#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Четыре вредоносных пакета npm выдают себя за законный Flashbots SDK для кражи учетных данных кошелька Ethereum у разработчиков, в частности, нацеливаясь на операции с извлекаемой стоимостью майнера (MEV). Наиболее тревожным является разветвление класса FlashbotsBundleProvider, которое внедряет вредоносные функции и может манипулировать транзакциями, наряду с трояном, Маскировкой под криптографическую утилиту, и агрессивной клиентской библиотекой, автоматически выполняющей вредоносный код. Четвертый пакет Маскировки под утилиту Telegram, облегчающую эксфильтрацию данных злоумышленникам, что создает значительную угрозу целостности транзакций Ethereum и безопасности разработчиков.
-----

Недавние открытия выявили четыре вредоносных пакета npm, предназначенных для выдачи себя за законный Flashbots SDK, с основной целью кражи учетных данных кошелька Ethereum у разработчиков. Наиболее тревожным из них является вредоносный форк класса FlashbotsBundleProvider, который сохраняет совместимость с законным API Flashbots, встраивая различные вредоносные функции в свой код. Это представляет значительную угрозу, особенно для пользователей, участвующих в операциях с извлекаемой стоимостью майнера (MEV), поскольку это может манипулировать транзакциями в интересах злоумышленника.

Другой пакет выглядит как криптографическая утилита, но работает как троянец, вероятно, предназначенный для введения в заблуждение разработчиков при выполнении вредоносных действий. В дополнение к этому, третий пакет, продаваемый как клиентская библиотека Flashbots, идет дальше, автоматически выполняя свой вредоносный код при создании экземпляра, что делает его более агрессивным и устойчивым к стандартным методам обнаружения.

Четвертый пакет функционирует как средство коммуникации для злоумышленников, замаскированное под универсальную утилиту Telegram. Это позволяет осуществлять эксфильтрацию конфиденциальных данных непосредственно в чат Telegram, контролируемый злоумышленником, что способствует оптимизации инфраструктуры атак. В настоящее время Telegram-бот, используемый для сбора данных, остается активным, позволяя киберпреступникам получать украденные учетные данные из любых скомпрометированных систем, на которых запущены эти пакеты.

Воздействие этих вредоносных пакетов многогранно; они сосредоточены на сборе Закрытых ключей и мнемонических данных, нацеливаясь на переменные среды разработчиков, особенно на те, которые обычно используются в операциях MEV. Последствия включают прямые финансовые потери из-за несанкционированного доступа к средствам кошелька в сочетании с более широкой угрозой целостности транзакций Ethereum, поскольку основной вариант FlashbotsBundleProvider потенциально может перенаправлять транзакции на адреса, контролируемые злоумышленниками. В целом, всеобъемлющий инструментарий, созданный злоумышленником, подчеркивает необходимость бдительности и надежных мер безопасности в сообществе разработчиков Ethereum для противодействия этим сложным угрозам.

#ParsedReport #CompletenessHigh
05-09-2025

Inside the Kimsuky Leak: How the Kim Dump Exposed North Koreas Credential Theft Playbook

https://dti.domaintools.com/inside-the-kimsuky-leak-how-the-kim-dump-exposed-north-koreas-credential-theft-playbook/

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: information_theft, cyber_espionage)
Lazarus

Threats:
Aitm_technique
Credential_harvesting_technique
Titanldr
Blacklotus
Netstat_tool
Supply_chain_technique
Api_obfuscation_technique

Victims:
Government, Military, Diplomatic, Research institute, Enterprise cloud services

Industry:
Healthcare, Military, Telco, Government

Geo:
Kor, China, North korea, Asia, Dprk, North korean, Korean, Taiwanese, North koreas, Chinese, Taiwan, Korea

TTPs:
Tactics: 8
Technics: 12

IOCs:
Domain: 5
File: 20
Email: 1
IP: 4

Soft:
Linux, Weibo, Firefox

Algorithms:
exhibit, base64

Functions:
Win32

Win API:
HttpSendRequestA, VirtualAlloc, decompress, Startpage

Platforms:
intel, x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейский злоумышленник "Ким", связанный с группой Kimsuky (APT43), занимался кражей учетных данных в южнокорейских и тайваньских сетях, используя методы фишинга с использованием поддельных доменов для получения учетных данных пользователей. Утечка выявила среду разработки вредоносного ПО, ориентированную на системы Windows, использование передовых тактик, таких как хэшированное разрешение вызовов API для уклонения, и дизайн руткита Linux для обеспечения необнаруженного доступа. Операция указывает на целенаправленные амбиции по компрометации инфраструктуры цифрового доверия в обоих регионах, подчеркивая сложную атрибуцию из-за использования китайских киберинструментов.
-----

Недавняя утечка, приписываемая северокорейскому злоумышленнику, известному как "Ким", раскрыла важную информацию об оперативной тактике группировки Kimsuky (APT43), в первую очередь сосредоточенной на краже учетных данных в южнокорейских и тайваньских сетях. Это нарушение подчеркивает использование актором гибридной модели, которая включает в себя инструменты и инфраструктуру, обычно связанные с китайскими кибероперациями.

Утечка данных включает в себя истории командной строки, демонстрирующие активную среду разработки вредоносного ПО, использующую NASM (Netwide Assembler), что подчеркивает практический подход к созданию вредоносного ПО, специально предназначенного для систем Windows. Заслуживающие внимания файлы, такие как 136001_env.key, предполагают кражу конфиденциальных материалов PKI правительства Южной Кореи, что подразумевает прямую компрометацию государственных криптографических ключей, что облегчило бы подделку идентификационных данных в правительственных системах.

Фишинг остается основной тактикой актора, о чем свидетельствует обширный набор поддельных доменов, имитирующих корейские службы идентификации и официальные правительственные веб-сайты. Использование сложных методов фишинга направлено на захват учетных данных пользователей с помощью настроек "Злоумышленник посередине", при этом несколько доменов адаптированы таким образом, чтобы казаться официальными и заслуживающими доверия потенциальным жертвам.

В сфере разработки вредоносного ПО актор продемонстрировал предпочтение ручной компиляции шелл-кода и внедрению методов уклонения, таких как разрешение вызовов хэшированного API для обхода систем обнаружения антивирусов. Также была включена документация, относящаяся к разработке руткита Linux, идентифицированного как vmmisc.ko, с указанием усовершенствованной тактики закрепления. Этот руткит использует методы на уровне ядра для обеспечения необнаруженного доступа в системах Linux и иллюстрирует способность оператора повышать привилегии с помощью модели, основанной на доверии.

Более того, операция включала в себя тщательную разведку, включая использование технологии распознавания текста для анализа документации на корейском языке, относящейся к инфраструктуре безопасности, что позволило злоумышленникам лучше понять архитектуру PKI Южной Кореи. Заметные попытки входа в систему методом грубой силы с IP-адресов, связанных с известной вредоносной инфраструктурой, еще раз указывают на целенаправленный подход актора к доступу по SSH.

Утечка "Кима" предполагает, что и Южная Корея, и Тайвань являются преднамеренными целями для этого актора, сосредоточив внимание на своей цифровой инфраструктуре доверия. На Тайване злоумышленник получил доступ к нескольким доменам, связанным с государственным и частным секторами, что усилило стратегические амбиции кампании. Атрибуция этой деятельности сложна; в то время как существуют убедительные признаки, связывающие актора с северокорейскими операциями, зависимость от китайской инфраструктуры и методов вносит двусмысленность в отношении происхождения.

#ParsedReport #CompletenessHigh
06-09-2025

Unmasked: Salat Stealer A Deep Dive into Its Advanced Persistence Mechanisms and C2 Infrastructure

https://www.cyfirma.com/research/unmasked-salat-stealer-a-deep-dive-into-its-advanced-persistence-mechanisms-and-c2-infrastructure/

Report completeness: High

Actors/Campaigns:
Nyashteam
Kapchenka

Threats:
Webrat
Procmon_tool
Credential_dumping_technique

Victims:
Windows users, Cryptocurrency users

Geo:
Russian

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 10
Hash: 3
Path: 9
IP: 3
Domain: 7
Registry: 1
Url: 2

Soft:
Windows Defender, Telegram, Windows Error Reporting, Windows Registry, Task Scheduler, Windows Task Scheduler, Google Chrome, Chrome, Microsoft Edge, ChromePlus, have more...

Wallets:
coinomi, mymonero, atomicwallet, zcash, guarda_wallet, electrum, metamask, coinbase, rabby, nami_wallet, have more...

Crypto:
ethereum, binance

Algorithms:
md5, exhibit

Win API:
VirtualProtect, LoadLibraryA, GetProcAddress, ExitProcess

Win Services:
WebClient

Languages:
php, powershell, javascript

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salat Stealer, основанный на Go infostealer, ориентированный на Windows, извлекает конфиденциальные данные, такие как учетные данные браузера и информация о криптовалюте. Управляемый русскоязычными акторами по модели "Вредоносное ПО как услуга", он использует методы уклонения, такие как модификации ключей реестра, упаковка UPX и Маскировка процессов, чтобы сохраняться и избегать обнаружения. Его инфраструктура предполагает сложную работу, создающую риски не только для частных лиц, но и для предприятий из-за потенциальной кражи учетных данных.
-----

Salat Stealer, также известный как WEB_RAT, - это продвинутый инфокрад на базе Go, ориентированный на системы Windows, предназначенный для извлечения конфиденциальной информации, включая учетные данные браузера и данные криптовалютного кошелька. Управляемая русскоязычными акторами в рамках модели "Вредоносное ПОкак услуга" (MaaS), эта вредоносная ПО использует сложные методы уклонения, чтобы обеспечить закрепление и избежать обнаружения.

Примечательно, что Salat Stealer использует несколько тактик для достижения закрепления в скомпрометированных системах. Он создает записи ключа запуска в реестре и изменяет запланированные задачи, чтобы гарантировать их повторное выполнение. Кроме того, вредоносное ПО использует упаковку UPX, чтобы избежать статических методов обнаружения, и маскируется под законные процессы в доверенных каталогах, что еще больше усложняет усилия по обнаружению. Это также позволяет избежать обнаружения, создавая Скрытые окна и изменяя исключения защитника Windows.

Вредоносное ПО способно к эксфильтрации данных, специально нацеливаясь на учетные данные, хранящиеся в веб-браузерах, таких как Google Chrome, путем доступа к базе данных браузера SQLite. Это подчеркивает потенциальные риски, связанные не только с частными лицами, но и с предприятиями, поскольку потеря конфиденциальных учетных данных может способствовать более масштабным атакам.

Статический и динамический анализ вредоносного ПО раскрывает его возможности в управлении файлами и операциями ввода-вывода, создании процессов и потоков и контроле над ними, а также в управлении исключениями. Во время динамического анализа Salat Stealer демонстрирует Маскировку процессов, запуская дочерние процессы, которые имитируют законные приложения, чтобы вписаться в среду операционной системы. Эта характеристика дополнительно сводит к минимуму вероятность обнаружения с помощью традиционных мер безопасности.

Salat Stealer имеет документированную инфраструктуру, которая включает централизованную административную панель для распространения и управления, что указывает на организованный характер его операций. Его присутствие в ландшафте угроз подчеркивает растущую сложность вредоносного ПО как части более широкой экосистемы MaaS, где даже недорогие модели подписки могут обеспечить доступ к расширенным возможностям атак.

#ParsedReport #CompletenessMedium
06-09-2025

SafePay Ransomware: How a Non-RaaS Group Executes Rapid Fire Attacks

https://www.bitdefender.com/en-us/blog/businessinsights/safepay-ransomware-attacks-ttps

Report completeness: Medium

Threats:
Safepay
Lockbit
Qilin_ransomware
Akira_ransomware
Sharefinder_tool
Blackbasta

Victims:
Mid size organizations, Enterprise organizations

Industry:
Education, E-commerce, Financial, Healthcare, Government

Geo:
Great britain, Germany, Russian, Canada, United kingdom

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 1
Hash: 2

Soft:
PsExec

Crypto:
bitcoin

Algorithms:
chacha20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SafePay ransomware стал заметным злоумышленником с момента своего появления в сентябре 2024 года, проводя blitz-атаки и нацеливаясь на организации среднего размера и предприятия, главным образом в развитых странах. Его методы атак включают в себя раскрытие учетных данных, атаки методом грубой силы и социальную инженерию, а такие инструменты, как ShareFinder и PsExec, используются для картографирования сети и перемещения внутри компании. Оказавшись внутри, SafePay извлекает конфиденциальные данные и шифрует файлы с расширением .SafePay, используя методы, позволяющие избежать обнаружения и завершить процессы обеспечения безопасности, что усложняет меры реагирования.
-----

SafePay ransomware стал значительным злоумышленником в 2025 году, получив известность благодаря быстрой череде атак, жертвами которых стали 73 человека только в июне и еще 42 в июле. Примечательно, что SafePay работает независимо от любых моделей "Программа-вымогатель как услуга" (RaaS), включая членство в таких группах, как LockBit. Его методы, инструменты и оперативные методологии отличаются друг от друга, демонстрируя высокий уровень оперативной секретности при минимальном взаимодействии с внешними форумами или другими злоумышленниками.

Начиная с сентября 2024 года, первоначальные операции SafePay's начались после значительных действий правоохранительных органов, направленных против предыдущих групп вымогателей и их инфраструктуры. Виктимология SafePay's указывает на то, что предпочтение отдается организациям среднего размера и предприятиям малого бизнеса, особенно в развитых странах, таких как Соединенные Штаты, Германия, Великобритания и Канада. Эта стратегия, по-видимому, использует обширные сети организации для усиления давления на жертв, заставляя их выплачивать выкупы для защиты своих активов и репутации.

Поразительной особенностью SafePay является его способность проводить blitz-атаки, о чем свидетельствует его подавляющая тактика, заключающаяся в том, что за один день пострадало несколько человек. Например, 20 ноября 2024 года группа сообщила о 23 жертвах всего за 24 часа, продемонстрировав оперативную норму, которая повышает ставки для отдельных организаций.

SafePay реализует ряд тактик, методов и процедур (TTP), которые облегчают его атаки. Первоначальный доступ к сетям-жертвам осуществляется с помощью раскрытия учетных данных, атак с использованием паролей методом перебора или слабых мест в устройствах VPN. В некоторых случаях тактика социальной инженерии используется для того, чтобы выдать себя за ИТ-персонал и внедрить инструменты удаленного мониторинга и управления (RMM). После получения первоначального доступа SafePay использует такие скрипты, как ShareFinder, для отображения сети, выявления ценных ресурсов и организации перемещения внутри компании с помощью таких инструментов, как PsExec.

Процессы эксфильтрации нацелены на конфиденциальные данные, такие как финансовые отчеты, интеллектуальная собственность и списки клиентов, часто с использованием инструментов сжатия, таких как WinRAR и FileZilla, для безопасной передачи данных. При запуске программы-вымогателя файлы шифруются с расширением .safepay и запиской о выкупе с именем "readme_safepay.txt " хранится в соответствующих каталогах. Программа-вымогатель предназначена для уклонения от обнаружения программами защиты от вредоносного ПО и может прерывать процессы, связанные с мерами безопасности, что делает ее особенно сложной для устранения.

Для противодействия таким угрозам, как SafePay, организациям настоятельно рекомендуется применять многоуровневый подход к обеспечению безопасности, в котором особое внимание уделяется стратегиям предотвращения, обнаружения, реагирования и защиты. Эта целостная точка зрения имеет решающее значение для разработки надежной системы кибербезопасности, способной противостоять сложностям современных угроз, связанных с программами-вымогателями.

#ParsedReport #CompletenessHigh
06-09-2025

GPUGate Malware: Malicious GitHub Desktop Implants Use Hardware-Specific Decryption, Abuse Google Ads to Target Western Europe

https://arcticwolf.com/resources/blog/gpugate-malware-malicious-github-desktop-implants-use-hardware-specific-decryption-abuse-google-ads-target-western-europe/

Report completeness: High

Threats:
Gpugate
Gpugate_technique
Bloat_technique
Dll_sideloading_technique
Amos_stealer
Supply_chain_technique
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Dead_drop_technique

Victims:
Information technology sector, Technical professionals

Industry:
Software_development, Education, Entertainment

Geo:
Russian

TTPs:
Tactics: 11
Technics: 31

IOCs:
Domain: 17
File: 4
Path: 4
Hash: 7
Url: 3
IP: 19
Command: 3

Soft:
Windows Installer, Windows Defender, Microsoft Defender, Windows service, macOS, Telegram, gatekeepers, chrome, Microsoft Visual C++, Mac OS, have more...

Algorithms:
aes-cbc, aes, sha256, zip, sha1, md5, xor

Languages:
php, powershell, visual_basic

Platforms:
cross-platform, arm, x64

YARA: Found

#ParsedReport #CompletenessHigh
06-09-2025

GhostRedirector poisons Windows servers: Backdoors with a side of Potatoes

https://www.welivesecurity.com/en/eset-research/ghostredirector-poisons-windows-servers-backdoors-side-potatoes/

Report completeness: High

Actors/Campaigns:
Ghostredirector
Dragonrank

Threats:
Zunput
Rungan
Gamshen
Iiserpent
Badpotato_tool
Lolbin_technique
Gotohttp_tool
Dotnet_reactor_tool
Comdai
Rid_hijacking_tool
Seo_poisoning_technique

Victims:
Windows servers, Web hosting environments

Industry:
Transport, Healthcare, Retail, Education

Geo:
China, Peru, Canada, Chinese, Usa, Vietnam, America, Ukraine, Philippines, Netherlands, Thailand, India, Brazil, Asia, Finland, Singapore, Portuguese

TTPs:
Tactics: 9
Technics: 25

IOCs:
Domain: 8
File: 16
Command: 5
Path: 7
Hash: 23
Url: 5
IP: 4

Soft:
EfsPotato, NET Reactor, Windows registry, NET Framework

Algorithms:
base64, sha1, aes, cbc

Functions:
CreatePorcessA

Win API:
NetUserAdd, HttpInitialize, HttpAddUrl

Languages:
php, powershell, javascript

Links:
https://github.com/minhangxiaohui/AvoidRandomKill/blob/main/AvoidRandomKill/AES.cpp
have more...
https://github.com/zcgonvh/EfsPotato/
https://github.com/BeichenDream/BadPotato/

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET выявили нового злоумышленника GhostRedirector, нацеленного на серверы Windows, который использует бэкдор на C++ под названием Rungan и вредоносный модуль IIS под названием Gamshen для манипулирования результатами поиска Google. Злоумышленники, вероятно, используют уязвимость SQL-инъекции для получения доступа, развертывания инструментов через PowerShell и используют такие методы, как локальное повышение привилегий и сертификат инструмента LOLBin. Кроме того, они собирают данные о конфигурации IIS с помощью инструмента под названием Zunput, подчеркивая свою цель проведения SEO-мошенничества и использования скомпрометированных инфраструктур.
-----

Исследователи ESET обнаружили нового злоумышленника, получившего название GhostRedirector, который в первую очередь нацелен на серверы Windows. Этот актор использует пассивный бэкдор на C++, известный как Rungan, и вредоносный модуль IIS с именем Gamshen для манипулирования результатами поиска Google. Обнаружение деятельности GhostRedirector началось в декабре 2024 года, хотя считается, что он был активен по крайней мере с августа 2024 года, основываясь на ранее выявленных образцах.

Первоначальной точкой входа для GhostRedirector, скорее всего, является использование уязвимости, предположительно являющейся SQL-инъекцией. Как только доступ получен, акторы используют PowerShell для загрузки вредоносных программ с назначенного промежуточного сервера, указанного как 868id.com . Они также используют тактику, использующую другой инструмент LOLBin, CertUtil, для облегчения этого процесса. После успешной компрометации системы GhostRedirector развертывает различные вредоносные инструменты, включая инструмент повышения привилегий, который создает привилегированного пользователя в группе администраторов, позволяя злоумышленнику выполнять привилегированные операции.

GhostRedirector использует локальные методы повышения привилегий, вероятно, полученные из общедоступных эксплойтов, таких как EfsPotato и BadPotato. Изученные образцы, как правило, были обфускированы с помощью .NET Reactor, причем некоторые даже обладали действительными подписями от TrustAsia RSA, Подписью исполняемого кода CA G3. Один конкретный пример, связанный с этой операцией, продемонстрировал поведение при попытке отправить его содержимое по жестко закодированному URL-адресу, но не использовался в активной кампании.

Другим инструментом в наборе инструментов GhostRedirector является Zunput, который можно найти в примере под названием SitePuts.exe. Этот компонент запрашивает конфигурацию IIS для размещенных веб-сайтов, эффективно собирая информацию, которая может быть использована для дальнейших вредоносных действий.

Бэкдор Rungan, указанный в системном пути C:\ProgramData\Microsoft\DRM\log\miniscreen.dll , обеспечивает злоумышленникам обратный пассивный доступ, в то время как Gamshen действует как вредоносный собственный модуль IIS, который перехватывает и изменяет ответы на запросы Googlebot. Эта манипуляция предназначена для того, чтобы повлиять на рейтинг стороннего веб-сайта в поиске, используя сомнительную тактику, такую как создание искусственных обратных ссылок со взломанного сервера на целевой сайт. Это наводит на мысль, что GhostRedirector может участвовать в схеме SEO-мошенничества как услуги, подчеркивая свою способность использовать скомпрометированную инфраструктуру для получения финансовой или конкурентной выгоды. В целом, GhostRedirector демонстрирует заметную связь с китайской кибератакой и демонстрирует передовые методы как для компрометации серверов, так и для манипулирования поисковыми системами.

#ParsedReport #CompletenessMedium
06-09-2025

Threat Actors Impersonate Microsoft Teams To Deliver Odyssey macOS Stealer Via Clickfix

https://www.cloudsek.com/blog/threat-actors-impersonate-microsoft-teams-to-deliver-odyssey-macos-stealer-via-clickfix

Report completeness: Medium

Threats:
Odyssey_stealer
Clickfix_technique

Victims:
Macos users

TTPs:
Tactics: 6
Technics: 21

IOCs:
Domain: 1
File: 7
Url: 1
IP: 1

Soft:
Microsoft Teams, macOS, Ledger Live, Tradingview, Chrome, Chromium, Vivaldi, Opera, OperaGX, Firefox, have more...

Wallets:
metamask, electrum, coinomi, exodus_wallet, wassabi, bitcoincore, litecoincore, electron_cash, guarda_wallet, trezor, have more...

Crypto:
monero, dogecoin

Algorithms:
sha256, base64, zip

Languages:
applescript

Platforms:
apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют поддельный сайт загрузки Microsoft Teams для распространения программы Odyssey macOS stealer с помощью Clickfix, способной собирать конфиденциальные данные, такие как учетные данные пользователя и файлы cookie браузера. Вредоносное ПО взаимодействует с сервером управления для эксфильтрации данных и устанавливает закрепление с помощью LaunchDaemons, наряду с методами получения учетных данных и повышения привилегий. Ключевые действия включают в себя таргетинг на Связку ключей Chrome, рекурсивное копирование данных криптовалютного кошелька и замену законных приложений вредоносными версиями.
-----

Злоумышленники в настоящее время используют обманчивый веб-сайт загрузки Microsoft Teams для распространения Odyssey macOS stealer с помощью Clickfix. Это вредоносное ПО после запуска способно собирать различные конфиденциальные данные, включая учетные данные пользователя, файлы cookie браузера, заметки Apple и информацию из криптовалютных кошельков. Ключом к его работе является эксфильтрация собранных данных на сервер командования и контроля (C2), а также закрепление в зараженной системе с помощью LaunchDaemons. Кроме того, вредоносное ПО может заменить Ledger Live троянской версией, что создает дополнительные риски для безопасности.

Кампания была впервые замечена в августе 2025 года во время анализа инфраструктуры, проведенного компанией Cloudsek's TRIAD, который показал, что злоумышленники перешли от подражания другим сервисам, таким как Tradingview, к целенаправленной атаке на Microsoft Teams. Метод выполнения включает AppleScript в кодировке base64, который запускается с помощью простой команды, классифицируя его по методам выполнения сценариев (T1059.002).

Вредоносное ПО использует различные методы получения учетных данных и повышения привилегий, такие как попытка аутентификации локального пользователя с помощью средства командной строки службы каталогов, запрашивающее пароль устройства в случае сбоя аутентификации. Такое поведение согласуется с методами, описанными в MITRE ATT&CK framework (T1056.002, T1110). Вредоносное ПО также нацелено на Связку ключей Chrome для получения конфиденциальных данных и хранит захваченные учетные данные локально.

Возможности сбора данных обширны, поскольку он рекурсивно копирует данные из многочисленных криптовалютных кошельков и соответствующих приложений, что создает значительный риск Кражи денежных средств в дополнение к компрометации учетных данных (T1555). Эксфильтрация этих данных выполняется с помощью HTTP POST-запросов на определенные IP-адреса с возможностью повторной попытки в случае сбоя (T1041). Более того, у злоумышленников есть дополнительные полезные данные, размещенные на том же сервере, что может еще больше скомпрометировать систему жертвы (T1105).

Для поддержания закрепления вредоносное ПО загружает командную строку оболочки и устанавливает ее как список LaunchDaemon с произвольным именем, требуя повышенных привилегий, таким образом, подключаясь обратно к предыдущему запросу пароля. Получив необходимые разрешения, он может удалить и заменить законное приложение Ledger Live вредоносной версией, используя различные методы уклонения, чтобы скрыть свою деятельность (T1036, T1112).

Воздействие этого вредоносного ПО включает в себя существенные риски, такие как кража учетных данных для просмотра веб-страниц, личных файлов и прямой доступ к криптовалютам, наряду с возможностью постоянного повторного заражения системы из-за его постоянных мер. Чтобы помочь в защите, было разработано правило Yara для обнаружения выполнения AppleScript Odyssey stealer's.

#ParsedReport #CompletenessMedium
06-09-2025

An MDR Analysis of the AMOS Stealer Campaign Targeting macOS via Cracked Apps

https://www.trendmicro.com/en_us/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

Report completeness: Medium

Threats:
Amos_stealer
Fakecaptcha_technique
Seo_poisoning_technique
Lolbin_technique
Clickfix_technique

Victims:
Macos users, Enterprise users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1204.003, T1553.001, T1555, T1555.001, T1568.003

IOCs:
File: 5
Url: 11
Coin: 1
Domain: 16
Hash: 6
IP: 1

Soft:
macOS, Gatekeeper, Telegram, Chrome, Chrome, Firefox, Opera, Chromium, Vivaldi, curl, Windows Explorer, have more...

Wallets:
tonkeeper

Crypto:
binance

Algorithms:
sha1, zip

Languages:
applescript, javascript, swift

Platforms:
intel, apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 16, schema: 5, code: 4, table: 1