#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продвинутая кампания infostealer, использующая PXA Stealer на базе Python, нацелена на получение конфиденциальных данных с помощью легального программного обеспечения. В ней используются методы антианализа, обфускации и уязвимости браузера для передачи отфильтрованных данных через Telegram. Было выявлено более 4000 жертв в 62 странах, что свидетельствует об эволюции и изощренности кампании.
-----

SentinelLabs и Beazley Security разработали расширенную кампанию по борьбе с кражей информации с использованием PXA Stealer на базе Python, которая действует с конца 2024 года. Кампания, которую приписывают хакерам, говорящим на вьетнамском языке, превратилась в очень сложную операцию, в которой используются тонкие методы антианализа и механизмы введения в заблуждение. В этих кампаниях используется легальное программное обеспечение, такое как Haihaisoft PDF Reader и Microsoft Word 2013, для дополнительной загрузки вредоносных компонентов и обеспечения устойчивости зараженных систем.

Злоумышленники используют многоуровневые методы обфускации и обмана, такие как внедрение вредоносных библиотек DLL и маскировка архивов под допустимые типы файлов, что значительно усложняет усилия по обнаружению. Программа PXA Stealer нацелена на получение и отправку широкого спектра конфиденциальной информации, включая учетные данные, данные браузера, платежную информацию и реквизиты криптовалютного кошелька, в каналы Telegram через автоматизированные бот-сети. Было идентифицировано более 4000 уникальных IP-адресов жертв по меньшей мере в 62 странах, причем значительная их концентрация приходится на Южную Корею, Соединенные Штаты, Нидерланды, Венгрию и Австрию.

В ходе развития этой кампании участники переместили свою полезную нагрузку с исполняемых файлов Windows на варианты на базе Python, используя многоступенчатый подход к атаке. Вредоносная программа способна извлекать данные, используя инфраструктуру Telegram, что обеспечивает анонимность передачи данных и снижает риск обнаружения. Полученные данные объединяются в ZIP-файлы и отправляются определенным идентификаторам ботов Telegram и каналам чата для монетизации. Это соответствует растущей тенденции использования законных платформ для облегчения кражи информации и оптимизации процесса продажи украденных данных.

PXA Stealer использует уязвимости браузера, особенно в системах на базе Chromium, для расшифровки сохраненных паролей, файлов cookie и данных автозаполнения. Кроме того, он пытается внедрить вредоносные DLL-библиотеки в процессы браузера для извлечения данных из надежно сохраненных источников. Эта операция демонстрирует переход к автоматизированной монетизации украденной информации, основанной на инфраструктуре, что позволяет злоумышленникам максимизировать прибыль при минимизации эксплуатационных расходов. С ростом сложности таких кампаний по краже информации службы безопасности должны адаптироваться для защиты от угроз, которые используют установленные каналы связи для вредоносных действий.

#ParsedReport #CompletenessMedium
04-08-2025

Android Malware Targets Indian Banking Users to Steal Financial Info and Mine Crypto

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-targets-indian-banking-users-to-steal-financial-info-and-mine-crypto/

Report completeness: Medium

Threats:
Xmrig_miner

Victims:
Hindi-speaking users, Indian users

Industry:
Financial

Geo:
Indian, India

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1071.001, T1105, T1106, T1129, T1204.002, T1406, T1446, T1496, have more...

IOCs:
Hash: 5
Url: 5

Soft:
Android, Google Play

Crypto:
monero

Algorithms:
xor, randomx

Languages:
javascript, java

Links:
https://github.com/xmrig/xmrig

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная программа для Android нацелена на пользователей, говорящих на хинди, и выдает себя за банковские приложения для кражи личных данных и майнинга Monero с помощью XMRig. Она работает через фишинговые сайты и FCM, что усложняет обнаружение из-за многоступенчатой загрузки и поддельного интерфейса.
-----

Исследовательская группа McAfee по мобильным технологиям выявила новую кампанию вредоносных программ для Android, которая нацелена на пользователей, говорящих на хинди, в первую очередь в Индии. В кампании участвуют вредоносные программы, которые маскируются под законные финансовые приложения от известных индийских банков, таких как SBI Card, Axis Bank и IndusInd Bank. Эта вредоносная программа распространяется через фишинговые веб-сайты, которые полностью имитируют официальные банковские сайты, используя тактику социальной инженерии, чтобы обманом заставить пользователей загрузить вредоносное приложение.

Вредоносное ПО обладает двойной функциональностью: оно не только крадет личные и финансовые данные, но и тайно добывает криптовалюту Monero с помощью программного обеспечения для майнинга XMRig. Процесс майнинга активируется через Firebase Cloud Messaging (FCM), что позволяет вредоносному ПО работать без ведома пользователя. После запуска, казалось бы, безобидного приложения, пользователи сталкиваются с поддельным запросом на обновление в Google Play Store. Приложение содержит зашифрованный файл DEX, который служит в качестве компонента загрузки, который расшифровывает и динамически загружает фактическую вредоносную нагрузку в память. Этот многоступенчатый метод загрузки усложняет статический анализ и обнаружение с помощью систем кибербезопасности.

После выполнения полезной нагрузки приложение представляет поддельный финансовый интерфейс, предлагая жертвам ввести конфиденциальную информацию, такую как их имя, номер карты, CVV и срок годности. Затем эти данные передаются на сервер управления (C2), которым управляют злоумышленники. Чтобы сохранить эту уловку, приложение отображает поддельную страницу управления, якобы предназначенную для обработки заявки пользователя, что еще больше вводит жертву в заблуждение.

Особенно примечательна функциональность вредоносного ПО для интеллектуального анализа данных. В дополнение к сбору конфиденциальных данных, оно включает в себя службу, которая прослушивает определенные команды через FCM для запуска процесса интеллектуального анализа данных. Вредоносная программа содержит жестко закодированные URL-адреса, к которым она пытается подключиться для загрузки двоичного файла, зашифрованного и обозначенного расширением .so. Примечательно, что он использует класс Java ProcessBuilder для выполнения этого двоичного файла непосредственно в качестве автономного приложения, имитируя законные операции командной строки XMRig для майнинга Monero.

Эта кампания подчеркивает сложный подход, сочетающий в себе кражу данных и эксплуатацию ресурсов, иллюстрирующий меняющийся ландшафт угроз, нацеленных на мобильных пользователей с помощью тактик социальной инженерии и передовых методов уклонения. Возможность майнить криптовалюту, компрометируя пользовательские данные, усиливает угрозу, особенно учитывая функции Monero, ориентированные на конфиденциальность, которые облегчают незаконные финансовые транзакции.

#ParsedReport #CompletenessMedium
05-08-2025

APT36 Expands Beyond Military: New Attacks Hit Indian Railways, Oil & Government Systems

https://hunt.io/blog/apt36-india-infrastructure-attacks

Report completeness: Medium

Actors/Campaigns:
Transparenttribe

Threats:
Mythic_c2
Poseidon
Credential_harvesting_technique

Victims:
Indian railways, Oil and gas infrastructure, Ministry of external affairs, Indian government organizations, Drdo, Ministry of defence, Indian air force, Jammu and kashmir police, Indian army

Industry:
Transport, Military, Petroleum, Government, Critical_infrastructure

Geo:
Pakistan, Germany, Indian, Bulgaria, India, Singapore, Kashmir, Netherlands

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1070.004, T1071.001, T1078, T1105, T1219, T1566.001

IOCs:
IP: 7
File: 2
Domain: 1
Hash: 9

Soft:
Linux

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, нацелен на индийскую инфраструктуру, используя тактику фишинга с помощью .файлы на рабочем столе, маскирующие вредоносное ПО под PDF-файлы. Они используют бэкдор Poseidon для постоянного доступа и расширили свои фишинговые кампании до более чем 100 доменов, вводящих в заблуждение, что усиливает усилия по credential harvesting.
-----

APT36, также известная как Transparent Tribe, является связанной с Пакистаном хакерской группировкой, которая расширила свои операции, нацелившись на более широкий спектр индийских правительственных и гражданских объектов инфраструктуры, включая железнодорожные системы, нефтегазовый сектор и Министерство иностранных дел. Группа использует изощренную тактику фишинга, в основном используя файлы .desktop, замаскированные под PDF-документы, для выполнения вредоносных скриптов, которые загружают вредоносное ПО. Были идентифицированы два различных варианта атаки, один из которых опирается на единый сервер управления (C2), а другой использует резервные серверы для обеспечения устойчивости к взлому, что свидетельствует о стратегическом усовершенствовании их методов работы.

Этот метод предполагает доставку файлов .desktop, которые кажутся безвредными, но при открытии запускают фоновые скрипты, которые загружают вредоносное ПО и настраивают задания cron для обеспечения сохраняемости. Эти вредоносные полезные файлы хранятся в каталогах, предназначенных для имитации законных системных файлов, таких как \~/.local/share/ и /dev/shm/. Определенные файлы с названиями, напоминающими легальное программное обеспечение, такие как p7zip-full и emacs-bin, используются для маскировки вредоносных действий. Бэкдором, используемым в этих атаках, является вредоносная программа Poseidon, созданная с использованием платформы управления Mythic. Бэкдор Poseidon позволяет APT36 поддерживать постоянный доступ к зараженным системам, облегчать боковое перемещение и проводить credential harvesting.

Примечательно, что инфраструктура APT36 охватывает несколько серверов, размещенных на DigitalOcean, что помогает поддерживать соединения, даже если некоторые из них отключены. Конкретные IP-адреса, такие как 209.38.203.53, 165.232.114.63 и 165.22.251.224, были связаны с их операциями. Анализ показывает, что эти серверы имеют решающее значение для их связи C2, позволяя злоумышленникам осуществлять контроль над скомпрометированными системами.

Фишинг-кампании, связанные с APT36 также расширены, при регистрации группы, более чем 100 обманчива доменов, олицетворение индийской государственных организаций. Многие из этих доменов, созданных для того, чтобы обмануть пользователей, заставив их поверить, что они получают доступ к законным порталам, размещены на AlexHost. Использование сообщают поддоменов и подобные именования нередко сливаются законного правительства цифрового ландшафта, позволяя apt36 APT36 для сбора учетных данных. Эта тактика свидетельствует о более широкой стратегии, направленной на повышение эффективности их фишинговых операций и распространения вредоносных программ.

#ParsedReport #CompletenessLow
05-08-2025

Modular Malware Suite Sold by Threat Actors Through Public Storefront Domains

https://gbhackers.com/modular-malware-suite-sold-by-threat-actors/

Report completeness: Low

Threats:
Growtopia
Mitm_technique
Process_injection_technique
Polymorphism_technique

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1056.001, T1090.002, T1113, T1176, T1496, T1498

IOCs:
Domain: 1

Soft:
Twitter, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Cyber Products запустила Cyber Stealer, модульный пакет вредоносных программ, доступный по подписке, который включает в себя такие функции, как кейлоггинг, инструменты для DDoS-атак и бесшумный майнинг криптовалют. Его архитектура допускает кастомизацию и усовершенствованную тактику уклонения, что делает его серьезной угрозой мерам безопасности.
-----

Субъект угрозы, идентифицированный как Cyber Products, запустил публичную витрину магазина, cyberproducts.io , для распространения своего модульного пакета вредоносных программ, известного как Cyber Stealer. Это отражает тенденцию к коммерциализации инструментов киберпреступности, причем рекламные акции также проводятся на подпольных форумах, таких как хакфорумы. Позиционируемый как комплексная платформа для различных киберугроз, Cyber Stealer обладает модульной архитектурой, позволяющей настраивать и масштабировать его в соответствии с различными потребностями в атаках.

Cyber Stealer доступен в трех вариантах подписки — обычной, Премиум- и VIP — каждый из которых предлагает различные уровни функциональности и продолжительности доступа, варьирующиеся от одной недели до пожизненного доступа. Основная функциональность сосредоточена на расширенных возможностях кражи информации, которые включают в себя такие методы, как блокировка клавиатуры, захват экрана и сбор данных браузера для извлечения конфиденциальной информации, включая учетные данные и финансовую информацию.

Кроме того, пакет оснащен возможностями отравления DNS, позволяющими злоумышленникам внедрять вредоносные записи DNS для перенаправления трафика на контролируемые ими серверы, что облегчает атаки man-in-the-middle или фишинговые схемы. Он также включает в себя инструменты распределенного отказа в обслуживании (DDoS), которые могут инициировать различные типы атак для подавления целевых систем, часто используя возможности ботнет для повышения эффективности. Включен бесшумный майнер криптовалют, который скрытно использует системные ресурсы, такие как циклы процессора и графического процессора для майнинга криптовалют, не повышая осведомленности пользователей, используя методы process Injection и антианализа, чтобы избежать обнаружения системами безопасности конечных точек.

Архитектура Cyber Stealer's поддерживает функции обратного прокси-сервера, обеспечивая анонимизацию трафика и постоянную передачу команд и контроля по зашифрованным каналам. Такое использование доверия к подписанным двоичным файлам повышает способность вредоносного ПО обходить современные меры безопасности, повышая вероятность успешного заражения при использовании современных антивирусных технологий и технологий безопасной загрузки.

Эволюция Cyber Stealer отражает более широкие тенденции в разработке вредоносных программ, такие как использование polymorphic кода и структур на основе плагинов, которые бросают вызов методам обнаружения. Исследователи безопасности предупреждают, что мониторинг активности в доменах, проверка подпольных форумов и содействие совместному обмену разведывательной информацией являются важнейшими шагами для пресечения распространения таких вредоносных торговых площадок. Организациям рекомендуется внедрять многоуровневые стратегии безопасности, включая системы нулевого доверия и обнаружение аномалий в режиме реального времени, для защиты от угроз, создаваемых этими коммерциализированными платформами вредоносных программ.

#ParsedReport #CompletenessLow
05-08-2025

Fingerprinting Malware C2s with Tags

https://www.team-cymru.com/post/fingerprinting-malware-c2s-with-tags

Report completeness: Low

Threats:
Neptune_tool
Gremlin_stealer
Unamwebpanel_tool
Silentcryptominer_tool
Seo_poisoning_technique

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1496, T1539, T1555.003, T1566.002, T1583.002, T1595.002

IOCs:
File: 2
IP: 10

Soft:
Telegram, Chrome, Steam, Discord

Links:
https://github.com/UnamSanctam/UnamWebPanel
https://github.com/NotiPeru/SilentCryptoMiner

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Передовые исследовательские группы используют методы снятия отпечатков пальцев для анализа инфраструктуры C2 и выявления киберугроз. Загрузчик Neptune, Gremlin Stealer и SilentCryptoMiner выделяются своими уникальными атрибутами, облегчающими отслеживание их контроллеров с помощью определенных IP-характеристик и открытых портов. Инструменты от Team Cymru улучшают идентификацию скомпрометированных систем в сетях.
-----

В блоге представлена информация о методах, используемых передовыми исследовательскими группами для выявления инфраструктуры командования и контроля (C2), используемой субъектами угроз. Снятие отпечатков пальцев включает в себя анализ IP-адресов на наличие определенных атрибутов, таких как открытые порты, баннеры, сертификаты SSL/TLS, пассивные записи DNS и данные WHOIS, для построения подробного профиля сред C2. Команда Cymru использует систему тегов, которая связывает различные атрибуты IP-адресов, чтобы помочь идентифицировать и отслеживать вредоносные сообщения C2. Отслеживая эти теги с помощью своих продуктов Pure Signal, исследователи могут собирать показатели с течением времени, чтобы выявить тенденции в IP-инфраструктуре, связанные с киберугрозами.

В ходе анализа различных вредоносных кампаний были выявлены важные выводы, касающиеся конкретных семейств вредоносных программ. Загрузчик Neptune, представленный в ноябре 2023 года, функционирует как HTTP-загрузчик, позволяющий операторам управлять зараженными системами через веб-интерфейс. Такие индикаторы, как открытый порт 3000 и соответствующий HTTP-заголовок "Neptune - Login", могут использоваться для создания отпечатков пальцев для идентификации других контроллеров загрузчика Neptune в режиме онлайн. Аналогичным образом, в апреле 2025 года Palo Alto Networks сообщила о появлении вредоносной программы под названием Gremlin Stealer, известной кражей конфиденциальных данных, включая веб-файлы cookie и учетные данные пользователя. Вредоносная программа использует открытый порт 80, обозначенный названием "Gremlin Access", который также может быть использован для отслеживания ее контроллеров с использованием данных Team Cymru.

Еще одно заслуживающее внимания вредоносное ПО, SilentCryptoMiner, использовалось для несанкционированного майнинга криптовалют с момента его выпуска в ноябре 2021 года. Недавно это было замечено в кампаниях, использующих SEO poisoning и обучающие программы YouTube, о чем сообщает Kaspersky. Связанная Unam Web Panel для управления майнером представляет свои собственные идентифицируемые атрибуты через открытый порт 80, показывая "Unam Web Panel - Вход в систему"..

Команда Cymru предоставляет своим клиентам Scout инструменты для эффективного запроса IP-адресов, связанных с этими семействами вредоносных программ, что позволяет идентифицировать потенциально скомпрометированные системы в сетях. Например, они могут фильтровать IP-адреса, помеченные как маршрутизаторы, чтобы потенциально точно определить корпоративные устройства, действующие как шлюзы для зараженных систем, подключающихся обратно к их инфраструктуре C2. Такие методологии подчеркивают важность использования точных методов определения принадлежности и мониторинга в области разведки киберугроз.

#ParsedReport #CompletenessMedium
05-08-2025

Trojan.WinLNK/Powershell Runner

https://www.pointwild.com/threat-intelligence/trojan-winlnk-powershell-runner

Report completeness: Medium

Threats:
Remcos_rat

Industry:
Telco

Geo:
Romania

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1021.001, T1027, T1036.002, T1036.003, T1056.001, T1059.001, T1105, T1113, T1125, have more...

IOCs:
File: 12
Command: 3
Hash: 7
Path: 8
IP: 2

Soft:
CHROME, Windows PowerShell, Task Scheduler

Algorithms:
sha1, sha256, base64, md5, zip

Functions:
Set-Content

Win API:
SetWindowsHookExA

Win Services:
WebClient

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные файлы LNK все чаще используются киберпреступниками для скрытного выполнения команд, часто маскируясь под безобидные документы. Они позволяют проводить атаки без использования файлов, позволяя вредоносным программам, таким как бэкдор REMCOS, сохраняться и управлять зараженными компьютерами через PowerShell. Эти угрозы используют настройки Windows по умолчанию для скрытия расширений файлов, что затрудняет их обнаружение.
-----

Вредоносные файлы LNK все чаще используются киберпреступниками в качестве вектора атаки для выполнения команд без срабатывания предупреждений системы безопасности. Эти ярлыки часто маскируются под доброкачественные документы, такие как счета-фактуры или файлы Word. Щелчок по этим файлам LNK обычно выполняет команды с использованием инструментов Windows, таких как PowerShell, что позволяет проводить атаки без файлов, которые не обнаруживаются.

В многоэтапной вредоносной кампании, развертывающей бэкдор REMCOS, в основном используются файлы LNK, часто распространяемые через фишинговые электронные письма или вредоносные веб-сайты. Поле "Цель" в файлах LNK может содержать вредоносные команды вместо законных приложений. Широко распространены такие методы, как использование местоположения значка для указания на вредоносные исполняемые файлы и использование альтернативных потоков данных (рекламы) для сокрытия полезной нагрузки.

Выполнение файла LNK запускает вредоносные команды, которые загружают и запускают вредоносное ПО с помощью PowerShell или скриптовых методов, позволяя вредоносному ПО установить постоянство. Бэкдор REMCOS, написанный на C++, позволяет осуществлять широкий контроль над зараженным компьютером, включая ведение журнала нажатий клавиш, выполнение произвольных команд, передачу файлов и захват данных с веб-камеры.

Зараженные системы создают файлы журналов в каталоге %ProgramData% в папке "remcos", в которых хранятся все журналы взаимодействий. Связь с сервером управления осуществляется через известные IP-адреса и зашифрованные соединения. Простота создания вредоносных LNK-файлов в сочетании с их скрытностью делает их серьезной угрозой, подчеркивая важность бдительности пользователей в отношении файлов быстрого доступа в электронных письмах или ненадежных источниках.

#ParsedReport #CompletenessLow
05-08-2025

Malware spread through Facebook ads disguised as cryptocurrency exchanges.

https://asec.ahnlab.com/ko/89347/

Report completeness: Low

Victims:
Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056.001, T1059.001, T1082, T1105, T1113, T1192, T1204.002, T1497.001, T1539, have more...

IOCs:
File: 1
Hash: 5
Domain: 5

Soft:
Telegram, TradingView

Crypto:
binance, bitcoin

Algorithms:
base64, md5

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AhnLab ASEC обнаружила вредоносное ПО, нацеленное на пользователей криптовалют с помощью обманчивой рекламы в Facebook, выдающей себя за биржу. Он захватывает конфиденциальные данные, использует PowerShell для дальнейшего выполнения и включает в себя возможности кейлоггинга. Индикаторы компрометации включают конкретные хэши MD5 и вредоносные домены, такие как firewall-813.com .
-----

Аналитический центр безопасности AhnLab (ASEC) выявил новый штамм вредоносного ПО, специально предназначенного для пользователей криптовалют через рекламу в Facebook. Эта вредоносная программа маскируется под криптовалютную биржу, успешно обманывая пользователей и заставляя их загружать вредоносные программы. Как только пользователи просматривают рекламу и попадают на замаскированный веб-сайт, им предлагается загрузить файл с именем "installer.msi". Во время установки эта вредоносная программа устанавливает связь с JavaScript, запущенным на мошенническом сайте, и впоследствии запускает программу infostealer, которая захватывает системную информацию, снимки экрана и данные браузера.

Вредоносное ПО использует хитрость для оценки среды, в которой оно работает. Если он обнаружит, что система запущена в виртуальной среде, сервер прервет связь, вернув нулевое значение. Напротив, если система не является виртуальной, она выдает в ответ файл планировщика в формате XML, в котором регистрируется планировщик PowerShell. Этот планировщик настроен на выполнение сценария PowerShell в кодировке BASE64, запускаемого определенными событиями. После выполнения этого сценария другой сценарий PowerShell загружается из внешнего источника. Этот дополнительный скрипт может дополнительно загружать и выполнять другие скрипты, расширяя возможности вредоносного ПО.

Компонент вредоносной программы infostealer особенно эффективен, поскольку он собирает конфиденциальную информацию из браузеров и приложений, включая Telegram. Поведение вредоносной программы предполагает, что она также занимается кейлоггингом и потенциально другими вредоносными действиями. Пользователям рекомендуется проверять доменные адреса при загрузке файлов, чтобы снизить риск непреднамеренной установки вредоносного ПО. Исследование подчеркивает, что файлы, предлагаемые через рекламу, часто являются потенциально нежелательными программами (PUPS) или откровенным вредоносным ПО, что подчеркивает необходимость осторожности.

Анализ включает конкретные показатели компрометации (IOCs), связанные с этим вредоносным ПО, включая хэши MD5 для идентификации вредоносных файлов, а также полные доменные имена (FQDNs), связанные с его функционированием, такие как firewall-813.com , и различные домены, связанные с binance. Пользователям рекомендуется избегать загрузок с таких доменов для защиты от этих угроз.