#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonlock Lab выявила новый похититель macOS под названием Mac.c, который продается в даркнете за ежемесячную абонентскую плату в размере 1500 долларов и обладает ключевыми функциями, такими как компонент фишинга для кошельков Trezor. Злоумышленник, известный как mentalpositive, поделился подробностями о разработке вредоносного ПО, выявив его сходство с AMOS stealer в кодировании и функциях. Mac.c инициирует атаки с помощью фишинга с целью компрометации пользователей и в первую очередь нацелен на кражу криптовалютных активов.
-----

Недавнее расследование, проведенное Moonlock Lab, выявило появление нового похитителя компьютеров Mac, известного как Mac.c, который быстро набирает популярность в даркнете. Это вредоносное ПО можно приобрести по подписке за 1500 долларов в месяц, дополнительные функции оплачиваются отдельно; например, компонент для фишинга, нацеленный на кошельки Trezor, доступен за единовременную плату в размере 1000 долларов. Такая цена значительно ниже, чем у его предшественника, AMOS, что подчеркивает новую конкурентную среду среди Stealer.

Разработка Mac.c была особенно прозрачной: злоумышленник, известный как mentalpositive, делился информацией о кодировании и усовершенствованиях вредоносного ПО в режиме онлайн. Аналитики отметили, что Mac.c имеет значительное сходство с AMOS, причем большая часть его кода практически идентична. Несмотря на то, что его называют урезанной версией, сохраняются вопросы относительно его эффективности и общих возможностей по сравнению с AMOS.

С точки зрения жертвы, работа Mac.c начинается с атаки фишинга, когда пользователи непреднамеренно загружают вредоносные файлы или переходят по Вредоносным ссылкам во время просмотра. После активации вредоносное ПО может имитировать игру, чтобы обманом заставить пользователей предоставить необходимые разрешения для ее эффективной работы. Основной целью Mac.c является ориентация на цифровую валюту, активное использование финансовых активов энтузиастов криптовалюты.

Появление Mac.c также вызывает опасения по поводу потенциальной борьбы за власть в экосистеме даркнета, поскольку различные злоумышленники и группы программ-вымогателей соперничают за доминирование. Что отличает этот экземпляр от других, так это не просто техническое функционирование Mac.c, но и его последствия для безопасности macOS, которая когда-то считалась очень устойчивой к подобным угрозам. В связи с ростом числа кибератак, нацеленных на устройства Apple, пользователи должны сохранять бдительность и принимать превентивные меры для защиты своей информации и активов от этих возникающих угроз.

#ParsedReport #CompletenessLow
23-08-2025

The Masked Man in Cyber Attacks: Analysis of the DupeDog Software Framework

https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247510770&idx=1&sn=04157e348efd8561bf452fa29a4b97c5&poc_token=HOyeqWij6BF6JyuCOP40ZTmTmX7hSDYz_kzweynI

Report completeness: Low

Threats:
Dupedog
Viper

Victims:
Multiple sectors

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036, T1041, T1071.001, T1105, T1204.002, T1486, T1566.001, T1573.001, have more...

IOCs:
File: 16
Path: 2
Hash: 12

Algorithms:
gzip, md5, base64, aes-128-cbc, aes-cbc

Functions:
getServerConfig, getTaskTypeConfig

Win API:
GetCurrentDirectory, SystemParametersInfoW

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DupeDog - это многофункциональная платформа для разработки вредоносного ПО, написанная на Golang, способная к удаленному доступу и функциям программ-вымогателей, обычно замаскированных под безобидные файлы. Он использует фишинг для распространения и использует Viper для управления конфигурацией, обработки сжатых ресурсов YAML для сетевых операций и шифрования. Заслуживающая внимания тактика уклонения включает отключение проверки сертификата, изменение сетевых заголовков и использование AES-128-CBC для шифрования, при этом компонент программы-вымогателя в настоящее время находится в стадии разработки.
-----

Программный фреймворк DupeDog, идентифицированный командой Tencent Cloud Security Threat Intelligence Team, представляет собой сложный класс многофункционального вредоносного ПО, написанного преимущественно на Golang. Замаскированная под доброкачественные файлы, такие как "резюме" и "видео с ошибкой", вредоносная ПО использует тактику фишинга для распространения. Его конструкция показывает, что он работает с двойными возможностями: удаленным доступом и функциями программ-вымогателей. Фреймворк, в частности, назван DupeDog из-за повторяющегося использования термина "DupeDog" в различных названиях функций, что подчеркивает его архитектуру.

Управление конфигурацией в DupeDog облегчается с помощью Viper, который обрабатывает ввод и извлечение сжатых в gzip ресурсов YAML, интегрированных в двоичный файл. Это включает в себя важный конфигурационный файл ("assets/application.yml"), который загружается в глобальные переменные и используется для управления сетевыми подключениями, протоколами шифрования и задачами выполнения.

Что касается сетевого взаимодействия, DupeDog использует настройку, которая включает отключение проверки сертификата и реализацию определенных тайм-аутов для HTTP-запросов, подчеркивая тактику уклонения фреймворка от стандартных методов анализа. Параметры конфигурации, относящиеся к взаимодействиям командования и контроля (C2), извлекаются с помощью Viper, детализируя различные конечные точки и рабочие настройки. Кроме того, вредоносное ПО предназначено для запутывания сетевого трафика, изменяя заголовки, такие как Referer, User-Agent и Cookie, чтобы уменьшить вероятность обнаружения.

Механизмы шифрования, используемые как для связи, так и для функций программ-вымогателей, основаны на AES-128-CBC. Во время шифрования фреймворк извлекает криптографический ключ, обеспечивая его соответствие необходимой длине (16 байт) путем либо заполнения, либо усечения ключа. Затем данные шифруются и впоследствии передаются в формате Base64. Процедуры расшифровки поддерживают согласованную структуру, что позволяет ит-отделу точно интерпретировать входящие задачи с сервера.

Функциональность, связанная с компонентом программы-вымогателя, все еще находится в разработке, а записка о выкупе оформлена в минималистичном стиле. Этот аспект намекает на потенциальные будущие усовершенствования его вредоносных возможностей, подчеркивая акцент на запугивании пользователей путем включения фиксированных языковых шаблонов в коммуникации. В целом, платформа DupeDog демонстрирует продвинутый дизайн вредоносного ПО с убедительными методологиями обхода, шифрования и операционной функциональности.

#ParsedReport #CompletenessLow
23-08-2025

The Expanding AI Attack Surface

https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed

Report completeness: Low

Threats:
Promptfix_technique
Fakecaptcha_technique
Clickfix_technique
Seo_poisoning_technique
Captchageddon_technique

Victims:
Consumers, Online shoppers, Bank customers, Ai browser users

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1566.001, T1566.002, T1584.006, T1587.001, T1608.006, T1656

Soft:
OpenAI, ProtonMail

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье обсуждаются возникающие угрозы, исходящие от векторов атак, ориентированных на искусственный интеллект, с особым акцентом на злонамеренное использование процессов принятия решений ИИ с помощью таких методов, как быстрое внедрение. Этот метод манипулирует искусственным интеллектом для выполнения вредоносных действий, создавая такие риски, как направление пользователей на мошеннические сайты или фишинг-аферы. Концепция "гибкости мошенничества" подчеркивает сложную природу этих мошенничеств по мере того, как системы искусственного интеллекта интегрируются в повседневные задачи, подчеркивая уязвимости, которые необходимо устранять в протоколах безопасности искусственного интеллекта.
-----

Исследование освещает возникающие угрозы, создаваемые векторами атак, ориентированными на искусственный интеллект, уделяя особое внимание тому, как вредоносные акторы используют процессы принятия решений как человеком, так и искусственным интеллектом. Традиционные мошенники полагаются на аналогичную тактику, которая годами использовала уязвимости человека, но уникальные характеристики систем искусственного интеллекта могут сделать их более восприимчивыми к этим атакам из-за отсутствия у них инстинктивного скептицизма. Модели искусственного интеллекта, такие как Copilot от Microsoft и Comet от Perplexity, подвержены риску применения методов быстрого внедрения, которые напрямую манипулируют их возможностями принятия решений.

Быстрое внедрение, известный метод атаки, предполагает внедрение скрытых инструкций в контент, обрабатываемый искусственным интеллектом, которые могут диктовать действия, которые могут быть вредоносными или несанкционированными. Проиллюстрирован пример такой атаки, когда браузер с искусственным интеллектом можно заставить перейти к мошенническому интернет-магазину или использовать фишингов электронные письма под видом подлинных банковских сообщений. Мошенники могут не только нацеливаться на множество людей, но и совершенствовать свои атаки, используя единую модель искусственного интеллекта, что позволяет использовать масштабируемый и изощренный метод обмана.

В тексте также подчеркивается концепция, называемая "Scamlexity", которая относится к сложности мошенничества, возникающего по мере того, как интерфейсы искусственного интеллекта становятся все более интегрированными в повседневную деятельность, от покупок до управления электронной почтой. По мере того как агенты искусственного интеллекта играют более активную роль в выполнении этих задач, присущие им уязвимости становятся критическими. Проблемы, связанные с этими уязвимостями, требуют внедрения надежных мер безопасности, специально разработанных для процессов принятия решений с использованием искусственного интеллекта, включая обнаружение фишинга, проверку репутации URL-адресов, оповещения о подмене домена и обнаружение поведенческих аномалий.

Таким образом, поскольку системы искусственного интеллекта все чаще справляются с функциями, традиционно выполняемыми людьми, возникает настоятельная необходимость в разработке протоколов безопасности для устранения уникальных уязвимостей, которые создают эти технологии, гарантируя, что искусственный интеллект сможет безопасно и эффективно выполнять задачи, для которых он предназначен.

#ParsedReport #CompletenessMedium
21-08-2025

The Silent, Fileless Threat of VShell

https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/

Report completeness: Medium

Threats:
Vshell
Snowlight
Spear-phishing_technique

Victims:
Linux servers

Industry:
Military, Government, Iot

Geo:
Asia, Chinese

TTPs:
Tactics: 4
Technics: 11

IOCs:
File: 7
Hash: 7
IP: 1

Soft:
Linux, curl, Unix

Algorithms:
base64, xor

Functions:
recv, main, fexecve

Languages:
python

Platforms:
x86, x64, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО VShell представляет собой продвинутую угрозу, нацеленную на системы Linux, использующую уникальный способ доставки через спам-письма, содержащие файл .rar, замаскированный под обзор косметических средств. При выполнении скрипт Bash декодирует команду Base64, связанную со специально созданными именами файлов, которые невозможно создать вручную, намекая на участие внешнего инструмента. Последняя полезная нагрузка, бэкдор на базе Go, обеспечивает злоумышленникам обширный удаленный доступ, повышая риски для зараженных серверов, подчеркивая тревожную тенденцию в тактике вредоносного ПО для Linux.
-----

Вредоносное ПО VShell представляет собой сложную эволюцию угроз Linux, использующую уникальную технологию заражения, которая использует спам-рассылку по электронной почте для доставки архива .rar, содержащего Вредоносный файл. В отличие от типичных попыток фишинга, направленных на кражу учетных данных, эта стратегия, замаскированная под опрос о косметических товарах, предлагающий денежные поощрения, эффективно использует любопытство и доверие пользователей. Встроенный Bash-совместимый код во вредоносном имени файла остается бездействующим до тех пор, пока не произойдет определенное взаимодействие с оболочкой, обходящее традиционные меры безопасности.

Процесс заражения начинается, когда запускается скрипт Bash, который манипулирует именами файлов, содержащих встроенные команды. Первый этап включает в себя выполнение этого скриптового кода, который вычисляет имя файла и расшифровывает команду Base64, передаваемую в Bash. Дизайн этих имен файлов заслуживает внимания, поскольку они созданы для использования специальных символов таким образом, что их невозможно создать вручную через командную строку, что предполагает использование внешнего инструмента или языка для их создания.

После этого первоначального выполнения скрипт загрузки вредоносного ПО идентифицирует архитектуру системы — поддерживает x86, x64, ARM и ARM64 — и автоматически запускает загруженный двоичный файл ELF в нескольких резервных каталогах, не привлекая внимания. Этот этап имеет решающее значение, поскольку он закладывает основу для фактической доставки вредоносного ПО.

Конечная полезная нагрузка - это бэкдор VShell, вариант вредоносного ПО на основе Go, который в основном используется китайскими группами сложных целенаправленных атак на основе сложных целенаправленных атак. Он предоставляет широкие возможности удаленного доступа, позволяя злоумышленникам контролировать зараженные серверы Linux, которым профессионалы обычно доверяют из-за их стабильности и безопасности. VShell позволяет выполнять такие действия, как файловые операции и контроль после эксплуатации, что значительно увеличивает риск, связанный с этим вектором атаки.

Этот анализ подчеркивает тревожную тенденцию в методах доставки вредоносного ПО Linux, когда уязвимости для внедрения команд в циклы оболочки и разрешающую среду выполнения используются для запуска сложных операций вредоносного ПО. Эта операция не только иллюстрирует необходимость тщательного соблюдения правил безопасности в системах Linux, но и подчеркивает развивающиеся возможности злоумышленников, использующих, казалось бы, безобидные взаимодействия для запуска серьезных атак.

#ParsedReport #CompletenessMedium
23-08-2025

APT-C-08 (Crane Spirit Flower) Organization's New Payload Revealed

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507312&idx=1&sn=9088d1146e263cf86bb240654dcac24f&chksm=f9c1ee79ceb6676f8b8f06a70b6f19caf3e6805ba23357944813eed078b3d39772ff4dd305c9&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Medium

Actors/Campaigns:
Bitter
Blindeagle

Threats:
Spirit_tool
Wmrat
Orpcbackdoor
Miyarat
Gmrat

Victims:
Governments, Overseas institutions, Universities, Military industry

Industry:
Government, Education, Military

Geo:
Asia, Asian

IOCs:
File: 2
Hash: 3
Domain: 1
IP: 1

Algorithms:
md5

Win API:
MoveFileExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-08, известный как Crane Spirit Flower, является злоумышленником, связанным с правительством Южной Азии, нацеленным на такие секторы, как правительство, научные круги и военные в Южной Азии. Недавно они внедрили новую пользовательскую полезную нагрузку вредоносного ПО, направленную на использование конкретных уязвимостей, продолжая использовать фишинг и непатентованные программные эксплойты. Их деятельность подчеркивает сохраняющиеся киберриски и эволюцию их тактики, подчеркивая необходимость проявлять бдительность среди потенциальных целей.
-----

APT-C-08, также известная как Crane Spirit Flower, является организацией, осуществляющей сложные целенаправленные атаки, связанной с правительством Южной Азии. Эта группа регулярно участвовала в сложных кибероперациях, нацеленных на различные секторы, включая правительственные учреждения, академические институты, военную промышленность и зарубежные организации по всей Южной Азии и соседним регионам. Непрерывное участие в этих сложных целенаправленных атаках демонстрирует их стратегическое намерение собирать разведданные или срывать операции в этих критически важных областях.

Недавние разоблачения указывают на то, что APT-C-08 разработала и внедрила новую полезную нагрузку, которая отражает их эволюционирующую тактику и постоянный ландшафт угроз. Такие полезные программы обычно содержат пользовательское вредоносное ПО, предназначенное для использования определенных уязвимостей в сетях выбранных ими целей. Хотя точные технические детали этого нового варианта вредоносного ПО не разглашаются, его разработка согласуется с историческим методом работы группы — предпочтение целенаправленным нарушениям, часто посредством фишингов-атак или использования незатронутых уязвимостей программного обеспечения.

Поскольку эта организация продолжает совершенствовать свои возможности, предвидение поведения такого вредоносного ПО становится критичным для потенциальных жертв. Организациям в Южной Азии и близлежащих регионах следует сохранять бдительность и внедрять надежные меры безопасности для противодействия этим развивающимся угрозам, обеспечивая исправление сетей и обучение сотрудников распознаванию потенциальных попыток фишинга. Учитывая репутацию APT-C-08's, ориентированной на крупные организации, ее деятельность служит напоминанием о сохраняющихся киберрисках, с которыми сталкиваются организации в различных секторах.

#ParsedReport #CompletenessLow
23-08-2025

Phishing Emails Are Now Aimed at Users and AI Defenses

https://malwr-analysis.com/2025/08/24/phishing-emails-are-now-aimed-at-users-and-ai-defenses/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Users, Ai defenses

Geo:
Pakistan, Asian

ChatGPT TTPs:
do not use without manual check
T1562, T1566

IOCs:
Url: 4
Domain: 3

Soft:
Gmail, ChatGPT, SendGrid, CryptoJS

Algorithms:
base64, aes-cbc

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последнее время тактика фишинга эволюционирует, нацеливаясь как на отдельных лиц, так и на механизмы безопасности на основе искусственного интеллекта, демонстрируя возросшую изощренность злоумышленников. Теперь злоумышленники создают электронные письма, предназначенные для обхода алгоритмов машинного обучения, используя методы запутывания, такие как орфографические ошибки и вводящие в заблуждение URL-адреса, чтобы обойти автоматическую защиту. Этот сдвиг указывает на то, что злоумышленники становятся все более искусными в использовании слабых мест как в человеческой, так и в алгоритмической защите, что создает проблемы для традиционных методов обнаружения в области кибербезопасности.
-----

Недавние разработки в тактике фишинга перешли от простого обмана отдельных лиц к использованию механизмов безопасности, основанных на Искусственном интеллекте (ИИ). Этот двойной подход подчеркивает растущую изощренность злоумышленников, которые используют социальную инженерию не только для использования уязвимостей человека, но и для обхода автоматизированных средств защиты, которые полагаются на алгоритмы машинного обучения для обнаружения попыток фишинга.

В этих новых кампаниях по фишингу злоумышленники создают электронные письма, предназначенные для обмана как пользователей, так и систем искусственного интеллекта. Они используют методы, направленные на имитацию законных сообщений, чтобы избежать обнаружения фильтрами безопасности. Например, они могут использовать стратегии запутывания — такие как орфографические ошибки, необычные символы или вводящие в заблуждение URL—адреса - чтобы сбить с толку как пользователей, так и искусственный интеллект, используемый для идентификации вредоносного контента. Эта манипуляция подчеркивает необходимость усовершенствованных методов обнаружения с помощью искусственного интеллекта, которые могут лучше распознавать закономерности и аномалии, не становясь жертвой этой тактики.

Кроме того, эти кампании по фишингу отражают стратегическую эволюцию, когда злоумышленники все больше осведомлены о средствах защиты, используемых организациями. По мере того как меры безопасности, основанные на искусственном интеллекте, становятся все более распространенными, злоумышленники адаптируют свои стратегии, чтобы использовать слабые места не только в человеческом познании, но и в алгоритмах, направленных на защиту пользователей. Это представляет серьезную проблему для специалистов по кибербезопасности, поскольку обычные методы обнаружения могут стать менее эффективными против противников, использующих специальную тактику, разработанную для обхода передовых средств защиты.

Таким образом, новая волна кампаний по фишингу характеризуется инновационной стратегией, которая атакует как пользователей, так и их защитные системы искусственного интеллекта, что требует переоценки текущей тактики борьбы с фишингом и возможностей обнаружения искусственного интеллекта. Организации должны повысить уровень своей безопасности, интегрируя передовые методы обнаружения и обучающие программы, которые готовят пользователей к распознаванию этих сложных угроз.

#ParsedReport #CompletenessMedium
22-08-2025

Android Document Readers and Deception: Tracking the Latest Updates to Anatsa

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa

Report completeness: Medium

Threats:
Anatsa
Robinhood
Joker
Harly
Facestealer
Exobot

Victims:
Financial institutions, Cryptocurrency platforms, Android users

Industry:
Financial

Geo:
Korea, Germany

ChatGPT TTPs:
do not use without manual check
T1027, T1056, T1406, T1418, T1555, T1622, T1647

IOCs:
Url: 9
Hash: 4

Soft:
Android, Google Play

Algorithms:
xor, zip, des

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anatsa, или TeaBot, - это развивающийся банковский троян для Android, который расширил список своих целей до более чем 831 финансового учреждения, включив в него новые страны и криптовалютные платформы. В последнем варианте используется прямая установка полезной нагрузки, минуя динамическую загрузку DEX, и предусмотрены расширенные меры защиты от анализа, включая расшифровку во время выполнения и проверку устройства, чтобы избежать обнаружения. Наряду с этим, в Google Play Store было выявлено в общей сложности 77 вредоносных приложений, что указывает на растущую тенденцию распространения вредоносного ПО через легальные платформы.
-----

Anatsa, также известный как TeaBot, - это банковский троян для Android, который был впервые обнаружен в 2020 году и продолжает представлять значительную угрозу для пользователей финансовых приложений. Первоначально ориентированный примерно на 650 финансовых учреждений, последний вариант Anatsa расширил свой таргетинг на более чем 831 финансовую организацию, включая недавно добавленные страны, такие как Германия и Южная Корея, а также различные криптовалютные платформы. Это вредоносное ПО печально известно своими возможностями, которые включают в себя кражу учетных данных пользователей, Регистрацию нажатий клавиш и содействие мошенническим транзакциям.

Недавняя версия Anatsa внесла заметные изменения в методы заражения и доставки полезной нагрузки. В отличие от своих предшественников, эта версия использует упрощенный процесс установки полезной нагрузки, обходя динамическую загрузку кода удаленных форматов исполняемых файлов Dalvik (DEX) в пользу прямой установки полезной нагрузки. Кроме того, Anatsa использует сложные методы антианализа, включая расшифровку строк во время выполнения с использованием динамически генерируемого ключа стандарта шифрования данных (DES). Эта тактика повышает его устойчивость к инструментам статического анализа, усложняя попытки проанализировать его поведение.

Более того, Anatsa укрепила свои стратегии уклонения, внедрив проверки эмуляции и модели устройств, чтобы помешать работе сред динамического анализа. Эти достижения свидетельствуют о согласованных усилиях разработчиков вредоносного ПО, направленных на то, чтобы избежать обнаружения и поддерживать закрепление на зараженных устройствах.

Одновременно с появлением Anatsa ThreatLabZ от Zscaler выявил в общей сложности 77 вредоносных приложений из различных семейств, которые в совокупности собрали более 19 миллионов установок через Google Play Store. Это подчеркивает тревожную тенденцию, связанную с использованием законных платформ злоумышленниками для эффективного распространения вредоносного ПО.