#ParsedReport #CompletenessLow
29-07-2025

Atomic Stealer Evolves

https://blog.polyswarm.io/atomic-stealer-evolves

Report completeness: Low

Threats:
Amos_stealer
Spear-phishing_technique

Geo:
North korean, Italy, Canada, United kingdom, Russia, France

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056.001, T1059.002, T1071.001, T1098, T1547.015, T1566.001

IOCs:
Hash: 6

Soft:
macos

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа AMOS имеет бэкдор для постоянного доступа после перезагрузки и нацелена на владельцев криптовалют с помощью фишинга и взломанных сайтов с программным обеспечением. Она использует такие методы, как троянизация DMG, и устанавливает LaunchDaemon для запуска, с подключением C2 каждые 60 секунд. AMOS, ориентированный на долгосрочное сохранение, позволяет вести кейлоггинг и наблюдение, сохраняя при этом скрытность благодаря проверке окружающей среды и обфускации.
-----

Вредоносная программа под названием AMOS была обновлена и теперь включает в себя бэкдор, обеспечивающий постоянный доступ, который сохраняется после перезагрузки системы и позволяет удаленно выполнять задачи. Распространение этой вредоносной программы в основном нацелено на владельцев криптовалют и фрилансеров по двум основным направлениям: фишинговые атаки и веб-сайты, предлагающие взломанное программное обеспечение. Эта кампания охватила более 120 стран, оказав значительное влияние на Соединенные Штаты, Великобританию, Францию, Италию и Канаду.

AMOS использует изощренные методы фишинга, которые часто маскируются под приглашения на собеседование, и обманом заставляет жертв запускать троянские файлы DMG, вводя их в заблуждение, чтобы они предоставили системные пароли, необходимые для программного обеспечения для совместного использования экрана. После запуска AMOS способен извлекать конфиденциальные данные, такие как пароли и начальные фразы криптовалюты. Его механизм бэкдора использует двоичный файл с именем ".helper", хранящийся как скрытый файл в домашнем каталоге жертвы, и сценарий-оболочку с именем ".agent", который обеспечивает непрерывное выполнение бэкдора.

Чтобы обеспечить постоянство, AMOS устанавливает LaunchDaemon, идентифицированный как "com.finder.helper", с помощью AppleScript, гарантируя, что он запускается при запуске системы с повышенными привилегиями, полученными с помощью украденных учетных данных пользователя. Связь с серверами управления (C2) осуществляется каждые 60 секунд посредством HTTP POST-запросов для получения команд. Чтобы избежать обнаружения, AMOS использует такие методы, как обфускация строк и проверка виртуализированных сред с помощью команды "system_profiler", что еще больше повышает скрытность при анализе.

Эволюция AMOS привела ее в соответствие с тактикой, применяемой в кампаниях, связанных с Северной Кореей, которые обычно сочетают в себе кражу данных с использованием бэкдоров для более быстрого извлечения данных. Однако AMOS, разработанный аффилированными с Россией компаниями, по-видимому, ориентирован на долгосрочное функционирование, обеспечивая возможности наблюдения, ведения кейлоггинга и потенциального перемещения по скомпрометированным сетям. Ожидается, что в рамках модели "Вредоносное ПО как услуга" (MaaS) будут внесены дальнейшие усовершенствования, включая разработку функций кейлоггинга.

Возможности AMOS для пользователей macOS значительны, поскольку они превосходят традиционные функции infostealer, что указывает на риски длительной компрометации. Постоянное развитие этой угрозы подчеркивает необходимость упреждающего информирования и усовершенствованной защиты конечных точек для защиты систем macOS от этой постоянной и растущей угрозы.

#ParsedReport #CompletenessLow
29-07-2025

Gunra Ransomware Group Unveils Efficient Linux Variant

https://www.trendmicro.com/en_us/research/25/g/gunra-ransomware-linux-variant.html

Report completeness: Low

Threats:
Gunra
Conti
Bert_ransomware

Industry:
Government, Foodtech, Transport, Healthcare

Geo:
Japan, Turkiye, Brazil, Canada, Korea, Taiwan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1486, T1567

Soft:
Linux

Algorithms:
chacha20

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Gunra представила версию для Linux, способную запускать 100 потоков шифрования, что повышает эффективность ее атаки. Она поддерживает частичное шифрование, хранит ключи RSA отдельно и использует гибридный метод шифрования с использованием RSA и ChaCha20, не отправляя уведомление о требовании выкупа.
-----

Программа-вымогатель Gunra эволюционировала с появлением версии для Linux, демонстрируя стратегический сдвиг в сторону кросс-платформенного таргетинга, что позволяет ей расширить возможности для атаки. Было замечено, что этот вариант позволяет параллельно запускать до 100 потоков шифрования, что значительно увеличивает его эксплуатационные возможности по сравнению с другими версиями программ-вымогателей, которые обычно имеют фиксированные или более низкие ограничения на количество одновременных потоков. Примечательно, что версия Linux поддерживает частичное шифрование, что дает злоумышленникам контроль над тем, какая часть файла зашифрована, и позволяет им хранить ключи, зашифрованные с помощью RSA, в отдельных файлах хранилища ключей.

С момента своего появления в апреле 2025 года программа-вымогатель Gunra стала мишенью для множества предприятий в разных странах, включая Бразилию, Японию, Канаду, Турцию, Южную Корею, Тайвань и Соединенные Штаты, причем жертвами стали представители таких отраслей, как здравоохранение, производство, информационные технологии и юриспруденция. Его оперативная тактика была вдохновлена известными группами вымогателей, такими как Conti, и привлекла к себе внимание в связи со значительной утечкой данных, связанной с больницей в Дубае, где произошла утечка 40 терабайт данных.

При запуске Linux-вариант Gunra требует ввода ряда аргументов во время выполнения, отображения журналов на консоли и запроса любых недостающих данных, прежде чем продолжить. Он включает в себя механизм настройки количества потоков шифрования, ограниченного 100, и создает цикл ожидания, чтобы убедиться, что все потоки завершены до его завершения. Эта операционная модель раскрывает сложный подход к шифрованию файлов, при котором программа-вымогатель проверяет выполнение задач шифрования каждые 10 миллисекунд. Она использует функцию spawn_or_wait_thread для управления одновременным шифрованием файлов.

Программа-вымогатель шифрует файлы на основе определенных путей и расширений, настроенных во время выполнения. Если задано значение "все", программа-вымогатель зашифрует все обнаруженные файлы; в противном случае она ограничит свое внимание теми, которые соответствуют заданному списку расширений. Он выполняет рекурсивное сканирование каталогов и предотвращает повторное шифрование, проверяя существующие расширения файлов. Интересно, что версия Linux не отправляет сообщение о требовании выкупа, что отличается от типичного поведения программ-вымогателей.

Gunra использует гибридную стратегию шифрования, сочетающую RSA и ChaCha20. Во время выполнения ей требуется путь к файлу PEM, содержащему открытый ключ RSA, что позволяет генерировать необходимые криптографические материалы, включая случайные ключи и дополнительные данные. При настройке функции хранения программа-вымогатель может сохранять данные, зашифрованные с помощью RSA, в отдельных файлах хранилища ключей, улучшая свою стратегию управления шифрованием. Такая подробная техническая архитектура означает заметное расширение возможностей вредоносного ПО.

#ParsedReport #CompletenessLow
28-07-2025

XWorm V6: Advanced Evasion and AMSI Bypass Capabilities Revealed

https://www.netskope.com/blog/xworm-v6-0-enhanced-malware-protection-and-stealthy-delivery

Report completeness: Low

Threats:
Amsi_bypass_technique
Xworm_rat
Asyncrat
Obfdldr

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1059.005, T1105, T1497.001, T1497.003, T1547.001, T1562.001, have more...

IOCs:
File: 7

Algorithms:
base64

Win API:
GetCurrentProcess, AmsiScanBuffer, SeDebugPrivilege

Languages:
powershell

Links:
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/XWorm/IOCs/2025-07-25
https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell?tab=readme-ov-file#Patching-Clr
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/master/AsyncRAT-C%23/Client/Helper/Anti\_Analysis.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm 6.0 улучшает цепочку заражения и методы обхода, используя VBScript для доставки и PowerShell для команд, обеспечивая постоянство с помощью изменений в реестре. Он поддерживает методы антианализа, завершает работу при обнаружении определенных условий и повышает операционную безопасность, предотвращая завершение работы с помощью проверки привилегий.
-----

В сентябре 2024 года Netskope Threat Labs сообщила об обновлениях вредоносной программы XWorm, представив новую версию (версия 6.0), которая расширяет цепочку заражения и методы обхода. XWorm поставляется с помощью VBScript, который использует тактику социальной инженерии для распространения. После выполнения VBScript восстанавливает другую запутанную полезную нагрузку из переменного массива кодов символов, используя функцию ChrW для создания и выполнения вредоносного скрипта с помощью функции eval. Сценарий также запускает команду PowerShell, которая загружает другой сценарий, который хранится во временной папке системы и добавляется в раздел запуска реестра, обеспечивая постоянство.

Механизм сохранения в XWorm 6.0 отличается от своего предшественника тем, что в нем предпочтение отдается модификации реестра, а не запланированным задачам. Злоумышленники могут использовать различные методы сохранения, включая использование ключа запуска или папки автозагрузки, что указывает на постоянную разработку и адаптивность вредоносного ПО. Сценарий PowerShell не только реализует обход AMSI путем изменения CLR.DLL в памяти, но и загружает основной двоичный файл XWorm, называемый Microsoft.exe, из общедоступного репозитория GitHub, который затем загружается в память.

XWorm 6.0 сохраняет свою операционную структуру, но вносит значительные улучшения, включая извлечение конфигурационных данных из строки, закодированной по стандарту base-64, и жесткое кодирование сервера управления (C2). Примечательно, что в нем реализована функция предотвращения собственного завершения, которая помечает его как критический процесс, требующий для остановки повышенных привилегий. Это достигается путем проверки наличия у текущего пользователя прав администратора и использования SeDebugPrivilege, если это так, что принудительное завершение работы приведет к сбою системы и вызовет перезагрузку, во время которой XWorm перезапустится с использованием ключа запуска в реестре.

Кроме того, в XWorm реализованы передовые методы защиты от анализа. Теперь программа автоматически завершает работу при обнаружении выполнения в Windows XP, что не позволяет исследователям запускать ее в широко используемых аналитических средах. Вредоносная программа также использует службу IP-API для проверки того, связан ли IP-адрес исполняющего устройства с известными центрами обработки данных, что в этом случае приводит к завершению процесса. Эти усовершенствования подчеркивают активное развитие XWorm и предполагают, что он, вероятно, останется актуальной угрозой. Понимание этих технических деталей имеет решающее значение для правозащитников, стремящихся разработать эффективные стратегии выявления и смягчения последствий заражения XWorm.

#ParsedReport #CompletenessMedium
29-07-2025

Revisiting UNC3886 Tactics to Defend Against Present Risk

https://www.trendmicro.com/en_us/research/25/g/revisiting-unc3886-tactics-to-defend-against-present-risk.html

Report completeness: Medium

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)

Threats:
Tinyshell
Reptile
Lolbin_technique
Process_injection_technique
Credential_dumping_technique
Medusa_rootkit
Cloaking_technique
Mopsled_shell
Riflespine
Cryptopp_tool
Castletap
Tableflip_tool
Lmpad

Industry:
Government, Energy, Telco, Critical_infrastructure

Geo:
Singapore

CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortios (le5.0.14, le5.2.15, le5.4.13, le5.6.14, <6.0.16)

CVE-2022-22948 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<3.11, <4.4.1)
- vmware vcenter_server (6.5, 6.7, 7.0)

CVE-2022-41328 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortios (le6.0.16, <6.2.14, <6.4.12, <7.0.10, <7.2.4)

CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware tools (<12.2.5)

CVE-2021-21972 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<3.10.1.2, <4.2)
- vmware vcenter_server (6.5, 6.7, 7.0)

CVE-2025-21590 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- juniper junos (le21.2, 21.4, 22.2, 22.4, 23.2)

CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)


TTPs:
Tactics: 10
Technics: 23

Soft:
Fortinet FortiOS, Junos, Linux, Unix, ESXi

Algorithms:
aes, chacha20

Functions:
pam_prompt, syslog

Win API:
getaddrinfo

Languages:
python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC3886, группа APT, специализирующаяся на критической инфраструктуре, использует уязвимости нулевого дня в устройствах VMware и Fortinet для кибершпионажа. Их инструменты включают TinyShell для скрытого доступа и Reptile в качестве руткита, использующего методы сохранения и уклонения. Основные используемые уязвимости включают CVE-2023-34048 и CVE-2022-41328, которые позволяют удаленно выполнять код и осуществлять несанкционированный доступ.
-----

UNC3886 - это группа APT (APPT), которая занимается разработкой критически важной инфраструктуры, особенно в таких секторах, как телекоммуникации, государственное управление, технологии, оборона, энергетика и коммунальные услуги. Действующая по меньшей мере с конца 2021 года и впервые зарегистрированная в 2022 году, эта группа представляет серьезную угрозу национальной безопасности, о чем свидетельствует их недавняя деятельность в Сингапуре. Известно, что они используют уязвимости нулевого дня в широко используемых сетевых устройствах и устройствах виртуализации, включая VMware vCenter/ESXi, Fortinet FortiOS и Juniper Junos OS.

Тактика, методы и процедуры (TTP) UNC3886 раскрывают сложный подход к кибершпионажу. Они используют различные пользовательские наборы инструментов, разработанные для обеспечения скрытности и устойчивости в целевых средах. Ключевыми среди этих инструментов являются TinyShell, инструмент скрытого удаленного доступа, который работает по протоколу HTTP / HTTPS с зашифрованными данными, и Reptile, скрытый руткит для Linux, который может скрывать файлы и процессы, создавая при этом постоянный бэкдор. Другие известные инструменты включают руткит Medusa, который перехватывает системные вызовы для маскировки вредоносных действий, и модульные бэкдоры, такие как MopSled и RifleSpine, которые используют шифрование для безопасной связи с серверами управления.

UNC3886 известен тем, что использует уязвимости высокого риска, которые обеспечивают аутентифицированный доступ к критически важным системам, позволяя им выполнять удаленное выполнение кода (RCE), повышение привилегий и постоянный доступ. К числу конкретных уязвимостей, которыми активно пользуется группа, относятся CVE-2023-34048 в VMware vCenter, позволяющая выполнять RCE без проверки подлинности; CVE-2022-41328 в Fortinet FortiOS, которая позволяет злоумышленникам читать и записывать файлы в базовой системе Linux; и CVE-2022-22948, которая обеспечивает несанкционированный доступ к конфиденциальной информации в vCenterэто база данных. Эти уязвимости позволяют группе нарушать работу и развертывать дополнительные инструменты вскоре после их использования.

Их стратегия включает в себя использование законных инструментов и существующих функциональных возможностей системы для дальнейшего уклонения от обнаружения, примером чего могут служить такие методы, как проживание за пределами суши, где они используют собственные возможности системы. Деятельность группы направлена на то, чтобы оставаться незаметной при ведении шпионажа за важными объектами, что требует от организаций сохранять бдительность и обеспечивать своевременное применение последних исправлений для используемых уязвимостей. Серьезный характер деятельности UNC3886 служит напоминанием о меняющемся ландшафте угроз, который требует принятия адаптивных мер безопасности.

#ParsedReport #CompletenessMedium
29-07-2025

ToxicPanda: The Android Banking Trojan Targeting Europe

https://www.bitsight.com/blog/toxicpanda-android-banking-malware-2025-study

Report completeness: Medium

Actors/Campaigns:
Tag-124

Threats:
Toxicpanda
Tgtoxic
Clickfix_technique

Victims:
Banking users, Mobile users

Industry:
Financial

Geo:
Hong kong, Morocco, Spain, Asia, Latin america, Chinese, Peru, Italy, Greece, Portuguese, Portugal

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1056.001, T1059.004, T1067, T1068, T1071.001, T1071.004, T1102.002, T1111, have more...

IOCs:
File: 4
Domain: 54
IP: 1

Soft:
Android, Twitter, Google Chrome, qemu

Algorithms:
cbc, des, zip, aes

Functions:
dga_domain_hash_substring, setDisConnect, closeNewWin, setDomain, onStart, onDestroy

Languages:
php, python

Platforms:
intel

Links:
have more...
https://github.com/bitsight-research/threat\_research/tree/67971717defb7c28e10bb17a5b8693a6287c8b99/toxicpanda/h5pages\_overlays-04\_2025
https://github.com/bitsight-research/threat\_research/blob/ffdfa676eac200cc6dc37d24ad986898f29a5ab9/toxicpanda/dga\_domain\_names\_2025
https://github.com/bitsight-research/threat\_research/blob/67971717defb7c28e10bb17a5b8693a6287c8b99/toxicpanda/toxicpanda\_dga.py

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 3, code: 4, schema: 2, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ToxicPanda - это банковский троянец для Android, разрабатывающийся для кражи банковских учетных данных с помощью экранов, имитирующих законные приложения. Он использует алгоритм генерации домена для управления, использует специальные возможности и использует методы защиты от эмуляции для уклонения, в первую очередь для пользователей в Европе.
-----

ToxicPanda - это развивающийся банковский троян для Android, нацеленный на банковские данные и цифровые кошельки. Он использует оверлейные экраны для перехвата пользовательских данных, таких как учетные данные для входа в систему и PIN-коды транзакций. Первоначально обнаруженный в Юго-Восточной Азии в 2022 году, он сосредоточился на Европе, в частности Португалии и Испании, и к началу 2025 года затронул около 4500 устройств. Троянец использует специальные возможности для обхода мер безопасности и выполнения несанкционированных действий от имени пользователей. ToxicPanda использует алгоритм генерации доменов (DGA) для непрерывной генерации доменов управления, что усложняет работу по сбою. В 2025 году было обнаружено, что инфраструктура TAG-124 используется для распространения через систему распределения трафика (TDS). Вредоносная программа предназначена для того, чтобы избегать обнаружения с помощью методов антиэмуляции, обеспечивая выполнение на реальных устройствах и не поддаваясь автоматическому анализу. Она требует обширных разрешений, включая перехват SMS-сообщений для двухфакторной аутентификации, и может повторно активироваться после попыток удаления. Текущая разработка показывает, что функциональность ToxicPanda и набор команд постоянно совершенствуются. Присутствие китайского языка в кодовой базе указывает на возможные связи с хакерами из Азии.

#ParsedReport #CompletenessLow
29-07-2025

Spear phishing campaign delivers VIP keylogger via EMAIL Attachment

https://www.seqrite.com/blog/8681-2/

Report completeness: Low

Threats:
Spear-phishing_technique
Steganography_technique
Process_hollowing_technique
Process_injection_technique

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 4
Hash: 2
Url: 1

Soft:
Chrome

Algorithms:
zip, xor

Win API:
CreateProcess

Languages:
autoit, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, dump: 5, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VIP-кейлоггер - это сложная вредоносная программа для кражи данных, предназначенная для веб-браузеров и учетных данных пользователей, распространяемая с помощью фишинговых электронных писем, содержащих вредоносные исполняемые файлы. Она использует блокировку процессов и запускается из памяти, чтобы избежать обнаружения, одновременно регистрируя нажатия клавиш и перехватывая учетные данные из браузеров. Вредоносная программа обеспечивает сохраняемость, помещая скрипт в папку автозагрузки для выполнения при входе пользователя в систему.
-----

Кейлоггер VIP - это сложная разновидность вредоносного ПО, специально разработанная для кражи данных, при этом атаки в первую очередь нацелены на веб-браузеры и учетные данные пользователей. Распространение вредоносного ПО осуществляется с помощью фишинговых кампаний, когда вредоносные электронные письма содержат вложения или ссылки, которые приводят к заражению. В ходе недавней кампании хакеры использовали автоматический It-инжектор для развертывания VIP-кейлоггера, что ознаменовало заметный отход от предыдущих методов распространения.

Кампания начинается с рассылки фишингового электронного письма, содержащего ZIP-файл под названием "платежная квитанция_usd 86 780,00.pdf.pdf.z". В этом архиве содержится вредоносный исполняемый файл, маскирующийся под законный документ под названием "платежная квитанция_usd 86 780,00 pdf.exe ." Когда жертвы открывают этот исполняемый файл, он активирует встроенный Скрипт автозапуска, который удаляет два зашифрованных файла во временную папку системы. Эти файлы, названные leucoryx и avenes, расшифровываются во время выполнения с помощью данных, считываемых из временного каталога, с помощью пользовательской функции XOR. Этот механизм позволяет вредоносной программе избегать обнаружения и традиционных антивирусных решений, запускаясь в памяти.

Скрипт AutoIt сначала расшифровывает полезную нагрузку, которая затем вводится в легитимный процесс RegSvcs.exe с использованием методов "опустошения процессов". Этот скрытый метод позволяет вредоносному ПО запускаться, не вызывая тревоги. Операционный процесс включает в себя использование DllCall для выделения исполняемой памяти и передачи в нее расшифрованной полезной нагрузки с последующим выполнением полезной нагрузки непосредственно из памяти. Кроме того, для обеспечения сохраняемости вредоносная программа помещает в папку автозагрузки скрипт .vbs, который запускает основную полезную нагрузку при каждом входе пользователя в систему, что позволяет ей работать в фоновом режиме.

Последняя полезная нагрузка, VIP-кейлоггер, предназначена для регистрации нажатий клавиш, перехвата учетных данных из основных браузеров, таких как Chrome, Microsoft Edge и Mozilla Firefox, и отслеживания активности в буфере обмена. Используя эти методы, хакеры обеспечивают непрерывную работу вредоносного ПО, избегая при этом механизмов обнаружения. Всесторонний анализ, представленный в предыдущем исследовании, позволяет глубже понять функциональность и поведение VIP-кейлоггера, подчеркивая злонамеренность, присущую таким хакерам.

#ParsedReport #CompletenessHigh
29-07-2025

MaaS Appeal: An Infostealer Rises From TheAshes

https://www.elastic.co/security-labs/maas-appeal-an-infostealer-rises-from-the-ashes

Report completeness: High

Actors/Campaigns:
Sordeal

Threats:
Novablight
Nova_stealer
Malicord
Shadow_copies_delete_technique
Credential_stealing_technique
Xaitax_tool
Big_head

Victims:
Internet users

Industry:
Financial

TTPs:
Tactics: 8
Technics: 0

IOCs:
Url: 9
Domain: 5
File: 12
Registry: 1
Command: 2
Hash: 3

Soft:
Telegram, Discord, Steam, Electron, Windows Defender, virtualbox, qemu, Windows security, chrome, Windows Security Center, have more...

Wallets:
exodus_wallet, atomicwallet

Algorithms:
sha256, zip

Functions:
setValues, setPassphrase, captureSystemInfo, captureScreen, captureTaskList, captureAVDetails, Get-CimInstance, captureClipboardContent, Get-Clipboard, captureWebcamVideo, have more...

Languages:
php, powershell

YARA: Found

Links:
https://github.com/KSCHcuck1
have more...
https://web.archive.org/web/20231216010712/https:/github.com/KSCH-58
https://github.com/CrackedProgramer412/caca