CTT Report Hub
#ParsedReport #CompletenessLow 05-08-2025 Modular Malware Suite Sold by Threat Actors Through Public Storefront Domains https://gbhackers.com/modular-malware-suite-sold-by-threat-actors/ Report completeness: Low Threats: Growtopia Mitm_technique Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Компания Cyber Products запустила Cyber Stealer, модульный пакет вредоносных программ, доступный по подписке, который включает в себя такие функции, как кейлоггинг, инструменты для DDoS-атак и бесшумный майнинг криптовалют. Его архитектура допускает кастомизацию и усовершенствованную тактику уклонения, что делает его серьезной угрозой мерам безопасности.
-----
Субъект угрозы, идентифицированный как Cyber Products, запустил публичную витрину магазина, cyberproducts.io , для распространения своего модульного пакета вредоносных программ, известного как Cyber Stealer. Это отражает тенденцию к коммерциализации инструментов киберпреступности, причем рекламные акции также проводятся на подпольных форумах, таких как хакфорумы. Позиционируемый как комплексная платформа для различных киберугроз, Cyber Stealer обладает модульной архитектурой, позволяющей настраивать и масштабировать его в соответствии с различными потребностями в атаках.
Cyber Stealer доступен в трех вариантах подписки — обычной, Премиум- и VIP — каждый из которых предлагает различные уровни функциональности и продолжительности доступа, варьирующиеся от одной недели до пожизненного доступа. Основная функциональность сосредоточена на расширенных возможностях кражи информации, которые включают в себя такие методы, как блокировка клавиатуры, захват экрана и сбор данных браузера для извлечения конфиденциальной информации, включая учетные данные и финансовую информацию.
Кроме того, пакет оснащен возможностями отравления DNS, позволяющими злоумышленникам внедрять вредоносные записи DNS для перенаправления трафика на контролируемые ими серверы, что облегчает атаки man-in-the-middle или фишинговые схемы. Он также включает в себя инструменты распределенного отказа в обслуживании (DDoS), которые могут инициировать различные типы атак для подавления целевых систем, часто используя возможности ботнет для повышения эффективности. Включен бесшумный майнер криптовалют, который скрытно использует системные ресурсы, такие как циклы процессора и графического процессора для майнинга криптовалют, не повышая осведомленности пользователей, используя методы process Injection и антианализа, чтобы избежать обнаружения системами безопасности конечных точек.
Архитектура Cyber Stealer's поддерживает функции обратного прокси-сервера, обеспечивая анонимизацию трафика и постоянную передачу команд и контроля по зашифрованным каналам. Такое использование доверия к подписанным двоичным файлам повышает способность вредоносного ПО обходить современные меры безопасности, повышая вероятность успешного заражения при использовании современных антивирусных технологий и технологий безопасной загрузки.
Эволюция Cyber Stealer отражает более широкие тенденции в разработке вредоносных программ, такие как использование polymorphic кода и структур на основе плагинов, которые бросают вызов методам обнаружения. Исследователи безопасности предупреждают, что мониторинг активности в доменах, проверка подпольных форумов и содействие совместному обмену разведывательной информацией являются важнейшими шагами для пресечения распространения таких вредоносных торговых площадок. Организациям рекомендуется внедрять многоуровневые стратегии безопасности, включая системы нулевого доверия и обнаружение аномалий в режиме реального времени, для защиты от угроз, создаваемых этими коммерциализированными платформами вредоносных программ.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Компания Cyber Products запустила Cyber Stealer, модульный пакет вредоносных программ, доступный по подписке, который включает в себя такие функции, как кейлоггинг, инструменты для DDoS-атак и бесшумный майнинг криптовалют. Его архитектура допускает кастомизацию и усовершенствованную тактику уклонения, что делает его серьезной угрозой мерам безопасности.
-----
Субъект угрозы, идентифицированный как Cyber Products, запустил публичную витрину магазина, cyberproducts.io , для распространения своего модульного пакета вредоносных программ, известного как Cyber Stealer. Это отражает тенденцию к коммерциализации инструментов киберпреступности, причем рекламные акции также проводятся на подпольных форумах, таких как хакфорумы. Позиционируемый как комплексная платформа для различных киберугроз, Cyber Stealer обладает модульной архитектурой, позволяющей настраивать и масштабировать его в соответствии с различными потребностями в атаках.
Cyber Stealer доступен в трех вариантах подписки — обычной, Премиум- и VIP — каждый из которых предлагает различные уровни функциональности и продолжительности доступа, варьирующиеся от одной недели до пожизненного доступа. Основная функциональность сосредоточена на расширенных возможностях кражи информации, которые включают в себя такие методы, как блокировка клавиатуры, захват экрана и сбор данных браузера для извлечения конфиденциальной информации, включая учетные данные и финансовую информацию.
Кроме того, пакет оснащен возможностями отравления DNS, позволяющими злоумышленникам внедрять вредоносные записи DNS для перенаправления трафика на контролируемые ими серверы, что облегчает атаки man-in-the-middle или фишинговые схемы. Он также включает в себя инструменты распределенного отказа в обслуживании (DDoS), которые могут инициировать различные типы атак для подавления целевых систем, часто используя возможности ботнет для повышения эффективности. Включен бесшумный майнер криптовалют, который скрытно использует системные ресурсы, такие как циклы процессора и графического процессора для майнинга криптовалют, не повышая осведомленности пользователей, используя методы process Injection и антианализа, чтобы избежать обнаружения системами безопасности конечных точек.
Архитектура Cyber Stealer's поддерживает функции обратного прокси-сервера, обеспечивая анонимизацию трафика и постоянную передачу команд и контроля по зашифрованным каналам. Такое использование доверия к подписанным двоичным файлам повышает способность вредоносного ПО обходить современные меры безопасности, повышая вероятность успешного заражения при использовании современных антивирусных технологий и технологий безопасной загрузки.
Эволюция Cyber Stealer отражает более широкие тенденции в разработке вредоносных программ, такие как использование polymorphic кода и структур на основе плагинов, которые бросают вызов методам обнаружения. Исследователи безопасности предупреждают, что мониторинг активности в доменах, проверка подпольных форумов и содействие совместному обмену разведывательной информацией являются важнейшими шагами для пресечения распространения таких вредоносных торговых площадок. Организациям рекомендуется внедрять многоуровневые стратегии безопасности, включая системы нулевого доверия и обнаружение аномалий в режиме реального времени, для защиты от угроз, создаваемых этими коммерциализированными платформами вредоносных программ.
#ParsedReport #CompletenessLow
05-08-2025
Fingerprinting Malware C2s with Tags
https://www.team-cymru.com/post/fingerprinting-malware-c2s-with-tags
Report completeness: Low
Threats:
Neptune_tool
Gremlin_stealer
Unamwebpanel_tool
Silentcryptominer_tool
Seo_poisoning_technique
TTPs:
ChatGPT TTPs:
T1071.001, T1078, T1496, T1539, T1555.003, T1566.002, T1583.002, T1595.002
IOCs:
File: 2
IP: 10
Soft:
Telegram, Chrome, Steam, Discord
Links:
05-08-2025
Fingerprinting Malware C2s with Tags
https://www.team-cymru.com/post/fingerprinting-malware-c2s-with-tags
Report completeness: Low
Threats:
Neptune_tool
Gremlin_stealer
Unamwebpanel_tool
Silentcryptominer_tool
Seo_poisoning_technique
TTPs:
ChatGPT TTPs:
do not use without manual checkT1071.001, T1078, T1496, T1539, T1555.003, T1566.002, T1583.002, T1595.002
IOCs:
File: 2
IP: 10
Soft:
Telegram, Chrome, Steam, Discord
Links:
https://github.com/UnamSanctam/UnamWebPanelhttps://github.com/NotiPeru/SilentCryptoMinerTeam-Cymru
Fingerprinting Malware C2s with Tags | Team Cymru
This blog is written for threat analysts, defenders, and CTI teams who use our Scout platform—but even if you’re not a user today, it offers practical insight into how advanced research teams fingerprint C2 infrastructure, and how you might apply similar…
CTT Report Hub
#ParsedReport #CompletenessLow 05-08-2025 Fingerprinting Malware C2s with Tags https://www.team-cymru.com/post/fingerprinting-malware-c2s-with-tags Report completeness: Low Threats: Neptune_tool Gremlin_stealer Unamwebpanel_tool Silentcryptominer_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Передовые исследовательские группы используют методы снятия отпечатков пальцев для анализа инфраструктуры C2 и выявления киберугроз. Загрузчик Neptune, Gremlin Stealer и SilentCryptoMiner выделяются своими уникальными атрибутами, облегчающими отслеживание их контроллеров с помощью определенных IP-характеристик и открытых портов. Инструменты от Team Cymru улучшают идентификацию скомпрометированных систем в сетях.
-----
В блоге представлена информация о методах, используемых передовыми исследовательскими группами для выявления инфраструктуры командования и контроля (C2), используемой субъектами угроз. Снятие отпечатков пальцев включает в себя анализ IP-адресов на наличие определенных атрибутов, таких как открытые порты, баннеры, сертификаты SSL/TLS, пассивные записи DNS и данные WHOIS, для построения подробного профиля сред C2. Команда Cymru использует систему тегов, которая связывает различные атрибуты IP-адресов, чтобы помочь идентифицировать и отслеживать вредоносные сообщения C2. Отслеживая эти теги с помощью своих продуктов Pure Signal, исследователи могут собирать показатели с течением времени, чтобы выявить тенденции в IP-инфраструктуре, связанные с киберугрозами.
В ходе анализа различных вредоносных кампаний были выявлены важные выводы, касающиеся конкретных семейств вредоносных программ. Загрузчик Neptune, представленный в ноябре 2023 года, функционирует как HTTP-загрузчик, позволяющий операторам управлять зараженными системами через веб-интерфейс. Такие индикаторы, как открытый порт 3000 и соответствующий HTTP-заголовок "Neptune - Login", могут использоваться для создания отпечатков пальцев для идентификации других контроллеров загрузчика Neptune в режиме онлайн. Аналогичным образом, в апреле 2025 года Palo Alto Networks сообщила о появлении вредоносной программы под названием Gremlin Stealer, известной кражей конфиденциальных данных, включая веб-файлы cookie и учетные данные пользователя. Вредоносная программа использует открытый порт 80, обозначенный названием "Gremlin Access", который также может быть использован для отслеживания ее контроллеров с использованием данных Team Cymru.
Еще одно заслуживающее внимания вредоносное ПО, SilentCryptoMiner, использовалось для несанкционированного майнинга криптовалют с момента его выпуска в ноябре 2021 года. Недавно это было замечено в кампаниях, использующих SEO poisoning и обучающие программы YouTube, о чем сообщает Kaspersky. Связанная Unam Web Panel для управления майнером представляет свои собственные идентифицируемые атрибуты через открытый порт 80, показывая "Unam Web Panel - Вход в систему"..
Команда Cymru предоставляет своим клиентам Scout инструменты для эффективного запроса IP-адресов, связанных с этими семействами вредоносных программ, что позволяет идентифицировать потенциально скомпрометированные системы в сетях. Например, они могут фильтровать IP-адреса, помеченные как маршрутизаторы, чтобы потенциально точно определить корпоративные устройства, действующие как шлюзы для зараженных систем, подключающихся обратно к их инфраструктуре C2. Такие методологии подчеркивают важность использования точных методов определения принадлежности и мониторинга в области разведки киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Передовые исследовательские группы используют методы снятия отпечатков пальцев для анализа инфраструктуры C2 и выявления киберугроз. Загрузчик Neptune, Gremlin Stealer и SilentCryptoMiner выделяются своими уникальными атрибутами, облегчающими отслеживание их контроллеров с помощью определенных IP-характеристик и открытых портов. Инструменты от Team Cymru улучшают идентификацию скомпрометированных систем в сетях.
-----
В блоге представлена информация о методах, используемых передовыми исследовательскими группами для выявления инфраструктуры командования и контроля (C2), используемой субъектами угроз. Снятие отпечатков пальцев включает в себя анализ IP-адресов на наличие определенных атрибутов, таких как открытые порты, баннеры, сертификаты SSL/TLS, пассивные записи DNS и данные WHOIS, для построения подробного профиля сред C2. Команда Cymru использует систему тегов, которая связывает различные атрибуты IP-адресов, чтобы помочь идентифицировать и отслеживать вредоносные сообщения C2. Отслеживая эти теги с помощью своих продуктов Pure Signal, исследователи могут собирать показатели с течением времени, чтобы выявить тенденции в IP-инфраструктуре, связанные с киберугрозами.
В ходе анализа различных вредоносных кампаний были выявлены важные выводы, касающиеся конкретных семейств вредоносных программ. Загрузчик Neptune, представленный в ноябре 2023 года, функционирует как HTTP-загрузчик, позволяющий операторам управлять зараженными системами через веб-интерфейс. Такие индикаторы, как открытый порт 3000 и соответствующий HTTP-заголовок "Neptune - Login", могут использоваться для создания отпечатков пальцев для идентификации других контроллеров загрузчика Neptune в режиме онлайн. Аналогичным образом, в апреле 2025 года Palo Alto Networks сообщила о появлении вредоносной программы под названием Gremlin Stealer, известной кражей конфиденциальных данных, включая веб-файлы cookie и учетные данные пользователя. Вредоносная программа использует открытый порт 80, обозначенный названием "Gremlin Access", который также может быть использован для отслеживания ее контроллеров с использованием данных Team Cymru.
Еще одно заслуживающее внимания вредоносное ПО, SilentCryptoMiner, использовалось для несанкционированного майнинга криптовалют с момента его выпуска в ноябре 2021 года. Недавно это было замечено в кампаниях, использующих SEO poisoning и обучающие программы YouTube, о чем сообщает Kaspersky. Связанная Unam Web Panel для управления майнером представляет свои собственные идентифицируемые атрибуты через открытый порт 80, показывая "Unam Web Panel - Вход в систему"..
Команда Cymru предоставляет своим клиентам Scout инструменты для эффективного запроса IP-адресов, связанных с этими семействами вредоносных программ, что позволяет идентифицировать потенциально скомпрометированные системы в сетях. Например, они могут фильтровать IP-адреса, помеченные как маршрутизаторы, чтобы потенциально точно определить корпоративные устройства, действующие как шлюзы для зараженных систем, подключающихся обратно к их инфраструктуре C2. Такие методологии подчеркивают важность использования точных методов определения принадлежности и мониторинга в области разведки киберугроз.
#ParsedReport #CompletenessMedium
05-08-2025
Trojan.WinLNK/Powershell Runner
https://www.pointwild.com/threat-intelligence/trojan-winlnk-powershell-runner
Report completeness: Medium
Threats:
Remcos_rat
Industry:
Telco
Geo:
Romania
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1020, T1021.001, T1027, T1036.002, T1036.003, T1056.001, T1059.001, T1105, T1113, T1125, have more...
IOCs:
File: 12
Command: 3
Hash: 7
Path: 8
IP: 2
Soft:
CHROME, Windows PowerShell, Task Scheduler
Algorithms:
sha1, sha256, base64, md5, zip
Functions:
Set-Content
Win API:
SetWindowsHookExA
Win Services:
WebClient
Languages:
jscript, powershell
05-08-2025
Trojan.WinLNK/Powershell Runner
https://www.pointwild.com/threat-intelligence/trojan-winlnk-powershell-runner
Report completeness: Medium
Threats:
Remcos_rat
Industry:
Telco
Geo:
Romania
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1020, T1021.001, T1027, T1036.002, T1036.003, T1056.001, T1059.001, T1105, T1113, T1125, have more...
IOCs:
File: 12
Command: 3
Hash: 7
Path: 8
IP: 2
Soft:
CHROME, Windows PowerShell, Task Scheduler
Algorithms:
sha1, sha256, base64, md5, zip
Functions:
Set-Content
Win API:
SetWindowsHookExA
Win Services:
WebClient
Languages:
jscript, powershell
Point Wild
Trojan.WinLNK/Powershell Runner | Point Wild
Introduction A malicious LNK (Windows Shortcut) file attack is a common and stealthy technique used by cybercriminals to deliver malware by exploiting the functionality of Windows shortcut files. A common way hackers carry out fileless attacks is by using…
CTT Report Hub
#ParsedReport #CompletenessMedium 05-08-2025 Trojan.WinLNK/Powershell Runner https://www.pointwild.com/threat-intelligence/trojan-winlnk-powershell-runner Report completeness: Medium Threats: Remcos_rat Industry: Telco Geo: Romania TTPs: Tactics: 1…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносные файлы LNK все чаще используются киберпреступниками для скрытного выполнения команд, часто маскируясь под безобидные документы. Они позволяют проводить атаки без использования файлов, позволяя вредоносным программам, таким как бэкдор REMCOS, сохраняться и управлять зараженными компьютерами через PowerShell. Эти угрозы используют настройки Windows по умолчанию для скрытия расширений файлов, что затрудняет их обнаружение.
-----
Вредоносные файлы LNK все чаще используются киберпреступниками в качестве вектора атаки для выполнения команд без срабатывания предупреждений системы безопасности. Эти ярлыки часто маскируются под доброкачественные документы, такие как счета-фактуры или файлы Word. Щелчок по этим файлам LNK обычно выполняет команды с использованием инструментов Windows, таких как PowerShell, что позволяет проводить атаки без файлов, которые не обнаруживаются.
В многоэтапной вредоносной кампании, развертывающей бэкдор REMCOS, в основном используются файлы LNK, часто распространяемые через фишинговые электронные письма или вредоносные веб-сайты. Поле "Цель" в файлах LNK может содержать вредоносные команды вместо законных приложений. Широко распространены такие методы, как использование местоположения значка для указания на вредоносные исполняемые файлы и использование альтернативных потоков данных (рекламы) для сокрытия полезной нагрузки.
Выполнение файла LNK запускает вредоносные команды, которые загружают и запускают вредоносное ПО с помощью PowerShell или скриптовых методов, позволяя вредоносному ПО установить постоянство. Бэкдор REMCOS, написанный на C++, позволяет осуществлять широкий контроль над зараженным компьютером, включая ведение журнала нажатий клавиш, выполнение произвольных команд, передачу файлов и захват данных с веб-камеры.
Зараженные системы создают файлы журналов в каталоге %ProgramData% в папке "remcos", в которых хранятся все журналы взаимодействий. Связь с сервером управления осуществляется через известные IP-адреса и зашифрованные соединения. Простота создания вредоносных LNK-файлов в сочетании с их скрытностью делает их серьезной угрозой, подчеркивая важность бдительности пользователей в отношении файлов быстрого доступа в электронных письмах или ненадежных источниках.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносные файлы LNK все чаще используются киберпреступниками для скрытного выполнения команд, часто маскируясь под безобидные документы. Они позволяют проводить атаки без использования файлов, позволяя вредоносным программам, таким как бэкдор REMCOS, сохраняться и управлять зараженными компьютерами через PowerShell. Эти угрозы используют настройки Windows по умолчанию для скрытия расширений файлов, что затрудняет их обнаружение.
-----
Вредоносные файлы LNK все чаще используются киберпреступниками в качестве вектора атаки для выполнения команд без срабатывания предупреждений системы безопасности. Эти ярлыки часто маскируются под доброкачественные документы, такие как счета-фактуры или файлы Word. Щелчок по этим файлам LNK обычно выполняет команды с использованием инструментов Windows, таких как PowerShell, что позволяет проводить атаки без файлов, которые не обнаруживаются.
В многоэтапной вредоносной кампании, развертывающей бэкдор REMCOS, в основном используются файлы LNK, часто распространяемые через фишинговые электронные письма или вредоносные веб-сайты. Поле "Цель" в файлах LNK может содержать вредоносные команды вместо законных приложений. Широко распространены такие методы, как использование местоположения значка для указания на вредоносные исполняемые файлы и использование альтернативных потоков данных (рекламы) для сокрытия полезной нагрузки.
Выполнение файла LNK запускает вредоносные команды, которые загружают и запускают вредоносное ПО с помощью PowerShell или скриптовых методов, позволяя вредоносному ПО установить постоянство. Бэкдор REMCOS, написанный на C++, позволяет осуществлять широкий контроль над зараженным компьютером, включая ведение журнала нажатий клавиш, выполнение произвольных команд, передачу файлов и захват данных с веб-камеры.
Зараженные системы создают файлы журналов в каталоге %ProgramData% в папке "remcos", в которых хранятся все журналы взаимодействий. Связь с сервером управления осуществляется через известные IP-адреса и зашифрованные соединения. Простота создания вредоносных LNK-файлов в сочетании с их скрытностью делает их серьезной угрозой, подчеркивая важность бдительности пользователей в отношении файлов быстрого доступа в электронных письмах или ненадежных источниках.
#ParsedReport #CompletenessLow
05-08-2025
Malware spread through Facebook ads disguised as cryptocurrency exchanges.
https://asec.ahnlab.com/ko/89347/
Report completeness: Low
Victims:
Cryptocurrency users
ChatGPT TTPs:
T1036.005, T1056.001, T1059.001, T1082, T1105, T1113, T1192, T1204.002, T1497.001, T1539, have more...
IOCs:
File: 1
Hash: 5
Domain: 5
Soft:
Telegram, TradingView
Crypto:
binance, bitcoin
Algorithms:
base64, md5
Languages:
powershell, javascript
05-08-2025
Malware spread through Facebook ads disguised as cryptocurrency exchanges.
https://asec.ahnlab.com/ko/89347/
Report completeness: Low
Victims:
Cryptocurrency users
ChatGPT TTPs:
do not use without manual checkT1036.005, T1056.001, T1059.001, T1082, T1105, T1113, T1192, T1204.002, T1497.001, T1539, have more...
IOCs:
File: 1
Hash: 5
Domain: 5
Soft:
Telegram, TradingView
Crypto:
binance, bitcoin
Algorithms:
base64, md5
Languages:
powershell, javascript
ASEC
암호화폐 거래소로 위장한 페이스북 광고에 의한 악성코드 유포 - ASEC
암호화폐 거래소로 위장한 페이스북 광고에 의한 악성코드 유포 ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 05-08-2025 Malware spread through Facebook ads disguised as cryptocurrency exchanges. https://asec.ahnlab.com/ko/89347/ Report completeness: Low Victims: Cryptocurrency users ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AhnLab ASEC обнаружила вредоносное ПО, нацеленное на пользователей криптовалют с помощью обманчивой рекламы в Facebook, выдающей себя за биржу. Он захватывает конфиденциальные данные, использует PowerShell для дальнейшего выполнения и включает в себя возможности кейлоггинга. Индикаторы компрометации включают конкретные хэши MD5 и вредоносные домены, такие как firewall-813.com .
-----
Аналитический центр безопасности AhnLab (ASEC) выявил новый штамм вредоносного ПО, специально предназначенного для пользователей криптовалют через рекламу в Facebook. Эта вредоносная программа маскируется под криптовалютную биржу, успешно обманывая пользователей и заставляя их загружать вредоносные программы. Как только пользователи просматривают рекламу и попадают на замаскированный веб-сайт, им предлагается загрузить файл с именем "installer.msi". Во время установки эта вредоносная программа устанавливает связь с JavaScript, запущенным на мошенническом сайте, и впоследствии запускает программу infostealer, которая захватывает системную информацию, снимки экрана и данные браузера.
Вредоносное ПО использует хитрость для оценки среды, в которой оно работает. Если он обнаружит, что система запущена в виртуальной среде, сервер прервет связь, вернув нулевое значение. Напротив, если система не является виртуальной, она выдает в ответ файл планировщика в формате XML, в котором регистрируется планировщик PowerShell. Этот планировщик настроен на выполнение сценария PowerShell в кодировке BASE64, запускаемого определенными событиями. После выполнения этого сценария другой сценарий PowerShell загружается из внешнего источника. Этот дополнительный скрипт может дополнительно загружать и выполнять другие скрипты, расширяя возможности вредоносного ПО.
Компонент вредоносной программы infostealer особенно эффективен, поскольку он собирает конфиденциальную информацию из браузеров и приложений, включая Telegram. Поведение вредоносной программы предполагает, что она также занимается кейлоггингом и потенциально другими вредоносными действиями. Пользователям рекомендуется проверять доменные адреса при загрузке файлов, чтобы снизить риск непреднамеренной установки вредоносного ПО. Исследование подчеркивает, что файлы, предлагаемые через рекламу, часто являются потенциально нежелательными программами (PUPS) или откровенным вредоносным ПО, что подчеркивает необходимость осторожности.
Анализ включает конкретные показатели компрометации (IOCs), связанные с этим вредоносным ПО, включая хэши MD5 для идентификации вредоносных файлов, а также полные доменные имена (FQDNs), связанные с его функционированием, такие как firewall-813.com , и различные домены, связанные с binance. Пользователям рекомендуется избегать загрузок с таких доменов для защиты от этих угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AhnLab ASEC обнаружила вредоносное ПО, нацеленное на пользователей криптовалют с помощью обманчивой рекламы в Facebook, выдающей себя за биржу. Он захватывает конфиденциальные данные, использует PowerShell для дальнейшего выполнения и включает в себя возможности кейлоггинга. Индикаторы компрометации включают конкретные хэши MD5 и вредоносные домены, такие как firewall-813.com .
-----
Аналитический центр безопасности AhnLab (ASEC) выявил новый штамм вредоносного ПО, специально предназначенного для пользователей криптовалют через рекламу в Facebook. Эта вредоносная программа маскируется под криптовалютную биржу, успешно обманывая пользователей и заставляя их загружать вредоносные программы. Как только пользователи просматривают рекламу и попадают на замаскированный веб-сайт, им предлагается загрузить файл с именем "installer.msi". Во время установки эта вредоносная программа устанавливает связь с JavaScript, запущенным на мошенническом сайте, и впоследствии запускает программу infostealer, которая захватывает системную информацию, снимки экрана и данные браузера.
Вредоносное ПО использует хитрость для оценки среды, в которой оно работает. Если он обнаружит, что система запущена в виртуальной среде, сервер прервет связь, вернув нулевое значение. Напротив, если система не является виртуальной, она выдает в ответ файл планировщика в формате XML, в котором регистрируется планировщик PowerShell. Этот планировщик настроен на выполнение сценария PowerShell в кодировке BASE64, запускаемого определенными событиями. После выполнения этого сценария другой сценарий PowerShell загружается из внешнего источника. Этот дополнительный скрипт может дополнительно загружать и выполнять другие скрипты, расширяя возможности вредоносного ПО.
Компонент вредоносной программы infostealer особенно эффективен, поскольку он собирает конфиденциальную информацию из браузеров и приложений, включая Telegram. Поведение вредоносной программы предполагает, что она также занимается кейлоггингом и потенциально другими вредоносными действиями. Пользователям рекомендуется проверять доменные адреса при загрузке файлов, чтобы снизить риск непреднамеренной установки вредоносного ПО. Исследование подчеркивает, что файлы, предлагаемые через рекламу, часто являются потенциально нежелательными программами (PUPS) или откровенным вредоносным ПО, что подчеркивает необходимость осторожности.
Анализ включает конкретные показатели компрометации (IOCs), связанные с этим вредоносным ПО, включая хэши MD5 для идентификации вредоносных файлов, а также полные доменные имена (FQDNs), связанные с его функционированием, такие как firewall-813.com , и различные домены, связанные с binance. Пользователям рекомендуется избегать загрузок с таких доменов для защиты от этих угроз.
#ParsedReport #CompletenessLow
05-08-2025
Android SpyBanker: Rerouting Calls to Attackers
https://labs.k7computing.com/index.php/android-spybanker-rerouting-calls-to-attackers/
Report completeness: Low
Threats:
Spybanker
Victims:
Indian banking users
Industry:
Government, Financial, Retail
Geo:
Indian, Deutsche, Kashmir, Bahrain, India, Kuwait
ChatGPT TTPs:
T1406, T1407, T1410, T1412, T1417, T1420, T1475
IOCs:
File: 1
Hash: 1
Soft:
Android, WhatsApp, Google Play, Twitter
05-08-2025
Android SpyBanker: Rerouting Calls to Attackers
https://labs.k7computing.com/index.php/android-spybanker-rerouting-calls-to-attackers/
Report completeness: Low
Threats:
Spybanker
Victims:
Indian banking users
Industry:
Government, Financial, Retail
Geo:
Indian, Deutsche, Kashmir, Bahrain, India, Kuwait
ChatGPT TTPs:
do not use without manual checkT1406, T1407, T1410, T1412, T1417, T1420, T1475
IOCs:
File: 1
Hash: 1
Soft:
Android, WhatsApp, Google Play, Twitter
K7 Labs
Android SpyBanker: Rerouting Calls to Attackers
During the process of hunting for new Android malware, we at K7 Labs came across a piece of malware APK, […]
CTT Report Hub
#ParsedReport #CompletenessLow 05-08-2025 Android SpyBanker: Rerouting Calls to Attackers https://labs.k7computing.com/index.php/android-spybanker-rerouting-calls-to-attackers/ Report completeness: Low Threats: Spybanker Victims: Indian banking users…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
K7 Labs выявила вредоносное ПО для Android "Служба поддержки клиентов.apk", нацеленное на индийских банковских пользователей с помощью методов принудительного распространения, таких как WhatsApp. Он обходит предупреждения системы безопасности, работает бесшумно и изменяет переадресацию вызовов для перехвата банковской информации, способствуя финансовому мошенничеству.
-----
K7 Labs выявила часть вредоносного ПО для Android под названием "Служба поддержки клиентов.apk", которая специально нацелена на индийских банковских пользователей. Это вредоносное ПО использует уникальный метод установки, при этом телеметрия K7 указывает на то, что оно, скорее всего, установлено из папки "WhatsappDocuments". Это наводит на мысль о потенциальной стратегии принудительного распространения, возможно, включающей вишинг (голосовой фишинг) или методы фишинга, когда жертв обманом заставляют установить вредоносное ПО через WhatsApp.
После установки вредоносное ПО обходит уведомления системы безопасности Android, поскольку выдает предупреждения из "неизвестных источников" и помечается "Google Play Protect". Однако многие пользователи могут игнорировать эти предупреждения, что приводит к успешной установке. Примечательно, что у вредоносного ПО не зарегистрирована категория запуска, что означает, что оно не отображается в панели приложений и вместо этого запускается в фоновом режиме. Он запускается системными событиями, такими как SMS_RECEIVED и BOOT_COMPLETED.
Важной особенностью этого вредоносного ПО SpyBanker является его способность изменять "Номер переадресации вызова" через зарегистрированную службу, известную как "CallForwardingService". Эта функциональность позволяет перенаправлять входящие звонки жертвам на жестко закодированный номер, контролируемый злоумышленником, что позволяет им осуществлять вредоносные действия. Вредоносное ПО также собирает конфиденциальную банковскую информацию, специально предназначенную для различных индийских банков. Его уникальная реализация позволяет использовать единый макет для сбора банковских реквизитов; он изменяет отображаемый текст в зависимости от конкретного банка, выбранного из выпадающего списка. Этот метод повышает эффективность сбора данных, облегчая финансовое мошенничество за счет получения критически важной информации, включая одноразовые пароли (OTP).
В то время как банковские трояны были постоянной проблемой в среде угроз Android, инновационные методы, используемые этим вредоносным ПО, подчеркивают важность постоянных исследований для понимания связанных с ними векторов атак. Пользователям в Индии рекомендуется сообщать о случаях финансового мошенничества в рамках правительственной инициативы, размещенной на специальном онлайн-ресурсе. Рекомендуемые пользователям рекомендации включают загрузку приложений исключительно из магазина Google Play, регулярный просмотр и отключение ненужных разрешений для приложений, соблюдение осторожности при установке приложений и запросах, обновление функций безопасности ОС Android и поддержание на своих устройствах надежного программного обеспечения для обеспечения безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
K7 Labs выявила вредоносное ПО для Android "Служба поддержки клиентов.apk", нацеленное на индийских банковских пользователей с помощью методов принудительного распространения, таких как WhatsApp. Он обходит предупреждения системы безопасности, работает бесшумно и изменяет переадресацию вызовов для перехвата банковской информации, способствуя финансовому мошенничеству.
-----
K7 Labs выявила часть вредоносного ПО для Android под названием "Служба поддержки клиентов.apk", которая специально нацелена на индийских банковских пользователей. Это вредоносное ПО использует уникальный метод установки, при этом телеметрия K7 указывает на то, что оно, скорее всего, установлено из папки "WhatsappDocuments". Это наводит на мысль о потенциальной стратегии принудительного распространения, возможно, включающей вишинг (голосовой фишинг) или методы фишинга, когда жертв обманом заставляют установить вредоносное ПО через WhatsApp.
После установки вредоносное ПО обходит уведомления системы безопасности Android, поскольку выдает предупреждения из "неизвестных источников" и помечается "Google Play Protect". Однако многие пользователи могут игнорировать эти предупреждения, что приводит к успешной установке. Примечательно, что у вредоносного ПО не зарегистрирована категория запуска, что означает, что оно не отображается в панели приложений и вместо этого запускается в фоновом режиме. Он запускается системными событиями, такими как SMS_RECEIVED и BOOT_COMPLETED.
Важной особенностью этого вредоносного ПО SpyBanker является его способность изменять "Номер переадресации вызова" через зарегистрированную службу, известную как "CallForwardingService". Эта функциональность позволяет перенаправлять входящие звонки жертвам на жестко закодированный номер, контролируемый злоумышленником, что позволяет им осуществлять вредоносные действия. Вредоносное ПО также собирает конфиденциальную банковскую информацию, специально предназначенную для различных индийских банков. Его уникальная реализация позволяет использовать единый макет для сбора банковских реквизитов; он изменяет отображаемый текст в зависимости от конкретного банка, выбранного из выпадающего списка. Этот метод повышает эффективность сбора данных, облегчая финансовое мошенничество за счет получения критически важной информации, включая одноразовые пароли (OTP).
В то время как банковские трояны были постоянной проблемой в среде угроз Android, инновационные методы, используемые этим вредоносным ПО, подчеркивают важность постоянных исследований для понимания связанных с ними векторов атак. Пользователям в Индии рекомендуется сообщать о случаях финансового мошенничества в рамках правительственной инициативы, размещенной на специальном онлайн-ресурсе. Рекомендуемые пользователям рекомендации включают загрузку приложений исключительно из магазина Google Play, регулярный просмотр и отключение ненужных разрешений для приложений, соблюдение осторожности при установке приложений и запросах, обновление функций безопасности ОС Android и поддержание на своих устройствах надежного программного обеспечения для обеспечения безопасности.
#ParsedReport #CompletenessLow
05-08-2025
Famous Chollima APT Adversary Simulation
https://medium.com/@S3N4T0R/famous-chollima-apt-adversary-simulation-58fbdf241d0e
Report completeness: Low
Actors/Campaigns:
Famous_chollima
Threats:
Supply_chain_technique
Invisibleferret
Bear-c2
Victims:
Job seekers, Software developers, It community, United states companies
Industry:
Software_development
ChatGPT TTPs:
T1027, T1041, T1059.006, T1059.007, T1071.001, T1078, T1105, T1140, T1204.002, T1219, have more...
IOCs:
File: 4
Soft:
Linux, macOS, Zoom, sudo, Twitter
Algorithms:
base64, xor
Languages:
powershell, javascript, python
Platforms:
cross-platform
05-08-2025
Famous Chollima APT Adversary Simulation
https://medium.com/@S3N4T0R/famous-chollima-apt-adversary-simulation-58fbdf241d0e
Report completeness: Low
Actors/Campaigns:
Famous_chollima
Threats:
Supply_chain_technique
Invisibleferret
Bear-c2
Victims:
Job seekers, Software developers, It community, United states companies
Industry:
Software_development
ChatGPT TTPs:
do not use without manual checkT1027, T1041, T1059.006, T1059.007, T1071.001, T1078, T1105, T1140, T1204.002, T1219, have more...
IOCs:
File: 4
Soft:
Linux, macOS, Zoom, sudo, Twitter
Algorithms:
base64, xor
Languages:
powershell, javascript, python
Platforms:
cross-platform
Medium
Famous Chollima APT Adversary Simulation
This is a simulation of attack by (Famous Chollima) APT group targeting job seekers to accomplish their goals and wide variety of United…
CTT Report Hub
#ParsedReport #CompletenessLow 05-08-2025 Famous Chollima APT Adversary Simulation https://medium.com/@S3N4T0R/famous-chollima-apt-adversary-simulation-58fbdf241d0e Report completeness: Low Actors/Campaigns: Famous_chollima Threats: Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Famous Chollima, группа сложных целенаправленных атак, проводит атаки социальной инженерии на лиц, ищущих работу в США, внедряя бэкдор InvisibleFerret с помощью вредоносных пакетов NPM с GitHub. Эта вредоносная программа на базе Python создает инфраструктуру C2 для удаленного доступа и эксфильтрации данных, используя методы кодирования целевой аудитории.
-----
Имитация атаки, проведенная группой сложных целенаправленных атак, известной как Famous Chollima, нацелена на лиц, ищущих работу в Соединенных Штатах, используя метод социальной инженерии, основанный на фиктивном собеседовании при приеме на работу, для развертывания вредоносного ПО. Эта серия атак, которая началась примерно в декабре 2022 года, включает в себя убеждение жертв загрузить пакет на основе NPM с GitHub под предлогом просмотра или анализа полезного программного обеспечения. Однако этот пакет содержит вредоносный JavaScript-код, предназначенный для заражения системы жертвы вредоносным ПО с бэкдором.
Вредоносная кампания использует несколько изощренных приемов. Во-первых, она использует социальную инженерию для привлечения разработчиков программного обеспечения, создавая правдоподобный сценарий во время технического собеседования, которое часто включает в себя совместное использование экранов для демонстрации навыков программирования. Этот метод использует естественное поведение ИТ-специалистов, которые часто ищут внештатную работу, что делает его менее подозрительной точкой входа для злоумышленников.
Конкретная используемая вредоносная программа, называемая InvisibleFerret, представляет собой бэкдор на основе Python, способный работать в нескольких операционных системах, включая Windows, Linux и macOS. После выполнения бэкдор настраивает инфраструктуру управления (C2) путем установления TCP-соединения, которое использует шифрование XOR для обмена данными. Сервер C2 выдает команды в формате JSON, который включает в себя ключ XOR, используемый для дальнейшего обмена данными.
Чтобы облегчить установку бэкдора, злоумышленники запутывают полезную нагрузку JavaScript в пакете NPM, используя инструменты, разработанные для этой цели. Выбор Python для сценария бэкдора является стратегическим; это широко используемый язык программирования среди целевой аудитории, что означает, что у многих потенциальных жертв уже будут установлены необходимые зависимости. Простота и краткость скриптов Python также помогают в методах уклонения, поскольку эти скрипты можно модифицировать, чтобы скрыть их истинные намерения, не вызывая немедленных подозрений.
Примечательно, что злоумышленники допустили критическую ошибку, не сумев отключить комментарии в некоторых своих репозиториях на GitHub. Этот недосмотр позволил пользователям и исследователям безопасности идентифицировать вредоносный характер пакетов и предупреждать о нем. Несмотря на это, злоумышленники продолжали разрабатывать и успешно использовать ссылки для фишинга, имитирующие законные страницы входа в систему Microsoft, используя модуль BEAR-C2 для улучшения своей инфраструктуры.
В конечном счете, кульминацией операций является успешное создание канала удаленного доступа после выполнения запутанной полезной нагрузки, что облегчает злоумышленникам возможность удаленного управления, эксфильтрации данных и продолжающихся операций без обнаружения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Famous Chollima, группа сложных целенаправленных атак, проводит атаки социальной инженерии на лиц, ищущих работу в США, внедряя бэкдор InvisibleFerret с помощью вредоносных пакетов NPM с GitHub. Эта вредоносная программа на базе Python создает инфраструктуру C2 для удаленного доступа и эксфильтрации данных, используя методы кодирования целевой аудитории.
-----
Имитация атаки, проведенная группой сложных целенаправленных атак, известной как Famous Chollima, нацелена на лиц, ищущих работу в Соединенных Штатах, используя метод социальной инженерии, основанный на фиктивном собеседовании при приеме на работу, для развертывания вредоносного ПО. Эта серия атак, которая началась примерно в декабре 2022 года, включает в себя убеждение жертв загрузить пакет на основе NPM с GitHub под предлогом просмотра или анализа полезного программного обеспечения. Однако этот пакет содержит вредоносный JavaScript-код, предназначенный для заражения системы жертвы вредоносным ПО с бэкдором.
Вредоносная кампания использует несколько изощренных приемов. Во-первых, она использует социальную инженерию для привлечения разработчиков программного обеспечения, создавая правдоподобный сценарий во время технического собеседования, которое часто включает в себя совместное использование экранов для демонстрации навыков программирования. Этот метод использует естественное поведение ИТ-специалистов, которые часто ищут внештатную работу, что делает его менее подозрительной точкой входа для злоумышленников.
Конкретная используемая вредоносная программа, называемая InvisibleFerret, представляет собой бэкдор на основе Python, способный работать в нескольких операционных системах, включая Windows, Linux и macOS. После выполнения бэкдор настраивает инфраструктуру управления (C2) путем установления TCP-соединения, которое использует шифрование XOR для обмена данными. Сервер C2 выдает команды в формате JSON, который включает в себя ключ XOR, используемый для дальнейшего обмена данными.
Чтобы облегчить установку бэкдора, злоумышленники запутывают полезную нагрузку JavaScript в пакете NPM, используя инструменты, разработанные для этой цели. Выбор Python для сценария бэкдора является стратегическим; это широко используемый язык программирования среди целевой аудитории, что означает, что у многих потенциальных жертв уже будут установлены необходимые зависимости. Простота и краткость скриптов Python также помогают в методах уклонения, поскольку эти скрипты можно модифицировать, чтобы скрыть их истинные намерения, не вызывая немедленных подозрений.
Примечательно, что злоумышленники допустили критическую ошибку, не сумев отключить комментарии в некоторых своих репозиториях на GitHub. Этот недосмотр позволил пользователям и исследователям безопасности идентифицировать вредоносный характер пакетов и предупреждать о нем. Несмотря на это, злоумышленники продолжали разрабатывать и успешно использовать ссылки для фишинга, имитирующие законные страницы входа в систему Microsoft, используя модуль BEAR-C2 для улучшения своей инфраструктуры.
В конечном счете, кульминацией операций является успешное создание канала удаленного доступа после выполнения запутанной полезной нагрузки, что облегчает злоумышленникам возможность удаленного управления, эксфильтрации данных и продолжающихся операций без обнаружения.
#ParsedReport #CompletenessLow
05-08-2025
Smart Contract Scams \| Ethereum Drainers Pose as Trading Bots to Steal Crypto
https://www.sentinelone.com/labs/smart-contract-scams-ethereum-drainers-pose-as-trading-bots-to-steal-crypto/
Report completeness: Low
Victims:
Cryptocurrency users, Crypto traders
Industry:
Financial, Media, Petroleum
ChatGPT TTPs:
T1027, T1071.003, T1140, T1192, T1566.002, T1583.001, T1585.001, T1588.002, T1589.002, T1608.001, have more...
IOCs:
Coin: 28
Hash: 6
Url: 4
Soft:
Telegram
Crypto:
ethereum, uniswap
Algorithms:
sha1, xor
Functions:
getDexRouter, Start, StartNative
Languages:
solidity
05-08-2025
Smart Contract Scams \| Ethereum Drainers Pose as Trading Bots to Steal Crypto
https://www.sentinelone.com/labs/smart-contract-scams-ethereum-drainers-pose-as-trading-bots-to-steal-crypto/
Report completeness: Low
Victims:
Cryptocurrency users, Crypto traders
Industry:
Financial, Media, Petroleum
ChatGPT TTPs:
do not use without manual checkT1027, T1071.003, T1140, T1192, T1566.002, T1583.001, T1585.001, T1588.002, T1589.002, T1608.001, have more...
IOCs:
Coin: 28
Hash: 6
Url: 4
Soft:
Telegram
Crypto:
ethereum, uniswap
Algorithms:
sha1, xor
Functions:
getDexRouter, Start, StartNative
Languages:
solidity
SentinelOne
Smart Contract Scams | Ethereum Drainers Pose as Trading Bots to Steal Crypto
Crypto scammers use fake YouTube bots, AI videos, and obfuscated smart contracts to steal $900K+, targeting unwary traders.
CTT Report Hub
#ParsedReport #CompletenessLow 05-08-2025 Smart Contract Scams \| Ethereum Drainers Pose as Trading Bots to Steal Crypto https://www.sentinelone.com/labs/smart-contract-scams-ethereum-drainers-pose-as-trading-bots-to-steal-crypto/ Report completeness: Low…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют вредоносные смарт-контракты, замаскированные под торговых ботов, чтобы выманить у пользователей более 900 000 долларов с помощью видеороликов YouTube, рекламирующих эти мошеннические действия. Контракты, написанные в Solidity, используют методы запутывания, чтобы скрыть адреса кошельков, и требуют от жертв пополнять их с помощью Ethereum, одновременно повышая доверие к мошенническим отзывам.
-----
SentinelLabs сообщила о серии мошенничеств с криптовалютами, в ходе которых злоумышленники распространяют вредоносные смарт-контракты, маскируясь под торговых ботов. Эти мошенники в совокупности вывели из кошельков пользователей более 900 000 долларов. Смарт-контракты используют различные методы запутывания, чтобы скрыть адреса криптовалютных кошельков злоумышленников. Основной метод распространения включает в себя старые аккаунты YouTube, которые продвигают мошенничество с помощью кажущегося заслуживающим доверия контента о торговле криптовалютами, повышая доверие и вовлеченность пользователей.
Вредоносные кампании содержат видеоролики на YouTube, в которых описывается работа поддельных торговых ботов и содержатся инструкции по развертыванию смарт-контрактов с использованием компилятора Remix Solidity, широко используемой платформы разработки блокчейнов. В этих видеороликах часто содержатся ссылки на внешние сайты, на которых размещен мошеннический код смарт-контракта, причем случаи мошенничества продолжаются, по крайней мере, с начала 2024 года. Участвующие в них аккаунты, как правило, вызывают доверие, поскольку они делятся общими новостями о криптовалютах и учебными пособиями, а также комментируют ничего не подозревающие комментарии, что исключает негативные отзывы. В некоторых видеороликах используется контент, созданный с помощью искусственного интеллекта, чтобы упростить производственный процесс, демонстрируя роботизированные интонации голоса и неуклюжие визуальные представления, которые указывают на нечеловеческое творчество.
Защищенные смарт-контракты написаны в Solidity и используют различные механизмы обфускации для сокрытия адресов кошельков, контролируемых злоумышленником. В ходе анализа были выявлены такие методы, как операции XOR для вычисления адреса исходящего кошелька, конкатенация строк и масштабное преобразование десятичной системы счисления в шестнадцатеричную, причем каждая стратегия направлена на то, чтобы скрыть истинную цель вредоносного кода. Несмотря на различные варианты, атаки часто сохраняют схожие характеристики, например, требуют от жертв пополнения смарт-контракта с помощью Ethereum, якобы для использования торговых возможностей. Мошенники повышают доверие к себе с помощью мошеннических отзывов в комментариях к своим видеороликам, которые часто искажают позитивный настрой, несмотря на то, что многие жертвы несут убытки.
Среди выявленных мошенничеств наиболее прибыльной стала кража 244,9 ETH (902 000 долларов) с помощью видео, опубликованного пользователем Jazz_Braze. Этот успех иллюстрирует тревожную тенденцию, при которой злоумышленники со скромными ресурсами могут легко использовать кажущиеся заслуживающими доверия платформы Социальных сетей для распространения опасного контента, особенно с учетом доступности на рынке устаревших аккаунтов YouTube.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют вредоносные смарт-контракты, замаскированные под торговых ботов, чтобы выманить у пользователей более 900 000 долларов с помощью видеороликов YouTube, рекламирующих эти мошеннические действия. Контракты, написанные в Solidity, используют методы запутывания, чтобы скрыть адреса кошельков, и требуют от жертв пополнять их с помощью Ethereum, одновременно повышая доверие к мошенническим отзывам.
-----
SentinelLabs сообщила о серии мошенничеств с криптовалютами, в ходе которых злоумышленники распространяют вредоносные смарт-контракты, маскируясь под торговых ботов. Эти мошенники в совокупности вывели из кошельков пользователей более 900 000 долларов. Смарт-контракты используют различные методы запутывания, чтобы скрыть адреса криптовалютных кошельков злоумышленников. Основной метод распространения включает в себя старые аккаунты YouTube, которые продвигают мошенничество с помощью кажущегося заслуживающим доверия контента о торговле криптовалютами, повышая доверие и вовлеченность пользователей.
Вредоносные кампании содержат видеоролики на YouTube, в которых описывается работа поддельных торговых ботов и содержатся инструкции по развертыванию смарт-контрактов с использованием компилятора Remix Solidity, широко используемой платформы разработки блокчейнов. В этих видеороликах часто содержатся ссылки на внешние сайты, на которых размещен мошеннический код смарт-контракта, причем случаи мошенничества продолжаются, по крайней мере, с начала 2024 года. Участвующие в них аккаунты, как правило, вызывают доверие, поскольку они делятся общими новостями о криптовалютах и учебными пособиями, а также комментируют ничего не подозревающие комментарии, что исключает негативные отзывы. В некоторых видеороликах используется контент, созданный с помощью искусственного интеллекта, чтобы упростить производственный процесс, демонстрируя роботизированные интонации голоса и неуклюжие визуальные представления, которые указывают на нечеловеческое творчество.
Защищенные смарт-контракты написаны в Solidity и используют различные механизмы обфускации для сокрытия адресов кошельков, контролируемых злоумышленником. В ходе анализа были выявлены такие методы, как операции XOR для вычисления адреса исходящего кошелька, конкатенация строк и масштабное преобразование десятичной системы счисления в шестнадцатеричную, причем каждая стратегия направлена на то, чтобы скрыть истинную цель вредоносного кода. Несмотря на различные варианты, атаки часто сохраняют схожие характеристики, например, требуют от жертв пополнения смарт-контракта с помощью Ethereum, якобы для использования торговых возможностей. Мошенники повышают доверие к себе с помощью мошеннических отзывов в комментариях к своим видеороликам, которые часто искажают позитивный настрой, несмотря на то, что многие жертвы несут убытки.
Среди выявленных мошенничеств наиболее прибыльной стала кража 244,9 ETH (902 000 долларов) с помощью видео, опубликованного пользователем Jazz_Braze. Этот успех иллюстрирует тревожную тенденцию, при которой злоумышленники со скромными ресурсами могут легко использовать кажущиеся заслуживающими доверия платформы Социальных сетей для распространения опасного контента, особенно с учетом доступности на рынке устаревших аккаунтов YouTube.
#ParsedReport #CompletenessHigh
05-08-2025
Rapid Breach: Social Engineering to Remote Access in 300 Seconds
https://www.nccgroup.com/research-blog/rapid-breach-social-engineering-to-remote-access-in-300-seconds/
Report completeness: High
Threats:
Microsoft_quick_assist_tool
Netsupportmanager_rat
Bitsadmin_tool
Industry:
Education
TTPs:
Tactics: 5
Technics: 6
IOCs:
File: 7
Url: 9
Path: 6
Registry: 3
Domain: 1
IP: 1
Hash: 2
Soft:
curl
Algorithms:
xor, sha1, zip
Win API:
GetHostName
Win Services:
WebClient
Languages:
powershell
05-08-2025
Rapid Breach: Social Engineering to Remote Access in 300 Seconds
https://www.nccgroup.com/research-blog/rapid-breach-social-engineering-to-remote-access-in-300-seconds/
Report completeness: High
Threats:
Microsoft_quick_assist_tool
Netsupportmanager_rat
Bitsadmin_tool
Industry:
Education
TTPs:
Tactics: 5
Technics: 6
IOCs:
File: 7
Url: 9
Path: 6
Registry: 3
Domain: 1
IP: 1
Hash: 2
Soft:
curl
Algorithms:
xor, sha1, zip
Win API:
GetHostName
Win Services:
WebClient
Languages:
powershell