#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по распространению вредоносного ПО SikkahBot, действующая в Бангладеш с июля 2024 года, нацелена на студентов путем Маскировки под законные образовательные приложения, обещающие стипендии. Он использует социальную инженерию, чтобы заманить жертв к загрузке загруженного вредоносным ПО APK-файла, который собирает личную и финансовую информацию и получает широкие права доступа к устройствам. SikkahBot может перехватывать SMS-сообщения, связанные с банковскими операциями, и автоматизировать транзакции в таких приложениях, как bKash, повышая риск финансового мошенничества благодаря сложному профилю с низким уровнем обнаружения.
-----

Кампания вредоносного ПО "SikkahBot", выявленная Cyble Research and Intelligence Labs, представляет собой значительную киберугрозу, специально предназначенную для студентов в Бангладеш с июля 2024 года. Замаскированный под законные заявки от Совета по образованию Бангладеш, SikkahBot использует уязвимость студентов, обещая стипендии. Эта тактика заманивает пользователей к загрузке вредоносного ПО, которое позволяет злоумышленникам собирать личную и финансовую информацию.

SikkahBot в основном распространяется по сокращенным ссылкам, которые перенаправляют на вредоносные сайты загрузки APK, скорее всего, распространяемые с помощью кампаний smishing. После установки вредоносное ПО предлагает жертвам пройти аутентификацию через Google или Facebook, за которыми затем следуют запросы о предоставлении личных данных, таких как имя, отдел и институт. Приложение получает разрешения с высоким уровнем риска, включая доступ к SMS, управлению вызовами и службе специальных возможностей, которые обеспечивают широкий контроль над зараженными устройствами.

Основные возможности SikkahBot включают перехват SMS-сообщений, связанных с банковскими транзакциями, и автоматизацию действий в банковских приложениях, в частности, ориентированных на такие сервисы, как bKash, Nagad и DBBL. Он может автоматически заполнять учетные данные и выполнять несанкционированные транзакции с использованием USSD-кодов, что значительно увеличивает вероятность финансового мошенничества. Кроме того, низкий уровень обнаружения вредоносного ПО на таких платформах, как VirusTotal, указывает на его сложность, а новые варианты демонстрируют расширенные возможности автоматизации, что отражает постоянные усилия злоумышленников по разработке и совершенствованию стратегий вредоносного ПО.

Последствия операций SikkahBot серьезны, особенно для студенческой аудитории, которая часто более уязвима к подобным атакам. Вредоносное ПО не только представляет риск для личных данных пользователей, но и вызывает опасения по поводу более широкого финансового мошенничества, подчеркивая необходимость повышения осведомленности и принятия мер защиты от таких целенаправленных киберугроз в регионе.

#ParsedReport #CompletenessLow
29-08-2025

Cache Me If You Can (Sitecore Experience Platform Cache Poisoning to RCE)

https://labs.watchtowr.com/cache-me-if-you-can-sitecore-experience-platform-cache-poisoning-to-rce/

Report completeness: Low

Victims:
Sitecore experience platform users, Website operators

CVEs:
CVE-2025-53691 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53693 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53694 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-34509 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059, T1190, T1210, T1518

IOCs:
File: 14

Soft:
Sitecore, Twitter

Functions:
GetHandler, GetIndexOfFirstMatchToken, GetXamlPageHandler, SetRenderMethodDelegate, GetSystemFormValue, GetLegacyEvent, FindControl, FindClientControl, GetHandlers, GetMethodFiltered, have more...

Win Services:
bits

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе исследований, проведенных watchTowr Labs на платформе Sitecore Experience, были обнаружены две критические уязвимости: CVE-2025-53693, уязвимость, связанная с заражением HTML-кэша и позволяющая использовать его без аутентификации, и CVE-2025-53691, уязвимость, связанная с удаленным выполнением кода после аутентификации (RCE). Манипулируя поведением кэша, связанным с контрольными идентификаторами, и анализируя декомпилированный код, злоумышленники могут подсчитывать ключи кэша, облегчая процесс эксплуатации. Сочетание этих уязвимостей представляет серьезную угрозу, позволяя злоумышленникам внедрять вредоносный контент на управляемые сайты на платформе Sitecore.
-----

Исследование, проведенное watchTowr Labs на платформе Sitecore Experience, выявило две существенные уязвимости: уязвимость, связанную с заражением HTML-кэша (CVE-2025-53693) и уязвимость, связанную с удаленным выполнением кода после аутентификации (RCE) (CVE-2025-53691). Исследователи демонстрируют, как эти уязвимости могут быть использованы для компрометации даже полностью исправленных экземпляров Sitecore.

Первая уязвимость, WT-2025-0023, связана с проблемой небезопасного отображения, которая позволяет "отравить" HTML-кэш. Получив представление об идентификаторах элементов управления и процессе создания ключей кэша, исследователи смогли манипулировать поведением кэша. Как правило, Sitecore по умолчанию не кэширует содержимое, требуя от администраторов включить кэширование HTML, что часто упускается из виду. В исследовании подчеркивается, что знание ключей кэша имеет решающее значение для успешной эксплуатации, и отмечается, что они были обнаружены в результате анализа декомпилированного кода Sitecore. Это привело к появлению возможности перечислять ключи кэша с помощью ItemService API.

Кроме того, в исследовании обсуждается взаимодействие с ограниченными ролями пользователей, когда может быть сложно идентифицировать определенные элементы из-за отсутствия результатов, возвращаемых API в ограниченных условиях.

Последствия этих выводов значительны; заражение HTML-кэша позволяет злоумышленнику использовать систему без предварительной аутентификации, в то время как последующая уязвимость RCE повышает уровень риска, поскольку позволяет удаленно выполнять код внутри системы. Возможность перечислять и определять действительные ключи кэша упрощает процесс атаки, позволяя использовать то, что исследователи называют более чистым и эффективным методом использования.

Таким образом, выявленные уязвимости открывают широкие возможности для злоумышленников, в том числе для внедрения вредоносного контента на управляемые сайты через кэш, что повышает уровень угроз для пользователей платформы Sitecore.

#ParsedReport #CompletenessLow
29-08-2025

Wallet-Draining npm Package Impersonates Nodemailer to Hijack Crypto Transactions

https://socket.dev/blog/wallet-draining-npm-package-impersonates-nodemailer

Report completeness: Low

Actors/Campaigns:
Nikotimon

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Cryptocurrency users, Electron wallet users

Industry:
Financial

TTPs:

IOCs:
File: 12
Email: 1
Coin: 2

Soft:
Outlook, Electron

Wallets:
atomicwallet, exodus_wallet, tron

Crypto:
bitcoin, ethereum, tether, solana

Win API:
copyFile

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет npm, выдающий себя за законную библиотеку Nodemailer, нацелен на транзакции с криптовалютой, манипулируя атомарным кошельком в системах Windows. При выполнении он изменяет критически важные файлы поставщиков, чтобы изменить адреса получателей, перенаправляя средства на кошельки злоумышленников. Эта Компрометация цепочки поставок использует такие методы, как Маскировка и выполнение JavaScript, демонстрируя растущую сложность угроз в экосистеме JavaScript, связанных с Кражей денежных средств.
-----

Недавно появилась киберугроза, связанная с вредоносным пакетом npm, который выдает себя за законную библиотеку Nodemailer и в первую очередь нацелен на транзакции с криптовалютой. Этот вредоносный пакет разработан таким образом, чтобы сочетаться с легальными приложениями, сохраняя возможности отправки электронной почты, что делает его менее подозрительным при импорте в пользовательское приложение. После запуска пакет использует различные сложные методы для модификации приложений кошелька, в частности Atomic Wallet, в системах Windows.

Атака начинается с момента импорта вредоносного пакета, запуская последовательность действий, которые включают распаковку пакета приложений Atomic Wallet. Код злоумышленника вводится в критически важный файл поставщика, а затем приложение переупаковывается со встроенной вредоносной логикой. Эта манипуляция позволяет злоумышленнику изменить адрес получателя в процессе транзакции криптовалюты. В результате любые средства, которые обычно отправлялись бы на законный адрес, вместо этого поступают на кошельки, контролируемые злоумышленниками. Важно отметить, что это вмешательство происходит независимо от того, используется ли пакет npm для отправки электронного письма, что свидетельствует о серьезности угрозы.

Анализ, проведенный Socket AI Scanner, также показал, что этот вводящий в заблуждение пакет нацелен на среду выполнения электронных кошельков путем несанкционированных модификаций. Он распаковывает связанные архивы и внедряет вредоносные полезные файлы, которые затем переупаковываются, позволяя злоумышленникам поддерживать закрепление в системе, тайно выполняя свои вредоносные действия. Успешное выполнение этой атаки может иметь серьезные финансовые последствия для жертв, подчеркивая эффективность Компрометации цепочки поставок.

С точки зрения категоризации атак, используемые методы соответствуют нескольким платформам MITRE ATT&CK. В частности, угроза использует такие методы, как Компрометация цепочки поставок (T1195.002), Маскировка (T1036.005) и выполнение с помощью команд и скриптов JavaScript (T1059.007), среди прочего. Главной целью этой тактики является Кража денежных средств (T1657), демонстрирующая продуманный подход, применяемый злоумышленниками при подрыве законного программного обеспечения с целью получения незаконной выгоды. Этот инцидент подчеркивает растущую сложность киберугроз в экосистеме JavaScript, особенно тех, которые нацелены на приложения, связанные с криптовалютой.

#ParsedReport #CompletenessLow
29-08-2025

PromptLock: The First AI-Powered Ransomware & How It Works

https://www.seqrite.com/blog/promptlock-first-ai-powered-ransomware/

Report completeness: Low

Threats:
Promptlock

IOCs:
File: 7
Hash: 7

Soft:
Linux, macOS, Ollama, unix

Crypto:
bitcoin

Languages:
golang, lua

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PromptLock - это программа-вымогатель на базе искусственного интеллекта, которая представляет собой впечатляющую эволюцию возможностей вредоносного ПО, хотя она еще не применялась в атаках. Эта разработка предполагает, что злоумышленники могут использовать искусственный интеллект для оптимизации операций программ-вымогателей, потенциально улучшая методы шифрования и стратегии таргетинга за счет выявления особо ценных жертв и настройки векторов атак на основе уязвимостей системы. Появление такого вредоносного ПО подчеркивает тенденцию к появлению более изощренных киберугроз, использующих Искусственный интеллект.
-----

PromptLock представляет собой значительную эволюцию программ-вымогателей, интегрирующую возможности Искусственного интеллекта для расширения своей функциональности. Хотя его еще предстоит активно применять в реальных атаках, его появление подчеркивает тревожную тенденцию в мире вредоносного ПО, где злоумышленники потенциально могут использовать искусственный интеллект для более сложных киберопераций.

Разработка этой программы-вымогателя на базе искусственного интеллекта служит доказательством концепции (PoC), иллюстрируя, как противники могли бы использовать модели искусственного интеллекта для выполнения более эффективных атак. Точные методы и технички, задействованные в его работе, остаются нераскрытыми, но основополагающая концепция предполагает, что искусственный интеллект мог бы оптимизировать различные аспекты развертывания программ-вымогателей, такие как улучшение методов шифрования, упрощение идентификации важных целей или даже настройка векторов атак на основе уязвимостей, присутствующих в конкретных системах.

Важно отметить, что, хотя PromptLock пока не был связан ни с какими подтвержденными инцидентами безопасности, его существование вызывает тревогу относительно будущего потенциала киберугроз, основанных на искусственном интеллекте. Это нововведение указывает на появляющуюся тенденцию, в рамках которой злоумышленники могут совершенствовать свои стратегии, используя искусственный интеллект для автоматизации и расширения возможностей своих атак, что делает традиционную защиту потенциально менее эффективной против таких интеллектуальных вариантов вредоносного ПО.

#ParsedReport #CompletenessHigh
29-08-2025

Sindoor Dropper: New Phishing Campaign

https://www.nextron-systems.com/2025/08/29/sindoor-dropper-new-phishing-campaign/

Report completeness: High

Actors/Campaigns:
Sindoor
Transparenttribe

Threats:
Sindoor
Spear-phishing_technique
Meshagent_tool
Smuggling_technique

Victims:
Organizations in india

Industry:
Software_development

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1027, T1036.008, T1105, T1204.002, T1219, T1566.001

IOCs:
Hash: 11
Url: 7
Domain: 1
IP: 1
File: 8

Soft:
Linux, QEMU

Algorithms:
aes-ctr, base64, des, sha256, aes, des-cbc

Languages:
python

YARA: Found

Links:
https://github.com/Ylianst/MeshAgent

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Sindoor Dropper, связанная с APT36 (Transparent Tribe), нацелена на индийские организации с помощью продвинутой фишинг-атаки, в которой используются файлы .desktop, разработанные для Linux. Атака использует тактику социальной инженерии, чтобы обманом заставить пользователей выполнить вредоносное ПО .файл рабочего стола, который инициирует цепочку заражения, ведущую к развертыванию двоичного файла MeshAgent, инструмента удаленного администрирования, перепрофилированного для вредоносного доступа. Этот метод позволяет злоумышленникам осуществлять мониторинг, перемещение внутри компании, эксфильтрацию данных и устанавливать постоянный доступ.
-----

Кампания "Sindoor Dropper" представляет собой эволюционировавшую фишинг-атаку, нацеленную в первую очередь на организации в Индии. Эта кампания имеет сходство с предыдущими стратегиями, связанными с APT36, также известной как Transparent Tribe. В атаке используется особый метод, который использует защищенные файлы .desktop, специально разработанные для систем Linux, для облегчения первоначального доступа.

Вектор фишинга связан с вредоносным ПО.файл на рабочем столе, который маскируется под законный документ и отображает значок, похожий на значок PDF-файла. Эта тактика социальной инженерии направлена на то, чтобы побудить пользователей запустить файл, тем самым инициируя цепочку заражения. После выполнения файл .desktop запускает серию действий, которые включают загрузку поддельного документа, поврежденного дешифратора и зашифрованного загрузчика.

Суть этой атаки заключается в развертывании двоичного файла MeshAgent, законного инструмента удаленного администрирования, который был использован в злонамеренных целях. MeshAgent позволяет злоумышленникам получить полный удаленный доступ к скомпрометированной системе, облегчая выполнение целого ряда задач после эксплуатации. Эти действия включают в себя мониторинг действий пользователя, перемещение внутри компании, эксфильтрацию данных и создание постоянных точек доступа для будущих операций.

Технические тонкости процесса заражения указывают на сложную цепочку выполнения, которая тщательно скрывает вредоносные намерения под маской доброкачественной функциональности. Это не только повышает эффективность атаки, но и сводит к минимуму обнаружение традиционными решениями безопасности. Таким образом, дроппер Sindoor служит примечательным примером того, как злоумышленники адаптируют и совершенствуют свои методы для использования уязвимостей в целевых организациях.

#ParsedReport #CompletenessMedium
29-08-2025

VAIZ, FDN3, TK-NET: A nebula of Ukrainian networks engaged in brute force and password spraying attacks

https://www.intrinsec.com/wp-content/uploads/2025/08/TLP-CLEAR-20250828-VAIZ-FDN3-TK-NET-EN.pdf

Report completeness: Medium

Actors/Campaigns:
Uac-0050
Uac-0006
Gamaredon
Doppelgnger

Threats:
Password_spray_technique
Amadey
Global-group-raas
Blackbasta
Bruted_framework
Ransomhub
Smokeloader
Masscan_tool

Victims:
Ssl vpn devices, Rdp services, Malware c2 victims, Email users targeted by malspam, Phishing victims, Ukraine and its allies

Industry:
Telco, Energy, Education, Ngo

Geo:
Bulgarian, Dutch, Swedish, Seychelles, Russia, United kingdom, Ukrainian, Russian, Ukraine, Netherlands, Turkish, Israel

ChatGPT TTPs:
do not use without manual check
T1110, T1110.003, T1190, T1583.003, T1583.006, T1584.004, T1588.001, T1595

IOCs:
Domain: 3
IP: 77

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июня по июль 2025 года украинские сети, включая FDN3, связанные с FOP Дмитрием Недильским, осуществляли массированные атаки с использованием брутфорса и Распыления паролей, нацеленные на устройства SSL VPN и RDP, используя общие префиксы IPv4 для уклонения. Эти сети сотрудничали с пуленепробиваемой хостинговой компанией IP Volume Inc., используя тактику, которая проверяет отдельные пароли для многочисленных учетных записей и использует исчерпывающие списки для брутфорса. Исторические подключения к российским сетям и переход от одного регистратора к другому указывают на наличие устойчивой и адаптивной инфраструктуры для борьбы с киберугрозами.
-----

В период с июня по июль 2025 года была организована серия скоординированных атак с использованием брутфорса и Распыления паролей из группы украинских сетей, включая FDN3, VAIZ и E-RISHENNYA, наряду с сетью на Сейшельских островах, известной как TK-NET. FDN3, приписываемый FOP Дмитрию Недильскому и идентифицированный как AS211736, был особенно активен, нацеливаясь на устройства SSL VPN и RDP и выполняя сотни тысяч таких атак в течение периода до трех дней. Вредоносная инфраструктура использовала общие префиксы IPv4 между собой и своими дочерними сетями для обхода списков блокировок, что указывает на сложную стратегию обхода, которой, вероятно, управляет общий администратор.

Отчеты показывают, что эти сети функционируют в тандеме с хорошо известной пуленепробиваемой хостинговой компанией IP Volume Inc., которая облегчила маршрутизацию этих атак. Контроль и подключение к различным другим оффшорным сетям, включая Virtualine и Telkom Internet LTD, еще раз демонстрируют широкое сотрудничество между акторами киберпреступности. Использование Распыления паролей, когда один пароль тестируется на множестве учетных записей, наряду с методами брутфорса, когда для доступа к отдельной учетной записи составляются исчерпывающие списки потенциальных паролей, было центральной тактикой, использовавшейся в этих кампаниях.

Сети были построены на исторических ассоциациях, поскольку всплыли следы предыдущих сетей, ориентированных на Россию, которые восходили к таким компаниям, как SibirInvest и ITDELUXE, что еще раз указывает на происхождение и закрепление этих злонамеренных акторов. Примечательно, что элементы инфраструктуры переходили к различным регистраторам и от них, оставаясь активными в новых конфигурациях, чтобы избежать обнаружения. Связи с болгарскими сетями, включая ROZA-AS и SS-Net, и хорватские оперативные связи с вооруженным вредоносным ПО, таким как Amadey, известным своей двойной ролью загрузчика и похитителя данных, подчеркивают намерения и возможности этих злоумышленников в проведении крупномасштабных операций.

В конечном счете, это расследование выявляет значительный и эволюционирующий ландшафт угроз, характеризующийся сетью взаимосвязанных, гибких филиалов киберпреступников, способных организовывать длительные атаки, сохраняя при этом оперативную секретность, обеспечиваемую оффшорной регистрацией и сложными механизмами маршрутизации. Последствия свидетельствуют о вызывающем тревогу закреплении этих организованных образований, если только не будут разработаны правовые рамки для эффективного устранения и разрушения таких инфраструктур.

#ParsedReport #CompletenessLow
29-08-2025

Explaining the AI-Assisted Koske Linux Cryptomining Malware Hidden in JPEGs

https://www.picussecurity.com/resource/blog/explaining-the-ai-assisted-koske-linux-cryptomining-malware-hidden-in-jpegs

Report completeness: Low

Actors/Campaigns:
Unc3886
Apt31

Threats:
Koske
Polyglot_technique
Xmrig_miner
Melofee

Victims:
Linux users, Enterprises

TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 4

Soft:
Linux, ChatGPT, unix, curl, sudo, systemd, task scheduler, crontab, openssl

Algorithms:
zip

Functions:
readdir

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО для криптомайнинга Koske Linux, появившееся в результате кампании 2025 года, использует искусственный интеллект для повышения скрытности и адаптивности. Он использует методы MITRE ATT&CK, встраивая полезные данные в файлы polyglot JPEG и обеспечивая закрепление с помощью сценариев запуска Linux и Служб systemd. Кроме того, он может манипулировать потоком выполнения с помощью LD_PRELOAD, отключать брандмауэры и маскировать трафик C2 через внутренние прокси, в конечном итоге запуская майнер XMRig для получения финансовой выгоды, и все это усложняет усилия по обнаружению.
-----

Вредоносное ПО для криптомайнинга Koske Linux, выявленное в ходе кампании 2025 года, является примером нового поколения угроз с помощью искусственного интеллекта, демонстрируя функции, повышающие его скрытность, модульность и адаптивность. Примечательно, что предполагается, что большие языковые модели, возможно, существенно повлияли на его разработку, придав вредоносному ПО особенно чистый код и автоматизированную логику, в отличие от предыдущих поколений криптоминеров.

Это вредоносное ПО использует различные методы, согласованные с платформой MITRE ATT&CK, для сохранения и выполнения своей полезной нагрузки. Он использует команды Командной оболочки Unix для выполнения Встроенной полезной нагрузки, скрытой в файлах polyglot JPEG (MITRE T1059.004). Чтобы обеспечить свое выживание после перезагрузки системы, вредоносное ПО использует сценарии запуска Linux, вставляя вредоносные команды, гарантирующие автоматическое выполнение (MITRE T1547.006 и T1037.004), а также манипулируя Службами systemd для достижения аналогичных целей (MITRE T1543.002). Эта тактика позволяет Koske маскироваться под законные имена служб, эффективно позволяя им выполняться всякий раз, когда система инициализируется.

Кроме того, Koske использует уникальные методы для перехвата потока выполнения системы, используя переменную окружения LD_PRELOAD, которая позволяет загружать вредоносные общие объекты перед стандартными библиотеками. Эта возможность позволяет злоумышленникам манипулировать законными программами, изменяя их поведение без обнаружения (MITRE T1574). Кроме того, вредоносное ПО может отключать брандмауэры на базе хоста, сбрасывая правила iptables, тем самым устраняя барьеры для сетевых коммуникаций и укрепляя свои позиции (MITRE T1562.004).

Другой тактический подход предполагает обнаружение настроек системного прокси-сервера. Направляя трафик управления (C2) через существующие внутренние прокси-серверы, Koske может скрывать свои вредоносные действия на фоне законного сетевого трафика (MITRE T1574, T1090.001). Этот метод усложняет идентификацию и предотвращение с помощью мер безопасности, поскольку вредоносный трафик становится менее отличимым от общепринятых корпоративных коммуникаций.

Конечное воздействие вредоносного ПО Koske заключается в загрузке и расшифровке зашифрованного майнера криптовалют XMRig, который позволяет злоумышленникам использовать скомпрометированные системы для получения финансовой выгоды посредством криптомайнинга. Эти методы иллюстрируют сложную стратегию, в которой искусственный интеллект играет ключевую роль в расширении возможностей вредоносного ПО и усложнении обнаружения традиционными системами безопасности.