#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжающаяся киберугроза, связанная с кампанией вредоносного расширения Chrome, нацелена на мета-рекламодателей, использующих поддельную платформу под названием "Madgicx Plus" для перехвата бизнес-сессий и кражи учетных данных пользователей. Злоумышленники используют сложную инфраструктуру профессионально созданных доменов, используя методы социальной инженерии, имитируя законный бренд. Технический анализ расширения выявляет широкие запросы на получение разрешений и методы обхода протоколов безопасности, что указывает на скоординированные усилия по использованию учетных записей рекламодателей для получения конфиденциальной информации.
-----

Расследование, проведенное службами безопасности Cybereason, выявило продолжающуюся киберугрозу, связанную с кампанией вредоносного расширения Chrome, нацеленной в первую очередь на мета-рекламодателей. Кампания сосредоточена вокруг поддельной платформы под названием "Madgicx Plus", замаскированной под инструмент оптимизации рекламы на основе искусственного интеллекта, предназначенный для привлечения маркетологов из рекламной экосистемы Meta. Вместо подлинных улучшений это расширение содержит вредоносные функции, которые могут перехватывать бизнес-сеансы, красть учетные данные пользователей и компрометировать мета-бизнес-аккаунты. Примечательно, что операторы использовали ранее использовавшуюся доменную инфраструктуру, адаптировав свои методы социальной инженерии специально для использования мета-рекламодателями.

Сложная инфраструктура, поддерживающая эту кампанию, использует ряд профессионально созданных доменов для распространения вредоносных расширений, большинство из которых защищены Cloudflare. Однако аналитики смогли раскрыть истинное происхождение этих доменов с помощью хэшей значков и таких инструментов, как Shodan. Это способствовало выявлению связанных доменов и общего хостинга, подчеркивая стратегическое повторное использование ресурсов, использованных на предыдущих этапах кампании.

Привлекательность поддельного сайта "Madgicx Plus" в значительной степени зависит от легитимности реального бренда Madgicx, хорошо известного в области рекламных технологий. Эта тактика повышает доверие к злоумышленникам за счет использования ничего не подозревающего законного бренда, эффективно повышая их шансы на успех в том, чтобы обманом заставить жертв установить скомпрометированное расширение. Продолжающееся исследование показывает, что злоумышленники не только перепрофилировали предыдущие вредоносные домены, но и постоянно совершенствуют свои методы и цели.

Технический анализ самого расширения Chrome выявил многочисленные запросы разрешений, попытки обойти протоколы веб-безопасности и механизмы, предназначенные для взаимодействия с конфиденциальными пользовательскими данными. Это тщательное изучение продемонстрировало возможности расширения и его потенциальную возможность вредоносного поведения, укрепив мнение о том, что кампания является не просто оппортунистической, а указывает на скоординированные усилия по проникновению в аккаунты рекламодателей и использованию их для получения ценной деловой информации. Полученные результаты подчеркивают необходимость проявлять бдительность, поскольку кампания демонстрирует явные признаки эволюции и потенциал для расширения, что требует постоянного мониторинга и принятия защитных мер против подобных угроз в сфере цифровой рекламы.

#ParsedReport #CompletenessMedium
11-09-2025

AdaptixC2: A New Open-Source Framework Leveraged in Real-World Attacks

https://unit42.paloaltonetworks.com/adaptixc2-post-exploitation-framework/

Report completeness: Medium

Threats:
Adaptixc2_tool
Microsoft_quick_assist_tool
Dll_hijacking_technique
Fog_ransomware
Anydesk_tool
Screenconnect_tool
Logmein_tool

Victims:
Organizations using microsoft teams, Enterprises using rmm tools

Geo:
India, Asia, Middle east, Australia, Japan

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1033, T1055, T1059.001, T1105, T1106, T1112, T1204.002, T1219, have more...

IOCs:
File: 7
Domain: 19
Hash: 7

Soft:
Microsoft Teams

Algorithms:
sha256, base64, rc4, xor

Functions:
GetDelegateForFunctionPointer, Invoke, Write-Output, GetProcesses

Win API:
VirtualProtect

Languages:
powershell, python, php

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/Adaptix-Framework/AdaptixC2
https://github.com/Adaptix-Framework/AdaptixC2/blob/main/Extenders/agent\_beacon/src\_beacon/beacon/AgentConfig.cpp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AdaptixC2 - это платформа управления с открытым исходным кодом, которая активно используется в кибератаках с мая 2025 года. Злоумышленники используют тактику фишинга, часто выдавая себя за ИТ-персонал, для компрометации систем, в первую очередь используя загрузчики PowerShell для незаметного развертывания зашифрованных маяков. Платформа обладает настраиваемыми функциональными возможностями, использует методы управления памятью для выполнения в памяти и обеспечивает закрепление с помощью таких методов, как ключи запуска реестра и DLL hijacking, что сигнализирует о сложном подходе к развертыванию вредоносного ПО.
-----

AdaptixC2 - это недавно идентифицированная платформа управления с открытым исходным кодом (C2), которая наблюдалась в реальных кибератаках с мая 2025 года. Исследователи из подразделения 42 отметили его использование для компрометации нескольких систем, классифицировав его как универсальный инструмент для проведения враждебных операций, включая широкий контроль над зараженными машинами. Фреймворк допускает настраиваемые функциональные возможности и использует зашифрованные конфигурации, поддерживая три основных типа маяков с помощью специальных структур профилей.

Сообщалось, что в инцидентах, связанных с AdaptixC2, злоумышленники использовали доверие к законным платформам, таким как Microsoft Teams, для инициирования заражений. Например, злоумышленники использовали стратегии фишинга, выдавая себя за ИТ-персонал, успешно убеждая сотрудников участвовать в сеансах, которые привели бы к развертыванию маяков AdaptixC2. Первоначальный компромисс обычно происходит с помощью многоступенчатых загрузчиков PowerShell, которые загружают зашифрованные полезные данные из надежных сервисов, обеспечивая скрытность во время выполнения.

Дальнейший анализ выявил два различных сценария развертывания AdaptixC2. В одном из них злоумышленники использовали созданный искусственным интеллектом сценарий PowerShell, который не только запускал beacon, но и использовал методы управления памятью, такие как выделение неуправляемой памяти и изменение атрибутов защиты памяти для облегчения выполнения в памяти. Этот скрипт нацелен на определенные каталоги для механизма DLL hijacking и устанавливает закрепление с помощью ключей запуска реестра, что значительно расширяет возможности злоумышленников в скомпрометированных системах.

Сходство между этими случаями указывает на предпочтение загрузчиков на базе PowerShell для развертывания AdaptixC2 при сохранении низкой видимости во время операций. Злоумышленники часто используют встроенные средства .Сетевые функциональные возможности, обеспечивающие эффективное выполнение и минимальное количество обнаруживаемых следов. Постоянные методы были реализованы с помощью различных средств, таких как создание ярлыков для автозапуска и использование методов DLL hijacking, отражающих сложный подход к развертыванию вредоносного ПО.

Растущая распространенность AdaptixC2's свидетельствует о растущем внедрении различными злоумышленниками. Продолжающиеся телеметрические наблюдения указывают на растущее число серверов, связанных с этой платформой, что подчеркивает ее адаптивность и потенциал для быстрой эволюции тактики благодаря модульной конструкции. Командам безопасности рекомендуется усилить свою защиту от AdaptixC2, используя специальные правила Yara и hunting для обнаружения его присутствия и отслеживания связанных с ним действий по фишингу, которые осуществляются с помощью таких платформ, как Microsoft Teams. Сочетание генерации сценариев с помощью искусственного интеллекта и встроенных возможностей фреймворка создает значительную постоянную угрозу, которая требует принятия упреждающих мер безопасности.

#ParsedReport #CompletenessMedium
11-09-2025

Unknown Malware Using Azure Functions as C2

https://dmpdump.github.io/posts/AzureFunctionsMalware/

Report completeness: Medium

Threats:
Dll_sideloading_technique

Geo:
Singapore, Malaysia

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1574.002

IOCs:
File: 7
Path: 2
Hash: 8
Url: 1
Domain: 1

Soft:
Azure Functions

Algorithms:
lznt1, sha2, rc4, sha256

Functions:
GetConsoleWindow

Win API:
NetBIOS, LoadLibraryW, SetForegroundWindow, GetForegroundWindow, ShowWindow, CreateMutexExW, ZwProtectVirtualMemory, RtlDecompressBuffer, decompress

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
28 августа 2025 года вредоносное ПО, связанное с файлом Servicenow-BNM-Verify.iso был обнаружен, что свидетельствует о низких показателях обнаружения в VirusTotal. Он использует функции Azure для командования и контроля и использует методы DLL side-loading, в частности, используя законный PanGpHip.exe для выполнения вредоносных функций через скрытый libwaapi.dll . Полезная нагрузка содержит запутанный шелл-код, который усложняет выполнение и анализ, подчеркивая сложный дизайн вредоносного ПО, направленный на то, чтобы избежать обнаружения.
-----

28 августа 2025 года было обнаружено неустановленное вредоносное ПО, связанное с файлом с именем Servicenow-BNM-Verify.iso загружено из Малайзии, которая показала очень низкий уровень обнаружения на VirusTotal. Это вредоносное ПО использует Облачные сервисы, в частности функции Azure, для операций командования и контроля (C2), что позволяет ему эффективно управлять скомпрометированными системами, не вызывая немедленных подозрений из-за использования законной облачной инфраструктуры.

Вредоносное ПО использует метод, известный как DLL side-loading, который идентифицируется по наличию скрытых библиотек динамической компоновки (DLL) рядом с доверенным исполняемым файлом, а именно PanGpHip.exe . В этом сценарии libwaapi.dll действует как носитель вредоносного кода, выполняя вредоносные функции при динамической загрузке через легитимный исполняемый файл с помощью метода LoadLibraryW. Этот метод эксплуатации использует преимущества законного процесса для сокрытия вредоносной активности, что усложняет обнаружение.

Кроме того, введенная полезная нагрузка состоит из запутанного шеллкода, который предназначен для загрузки встроенной библиотеки DLL. Анализ с использованием шестнадцатеричного редактора показывает, что, хотя возможно найти встроенную полезную нагрузку, она требует обработки, прежде чем ее можно будет выполнить. Это указывает на то, что вредоносное ПО создано таким образом, что затрудняет немедленное выполнение и анализ, поскольку оно не имеет прямой структуры, подобной чистому переносимому исполняемому файлу (PE). В результате такая изощренность его конструкции усложняет задачу для защитников кибербезопасности, пытающихся идентифицировать и смягчить угрозу, исходящую от этого вредоносного ПО.

#ParsedReport #CompletenessHigh
09-09-2025

LunoBotnet: A Self-Healing Linux Botnet with Modular DDoS and Cryptojacking Capabilities

https://cyble.com/blog/lunobotnet-a-self-healing-linux-botnet/

Report completeness: High

Actors/Campaigns:
Ddos-for-hire

Threats:
Lunobotnet
Polymorphism_technique
Xmrig_miner
Udpflood_technique
Process_camouflage_technique
Tcpflood_technique
Synflood_technique
Ackflood_technique
Icmpflood_technique
Httpflood_technique

Victims:
Linux servers, Gaming platforms

Industry:
Media, Telco, Entertainment

TTPs:
Tactics: 5
Technics: 8

IOCs:
Domain: 6
Coin: 1
IP: 2
Hash: 39
Url: 1

Soft:
Linux, Roblox, Telegram, curl, OpenWrt, Alpine Linux, Valorant, systemd, firefox, chromium, have more...

Algorithms:
exhibit, sha256

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LunoBotnet - это сложное вредоносное ПО для Linux, идентифицированное Cyble Research, сочетающее возможности майнинга криптовалют и DDoS-атак в рамках модульной структуры. Он обладает присущими ему свойствами самовосстановления, неустанно поддерживая работу и маскируясь под законные системные процессы, чтобы избежать обнаружения. Известный своим DDoS-сервисом, адаптированным для конкретных игровых платформ, таких как Roblox и Minecraft, LunoBotnet использует XMRig для криптоджекинга и обладает надежными коммуникационными механизмами управления для обеспечения постоянного подключения.
-----

LunoBotnet - это сложное вредоносное ПО для Linux, которое объединяет возможности майнинга криптовалют и распределенных атак типа "Отказ в обслуживании" (DDoS) в модульную структуру. Эта кампания в ботнете, разработанная Cyble Research and Intelligence Labs, демонстрирует оперативную тактику профессионального злоумышленника, делая упор на долгосрочную монетизацию и гибкие предложения услуг.

Архитектура ботнет Luno, получившая название LunoC2, рассчитана на постоянство и устойчивость, благодаря механизму самовосстановления. Он использует сторожевые устройства с бесконечным циклом для обеспечения постоянной работы своих процессов, эффективно возрождаясь в случае завершения и маскируясь под законные системные процессы. Вредоносное ПО обходит попытки административного завершения работы, используя защиту, устойчивую к сигналам, таким образом сохраняя контроль над скомпрометированными системами.

LunoBotnet работает в двойном качестве, выступая как в качестве майнера криптовалют, так и в качестве платформы для DDoS-атак как услуги. Функциональные возможности DDoS-атак обширны и настраиваемы, позволяя операторам указывать цели, методы атаки и рабочие параметры. Примечательно, что у него есть предопределенные процедуры атаки для популярных игровых платформ, таких как Roblox и Minecraft, что позволяет предположить, что ботнет может продаваться по найму.

После запуска вредоносное ПО может маскироваться под различные имена процессов и отслеживает систему на предмет несанкционированной активности, завершая любые процессы, которые пытаются использовать назначенные им сокеты подключения, если они не занесены в белый список. Этот белый список включает в себя множество системных процессов, что указывает на хорошо структурированный механизм защиты от обнаружения.

Аспект криптоджекинга в LunoBotnet включает загрузку майнера XMRig, который он автоматически извлекает с помощью curl. Система управления вредоносным ПО (C2) является надежной, используя механизмы отработки отказа для обеспечения подключения к управляющему серверу даже в случае сбоя разрешения DNS.

#ParsedReport #CompletenessMedium
11-09-2025

ChillyHell: A Deep Dive into a Modular macOS Backdoor

https://www.jamf.com/blog/chillyhell-a-modular-macos-backdoor/

Report completeness: Medium

Actors/Campaigns:
Unc4487

Threats:
Chillyhell
Matanbuchus_maas
Timestomp_technique

Victims:
Government sector, Ukraine auto insurance website users

Industry:
Government

Geo:
Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1059.004, T1070.006, T1071.004, T1105, T1110, T1543.001, T1543.004, T1546.004, have more...

IOCs:
Hash: 6
Url: 1
File: 6
IP: 2

Soft:
macOS, Dropbox, , Unix

Functions:
TransportInit, mainCycle, proc_listpids, _getuid, _utime, WaitForNetworkReachability, GateServersInit, callsGateServersInit, Execute, Query, have more...

Languages:
applescript

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ChillyHell - это сложный модульный бэкдор, нацеленный на macOS, связанный с злоумышленником UNC4487, который ранее атаковал украинский сайт автострахования. Он маскируется под законное приложение, используя профилирование хоста, самоустанавливается как LaunchAgent или LaunchDaemon и изменяет сценарии профиля оболочки для закрепления. Вредоносное ПО использует передовые методы, такие как Изменение временных меток, чтобы избежать обнаружения, и использует структурированный коммуникационный протокол для взаимодействия со своей инфраструктурой управления, обеспечивая динамическое выполнение задач.
-----

ChillyHell - это сложный модульный бэкдор, нацеленный на системы macOS, впервые выявленный Jamf Threat Labs с помощью образцов, проанализированных на VirusTotal. Хотя его существование было ранее задокументировано, он остается незамеченным многими антивирусными решениями. Это вредоносное ПО было связано с злоумышленником UNC4487, который осуществил атаку на украинский сайт автострахования в 2022 году, доставив MATANBUCHUS malware и предоставив доступ к скомпрометированным системам.

Бэкдор ChillyHell разработан для архитектур Intel и маскируется под законный апплет macOS, но в нем отсутствуют основные компоненты, типичные для подлинных приложений macOS, что делает его нефункциональным в этом контексте. Вредоносное ПО использует различные методы профилирования хоста и закрепления. Он использует вспомогательную функцию Utils::getUsers() для перечисления учетных записей пользователей и устанавливает себя как LaunchAgent или LaunchDaemon в зависимости от контекста выполнения либо при входе пользователя в систему, либо при загрузке системы.

Чтобы обеспечить закрепление, ChillyHell модифицирует скрипты профиля оболочки, такие как .zshrc или .bash_profile, вводя команды для запуска вредоносного ПО при каждом новом сеансе терминала. Кроме того, он использует методы Изменения временных меток для изменения временных меток файлов, используя системные вызовы и команды оболочки, чтобы обмануть исследователей и снизить вероятность обнаружения.

Связь с инфраструктурой управления (C2) устанавливается с помощью функции TransportInit(). ChillyHell поддерживает активный основной цикл выполнения, который периодически извлекает задачи с сервера C2. Механизм поиска задач создает запрос C2 на основе метаданных, относящихся к конкретному хосту, отправляя запросы DNS TXT для получения дескрипторов задач, которые определяют его действия.

Бэкдор способен динамически выполнять различные задачи с помощью модульных компонентов, таких как ModuleUpdater для самообновления и ModuleSUBF для Взлома паролей методом грубой силы. Каждая новая задача обрабатывается путем создания экземпляра соответствующего модуля, при этом циклы выполнения перемежаются случайными задержками, чтобы запутать ее активность и избежать обнаружения.

ChillyHell характеризуется множеством уровней закрепления, сложными методами коммуникации и модульной архитектурой, включая такие функциональные возможности, как Изменение временных меток и Взлом паролей методом грубой силы. Примечательно, что оно было нотариально заверено, что иллюстрирует тревожную тенденцию, когда вредоносный код маскируется под законное программное обеспечение, бросая вызов предположениям о безопасности нотариально заверенных приложений на macOS.

#ParsedReport #CompletenessLow
11-09-2025

Dark Web Profile: Mr Hamza

https://socradar.io/dark-web-profile-mr-hamza/

Report completeness: Low

Actors/Campaigns:
Mr_hamza (motivation: propaganda, politically_motivated, hacktivism)
Anonymous_sudan
Holy_league (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Opisrael
Opusa
Opgermany
Anonymous_guys
Anonymous_arab_team
Dienet

Threats:
V-rebirth
Ryzer_stresser_tool
Cindy_network_tool
Monacoc2
Wraithc2
Sapphire
Hyperion_tool
Email-tracker_tool
Chiasmodon_tool
Http_spectral_phantom_tool
Dns_amplification_technique

Victims:
General public sector and private sector targets during conflict

Industry:
Financial, Government, E-commerce, Telco, Military

Geo:
United arab emirates, Jordan, Kurdish, France, Arab emirates, Saudi arabia, Taiwan, India, Spain, Morocco, Israel, Latin american, Germany, Netherlands

ChatGPT TTPs:
do not use without manual check
T1102, T1498, T1498.001, T1585.001, T1588.002

IOCs:
File: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mr.Hamza, хактивистская группа марокканского происхождения, появилась в конце 2024 года и активизировалась во время ирано-израильского конфликта в июне 2025 года, сосредоточившись на распределенных атаках типа "Отказ в обслуживании" (DDoS). Они используют Telegram для оперативной координации и пропаганды, объявляя цели и продавая инструменты для атак, такие как ботнет. Их организованный стиль общения и сотрудничество с другими хактивистскими организациями усиливают их воздействие и присутствие в хакерском сообществе.
-----

Mr.Hamza - это хактивистская группа, возникшая в конце 2024 года, демонстрирующая прочные связи с марокканским происхождением и потенциально действующая как небольшая команда. В основном действовавшая во время ирано-израильского конфликта в июне 2025 года, группа приобрела дурную славу за организацию распределенных атак типа "Отказ в обслуживании" (DDoS) и использование Telegram как платформы для координации, так и для пропаганды. Их Telegram-канал служит двойной цели: облегчает операции с помощью объявлений и свидетельств атак, а также функционирует как торговая площадка для продажи различных инструментов для атак, включая ботнет и стрессоры.

Оперативные методы группы включают объявление целей в Telegram, где они не только распространяют информацию, но и создают импульс для своих целей, используя соответствующие хэштеги. Активность в этом Telegram-канале последовательна, демонстрируя организованный ритм общения, что подчеркивает их усилия по созданию надежного присутствия в Сети. Более того, сеть Mr.Hamza's не изолирована, о чем свидетельствует перекрестное продвижение и общий контент от других хактивистских организаций, что указывает на совместный подход в хакерском сообществе.

В ответ на угрозу, исходящую от Mr.Hamza, тактика смягчения последствий сосредоточена на комплексной стратегии защиты от DDoS-атак. Организациям рекомендуется сотрудничать с интернет-провайдерами (ISP) для внедрения экстренной фильтрации трафика и маршрутизации "черных дыр" для перехвата вредоносных потоков до того, как они достигнут их сетей. Использование сетей доставки контента (CDN) или подписка на облачные сервисы очистки расширяют возможности эффективного управления атаками большого объема. Кроме того, защита уровня DNS с помощью специализированных служб, которые могут фильтровать запросы распознавателя, помогает смягчить атаки на основе усиления и отражения на основе DNS.

На более локализованном уровне организации могут развертывать брандмауэры веб-приложений (WAFs) для фильтрации HTTP-трафика, настраивая наборы правил, которые идентифицируют и противодействуют ботоп-подобному поведению, связанному с методологиями Mr.Hamza's. Кроме того, внедрение специализированных локальных средств защиты от DDoS-атак может обеспечить дополнительную защиту в случае сбоя вышестоящих средств защиты. Таким образом, Mr.Hamza представляет собой заметную угрозу из-за изощренного использования Telegram для координации и продвижения атак, в то время как устоявшаяся тактика предотвращения DDoS-атак остается важной для организаций, на которые нацелены такие хактивистские группы.

#ParsedReport #CompletenessLow
11-09-2025

Dual Threat: Threat Actors Combine Credential Phishing and Malware

https://cofense.com/blog/dual-threat-threat-actors-combine-credential-phishing-and-malware

Report completeness: Low

Threats:
Screenconnect_tool
Simplehelp_tool
Muck_stealer

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1036, T1059.005, T1102, T1105, T1189, T1204, T1204.001, T1204.002, T1555, T1566.002, have more...

IOCs:
Url: 4

Soft:
Android, Google Play, Microsoft Office

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние хакерские кАмпании по борьбе с киберугрозами все чаще сочетают фишинг учетных данных с доставкой вредоносного ПО, чтобы повысить их успешность. Например, атака в июле 2025 года перенаправила пользователей Windows на страницу подмены в Microsoft Store, которая загрузила SimpleHelp RAT, в то время как кампания в январе 2025 года запустила скрипт Visual Basic для развертывания средства кражи информации после ввода учетных данных. Эта развивающаяся стратегия подчеркивает изощренный подход, при котором злоумышленники могут эффективно собирать конфиденциальную информацию и проводить разведку скомпрометированных систем.
-----

Недавние хакерские кАмпании по борьбе с киберугрозами все больше размывают границы между фишингом с использованием учетных данных и доставкой вредоносного ПО, при этом злоумышленники используют оба метода в одной атаке, чтобы повысить свои шансы на успех. Эта стратегия позволяет злоумышленникам обходить средства защиты, которые могут быть мощными в одной области, тем самым максимально расширяя их возможности по получению конфиденциальных учетных данных.

Появилось несколько методов двойной доставки вредоносного ПО и фишинга учетных данных. Заметная кампания, проведенная в июле 2025 года, продемонстрировала тактику, которая включала встроенную ссылку, ведущую к различным результатам в зависимости от пользовательского агента браузера пользователя. В частности, пользователи, получившие доступ к URL-адресу заражения с помощью пользовательского агента Windows, были перенаправлены на страницу подмены Microsoft Store, которая выполняла загрузку SimpleHelp RAT.

В другой кампании, начиная с января 2025 года, злоумышленники использовали страницу фишинга с учетными данными, встроенную в электронное письмо. Когда жертва вводила свои учетные данные, запускался сценарий Visual Basic (VBS), что приводило к развертыванию настроенного средства кражи информации, работающего в памяти. Этот похититель информации не только стремился перехватить введенные учетные данные, но и, вероятно, стремился получить любые сохраненные учетные данные из системы жертвы, особенно те, которые связаны с Microsoft Office.

Между тем, кампания, проведенная в декабре 2024 года, продемонстрировала процесс, в котором вредоносный загрузчик использовался для запуска Muck Stealer. Затем это вредоносное ПО инициировало HTML-файл, предназначенный для сбора учетных данных, и в конечном итоге направило их в Google Sheet для просмотра злоумышленниками. Этот метод не только помог запутать поведение Muck Stealer, но и усилил угрозу, исходящую от сбора учетных данных.

Двойной подход, применяемый этими злоумышленниками, свидетельствует об изменяющемся ландшафте киберугроз, когда злоумышленники максимизируют эффективность своих операций, комбинируя различные методы. Это не только позволяет осуществлять более широкий спектр сбора данных, но и повышает их способность проводить разведку скомпрометированных систем. Используя такие многогранные стратегии, злоумышленники могут получать конфиденциальную информацию с повышенной эффективностью, что делает крайне важным для организаций принятие комплексных мер безопасности, направленных как на обнаружение вредоносного ПО, так и на предотвращение фишинга.