#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhantomCard - это семейство Android-вредоносных ПО на базе NFC, обнаруженное в Бразилии, связанное с NFSkate (NGate) и Ghost Tap. Это ставит под угрозу Аппаратное обеспечение / программное обеспечение NFC устройства для захвата, эмуляции или пересылки бесконтактных обменов картами, связывая взаимодействия NFC с сетевыми каналами для ретрансляции транзакций с использованием карты на удаленные конечные точки. Постоянные нарушения привилегий и доступности поддерживают NFC активным в фоновом режиме, чтобы избежать проверок на близость и включить удаленные платежи / клонирование карт.
-----

PhantomCard описывается как новое семейство вредоносных ПО для Android, основанное на NFC, обнаруженное в Бразилии, продолжающее наблюдаемую тенденцию угроз с использованием NFC-ретрансляции, нацеленных на экосистемы бесконтактных платежей. Разведка связывает PhantomCard с родословной, которая включает в себя NFSkate (он же NGate), впервые идентифицированную в марте 2024 года, и Ghost Tap, что ознаменовало дальнейшую эволюцию в использовании злоумышленниками методов ретрансляции NFC для операций по обналичиванию финансовых средств. Эти инциденты указывают на то, что киберпреступники уделяют все больше внимания злоупотреблению возможностями мобильной NFC для устранения требования физической близости при бесконтактных транзакциях.

Технически кампании NFC-ретрансляции используют скомпрометированное Аппаратное обеспечение NFC и программный стек Android-устройства для захвата, пересылки или эмуляции взаимодействий с бесконтактными картами удаленному актору или конечной точке. Типичное поведение вредоносного ПО этого класса включает активацию или поддержание служб NFC в фоновом режиме, объединение взаимодействий NFC с сетевыми каналами для ретрансляции обмена данными с использованием карт, а также использование постоянных привилегий или Специальных возможностей для сохранения работоспособности, избегая уведомления пользователя. Основная цель, наблюдаемая в родственных семьях, заключается в устранении проверок на близость, присущих бесконтактным платежам, что позволяет инициировать удаленный платеж или клонировать карту для снятия наличных. Основные моменты обнаружения и смягчения последствий включают аномальную фоновую активность NFC на пользовательских устройствах, неожиданные сетевые подключения, исходящие от устройств во время событий NFC, и наличие неизвестных приложений, запрашивающих разрешения, связанные с NFC, или закрепление на переднем плане. Мониторинг этого класса угроз остается важным по мере того, как методы совершенствуются и распространяются географически.

#ParsedReport #CompletenessLow
14-08-2025

Setting the stage

https://profero.io/blog/from-drone-strike-to-file-recovery-outsmarting-a-nation-state

Report completeness: Low

Actors/Campaigns:
Darkbit

Victims:
Ammunition factory, Oil refinery, Oil facility, Esxi servers, Enterprise organization

Industry:
Petroleum

Geo:
Iran, Israel, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
Hash: 2
File: 1

Soft:
Telegram, ESXi, esxcli, Unix

Algorithms:
sha256, md5, base64, aes, aes-128-cbc, rsa-2048

Functions:
time

Win Services:
bits

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
esxi.darkbit - это программа-вымогатель на C++, использующая Crypto++, которая нацелена на VMDK, подключенные к ESXi VMFS, выдает esxcli для остановки виртуальных машин и шифрует каждый файл уникальным ключом AES-128 /IV (16-байтовым), пары ключей AES / IV которого зашифрованы RSA с помощью встроенного открытого ключа и прилагаемого к файлам. Он использует выборочное / фрагментированное шифрование (небольшие файлы: блоки размером 0x100000 байт, пропускающие 0xA00000; большие файлы: блоки размером 0x200000 с пропуском =(РАЗМЕР файла /0x32)-0x200000), оставляя значительные незашифрованные области и некоторые VMDK, показывающие следы повреждения / очистки, подобные следам wiper. Слабые шаблоны генерации RNG/ключей позволяли восстанавливать AES-ключи для каждого файла методом грубой силы, а разреженная структура VMDK позволяла восстанавливать многие внутренние файлы без расшифровки.
-----

28 января 2023 года инфраструктура ESXi организации подверглась атаке вируса-вымогателя, идентифицированного как "esxi.darkbit", инструмент C++, который использует библиотеку Crypto++ и предназначен для шифрования образов дисков виртуальных машин при монтировании в VMFS. Перед шифрованием вредоносное ПО выдает команды esxcli для остановки всех виртуальных машин. Каждый файл зашифрован с помощью уникального ключа AES и IV (16-байтовые ключи AES), и эти пары ключей AES/IV для каждого файла шифруются RSA с использованием открытого ключа, встроенного в образец (ASN.1 RSA, кодировка base64) и добавляются к зашифрованным файлам.

Шифрование осуществляется по частям, а не по полному файлу. Для файлов размером менее 0x640000 байт (\~6,55 МБ) процедура шифрует фрагменты размером 0x100000 байт и пропускает 0xA00000 байт между зашифрованными сегментами. Для файлов большего размера вредоносное ПО шифрует фрагменты размером 0x200000 байт и вычисляет размер пропуска как (FILESIZE / 0x32) - 0x200000. Этот выборочный/фрагментированный подход оставил значительные незашифрованные области в VMDKS. В нескольких файлах VMDK также были обнаружены следы, соответствующие повреждению или активности, подобной wiper.

Слабые места в реализации были использованы в ходе операций реагирования. Заполнение RNG-кода вредоносным ПО и генерация ключей содержали идентифицируемые шаблоны, которые позволяли использовать методы грубой силы против ключей AES для каждого файла. Кроме того, поскольку файлы VMDK разрежены, многие файлы уровня файловой системы внутри образов виртуальных дисков оставались восстанавливаемыми без расшифровки; исследователи прошлись по внутренним файловым системам VMDK и восстановили множество неповрежденных файлов непосредственно из незашифрованных областей.

Ключевые технические выводы: esxi.darkbit нацелен на VMDK, подключенные к VMFS, останавливает виртуальные машины через esxcli, использует AES-128 для каждого файла с ключами AES в RSA-оболочке, добавляемыми к файлам, и использует фрагментированное шифрование, которое оставляет пробелы, которые можно восстановить. Недостатки реализации в управлении RNG/ключами и разреженный характер VMDK существенно снизили устойчивость программы-вымогателя к попыткам восстановления.

#ParsedReport #CompletenessLow
14-08-2025

A Coordinated Response to MadeYouReset HTTP/2 Protocol Attacks

https://www.akamai.com/blog/security/2025/aug/response-madeyoureset-http2-protocol-attacks

Report completeness: Low

Threats:
Madeyoureset_technique

Victims:
Internet infrastructure, Server operators

CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)


ChatGPT TTPs:
do not use without manual check
T1498, T1498.002

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MadeYouReset - это злоупотребление на уровне протокола HTTP/2, при котором злоумышленники отправляют намеренно искаженные управляющие фреймы для принудительного сброса потока на стороне сервера, а затем немедленно открывают новые потоки до завершения обработки сброса, что приводит к быстрому оттоку потока и повторному распределению/очистке. Эта гонка / цикл эффективно истощает ресурсы для каждого соединения и сервера (параллельные потоки, память, процессор, операции ввода-вывода), позволяя проводить DDoS-атаки L7 с низкой пропускной способностью; аналогичное поведение, требуемое протоколом, также возможно в QUIC/HTTP/3.
-----

MadeYouReset - это злоупотребление на уровне протокола HTTP/2, основанное на более ранней кампании быстрого сброса HTTP/2 (CVE-2023-44487), которая использовалась для крупных DDoS-атак уровня 7. Основной метод заключается в отправке заведомо неверных управляющих сообщений (искаженных управляющих фреймов), которые, согласно спецификации HTTP/2, заставляют сервер сбросить соответствующий поток. Злоумышленники используют предписанное поведение сервера и жизненный цикл потока: после выполнения сброса клиент—злоумышленник может немедленно открыть дополнительные потоки — даже до того, как клиент заметит, что сервер выполняет сброс, - что приводит к быстрому оттоку потока и повторному распределению/очистке на стороне сервера. Эта гонка/цикл обеспечивает эффективное использование ресурсов для каждого соединения и каждого сервера (параллельные потоки, память, центральный процессор и операции ввода-вывода) без необходимости использования злоумышленником большой полосы пропускания, что делает ее эффективной при отказе в обслуживании на прикладном уровне.

Процесс раскрытия информации отражал ответственное скоординированное раскрытие информации, используемое для решения проблем на уровне протокола в QUIC/HTTP/3: исследователи в частном порядке делились результатами с несколькими реализациями, позволяя поставщикам подтвердить существующие меры по устранению неполадок или подготовить исправления до публичного объявления. В QUIC были выявлены связанные с этим проблемы, связанные с механизмами проверки пути и идентификатора соединения, когда поведение, требуемое протоколом, может быть аналогичным образом нарушено, что приводит к дорогостоящей обработке на стороне сервера или недопустимым переходам состояний. Разработчикам следует проверить обработку потока/состояния на наличие недопустимых управляющих фреймов, обеспечить защиту ограничений и семантики быстрого сбоя от быстрого переключения потока и применить исправления поставщика, устраняющие эти нарушения протокола. Akamai сообщила, что ее реализация HTTP/2 не была уязвима для варианта MadeYouReset.

#ParsedReport #CompletenessMedium
14-08-2025

This 'SAP Ariba Quote' Isn't What It SeemsIt's Ransomware

https://cofense.com/blog/this-sap-ariba-quote-isn-t-what-it-seems-it-s-ransomware

Report completeness: Medium

Threats:
Wannacry
Eternal_petya
Leeme
Winrm_tool

Victims:
Enterprises, Email users

Industry:
Financial

Geo:
Portuguese, Italian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056, T1056.001, T1059.006, T1204.001, T1486, T1555, T1566.002, T1566.003, have more...

IOCs:
File: 1
Url: 1
IP: 2
Hash: 8

Soft:
SAP Ariba, ProtonMail, Telegram, Windows Defender

Crypto:
bitcoin

Algorithms:
md5, zip, aes-256, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скомпрометированные учетные записи отправителей распространяли LeeMe через электронные письма в стиле SAP Ariba, которые содержат ссылки на защищенные паролем архивы в файлообменных сервисах, чтобы обойти "песочницы". Модуль программы-вымогателя на Python lock_screen_crypto.py шифрует выбранные расширения на всех дисках, исключая системные файлы Windows. Дополнительные компоненты выполняют кражу учетных данных и захват нажатий клавиш через pynput с настраиваемыми SENSITIVE_TRIGGERS для целевого ведения журнала и эксфильтрации.
-----

Скомпрометированная учетная запись отправителя использовалась для распространения программы-вымогателя LeeMe с помощью электронных приманок, выдающих себя за предложение SAP Ariba. Сообщения содержат встроенную ссылку на анонимный файлообменный сервис, в котором размещен предполагаемый архив “инструмента”, и содержат пароль для расшифровки в тексте письма. Использование защищенных паролем архивов используется для того, чтобы избежать автоматического анализа в изолированной среде. Сердечный, не угрожающий язык электронного письма и Имперсонация поставщика ‑ это элементы социальной инженерии, призванные снизить подозрительность получателя.

Компонент программы-вымогателя включает в себя модуль Python с именем lock_screen_crypto.py который реализует шифрование файлов. Образец содержит предопределенный список целевых расширений файлов и выполняется итерация по всем доступным дискам, чтобы зашифровать соответствующие файлы, явно избегая системных файлов Windows, сохраняя возможность загрузки системы. Заявленная цель ‑ классический крипто-вымогатель: сделать пользовательские файлы непригодными для использования до тех пор, пока не будет выплачен выкуп.

Помимо шифрования, LeeMe включает в себя кражу учетных данных и перехват нажатий клавиш. Функция Регистрации нажатий клавиш реализована с использованием библиотеки pynput для создания прослушивателя клавиатуры; ведение журнала может запускаться, когда жертва вводит элементы, найденные в настраиваемом списке SENSITIVE_TRIGGERS. Комбинированная функция кейлоггера/похитителя учетных данных поддерживает эксфильтрацию паролей, реквизитов платежных карт и других личных данных, увеличивая воздействие после заражения помимо шифрования файлов.

Взятая вместе, кампания сочетает в себе доставку скомпрометированных учетных записей, обход "песочницы" с помощью архивов с паролями, целевое шифрование файлов на дисках и скрытую эксфильтрацию учетных данных. Даже при относительно низком требовании выкупа наличие случаев кражи данных и Регистрации нажатий клавиш повышает риск причинения долгосрочного вреда жертвам в результате вторичного мошенничества, перепродажи данных или последующего вымогательства.

#ParsedReport #CompletenessLow
14-08-2025

Malicious JavaScript Injects Fullscreen Iframe On a WordPress Website

https://blog.sucuri.net/2025/08/malicious-javascript-injects-fullscreen-iframe-on-a-wordpress-website.html

Report completeness: Low

Threats:
Fakecaptcha_technique

Victims:
Wordpress websites

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1105, T1189, T1204.001, T1592.004

IOCs:
Domain: 8
Url: 1
Command: 1

Soft:
WordPress, Chrome, Firefox, Opera

Algorithms:
base64

Languages:
php, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО JavaScript сохраняется в WordPress, сохраняя запутанную полезную нагрузку в wp_options (имя_опции=wpcode_snippets). Код Деобфускации загружает внешние домены (capcloud[.\]icu, wallpaper-engine[.\]pro) в принудительный полноэкранный iframe, использует дактилоскопию пользовательского агента для настройки Windows Chrome /Firefox/Edge/Opera и регулирует отображение при последующих посещениях. Он злоупотребляет хранилищем параметров для закрепления и уклоняется от обнаружения на основе файлов; IOCs включают запутанный JS в wp_options и сетевые запросы к этим доменам.
-----

Была обнаружена кампания вредоносного ПО на основе JavaScript, сохраняющаяся в состоянии базы данных WordPress, а не в виде очевидных файлов файловой системы: вредоносная полезная нагрузка хранилась в таблице wp_options в разделе option_name=wpcode_snippets. Введенный код сильно запутан и при Деобфускации содержит ссылки на внешние домены, используемые для размещения контента, загруженного в принудительный полноэкранный iframe. Один наблюдаемый домен обслуживает поддельную страницу Cloudflare “Подтвердите, что вы человек” (hxxps://capcloud[.\]icu/captcha.html ), что указывает на использование социальной инженерии и обмана пользовательского интерфейса для маскировки вредоносного контента.

Полезная нагрузка использует дактилоскопию пользовательского агента для выборочного таргетирования клиентов Windows, работающих в основных браузерах (Chrome, Firefox, Edge, Opera). На соответствующих клиентах скрипт накладывает полноэкранный iframe, который автоматически загружает внешнюю страницу. Сначала iframe отображается постоянно, но при последующих посещениях он отключается, чтобы уменьшить обнаружение и имитировать безобидное поведение. Внедрение использует законный механизм хранения плагинов (wpcode_snippets) для достижения закрепления и уклонения от простого обнаружения на основе файлов; это демонстрирует злоупотребление записями параметров WordPress в качестве вектора выполнения.

Индикаторами компрометации являются наличие неожиданного или запутанного JavaScript, хранящегося в wp_options (имя_опции=wpcode_snippets), и сетевые запросы к таким доменам, как capcloud[.\]icu и wallpaper-engine[.\]pro (домены, обнаруженные в полезных нагрузках с Деобфускацией). Обнаружение должно включать сканирование таблицы параметров на предмет внедренного содержимого скрипта и аномальных записей параметров, мониторинг исходящих запросов от веб-клиентов к подозрительным доменам и изучение шаблонов доступа для условных ответов на основе UA.

Меры по смягчению последствий включают обновление ядра WordPress, тем и плагинов; удаление или отключение плагинов, которые позволяют хранить / выполнять произвольный код с помощью параметров; отключение редактирования файлов в панели мониторинга; обеспечение строгой гигиены учетной записи администратора; развертывание WAF для блокировки внедрений скриптов и подозрительных исходящих перенаправлений; и внедрение автоматических оповещений о несанкционированном доступе к файловой системе и базе данных изменения.

#ParsedReport #CompletenessHigh
15-08-2025

'Blue Locker' Analysis: Ransomware Targeting Oil & Gas Sector in Pakistan

https://www.resecurity.com/blog/article/blue-locker-analysis-ransomware-targeting-oil-gas-sector-in-pakistan

Report completeness: High

Threats:
Blue_locker
Blackbasta
Shinra_ransomware
Conti
Proton_ransomware
Limba
Zola
Shadow_copies_delete_technique
Timestomp_technique
Process_injection_technique
Credential_harvesting_technique

Victims:
Government, Oil and gas

Industry:
Telco, Financial, Energy, Government, Petroleum, Transport, Critical_infrastructure

Geo:
Israeli, Iran, Asia, Pakistani, Asian, Chinese, Pakistan, China, Iranian

TTPs:
Tactics: 4
Technics: 15

IOCs:
File: 4
Email: 2
Hash: 6
Domain: 4
IP: 13

Soft:
Chrome, Protonmail, Jabber

Algorithms:
xor, exhibit, aes

Win API:
ShellExecuteW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Blue Locker - это программа-вымогатель, поставляемая с помощью PowerShell, нацеленная на правительство Пакистана и критически важную инфраструктуру, использующая загрузчик PowerShell для запуска запутанных сценариев, которые отключают средства контроля безопасности, повышают привилегии и удаляют двоичную полезную нагрузку. Действия после компрометации включают в себя закрепление, перемещение внутри компании, отключение процессов безопасности, шифрование на диске и, вероятно, эксфильтрацию данных перед шифрованием (двойное вымогательство). В образцах используется сильное запутывание, антианалитические проверки и living-off-the-land PowerShell, чтобы затруднить обнаружение.
-----

Blue Locker - семейство программ-вымогателей, поставляемых с помощью PowerShell, было замечено в ходе активной кампании, нацеленной на правительство Пакистана и критически важные объекты инфраструктуры, воздействию которой подверглась, по крайней мере, одна крупная нефтегазовая компания (Pakistan Petroleum). Исходный вектор - это загрузчик на основе PowerShell, который выполняет запутанные сценарии для отключения элементов управления безопасностью, повышения привилегий и создания двоичной полезной нагрузки программы-вымогателя. Поведение после компрометации соответствует обычной цепочке уничтожения современных программ-вымогателей: закрепление и перемещение внутри компании, завершение или отключение процессов конечной точки/антивируса, шифрование файлов хоста и предъявление требования о выкупе. Примечания к обратному инжинирингу указывают на то, что в образце используются многочисленные методы уклонения, включая сильное запутывание и антианалитические проверки, препятствующие осмотру и судебно-медицинскому восстановлению.

Blue Locker демонстрирует признаки двойной деструктивной деятельности и вымогательства: в дополнение к шифрованию на диске он обладает возможностями, совместимыми с эксфильтрацией данных перед шифрованием, что предполагает тактику двойного вымогательства. Использование загрузчиком PowerShell облегчает выполнение living-off-the-land и усложняет обнаружение на основе сигнатур. Процедуры повышения привилегий обеспечивают более широкое воздействие на сети после создания начальной точки опоры. Сообщалось, что средства защиты на уровне сети и хоста в некоторых случаях обнаруживали и блокировали активность, что побудило 39 министерств и ведомств направить национальные рекомендации по сертификации.

Одновременные публикации в социальных сетях и темном Интернете пытались усилить или сфабриковать заявления о нарушениях, связанных с Pakistan Petroleum; оценка показывает, что некоторые из этих сообщений, вероятно, были дезинформацией, предназначенной для усиления предполагаемого воздействия. Операционные показатели, опубликованные в рекомендациях, были ограничены; защитникам следует уделять приоритетное внимание мониторингу выполнения PowerShell с использованием шаблонов запутывания, подозрительных событий повышения привилегий, больших переносов исходящих данных (возможная эксфильтрация) и аномального поведения процесса, указывающего на антианализ или вмешательство служб безопасности.

#ParsedReport #CompletenessMedium
15-08-2025

Supply Chain Risk in Python: Termncolor and Colorinal Explained

https://www.zscaler.com/blogs/security-research/supply-chain-risk-python-termncolor-and-colorinal-explained

Report completeness: Medium

Threats:
Supply_chain_technique
Colorinal
Dll_sideloading_technique

Victims:
Python package ecosystem, Open source software users

TTPs:
Tactics: 4
Technics: 5

IOCs:
Email: 1
File: 9
Hash: 8
Domain: 1
Registry: 1

Soft:
Zulip, Linux

Algorithms:
cbc, aes

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Supply-chain атака через termncolor, используемая в unicode.py который загружает terminate.dll/terminate.итак, который выполняется, а затем удаляет сам себя. terminate dll AES‑CBC расшифровывает полезную нагрузку, используя ключ "xterminalunicode", отбрасывает vcpktsvr.exe в %LOCALAPPDATA%\vcpacket и создает HKCU, запускающий pkt‑обновление для закрепления (Linux через terminate.so ). Вторая стадия libcef.dll собирает метаданные хоста и отфильтровывает их по протоколу HTTPS, используя шаблоны, подобные Zulip, при одновременном запутывании имен API / DLL с помощью пользовательского умножения ASCII / побитового хэширования.
-----

Была идентифицирована вредоносная цепочка supply-chain Python, в которой кажущийся безобидным пакет termncolor подключал зависимость с именем colorinal, которая содержала фактическое вредоносное ПО. Модуль-нарушитель включал в себя файл unicode.py это маскировалось под терминальную цветовую утилиту, но предоставляло функцию is_color_supported, которая загружает встроенную собственную библиотеку (terminate.библиотека dll в Windows, завершите работу.так и в Linux). Эта собственная библиотека выполняет действия первого этапа и удаляет unicode.py и родную библиотеку после выполнения, чтобы избежать обнаружения.

прекратить.библиотека dll расшифровывает встроенную полезную нагрузку, используя AES-CBC с ключевой строкой UTF-8 "xterminalunicode", предоставляемой уровнем Python. Расшифрованная полезная нагрузка содержит компоненты, сброшенные на диск, включая исполняемый файл Windows vcpktsvr.exe размещен в разделе %LOCALAPPDATA%\vcpacket. Закрепление достигается путем создания ключа запуска pkt-update в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, указывающего на vcpktsvr.exe . Вариант Linux использует terminate.so для обеспечения эквивалентной функциональности в Unix-подобных системах.

Компонент второго этапа, libcef.dll (отброшен на первом этапе), реализует функциональность C2 и разведку. Он собирает системные метаданные, такие как имя компьютера, имя пользователя и версия операционной системы, объединяет и форматирует эти значения и передает их на сервер управления по протоколу HTTPS. Трафик C2 запутывается за счет использования шаблонов протокола платформы обмена сообщениями Zulip team для смешивания с законными сообщениями. Вредоносное ПО также использует пользовательскую облегченную процедуру хэширования API, которая оперирует значениями ASCII с умножением и побитовыми операциями для запутывания имен API /DLL-библиотек; этот подход быстр, но увеличивает риск коллизий по сравнению с криптографическими хэшами.