#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Gunra представила версию для Linux, способную запускать 100 потоков шифрования, что повышает эффективность ее атаки. Она поддерживает частичное шифрование, хранит ключи RSA отдельно и использует гибридный метод шифрования с использованием RSA и ChaCha20, не отправляя уведомление о требовании выкупа.
-----

Программа-вымогатель Gunra эволюционировала с появлением версии для Linux, демонстрируя стратегический сдвиг в сторону кросс-платформенного таргетинга, что позволяет ей расширить возможности для атаки. Было замечено, что этот вариант позволяет параллельно запускать до 100 потоков шифрования, что значительно увеличивает его эксплуатационные возможности по сравнению с другими версиями программ-вымогателей, которые обычно имеют фиксированные или более низкие ограничения на количество одновременных потоков. Примечательно, что версия Linux поддерживает частичное шифрование, что дает злоумышленникам контроль над тем, какая часть файла зашифрована, и позволяет им хранить ключи, зашифрованные с помощью RSA, в отдельных файлах хранилища ключей.

С момента своего появления в апреле 2025 года программа-вымогатель Gunra стала мишенью для множества предприятий в разных странах, включая Бразилию, Японию, Канаду, Турцию, Южную Корею, Тайвань и Соединенные Штаты, причем жертвами стали представители таких отраслей, как здравоохранение, производство, информационные технологии и юриспруденция. Его оперативная тактика была вдохновлена известными группами вымогателей, такими как Conti, и привлекла к себе внимание в связи со значительной утечкой данных, связанной с больницей в Дубае, где произошла утечка 40 терабайт данных.

При запуске Linux-вариант Gunra требует ввода ряда аргументов во время выполнения, отображения журналов на консоли и запроса любых недостающих данных, прежде чем продолжить. Он включает в себя механизм настройки количества потоков шифрования, ограниченного 100, и создает цикл ожидания, чтобы убедиться, что все потоки завершены до его завершения. Эта операционная модель раскрывает сложный подход к шифрованию файлов, при котором программа-вымогатель проверяет выполнение задач шифрования каждые 10 миллисекунд. Она использует функцию spawn_or_wait_thread для управления одновременным шифрованием файлов.

Программа-вымогатель шифрует файлы на основе определенных путей и расширений, настроенных во время выполнения. Если задано значение "все", программа-вымогатель зашифрует все обнаруженные файлы; в противном случае она ограничит свое внимание теми, которые соответствуют заданному списку расширений. Он выполняет рекурсивное сканирование каталогов и предотвращает повторное шифрование, проверяя существующие расширения файлов. Интересно, что версия Linux не отправляет сообщение о требовании выкупа, что отличается от типичного поведения программ-вымогателей.

Gunra использует гибридную стратегию шифрования, сочетающую RSA и ChaCha20. Во время выполнения ей требуется путь к файлу PEM, содержащему открытый ключ RSA, что позволяет генерировать необходимые криптографические материалы, включая случайные ключи и дополнительные данные. При настройке функции хранения программа-вымогатель может сохранять данные, зашифрованные с помощью RSA, в отдельных файлах хранилища ключей, улучшая свою стратегию управления шифрованием. Такая подробная техническая архитектура означает заметное расширение возможностей вредоносного ПО.

#ParsedReport #CompletenessLow
28-07-2025

XWorm V6: Advanced Evasion and AMSI Bypass Capabilities Revealed

https://www.netskope.com/blog/xworm-v6-0-enhanced-malware-protection-and-stealthy-delivery

Report completeness: Low

Threats:
Amsi_bypass_technique
Xworm_rat
Asyncrat
Obfdldr

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1059.005, T1105, T1497.001, T1497.003, T1547.001, T1562.001, have more...

IOCs:
File: 7

Algorithms:
base64

Win API:
GetCurrentProcess, AmsiScanBuffer, SeDebugPrivilege

Languages:
powershell

Links:
have more...
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/XWorm/IOCs/2025-07-25
https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell?tab=readme-ov-file#Patching-Clr
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/master/AsyncRAT-C%23/Client/Helper/Anti\_Analysis.cs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm 6.0 улучшает цепочку заражения и методы обхода, используя VBScript для доставки и PowerShell для команд, обеспечивая постоянство с помощью изменений в реестре. Он поддерживает методы антианализа, завершает работу при обнаружении определенных условий и повышает операционную безопасность, предотвращая завершение работы с помощью проверки привилегий.
-----

В сентябре 2024 года Netskope Threat Labs сообщила об обновлениях вредоносной программы XWorm, представив новую версию (версия 6.0), которая расширяет цепочку заражения и методы обхода. XWorm поставляется с помощью VBScript, который использует тактику социальной инженерии для распространения. После выполнения VBScript восстанавливает другую запутанную полезную нагрузку из переменного массива кодов символов, используя функцию ChrW для создания и выполнения вредоносного скрипта с помощью функции eval. Сценарий также запускает команду PowerShell, которая загружает другой сценарий, который хранится во временной папке системы и добавляется в раздел запуска реестра, обеспечивая постоянство.

Механизм сохранения в XWorm 6.0 отличается от своего предшественника тем, что в нем предпочтение отдается модификации реестра, а не запланированным задачам. Злоумышленники могут использовать различные методы сохранения, включая использование ключа запуска или папки автозагрузки, что указывает на постоянную разработку и адаптивность вредоносного ПО. Сценарий PowerShell не только реализует обход AMSI путем изменения CLR.DLL в памяти, но и загружает основной двоичный файл XWorm, называемый Microsoft.exe, из общедоступного репозитория GitHub, который затем загружается в память.

XWorm 6.0 сохраняет свою операционную структуру, но вносит значительные улучшения, включая извлечение конфигурационных данных из строки, закодированной по стандарту base-64, и жесткое кодирование сервера управления (C2). Примечательно, что в нем реализована функция предотвращения собственного завершения, которая помечает его как критический процесс, требующий для остановки повышенных привилегий. Это достигается путем проверки наличия у текущего пользователя прав администратора и использования SeDebugPrivilege, если это так, что принудительное завершение работы приведет к сбою системы и вызовет перезагрузку, во время которой XWorm перезапустится с использованием ключа запуска в реестре.

Кроме того, в XWorm реализованы передовые методы защиты от анализа. Теперь программа автоматически завершает работу при обнаружении выполнения в Windows XP, что не позволяет исследователям запускать ее в широко используемых аналитических средах. Вредоносная программа также использует службу IP-API для проверки того, связан ли IP-адрес исполняющего устройства с известными центрами обработки данных, что в этом случае приводит к завершению процесса. Эти усовершенствования подчеркивают активное развитие XWorm и предполагают, что он, вероятно, останется актуальной угрозой. Понимание этих технических деталей имеет решающее значение для правозащитников, стремящихся разработать эффективные стратегии выявления и смягчения последствий заражения XWorm.

#ParsedReport #CompletenessMedium
29-07-2025

Revisiting UNC3886 Tactics to Defend Against Present Risk

https://www.trendmicro.com/en_us/research/25/g/revisiting-unc3886-tactics-to-defend-against-present-risk.html

Report completeness: Medium

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)

Threats:
Tinyshell
Reptile
Lolbin_technique
Process_injection_technique
Credential_dumping_technique
Medusa_rootkit
Cloaking_technique
Mopsled_shell
Riflespine
Cryptopp_tool
Castletap
Tableflip_tool
Lmpad

Industry:
Government, Energy, Telco, Critical_infrastructure

Geo:
Singapore

CVEs:
CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortios (le5.0.14, le5.2.15, le5.4.13, le5.6.14, <6.0.16)

CVE-2022-22948 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<3.11, <4.4.1)
- vmware vcenter_server (6.5, 6.7, 7.0)

CVE-2022-41328 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortios (le6.0.16, <6.2.14, <6.4.12, <7.0.10, <7.2.4)

CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware tools (<12.2.5)

CVE-2021-21972 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<3.10.1.2, <4.2)
- vmware vcenter_server (6.5, 6.7, 7.0)

CVE-2025-21590 [Vulners]
CVSS V3.1: 6.7,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- juniper junos (le21.2, 21.4, 22.2, 22.4, 23.2)

CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)


TTPs:
Tactics: 10
Technics: 23

Soft:
Fortinet FortiOS, Junos, Linux, Unix, ESXi

Algorithms:
aes, chacha20

Functions:
pam_prompt, syslog

Win API:
getaddrinfo

Languages:
python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC3886, группа APT, специализирующаяся на критической инфраструктуре, использует уязвимости нулевого дня в устройствах VMware и Fortinet для кибершпионажа. Их инструменты включают TinyShell для скрытого доступа и Reptile в качестве руткита, использующего методы сохранения и уклонения. Основные используемые уязвимости включают CVE-2023-34048 и CVE-2022-41328, которые позволяют удаленно выполнять код и осуществлять несанкционированный доступ.
-----

UNC3886 - это группа APT (APPT), которая занимается разработкой критически важной инфраструктуры, особенно в таких секторах, как телекоммуникации, государственное управление, технологии, оборона, энергетика и коммунальные услуги. Действующая по меньшей мере с конца 2021 года и впервые зарегистрированная в 2022 году, эта группа представляет серьезную угрозу национальной безопасности, о чем свидетельствует их недавняя деятельность в Сингапуре. Известно, что они используют уязвимости нулевого дня в широко используемых сетевых устройствах и устройствах виртуализации, включая VMware vCenter/ESXi, Fortinet FortiOS и Juniper Junos OS.

Тактика, методы и процедуры (TTP) UNC3886 раскрывают сложный подход к кибершпионажу. Они используют различные пользовательские наборы инструментов, разработанные для обеспечения скрытности и устойчивости в целевых средах. Ключевыми среди этих инструментов являются TinyShell, инструмент скрытого удаленного доступа, который работает по протоколу HTTP / HTTPS с зашифрованными данными, и Reptile, скрытый руткит для Linux, который может скрывать файлы и процессы, создавая при этом постоянный бэкдор. Другие известные инструменты включают руткит Medusa, который перехватывает системные вызовы для маскировки вредоносных действий, и модульные бэкдоры, такие как MopSled и RifleSpine, которые используют шифрование для безопасной связи с серверами управления.

UNC3886 известен тем, что использует уязвимости высокого риска, которые обеспечивают аутентифицированный доступ к критически важным системам, позволяя им выполнять удаленное выполнение кода (RCE), повышение привилегий и постоянный доступ. К числу конкретных уязвимостей, которыми активно пользуется группа, относятся CVE-2023-34048 в VMware vCenter, позволяющая выполнять RCE без проверки подлинности; CVE-2022-41328 в Fortinet FortiOS, которая позволяет злоумышленникам читать и записывать файлы в базовой системе Linux; и CVE-2022-22948, которая обеспечивает несанкционированный доступ к конфиденциальной информации в vCenterэто база данных. Эти уязвимости позволяют группе нарушать работу и развертывать дополнительные инструменты вскоре после их использования.

Их стратегия включает в себя использование законных инструментов и существующих функциональных возможностей системы для дальнейшего уклонения от обнаружения, примером чего могут служить такие методы, как проживание за пределами суши, где они используют собственные возможности системы. Деятельность группы направлена на то, чтобы оставаться незаметной при ведении шпионажа за важными объектами, что требует от организаций сохранять бдительность и обеспечивать своевременное применение последних исправлений для используемых уязвимостей. Серьезный характер деятельности UNC3886 служит напоминанием о меняющемся ландшафте угроз, который требует принятия адаптивных мер безопасности.

#ParsedReport #CompletenessMedium
29-07-2025

ToxicPanda: The Android Banking Trojan Targeting Europe

https://www.bitsight.com/blog/toxicpanda-android-banking-malware-2025-study

Report completeness: Medium

Actors/Campaigns:
Tag-124

Threats:
Toxicpanda
Tgtoxic
Clickfix_technique

Victims:
Banking users, Mobile users

Industry:
Financial

Geo:
Hong kong, Morocco, Spain, Asia, Latin america, Chinese, Peru, Italy, Greece, Portuguese, Portugal

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1056.001, T1059.004, T1067, T1068, T1071.001, T1071.004, T1102.002, T1111, have more...

IOCs:
File: 4
Domain: 54
IP: 1

Soft:
Android, Twitter, Google Chrome, qemu

Algorithms:
cbc, des, zip, aes

Functions:
dga_domain_hash_substring, setDisConnect, closeNewWin, setDomain, onStart, onDestroy

Languages:
php, python

Platforms:
intel

Links:
have more...
https://github.com/bitsight-research/threat\_research/tree/67971717defb7c28e10bb17a5b8693a6287c8b99/toxicpanda/h5pages\_overlays-04\_2025
https://github.com/bitsight-research/threat\_research/blob/ffdfa676eac200cc6dc37d24ad986898f29a5ab9/toxicpanda/dga\_domain\_names\_2025
https://github.com/bitsight-research/threat\_research/blob/67971717defb7c28e10bb17a5b8693a6287c8b99/toxicpanda/toxicpanda\_dga.py

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 3, code: 4, schema: 2, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ToxicPanda - это банковский троянец для Android, разрабатывающийся для кражи банковских учетных данных с помощью экранов, имитирующих законные приложения. Он использует алгоритм генерации домена для управления, использует специальные возможности и использует методы защиты от эмуляции для уклонения, в первую очередь для пользователей в Европе.
-----

ToxicPanda - это развивающийся банковский троян для Android, нацеленный на банковские данные и цифровые кошельки. Он использует оверлейные экраны для перехвата пользовательских данных, таких как учетные данные для входа в систему и PIN-коды транзакций. Первоначально обнаруженный в Юго-Восточной Азии в 2022 году, он сосредоточился на Европе, в частности Португалии и Испании, и к началу 2025 года затронул около 4500 устройств. Троянец использует специальные возможности для обхода мер безопасности и выполнения несанкционированных действий от имени пользователей. ToxicPanda использует алгоритм генерации доменов (DGA) для непрерывной генерации доменов управления, что усложняет работу по сбою. В 2025 году было обнаружено, что инфраструктура TAG-124 используется для распространения через систему распределения трафика (TDS). Вредоносная программа предназначена для того, чтобы избегать обнаружения с помощью методов антиэмуляции, обеспечивая выполнение на реальных устройствах и не поддаваясь автоматическому анализу. Она требует обширных разрешений, включая перехват SMS-сообщений для двухфакторной аутентификации, и может повторно активироваться после попыток удаления. Текущая разработка показывает, что функциональность ToxicPanda и набор команд постоянно совершенствуются. Присутствие китайского языка в кодовой базе указывает на возможные связи с хакерами из Азии.

#ParsedReport #CompletenessLow
29-07-2025

Spear phishing campaign delivers VIP keylogger via EMAIL Attachment

https://www.seqrite.com/blog/8681-2/

Report completeness: Low

Threats:
Spear-phishing_technique
Steganography_technique
Process_hollowing_technique
Process_injection_technique

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 4
Hash: 2
Url: 1

Soft:
Chrome

Algorithms:
zip, xor

Win API:
CreateProcess

Languages:
autoit, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, dump: 5, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VIP-кейлоггер - это сложная вредоносная программа для кражи данных, предназначенная для веб-браузеров и учетных данных пользователей, распространяемая с помощью фишинговых электронных писем, содержащих вредоносные исполняемые файлы. Она использует блокировку процессов и запускается из памяти, чтобы избежать обнаружения, одновременно регистрируя нажатия клавиш и перехватывая учетные данные из браузеров. Вредоносная программа обеспечивает сохраняемость, помещая скрипт в папку автозагрузки для выполнения при входе пользователя в систему.
-----

Кейлоггер VIP - это сложная разновидность вредоносного ПО, специально разработанная для кражи данных, при этом атаки в первую очередь нацелены на веб-браузеры и учетные данные пользователей. Распространение вредоносного ПО осуществляется с помощью фишинговых кампаний, когда вредоносные электронные письма содержат вложения или ссылки, которые приводят к заражению. В ходе недавней кампании хакеры использовали автоматический It-инжектор для развертывания VIP-кейлоггера, что ознаменовало заметный отход от предыдущих методов распространения.

Кампания начинается с рассылки фишингового электронного письма, содержащего ZIP-файл под названием "платежная квитанция_usd 86 780,00.pdf.pdf.z". В этом архиве содержится вредоносный исполняемый файл, маскирующийся под законный документ под названием "платежная квитанция_usd 86 780,00 pdf.exe ." Когда жертвы открывают этот исполняемый файл, он активирует встроенный Скрипт автозапуска, который удаляет два зашифрованных файла во временную папку системы. Эти файлы, названные leucoryx и avenes, расшифровываются во время выполнения с помощью данных, считываемых из временного каталога, с помощью пользовательской функции XOR. Этот механизм позволяет вредоносной программе избегать обнаружения и традиционных антивирусных решений, запускаясь в памяти.

Скрипт AutoIt сначала расшифровывает полезную нагрузку, которая затем вводится в легитимный процесс RegSvcs.exe с использованием методов "опустошения процессов". Этот скрытый метод позволяет вредоносному ПО запускаться, не вызывая тревоги. Операционный процесс включает в себя использование DllCall для выделения исполняемой памяти и передачи в нее расшифрованной полезной нагрузки с последующим выполнением полезной нагрузки непосредственно из памяти. Кроме того, для обеспечения сохраняемости вредоносная программа помещает в папку автозагрузки скрипт .vbs, который запускает основную полезную нагрузку при каждом входе пользователя в систему, что позволяет ей работать в фоновом режиме.

Последняя полезная нагрузка, VIP-кейлоггер, предназначена для регистрации нажатий клавиш, перехвата учетных данных из основных браузеров, таких как Chrome, Microsoft Edge и Mozilla Firefox, и отслеживания активности в буфере обмена. Используя эти методы, хакеры обеспечивают непрерывную работу вредоносного ПО, избегая при этом механизмов обнаружения. Всесторонний анализ, представленный в предыдущем исследовании, позволяет глубже понять функциональность и поведение VIP-кейлоггера, подчеркивая злонамеренность, присущую таким хакерам.

#ParsedReport #CompletenessHigh
29-07-2025

MaaS Appeal: An Infostealer Rises From TheAshes

https://www.elastic.co/security-labs/maas-appeal-an-infostealer-rises-from-the-ashes

Report completeness: High

Actors/Campaigns:
Sordeal

Threats:
Novablight
Nova_stealer
Malicord
Shadow_copies_delete_technique
Credential_stealing_technique
Xaitax_tool
Big_head

Victims:
Internet users

Industry:
Financial

TTPs:
Tactics: 8
Technics: 0

IOCs:
Url: 9
Domain: 5
File: 12
Registry: 1
Command: 2
Hash: 3

Soft:
Telegram, Discord, Steam, Electron, Windows Defender, virtualbox, qemu, Windows security, chrome, Windows Security Center, have more...

Wallets:
exodus_wallet, atomicwallet

Algorithms:
sha256, zip

Functions:
setValues, setPassphrase, captureSystemInfo, captureScreen, captureTaskList, captureAVDetails, Get-CimInstance, captureClipboardContent, Get-Clipboard, captureWebcamVideo, have more...

Languages:
php, powershell

YARA: Found

Links:
https://github.com/KSCHcuck1
have more...
https://web.archive.org/web/20231216010712/https:/github.com/KSCH-58
https://github.com/CrackedProgramer412/caca

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NOVABLIGHT - это NodeJS-инфокрад от Sordeal Group, который отслеживает учетные данные пользователей и криптовалютные кошельки с помощью загрузки вредоносных установщиков игр. Он использует продвинутую систему обфускации, тактику обхода средств безопасности и такие функции, как мониторинг буфера обмена в поисках криптовалютных адресов, а также эксфильтрацию данных через Telegram и Discord.
-----

NOVABLIGHT - это сложный инфокрад на базе NodeJS, который позиционируется как вредоносное ПО как услуга (MaaS), предназначенное в первую очередь для кражи учетных данных пользователей и компрометации криптовалютных кошельков. Это продукт франкоязычной хакерской группы, известной как Sordeal Group, которая также выпустила другие вредоносные программы, такие как Nova Sentinel и MALICORD. Инфраструктура, поддерживающая NOVABLIGHT, использует Telegram и Discord для продаж, лицензирования и взаимодействия с сообществом, причем лицензии предоставляются на срок от одного до двенадцати месяцев.

Вредоносные кампании, в которых используется NOVABLIGHT, часто инициируются с помощью загрузки поддельных установщиков видеоигр, которые обманом заставляют пользователей запускать вредоносное ПО, замаскированное под законное программное обеспечение. Методы обфускации вредоносного ПО затрудняют его распознавание системами обнаружения, о чем свидетельствует низкий уровень обнаружения в результатах VirusTotal. Infostealer использует модульную архитектуру, позволяющую настраивать его функции, сохраняя при этом неактивный код, который может быть активирован при желании.

Ключевые функциональные возможности NOVABLIGHT включают в себя тактику уклонения, направленную на предотвращение анализа, такую как идентификация среды виртуальных машин, проверка определенных имен пользователей и отключение известных средств безопасности, включая защитник Windows. Вредоносная программа может установить контроль, выполнив пакетные сценарии для отключения функций безопасности Windows и поиска ценных данных в системе. В ней есть функция "clipper", которая отслеживает активность буфера обмена, специально предназначенная для перехвата и подмены адресов криптовалют и платежных сервисов.

Возможности вредоносной программы распространяются на внедрение вредоносного кода в популярные электронные приложения, изменяя их функциональность для облегчения кражи учетных данных. Например, она может изменять основные файлы таких приложений, как VPN-клиент Mullvad, для сбора конфиденциальной информации. Кроме того, NOVABLIGHT может нарушить работоспособность системы, постоянно отключая сетевые подключения и нарушая работу сред восстановления системы.

Процесс кражи данных является комплексным и включает в себя сбор системной информации с помощью методов, которые извлекают содержимое буфера обмена, выполнение процессов и сохранение паролей Wi-Fi. Отфильтрованные данные передаются по различным каналам, включая веб-панель вредоносного ПО и API для Telegram и Discord. Вредоносная программа использует избыточную архитектуру, используя несколько служб размещения файлов, чтобы избежать единой точки сбоя.

#ParsedReport #CompletenessMedium
29-07-2025

Sealed Chain of Deception: Actors leveraging Node.JS to Launch JSCeal

https://research.checkpoint.com/2025/jsceal-targets-crypto-apps/

Report completeness: Medium

Threats:
Jsceal
Weevilproxy
Man-in-the-browser_technique
Zeus
Mitm_technique

Industry:
Financial, Energy, Petroleum, Entertainment

Geo:
Asian, Russian, German

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.005, T1056.001, T1056.004, T1059.001, T1070.001, T1078, T1090.002, T1113, have more...

IOCs:
File: 27
Domain: 106
Registry: 1
Url: 1
Hash: 153

Soft:
Node.JS, TradingView, Windows Defender, Telegram

Wallets:
harmony_wallet, bybit, solflare, metamask

Crypto:
binance, kucoin, monero, bitcoin, dogecoin

Algorithms:
zip

Functions:
TaskScheduler, TaskService, GetFolder, TaskCreation, CreateOrUpdate, TaskLogonType, Remove-Item, Get-ChildItem, Set-ItemProperty

Languages:
powershell, javascript

Links:
https://github.com/wixtoolset
https://github.com/rprichard/winpty
have more...
https://github.com/dahall/taskscheduler

#ParsedReport #GeneratedSchema
Generated with GPT-4