоспроизведение, уклонение от обнаружения и утечка данных по электронной почте, конечные точки C2, веб-узлы и обфускация, чтобы избежать проверки безопасности и выявления уязвимостей в цепочках поставок программного обеспечения.
-----

Исследование Socket выявило четыре вредоносных пакета в реестре npm и индексе пакетов Python (PyPI), общее количество загрузок которых превысило 56 000. Эти пакеты служат проводниками вредоносных программ для слежки, которые компрометируют среду пользователей, интегрируя функции для ведения кейлоггинга, захвата экрана, доступа к веб-камере и кражи учетных данных. Выявленное вредоносное ПО относится к категории вредоносных программ для наблюдения, которые характеризуются скрытыми операциями по мониторингу и извлечению пользовательских данных без согласия пользователя, что отличает его от традиционного шпионского ПО.

Первый проблемный пакет, vfunctions, представляет собой инструмент наблюдения на PyPI, который не только захватывает изображения с веб-камеры, но и обладает возможностями самовоспроизведения в файлах Python. Он обеспечивает постоянство, копируя себя в папку запуска Windows, и использует протоколы SMTP, часто с помощью жестко заданных учетных данных, для отправки данных на адреса электронной почты, контролируемые хакерами.

Другой пакет, dpsdatahub, маскируется под законную утилиту управления данными, в то же время тайно внедряя постоянный кейлоггер. Этот кейлоггер отслеживает вводимые пользователем данные, собирает данные сеанса и отправляет эту информацию на конечную точку управления (C2) каждые пять секунд. Вредоносная программа отслеживает системные данные, собирая важные данные, такие как характеристики браузера и оборудования, и избегая обнаружения за счет использования сетевых запросов, не связанных с cors.

Пакет nodejs-backpack, замаскированный под инструмент разработки для Node.js, выполняет несанкционированное профилирование и захватывает скриншоты. Фильтрация системных метаданных происходит через веб-интерфейс Slack, при этом код предназначен для маскировки конечной точки путем фрагментации URL-адреса, что позволяет избежать статического обнаружения. Он включает в себя законные функциональные возможности для поддержания видимости полезности, что еще больше повышает его потенциал для использования.

Наконец, в пакете m0m0x01d используется браузерный кейлоггинг с упором на формы входа в систему, который позволяет отфильтровывать захваченные нажатия клавиш с помощью сложного двухэтапного механизма, включающего ретрансляцию почтовых сообщений и несколько конечных точек в Burp Collaborator. Такая конструкция позволяет вредоносному ПО маскировать свои действия в рамках законных средств тестирования на проникновение, тем самым избегая элементарного контроля безопасности при осуществлении своей вредоносной деятельности.

Обнаружение этих вредоносных пакетов выявляет уязвимости в цепочках поставок программного обеспечения, подчеркивая важность упреждающих мер и надежных технологий безопасности. Методы, используемые в этих пакетах, включают в себя компрометацию цепочки поставок, маскировку, действия пользователя и различные формы утечки данных. Этот анализ подчеркивает постоянный риск, связанный с вредоносными зависимостями, и подчеркивает необходимость проявлять бдительность при разработке и внедрении для защиты от таких сложных угроз.

#ParsedReport #CompletenessMedium
23-07-2025

Researching a new loader running TorNet and PureHVNC

https://sect.iij.ad.jp/blog/2025/07/loader-executing-tornet-and-purehvnc/

Report completeness: Medium

Threats:
Tornet
Purehvnc_tool
Bloat_technique
Dll_sideloading_technique
Junk_code_technique
Lumma_stealer
Unicorn_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1056.001, T1059.001, T1071.001, T1082, T1105, T1547.001, T1566.001, T1571, have more...

IOCs:
File: 16
Hash: 9
Registry: 1
Path: 1

Soft:
net framework, task scheduler

Algorithms:
lzma, zip, sha256, aes-128-ecb, aes, base64, murmur2, aes-256-cbc, gzip

Functions:
main

Win API:
LoadLibraryA, CreateProcessA, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, SetThreadExecutionState

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 12, dump: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года был обнаружен новый загрузчик, который облегчает запуск двух типов вредоносных программ, TorNet и PureHVNC, используя передовые технологии, такие как дополнительная загрузка DLL и хеширование API с помощью MurmurHash2. TorNet действует как загрузчик, использующий сеть TOR, в то время как PureHVNC - это RAT с расширенными возможностями наблюдения, что указывает на растущую сложность вредоносного ПО.
-----

В мае 2025 года на VirusTotal был загружен ранее незаметный загрузчик, заключенный в ZIP-файл, который включал в себя легальный исполняемый файл и вредоносную DLL-библиотеку, а также другие файлы, предназначенные для сокрытия его истинного назначения. Загрузчик продемонстрировал уникальные характеристики, запустив два специфических типа вредоносных программ: TorNet и PureHVNC. В нем использовалось хеширование API с помощью специального алгоритма MurmurHash2 и была реализована дополнительная загрузка DLL-библиотеки, чтобы загрузить вредоносный компонент, маскируясь при этом законной цифровой подписью.

Вредоносный загрузчик устанавливает атрибуты, позволяющие ему скрываться от стандартных файловых обозревателей, тем самым ограничивая видимость пользователя и создавая путь для сохранения данных путем внесения изменений в реестр. Примечательно, что он использует бессмысленные вызовы функций в обход ключевых взаимодействий с API в качестве средства защиты от анализа, что усложняет отслеживание его операций. Загрузчик хэширует имена API с определенным начальным значением, что также наблюдалось в известных предыдущих вредоносных программах, что указывает на возможную эволюцию методов вредоносного кодирования.

После активации загрузчик внедряет два типа вредоносных программ. TorNet работает как загрузчик, который использует сеть TOR для связи с серверами управления (C2). В нем используется протокол конфигурации, который предусматривает десериализацию с помощью буферов протоколов, что указывает на структурированный подход к безопасному управлению конфигурациями, такими как адреса серверов. Этот метод подчеркивает необходимость использования сложных методов шифрования, включая AES-256-CBC для первоначального хранения и DES3-ECB для последующей передачи данных.

PureHVNC, классифицируемый как троян удаленного доступа (RAT), аналогичным образом использует декодирование и десериализацию base64, обеспечивая постоянный доступ к зараженным устройствам. Его способность собирать информацию об устройстве и передавать ее обратно на сервер C2 расширяет возможности активного наблюдения. Оба типа вредоносных программ демонстрируют сходство в своем дизайне и операционных целях, что указывает на потенциальную связь между их разработчиками.

Анализ этих двух типов вредоносных программ выявил изменения в стратегиях сохранения в PureHVNC, в результате чего были удалены опции хранения в реестре, чтобы избежать судебной экспертизы. Несмотря на то, что функциональные возможности загрузчика не являются полностью новыми, его инновационная интеграция одновременной загрузки вредоносных программ и уникальных методов хэширования свидетельствует о растущей искушенности хакеров, что требует повышенного внимания и готовности к будущим вариантам подобных атак. В исследовании подчеркивается необходимость того, чтобы специалисты по анализу угроз сохраняли бдительность, поскольку методы, рассмотренные здесь, могут проявиться вновь или спровоцировать более сложные кибератаки.

#ParsedReport #CompletenessMedium
24-07-2025

Threat actors go gaming: Electron-based stealers in disguise

https://www.acronis.com/en-us/tru/posts/threat-actors-go-gaming-electron-based-stealers-in-disguise/

Report completeness: Medium

Threats:
Hexon
Cooee
Findzip
Growtopia

Victims:
Individuals, Gamers, Discord users

Industry:
Entertainment

Geo:
Turkish, Brazil, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1071.001, T1078, T1083, T1105, T1176, T1204.001, T1204.002, have more...

IOCs:
Url: 7
File: 31
Hash: 33

Soft:
Discord, Electron, Node.js, Chromium, Slack, Microsoft Teams, Telegram, Steam, Android, macOS, have more...

Algorithms:
sha256, zip

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, использующая Leet Stealer, RMC Stealer и Sniffer Stealer, нацелена на геймеров через установщиков поддельных игр, используя социальную инженерию и Discord для распространения. Эти инфокрады собирают конфиденциальную информацию, такую как данные браузера и токены Discord, что приводит к несанкционированному доступу и финансовым потерям. Кампания подчеркивает использование передовых методов обфускации и вредоносных программ в качестве сервиса, что указывает на эволюцию хакеров.
-----

Подразделение Acronis по исследованию угроз выявило вредоносную кампанию с использованием Leet Stealer, RMC Stealer и Sniffer Stealer, продаваемых как инди-игры. Эти разновидности вредоносного ПО распространяются через мошеннические веб-сайты и поддельные каналы YouTube, в основном через Discord. Кампания использует социальную инженерию, чтобы заставить пользователей загружать вредоносные программы, замаскированные под программы для установки игр. Вредоносное ПО работает как инфокрад, извлекая конфиденциальную информацию, такую как данные браузера, цифровые учетные данные и токены Discord. Жертвы сталкиваются с несанкционированным доступом к учетной записи, финансовыми потерями и попытками вымогательства. Программа RMC Stealer содержала незашифрованный исходный код, который помогал в анализе поведения. Распространение вредоносных программ все чаще использует Discord, особенно для приложений на базе электронных устройств. Leet Stealer, представленный в конце 2024 года, предлагает вредоносное ПО в качестве услуги и активно разрабатывается, включая его разновидности. Вводящие в заблуждение разработчики игр утверждали, что они подключены к законным платформам, таким как Steam. Большинство образцов были получены из Бразилии, что указывает на локальные атаки, но с международным охватом через игровые платформы. Установщик Baruda Quest создавал проблемы с обнаружением из-за большого размера файла и эффективной обфускации; он использовал установщик Nullsoft с вредоносным JavaScript в app.asar. Вредоносная программа использовала методы обхода "песочницы" для отслеживания системных показателей. Она собирает конфиденциальные данные из браузеров и учетных записей Discord, позволяя злоумышленникам захватывать учетные записи без паролей. Вредоносная программа также может загружать дополнительные вредоносные программы, что указывает на потенциал для масштабных атак. Кампания демонстрирует эволюцию тактики, сочетающую технические и психологические манипуляции с целью эксплуатации пользователей.

#ParsedReport #CompletenessHigh
24-07-2025

Unmasking the new Chaos RaaS group attacks

https://blog.talosintelligence.com/new-chaos-ransomware/

Report completeness: High

Actors/Campaigns:
Chaos_raas (motivation: cyber_criminal, financially_motivated)

Threats:
Chaos_ransomware
Blacksuit_ransomware
Royal_ransomware
Lolbin_technique
Microsoft_quick_assist_tool
Nltest_tool
Atexec_tool
Impacket_tool
Anydesk_tool
Screenconnect_tool
Optitune_tool
Syncro_tool
Splashtop_tool
Kerberoasting_technique
Shadow_copies_delete_technique

Industry:
Government

Geo:
New zealand, India

TTPs:
Tactics: 8
Technics: 2

IOCs:
Email: 1
File: 20
Command: 4
Registry: 1
IP: 2
Path: 2
Hash: 3

Soft:
ESXi, Linux, Windows delivery optimization, Windows registry, active directory, GoodSync, Photoshop, Microsoft Outlook, Hyper-V, OpenSSH, have more...

Algorithms:
ecdh, curve25519, aes-256, ecc, xor

Functions:
Set-Location

Languages:
powershell

Platforms:
cross-platform, x64, intel

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/07/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Chaos, входящая в группу RaaS, использует тактику двойного вымогательства, используя спам и социальную инженерию для получения доступа. Особенности включают многопоточное шифрование AES-256, методы антианализа и кроссплатформенный таргетинг. Группа использует инструменты RMM для сохранения и эксфильтрации данных, демонстрируя расширенные возможности уклонения от уплаты налогов и ориентируясь на предприятия в США.
-----

Cisco Talos Incident Response (Talos IR) сообщила о серии атак, совершенных новой группой программ-вымогателей (RaaS), известной как Chaos, которая занимается охотой на крупную дичь с помощью тактики двойного вымогательства. Было замечено, что участники хаоса используют начальные спам-кампании с минимальными усилиями, которые перерастают в социальную инженерию на основе голоса для получения несанкционированного доступа. После компрометации целей они используют инструменты удаленного мониторинга и управления (RMM) для обеспечения постоянных подключений и полагаются на законные приложения для обмена файлами для извлечения конфиденциальных данных. Программа-вымогатель отличается многопоточным быстрым выборочным шифрованием и использует многочисленные методы антианализа, направляя свои атаки как на локальные, так и на сетевые ресурсы.

Программа-вымогатель Chaos использует гибридный криптографический процесс, используя эллиптическую кривую Диффи-Хеллмана (ECDH) в сочетании с AES-256 для шифрования файлов. Группа реализует уникальные ключи шифрования для каждого файла и использует сложные конфигурации командной строки во время операций, чтобы оптимизировать скорость работы, не подвергая риску данные. Операция шифрования сопровождается изменением расширения файла, в результате чего к зашифрованным файлам добавляется ".chaos". Талос с умеренной уверенностью предположил, что в состав этой группировки могут входить бывшие члены банды BlackSuit (Королевской) из-за сходства в командах шифрования и структурах писем с требованием выкупа.

В стратегическом плане Chaos group сделала себе имя, продвигая свою кроссплатформенную программу-вымогатель, совместимую с системами Windows, Linux, ESXi и NAS, и уделяя особое внимание возможностям высокоскоростного шифрования и надежным функциям безопасности. Их деятельность в основном нацелена на предприятия в США, демонстрируя оппортунистический подход без определенной вертикальной направленности. Группа распространяет угрозы в случае неплатежей, включая DDoS-атаки на сервисы жертв и публичное раскрытие украденных данных, что еще больше усиливает давление на жертв.

Технические аспекты их эксплойтов включают манипулирование командами PowerShell, проведение разведки в сетях жертв, чтобы инициировать сбор информации с помощью сведений о контроллере домена и учетных данных пользователя, а также использование существующих законных инструментов для утечки данных. Заслуживающие внимания тактические приемы, которые были замечены в использовании, включают изменение параметров реестра Windows для сокрытия учетных данных для доступа, установку различного программного обеспечения RMM для поддержания присутствия и выполнение сценариев для подготовки среды к дальнейшим атакам.

Программа-вымогатель обладает значительными возможностями обхода средств анализа, такими как прекращение операций при обнаружении сред отладки или изолированных программных блоков, что усложняет работу аналитиков безопасности по обнаружению. Кроме того, он инкапсулирует свои сообщения о выкупе в пользовательский XOR-шифр, чтобы запутать коммуникации, демонстрируя сложный подход к защите данных и операционной безопасности. В целом, появление программы-вымогателя Chaos представляет значительную угрозу в меняющемся мире, поскольку передовые технологии повышают эффективность атак и в то же время затрудняют усилия по смягчению последствий.

#ParsedReport #CompletenessHigh
24-07-2025

Cyber Stealer Analysis: When Your Malware Developer Has FOMO About Features

https://www.esentire.com/blog/cyber-stealer-analysis-when-your-malware-developer-has-fomo-about-features

Report completeness: High

Threats:
Growtopia
Putty_tool
Teamviewer_tool
Anydesk_tool
Dns_amplification_technique
Slowloris_technique
Xmr_miner
Realvnc_tool
Ultra_vnc_tool
Remmina_tool
Radmin_tool

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1027, T1056.001, T1059.001, T1071.001, T1078, T1095, T1105, T1112, have more...

IOCs:
Path: 6
Command: 2
File: 16
Registry: 2
Hash: 1
Url: 4

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Opera GX, Vivaldi, Comodo Dragon, Orbitum, Amigo, Torch, Kometa, have more...

Wallets:
atomicwallet, jaxx, electrum, bitcoincore, metamask, coinomi, trezor, daedalus, yoroi, wassabi, have more...

Crypto:
ethereum, cardano, monero, dogecoin, binance, solana, tezos, kucoin, pancakeswap, uniswap, have more...

Algorithms:
zip, sha256, aes, base64, aes-gcm

Functions:
GetMasterKey

Win API:
CryptUnprotectData, GetAsyncKeyState

Languages:
powershell

Platforms:
apple

Links:
https://pastebin.com/u/cyberproduct

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cyber Stealer - это модульный инфокрад и ботнет, который собирает конфиденциальные данные с помощью HTTP POST-запросов и может динамически обновлять URL-адрес своего сервера C2. Он использует передовые методы кражи данных, включая кражу криптовалюты и кейлоггинг, при этом избегая механизмов обнаружения. Кроме того, он использует многоуровневую модель подписки и ориентирован на различные приложения, поддерживая постоянное подключение с помощью проверки работоспособности и резервных URL-адресов.
-----

Киберкрад, обнаруженный в мае 2025 года, представляет собой быстро развивающуюся сеть инфокрадов и ботнетов, которая активно обновляется на основе отзывов пользователей на хакерских форумах. Эта вредоносная программа имеет сложную структуру, способную красть различную конфиденциальную информацию, включая пароли, кредитные карты, файлы cookie и многое другое, и сжимать эти украденные данные в zip-архив для отправки на сервер Command & Control (C2) с помощью HTTP POST-запросов.

Вредоносная программа поддерживает постоянную связь со своим C2 с помощью различных механизмов, включая проверку работоспособности и процессы фильтрации данных, и способна динамически обновлять свой URL-адрес C2 с помощью таких сервисов, как Pastebin. Кроме того, она имеет резервный механизм с жестко заданным URL-адресом для обеспечения постоянного подключения. Его модульная конструкция включает в себя передовые инструменты для кражи криптовалют, майнинга, заражения DNS, кейлоггинга и снятия скриншотов, которые управляются с помощью административной панели, позволяющей точно настраивать их в зависимости от потребностей хакеров.

Cyber Stealer работает по многоуровневой модели подписки, предлагая различные пакеты, начиная от базовых функций и заканчивая расширенными возможностями, такими как защита от DDoS-атак и сертификат с электронной подписью для обхода Windows SmartScreen. Вредоносная программа нацелена на широкий спектр приложений, включая веб-браузеры, криптовалютные кошельки, почтовые сервисы и облачные хранилища, что делает ее универсальным инструментом для кражи данных и других вредоносных действий.

Вредоносная программа написана на C#, планируется выпуск версии на C++, и реализует методы, позволяющие избежать обнаружения, помечая диск C:\ как исключительный в защитнике Windows. Она захватывает отпечаток компьютера жертвы, чтобы создать уникальный идентификатор оборудования (HWID) для отслеживания. Cyber Stealer использует устаревшие методы кражи учетных данных, в частности, из браузеров на базе Chromium и популярных приложений, а также пытается собирать информацию из различных игровых клиентов и менеджеров паролей.

Отфильтрованные данные структурированы таким образом, что позволяют хакерам легко просматривать журналы и управлять ими, предоставляя интерфейс для настройки различных вредоносных действий, от отравления DNS до замены буфера обмена для криптовалютных транзакций. Архитектура вредоносного ПО поддерживает оптимизированные операции по загрузке и выполнению произвольных полезных нагрузок, проведению DDoS-атак и развертыванию обратных прокси-серверов, что позволяет злоумышленникам закрепиться в сети жертвы.

#ParsedReport #CompletenessLow
23-07-2025

Toptals GitHub Organization Hijacked: 10 Malicious Packages Published

https://socket.dev/blog/toptal-s-github-organization-hijacked-10-malicious-packages-published

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Toptal, Developer community, Open source projects like prettier, Is package users

TTPs:

IOCs:
File: 1
Url: 2

Soft:
curl, sudo

Links:
https://github.com/toptal/picasso