#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сайты для взрослых, не отвечающие требованиям, распространяют троянские программы с помощью вредоносных целевых страниц, скриптов, программ установки в комплекте, поисковых систем и промежуточных доменов. Меры по предотвращению: runtime AV, фильтрация URL/доменов и списки блокировок.
-----

Изменения в законодательстве, требующие проверки возраста на соответствующих требованиям сайтах для взрослых, смещают трафик в сторону несоответствующих сайтов, которые монетизируются за счет распространения вредоносных программ. Злоумышленники, работающие с такими сайтами или сотрудничающие с ними, распространяют троянские программы среди посетителей — вероятно, через вредоносные целевые страницы, встроенные скрипты или загружаемые в комплекте файлы, — превращая перенаправленных пользователей или пользователей, стремящихся к конфиденциальности, в мишени для компрометации на стороне клиента. Кампания направлена на привлечение пользователей, которые избегают верификации, повышение доступности сайтов, которые не соблюдают правила безопасности и готовы распространять вредоносные программы.

Пользователи, пытающиеся обойти ограничения (например, используя VPN или получая доступ из юрисдикций без верификации), могут непреднамеренно сконцентрировать предпочтительный для злоумышленников трафик и, таким образом, стать более ценными целями. Механизмы доставки в этих сценариях обычно включают доменную инфраструктуру для размещения полезных нагрузок и промежуточной обработки, а также могут использовать методы автоматической загрузки или созданные социальными сетями подсказки для установки троянских программ. Поставщики систем безопасности отреагировали на это добавлением доменов, связанных с кампанией, в списки блокировки и обнаружением вредоносной полезной нагрузки во время выполнения. Защитные средства контроля, снижающие риск, включают в себя актуальную защиту от вредоносного ПО в режиме реального времени, фильтрацию доменов и URL-адресов, а также сведение к минимуму доступа к ненадежным сайтам и загрузкам. Мониторинг и внесение в черный список доменов кампании, а также индикаторы компрометации остаются эффективными средствами защиты от такого типа рассылки.

#ParsedReport #CompletenessMedium
08-08-2025

60 Malicious Ruby Gems Used in Targeted Credential Theft Campaign

https://socket.dev/blog/60-malicious-ruby-gems-used-in-targeted-credential-theft-campaign

Report completeness: Medium

Threats:
Supply_chain_technique
Credential_stealing_technique

Victims:
Social media users, Marketing tool users, Blogging platform users, Messaging platform users, Grey hat marketers, Financial discussion platforms

Industry:
E-commerce, Software_development

Geo:
Russian, Korean, Korea

TTPs:

IOCs:
Domain: 14
Url: 4
Email: 3

Soft:
Outlook, Telegram, Instagram, TikTok, WordPress, m

Algorithms:
exhibit

Languages:
php, ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания RubyGems распространила 60 gems под четырьмя псевдонимами с марта 2023 года, предоставив программу для кражи учетных данных на корейском языке с графическим интерфейсом Glimmer-DSL-LibUI, которая запрашивает идентификаторы и пароли для социальных сетей, блогов и обмена сообщениями, отправляя их через HTTP POST на домены, контролируемые акторами (programzon.com , appspace.kr , marketingduo.co.kr ) в /auth/program/signin и /bbs/login_check.php . Платформы расширялись волнообразно (TikTok, Instagram, Twitter / X, Telegram, Naver, WordPress и т.д.) каждые 2-3 месяца, с пользовательским интерфейсом и кодом на корейском языке, что указывает на южнокорейский таргетинг, хотя полезные нагрузки доступны для использования во всем мире. GreyHat-маркетологи являются ключевой демографической группой жертв; журналы показывают автоматическую активность в социальных сетях / медиа-сервисах, SEO и форумах, а самоцветы autoposter (njongto_duo, jongmogtolon) собирают учетные данные.
-----

Вредоносная кампания RubyGems распространила 60 вредоносных gems, маскирующихся под средства автоматизации для сбора учетных данных у пользователей социальных сетей и маркетинговых платформ. В каждый gem встроен легкий графический интерфейс, созданный с помощью Glimmer-DSL-LibUI, представленный на корейском языке, запрашивающий учетные данные для социальных сетей, блогов или служб обмена сообщениями. Собранные учетные данные не используются локально или для законной аутентификации по API; вместо этого они немедленно отправляются через HTTP POST–запросы на серверы, контролируемые злоумышленником, в таких доменах, как programzon.com , appspace.kr , и marketingduo.co.kr . В этих доменах размещены конечные точки доски объявлений PHP, такие как /auth/program/signin и /bbs/login_check.php , функционирующие как элементарные панели сбора учетных данных.

Возможность кражи учетных данных существует по меньшей мере с марта 2023 года и распространяется по четырем псевдонимам RubyGems, которые выпустили 60 gems согласованными волнами. Каждая волна добавляла поддержку новой платформы, начиная с TikTok и постепенно включая Instagram, Twitter/X, Telegram, Naver, WordPress и другие экосистемы. Работа ведется в обычном режиме, выпуская примерно по одному новому кластеру каждые два-три месяца.

Похоже, что таргетинг явно ориентирован на южнокорейских пользователей. Все графические интерфейсы, текстовая справка, логические сообщения и имена внутренних переменных написаны на корейском языке, а подсказки для ввода таких распространенных полей, как ID и пароль, соответствуют корейским стандартам разработки программного обеспечения. В то время как код и инфраструктура указывают на внутреннюю направленность, отсутствие геозоны означает, что полезная нагрузка доступна для использования во всем мире.

GreyHat-маркетологи представляют собой заметную группу жертв. Журналы Infostealer из скомпрометированных систем, привязанных к marketingduo.co.kr укажите автоматическую активность в социальных сетях, ведении блогов, SEO и обмене сообщениями. Жертвы полагаются на ботов для массового размещения сообщений, торговые площадки с поддельными аккаунтами и сервисы манипулирования поисковыми системами, что делает их главными мишенями для этого кластера credential-stealing. В рамках той же кампании gems, продаваемые в качестве автопостеров для финансовых форумов, таких как njongto_duo и jongmogtolon, нацелены на комнаты для обсуждения акций, чтобы наводнить форумы упоминаниями о тикерах и синтетическим участием, одновременно собирая учетные данные у пользователей.

#ParsedReport #CompletenessLow
08-08-2025

SmartLoader malware distribution through GitHub repository disguised as a normal project

https://asec.ahnlab.com/ko/89498/

Report completeness: Low

Threats:
Smartloader
Rhadamanthys
Lumma_stealer
Redline_stealer

Victims:
Gaming, Consumer, Social media, Information technology

ChatGPT TTPs:
do not use without manual check
T1036

IOCs:
Url: 20
File: 9
Path: 1
Hash: 5

Algorithms:
md5, base64

Win API:
LoadLibrary

Languages:
lua

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Campaign распространяет SmartLoader через репозитории GitHub, маскируясь под законные проекты, размещая архивированные полезные файлы в артефактах выпуска и используя бренд взломанного программного обеспечения для привлечения загрузчиков. Десятки URL-адресов релизов в нескольких репозиториях используют запутанные ссылки, чтобы избежать обнаружения и максимально увеличить параллельное распространение. SmartLoader функционирует как загрузчик, доставляющий дополнительную полезную нагрузку после выполнения, обеспечивая закрепление или вторичные компоненты вредоносного ПО.
-----

Краткое описание CTI описывает кампанию, в ходе которой вредоносное ПО SmartLoader распространяется через репозитории GitHub, замаскированные под обычные, законные проекты. Злоумышленники используют артефакты релиза GitHub для размещения архивированных полезных данных, якобы предлагая различные инструменты или взломанное программное обеспечение. Такой подход использует доверие пользователей к релизам GitHub и привлекательность бесплатных или взломанных приложений, повышая вероятность того, что пользователи загрузят и запустят вредоносные ZIP-файлы.

В дистрибутиве используются десятки URL-адресов релизов из нескольких репозиториев на GitHub, а имена файлов имитируют популярные или привлекательные программы и инструменты, связанные с играми. В качестве примера можно привести Maple.Story.Menu, Minecraft.Vape.Client, ms-награды-автоматизация, защита от ddos-атак-откупоривание, strongvpn_pseudobrotherly, VSDC-Профессиональный редактор видео, instagram-накрутчик подписчиков, Desertless (взлом Call of Duty), MCP.Manager.GUI, Project-Zomboid-Hack и общий Software.zip. Ссылки представлены с запутанными схемами (hxxps/http), позволяющими избежать автоматического обнаружения и очистки. Разнообразие и провокационное название указывают на стратегию социальной инженерии, направленную на привлечение геймеров и пользователей, ищущих взломанное или улучшенное программное обеспечение.

SmartLoader оформлен как вредоносная программа типа загрузчика, используемая для доставки дополнительной полезной нагрузки после первоначального выполнения. Хотя точное поведение после первоначального выполнения во фрагменте не описано подробно, надпись “распространение вредоносных программ SmartLoader” подразумевает, что архивы содержат компоненты, которые загружают или извлекают дополнительные вредоносные компоненты, обеспечивая закрепление или выполнение вторичных полезных нагрузок на скомпрометированных хостах. Обилие отдельных выпусков в разных репозиториях предполагает, что операторы полагаются на параллельные каналы распространения, чтобы максимизировать охват и снизить вероятность удаления всех артефактов.

Для защитников эти показатели предполагают сосредоточение внимания на выявлении кампаний с несколькими репозиториями, которые маскируются под законные проекты, повышенное внимание к релизам на GitHub с провокационной маркировкой или взломанным программным обеспечением, а также мониторинг активности, подобной загрузке, после выполнения загруженных архивов. Практические меры по снижению риска включают проверку цифровых подписей и происхождения загруженных артефактов, ограничение выполнения неподписанных или ненадежных архивов ZIP и использование телеметрии сети и хоста, позволяющей отслеживать поведение загрузчика, который извлекает дополнительную полезную нагрузку после первоначального взлома.

#ParsedReport #CompletenessLow
08-08-2025

Silent Watcher: Dissecting Cmimai Stealer s VBS Payload

https://labs.k7computing.com/index.php/silent-watcher-dissecting-cmimai-stealers-vbs-payload/

Report completeness: Low

Threats:
Cmimai_stealer

Victims:
Windows systems, Individual users

ChatGPT TTPs:
do not use without manual check
T1005, T1059.001, T1059.005, T1071.001, T1567

IOCs:
File: 7
Hash: 2

Soft:
Discord, Chrome, chromium

Algorithms:
base64

Functions:
AttemptDiagnosticReportViaPS

Languages:
visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cmimai Stealer - это infostealer на базе VBS, который использует сценарии VBS, PowerShell и Windows для сбора данных хоста и их эксфильтрации через веб-хуки Discord, причем варианты используют разные URL-адреса веб-хуков. Полезная нагрузка обходит ограничения на выполнение, затем генерирует дополнительные полезные нагрузки PowerShell, собирает данные и повторно запускается каждые 60 минут для обеспечения сохраняемости и поэтапной кражи. Артефакты для мониторинга включают скрипты PowerShell vbs_ps_browser.ps1 и vbs_ps_diag.ps1, а также изображения с именами vbs_diag_*.png или vbs_diag_*.jpg в %TEMP%.
-----

Cmimai Stealer описывается как infostealer на базе VBS, появившийся в середине 2025 года, использующий Visual Basic Script наряду с PowerShell и собственными сценариями Windows для сбора информации со скомпрометированных хостов. Вредоносная программа отфильтровывает украденные данные с помощью Discord webhooks, метода, который наблюдался во многих вариантах, включая образец от 28 июня, в котором использовался другой URL-адрес webhook. Это семейство infostealers использует выполнение на основе сценариев для сбора системных данных и передачи их по внешнему каналу, при этом альтернативный webhook указывает несколько вариантов кампании.

В рабочем режиме полезная нагрузка VBS запускается с мерами по обходу ограничений на выполнение, а затем генерирует дополнительные файлы PowerShell как часть своего рабочего процесса. Он собирает системную информацию во время выполнения и использует Discord webhooks для эксфильтрации извлеченных данных. Вредоносная программа отслеживает ответ от webhook и повторно запускается по расписанию, в частности, повторяя свою активность каждые 60 минут, обеспечивая закрепление и непрерывный сбор данных на зараженном хосте. Такое поведение подчеркивает поэтапный подход, при котором первоначальное выполнение скрипта облегчает создание дополнительной полезной нагрузки и продолжение кражи данных с течением времени.

Защитные индикаторы, выделенные исследованием, включают в себя конкретные артефакты для мониторинга на конечных точках. Службы безопасности должны следить за скриптами PowerShell с именами vbs_ps_browser.ps1 и vbs_ps_diag.ps1, а также файлами изображений с именами vbs_diag_*.png или vbs_diag_*.jpg, расположенными в папке %TEMP%. Эти артефакты отражают поэтапные компоненты PowerShell вредоносной программы и временные изображения, которые могут сопровождать рабочий процесс эксфильтрации данных, предоставляя конкретные сигналы для обнаружения и локализации.

#ParsedReport #CompletenessMedium
08-08-2025

Scammers mass-mailing the Efimer Trojan to steal crypto

https://securelist.com/efimer-trojan/117148/

Report completeness: Medium

Threats:
Efimer
Typosquatting_technique
Clipbanker

Victims:
Cryptocurrency users, Wordpress websites, Kaspersky users, Email recipients

Geo:
Brazil, Russia, Germany, Spain, India, Italy

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.007, T1071.001, T1078, T1090.003, T1105, T1110, T1115, T1497.001, have more...

IOCs:
Hash: 12
File: 15
Registry: 1
Url: 12

Soft:
WordPress, Windows Defender, curl, Google Chrome

Wallets:
tron

Crypto:
bitcoin, ethereum, monero, solana

Algorithms:
zip, xor, md5

Functions:
createGUID, PingToOnion, GetWikiWords, GetRandWords, getSeDomains, GetWalletsList, checkUpdate, GetPageLinks

Languages:
powershell, javascript, php

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 24, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Efimer - это троян типа ClipBanker, который крадет криптовалюту путем замены адресов кошельков в буфере обмена и может запускать код со своего C2 через постоянный процесс с поддержкой Tor с опросом на основе GUID. Он распространяется через фишинг, выдающий себя за юристов, и скомпрометированные сайты WordPress, на которых размещаются архивы, защищенные паролем; модули перебора паролей WP и сбора электронных писем на C2. Активно с октября 2024 по июль 2025 года, он затронул тысячи (пик в Бразилии), используя C2s на основе onion и модульный, многоэтапный рабочий процесс для заражения, передачи данных. сбор данных и действия, управляемые C2.
-----

Проанализированные кампании описывают троянца Efimer, вредоносную программу типа ClipBanker, предназначенную для кражи криптовалюты путем подмены адресов кошельков, скопированных в буфер обмена. Июньская операция объединила массовые фишинговые электронные письма, выдававшие себя за юристов крупной компании, с вредоносным архивом, содержащим полезную нагрузку Efimer. Архив включает вложенный, защищенный паролем пакет и файл пароля с именем “PASSWORD - 47692”, где в имени файла пароля используется символ Юникода (U+1D5E6), чтобы предотвратить автоматическое извлечение. Похоже, что Efimer появился в конце 2024 года, первоначально распространяясь через скомпрометированные сайты WordPress, а затем распространился по электронной почте.

Основное поведение Efimer заключается в манипулировании хранилищем в буфере обмена, заменяя адреса, скопированные пользователем, на адреса, контролируемые злоумышленником. Вредоносная программа способна выполнять внешний код, полученный со своего сервера управления (C2), обеспечивая расширяемую поверхность атаки. Основной операционный цикл состоит из постоянного процесса, который, если не завершен, взаимодействует со своим C2 по сети Tor. Он передает GUID в запросе и выполняет команды, возвращаемые сервером, с механизмом таймера (p_timer) для регулирования частоты опроса и предотвращения аномальных объемов трафика.

Инфраструктура распространения включает в себя скомпрометированные сайты WordPress, где злоумышленники используют слабые учетные данные и размещают ссылки на защищенные паролем архивы для загрузки через торрент. Этот подход, основанный на watering-hole, дополняет кампании по электронной почте и расширяет пути заражения. На скомпрометированных хостах наблюдаются дополнительные скрипты, все они сообщают об одних и тех же конечных точках C2 на основе .onion. Один модуль, btdlg.js (MD5: 0f5404aa252f28c61b08390d52b7a054), явно перебирающий пароли WordPress. Отдельный скрипт с именем Liame собирает адреса электронной почты с проинструктированных целевых сайтов и отправляет их в C2, предлагая возможности разведки и рассылки спама в одной и той же инфраструктуре. Альтернативный вариант Efimer считывает уникальный идентификатор пользователя из C:\Users\Public\assembly\GUID , и, если недоступен, генерирует M11-XXXX-YYYY; он также проверяет наличие виртуализации для обнаружения изолированных сред.

С октября 2024 по июль 2025 года Efimer затронул около 5015 пользователей Kaspersky, причем наибольшая активность наблюдалась в Бразилии (1476 пользователей). Другие заметные регионы воздействия включают Индию, Испанию, Россию, Италию и Германию. Кампания демонстрирует многоэтапную модульную архитектуру угроз: первоначальный фишинг плюс распространение скомпрометированных сайтов, кража кошельков на основе буфера обмена, выполнение кода, управляемого C2, и вспомогательные скрипты для компрометации сайтов и сбора данных, все это работает через скрытые сервисы Tor, чтобы избежать слежки.

#ParsedReport #CompletenessMedium
07-08-2025

Odyssey Stealer: ClickFix Malware Attacks macOS Users for Credentials and Crypto Wallet Details

https://www.forcepoint.com/blog/x-labs/odyssey-stealer-attacks-macos-users

Report completeness: Medium

Threats:
Odyssey_stealer
Clickfix_technique
Fakecaptcha_technique

Victims:
Macos users, Windows users, Browser users, Cryptocurrency wallet users, Online account holders

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1071.001, T1204.002, T1555.003, T1566.002

IOCs:
Url: 16
IP: 2
Hash: 1

Soft:
macOS, curl, firefox, Chrome, Google Chrome, Microsoft Edge, Opera

Wallets:
electrum, exodus_wallet, wassabi

Crypto:
litecoin

Algorithms:
zip, base64

Languages:
applescript, powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Odyssey Stealer - это ориентированный на macOS вариант фреймворка ClickFix, ориентированный на учетные данные и данные крипто-кошелька. Он основан на социальной инженерии с помощью фишингового сайта с капчей; AppleScript запускается в терминале и запрашивает системный пароль для эскалации и доступа к данным из Firefox и Chromium. Собранные артефакты архивируются в /tmp/out.zip и отфильтрован в hxxp://45.146.130.131/log с помощью curl.
-----

Odyssey Stealer описывается как ориентированный на macOS вариант вредоносной платформы ClickFix, обнаруженный после предыдущей работы в Windows. Цепочка атак начинается с фишинговой кампании, которая направляет пользователей на сайт по адресу hxxps://tradingviewen . com, где требуется запрос CAPTCHA и взаимодействие с пользователем. Этот подход использует социальную инженерию и запутанную доставку, чтобы заманить жертв к выполнению полезной нагрузки.

Основная полезная нагрузка в macOS доставляется с помощью AppleScript, который запускается в терминале и явно запрашивает у пользователя системный пароль для выполнения действий с повышенными правами. Эта эскалация позволяет вредоносному ПО получить доступ к широкому набору конфиденциальных данных с хоста. В дополнение к общему credential harvesting, вредоносная программа перечисляет криптокошельки и нацелена на браузеры, в частности на браузеры на базе Firefox и Chromium, для извлечения файлов cookie, сохраненных логинов, истории форм и ключей шифрования. Украденные данные браузера копируются во временный рабочий каталог для этапа эксфильтрации.

Для эксфильтрации данных вредоносная программа упаковывает собранную информацию в ZIP-архив и хранит его по адресу /tmp/out.zip . Эксфильтрация выполняется путем загрузки этого архива на удаленный сервер по адресу hxxp://45.146.130.131/log с использованием команды curl, указывающей на простой конвейер данных в стиле C2. Общая цель состоит в том, чтобы собрать учетные данные и сведения о криптовалютном кошельке путем сохранения на хосте, сбора артефактов целевого браузера и передачи их на удаленную конечную точку.

Отмечается, что кампания эволюционировала от нацеливания на компьютеры с Windows к macOS, при этом использовались методы обфускации для обхода обычных средств обнаружения и вектор социальной инженерии на основе терминала, облегчающий первоначальный доступ. Упомянутые меры защиты включают блокировку вредоносных URL-адресов на этапе приманки, блокировку AppleScript-дроппера (.scpt) в базах данных безопасности и ограничение трафика звонков домой известной инфраструктурой C2. При обнаружении NGFW фишинговый сайт идентифицируется как “Похититель файловой текстовой информации, использующий поддельные диалоговые окна браузера". В целом, кампания иллюстрирует ориентированный на macOS похититель учетных данных и информации о крипто-кошельках, использующий обман пользователей, выполнение на базе AppleScript и простую фильтрацию по протоколу HTTP на удаленный сервер.

#ParsedReport #CompletenessMedium
08-08-2025

GreedyBear: 650 Attack Tools, One Coordinated Campaign

https://blog.koi.security/greedy-bear-massive-crypto-wallet-attack-spans-across-multiple-vectors-3e8628831a05

Report completeness: Medium

Actors/Campaigns:
Greedybear (motivation: cyber_criminal)

Threats:
Lumma_stealer
Luca_stealer
Iobit_tool
Karma
Auslogics
Mobaxterm_tool
Softperfect_networx_tool

Victims:
Cryptocurrency sector, Digital wallet providers

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1036, T1176, T1555.003

IOCs:
Domain: 23
IP: 20
Hash: 499

Soft:
Firefox, Chrome, VSCode, Hugging Face

Wallets:
metamask, tronlink, exodus_wallet, rabby, trezor, leapwallet, xverse_wallet, braavos_wallet, coin98

Crypto:
filecoin

Algorithms:
zip

Languages:
javascript, powershell

Platforms:
x64, x86, arm, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GreedyBear проводит промышленную кампанию по краже учетных данных, ориентированную на криптопользователей, развертывая около 650 инструментов через централизованную инфраструктуру, включая расширения Firefox, выдающие себя за кошельки (MetaMask, TronLink, Exodus, Rabby) и мошеннические сайты. Второй компонент включает в себя почти 500 исполняемых файлов Windows из нескольких семейств вредоносных ПО, привязанных к одному C2, что свидетельствует о диверсифицированном подходе к полезной нагрузке. Эволюционируя от Foxy Wallet, он теперь включает расширение Chrome (Filecoin Wallet), использующее ту же логику кражи учетных данных, с доменами на одном IP (185.208.156.66) и массированными атаками с помощью искусственного интеллекта.
-----

GreedyBear представлен как хакерская кАмпания промышленного масштаба, нацеленная на пользователей криптовалют, в которой утверждается, что 650 инструментов атаки развернуты в скоординированной инфраструктуре. Операция объединяет вредоносные расширения, исполняемые файлы Windows и мошеннические веб-сайты для сбора учетных данных и вывода средств, сигнализируя о переходе к крупномасштабному, многовекторному подходу, а не к изолированным инцидентам.

Первый компонент кампании состоит из вредоносных расширений Firefox, которых было выявлено более 150. Эти дополнения выдают себя за популярные криптокошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet, с целью обмана пользователей при вводе учетных данных или секретных ключей в поддельных интерфейсах. Второй компонент включает в себя почти 500 вредоносных исполняемых файлов Windows, связанных с одной и той же инфраструктурой и охватывающих несколько семейств вредоносных программ, что предполагает диверсифицированную стратегию полезной нагрузки, разработанную для максимального компрометирования в различных средах. VirusTotal отслеживает эти образцы в общей экосистеме управления, делая упор на централизованные операции.

В дополнение к полезной нагрузке на программное обеспечение GreedyBear управляет мошенническими веб—сайтами, которые представляют себя как законные криптопродукты или услуги - целевые страницы для цифровых кошельков, аппаратных устройств или услуг по ремонту кошельков — создавая более широкую сеть мошенничества, выходящую за рамки вредоносного ПО и расширений. Инфраструктура выглядит в высшей степени централизованной, поскольку почти все домены разрешаются по одному IP-адресу, что указывает на жестко контролируемую плоскость управления, которая координирует разрозненные каналы доставки под одним баннером.

Кампания, по-видимому, развилась из более ранней деятельности под эгидой Foxy Wallet, которая первоначально выявила 40 вредоносных расширений Firefox. Распространяясь за пределы Firefox, вредоносное расширение Chrome под названием Filecoin Wallet использовало ту же логику кражи учетных данных и взаимодействовало с тем же сервером, о чем свидетельствует домен, размещенный на 185.208.156.66. Появление этой централизованной многопользовательской браузерной системы совпадает с более широкими тенденциями в области инструментов с поддержкой искусственного интеллекта, позволяющих увеличить объем, скорость и сложность атак, что повышает риски для защитников, отслеживающих кражу учетных данных и мошенничество, связанное с криптографией, с помощью расширений, исполняемых файлов и сайтов с мошенническими продуктами.