#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковский троян Maverick нацелен на бразильских пользователей через WhatsApp, распространяя вредоносные файлы LNK в ZIP-архивах, используя снисходительность платформы. Он использует цепочку заражения без файлов и проверяет наличие индикаторов локализации, чтобы подтвердить, что он работает в Бразилии, перед запуском. После установки он может красть учетные данные, отслеживать действия и реплицировать себя через захваченные учетные записи, безопасно связываясь со своим сервером C2 через SSL-туннели.
-----

Банковский троян Maverick появился в рамках крупномасштабной кампании по распространению вредоносного ПО, специально нацеленной на бразильских пользователей через WhatsApp. Основной метод заражения заключается в распространении вредоносного файла LNK, содержащегося в ZIP-архиве, используя в своих интересах снисходительность платформы обмена сообщениями к таким типам файлов. При запуске троянец использует сложную цепочку заражения без файлов, которая позволяет обойти обнаружение, гарантируя, что первоначальная загрузка активируется только с помощью его собственных процессов.

После установки Maverick способен выполнять широкий спектр вредоносных действий. Он использует WPPConnect, проект с открытым исходным кодом, для автоматизации отправки сообщений через захваченные учетные записи WhatsApp. Это позволяет вредоносному ПО распространяться, отправляя вредоносные сообщения контактам в сети жертвы. Троянец специально проверяет наличие индикаторов, подтверждающих, что заражение происходит на компьютере, расположенном в Бразилии (включая часовой пояс и региональные настройки), прежде чем полностью активироваться. Если эти условия не выполняются, установка прерывается. Получив контроль, Maverick может делать скриншоты, отслеживать активность в интернете, устанавливать клавиатурные шпионы, манипулировать действиями мыши, отключать экраны во время банковских операций и загружать оверлеи для фишинга, предназначенные для сбора банковской информации и учетных данных.

Архитектура Maverick примечательна своей модульной конструкцией, при которой почти все действия выполняются в памяти, чтобы минимизировать объем файловой системы. Вредоносное ПО использует такие методы, как PowerShell и .NET execution, а полезная нагрузка шифруется с помощью Donut, демонстрируя сложный подход к уклонению от обнаружения. Связь с сервером управления (C2) осуществляется через SSL-туннели, использующие зашифрованный сертификат X509 для безопасного обмена данными. Этот C2 работает через домен "casadecampoamazonas.com " на порту 443, повышая скрытность вредоносного ПО.

Конечная полезная нагрузка, Maverick Banker, встроена в другой исполняемый файл, называемый "Maverick Agent", который выполняет дальнейшие действия на зараженном устройстве. Несмотря на то, что он нацелен конкретно на бразильские учреждения, включая 26 банков и 6 криптовалютных бирж, существует вероятность распространения вредоносного ПО по всему миру из—за его самовоспроизводящейся природы через WhatsApp.

Эта атака не только представляет значительную угрозу из-за ее масштаба и способа доставки, но и иллюстрирует растущее использование технологий искусственного интеллекта при разработке вредоносного ПО, особенно в таких областях, как расшифровка сертификатов и более широкие процессы кодирования. В целом, изощренность Maverick, его сложный переносчик инфекции и двойная угроза немедленной Кражи денежных средств и широкого распространения создают существенные проблемы для защиты кибербезопасности. Технологии обнаружения уже предотвратили значительное число попыток заражения в Бразилии, что подчеркивает настоятельную необходимость постоянной бдительности в отношении этой новой угрозы.

#ParsedReport #CompletenessLow
16-10-2025

September 2025 APT Attack Trends Report (Domestic)

https://asec.ahnlab.com/ko/90599/

Report completeness: Low

Threats:
Spear-phishing_technique
Xenorat
Rokrat

Geo:
Asian, Korea

IOCs:
File: 9

Soft:
DropBox

Algorithms:
md5

Languages:
autoit, powershell

#ParsedReport #CompletenessHigh
16-10-2025

BeaverTail and OtterCookie evolve with a new Javascript module

https://blog.talosintelligence.com/beavertail-and-ottercookie/

Report completeness: High

Actors/Campaigns:
Famous_chollima
Contagious_interview
Lazarus

Threats:
Beavertail
Ottercookie
Clickfix_technique
Flexibleferret
Pylangghost
Invisibleferret
Screen_shotting_technique
Anydesk_tool

Victims:
Job seekers, Software development tools users, Npm ecosystem

Industry:
E-commerce

Geo:
Dprk, Sri lanka, North korea

ChatGPT TTPs:
do not use without manual check
T1056.001, T1059.007, T1071.001, T1105, T1113, T1195.001, T1204.002, T1555.003, T1566.004

IOCs:
File: 8
Url: 20
IP: 1
Hash: 14

Soft:
Node.js, macOS, Google Chrome, Google Chrome, Opera, Mozilla Firefox, Discord, Linux, VSCode

Algorithms:
xor, base64

Functions:
in

Languages:
typescript, javascript, powershell, python

#ParsedReport #ExtractedSchema

Classified images:
code: 13, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Famous Chollima, северокорейская хакерская группировка, нацеленная на лиц, ищущих работу, с помощью поддельных предложений о работе для распространения троянских программ. Node.js приложение "Шахматы". Эта группа использует вредоносное ПО OtterCookie, которое претерпело значительную эволюцию, теперь включающую функции Регистрации нажатий клавиш и скриншотов в своей последней версии, v5. Кроме того, BeaverTail, изначально загрузчик, эволюционировал и теперь участвует в атаках по Цепочке поставок в репозитории NPM, обеспечивая более эффективную эксплуатацию на базе Windows при одновременном использовании JavaScript для уменьшена зависимость от установок на Python.
-----

Cisco Talos сообщила о новой атаке, связанной с северокорейской хакерской группировкой, известной как Famous Chollima, которая нацелена на лиц, ищущих работу, выдавая себя за организации по найму. Было замечено, что эта группа внедряет вредоносное ПО для кражи информации с помощью обманчивых предложений о работе, что приводит пользователей к установке троянского ПО Node.js приложение под названием "Chessfi". Это вредоносное ПО распространялось с помощью вредоносного пакета под названием "node-nvm-ssh", найденного в официальном репозитории NPM. Famous Chollima обычно использует два вредоносных инструмента, BeaverTail и OtterCookie, функциональные возможности которых недавно объединились. Компания Talos определила новый модуль в OtterCookie для Регистрации нажатий клавиш и создания скриншотов, что указывает на потенциальную эволюцию стратегий группы.

Кампании Famous Chollima's также используют методы социальной инженерии и ряд троянов удаленного доступа (RATs), включая варианты, получившие название GolangGhost и PylangGhost. В ходе анализа этих штаммов вредоносного ПО компания Talos обнаружила вредоносное расширение Visual Studio Code (VS Code), выдающее себя за помощника по внедрению в систему, которое предназначено для запуска OtterCookie в среде редактора жертвы. Это расширение позволяет злоумышленникам более эффективно проникать в системы пользователей под видом легального программного обеспечения.

Вредоносное ПО OtterCookie, впервые обнаруженное NTT Security Holdings в конце 2024 года, значительно изменилось по сравнению со своим первоначальным дизайном, включив в себя ряд модулей со сложными функциональными возможностями. В частности, последняя версия, получившая название OtterCookie v5, включает функцию Регистрации нажатий клавиш, которая фиксирует нажатия клавиш и снимки экрана, передавая их на сервер управления (C2). Базовая структура кода OtterCookie была адаптирована для включения конфигурационных данных в формате JSON, что облегчает модульный подход к построению, при котором дополнительные функциональные возможности могут выполняться в виде дочерних процессов.

Компонент BeaverTail, изначально представлявший собой простой загрузчик, включенный в Node.js приложения, начиная с мая 2023 года, также перешли на включение новых возможностей. Это было связано с атаками по Цепочке поставок, нацеленными на репозиторий пакетов NPM. Функции в BeaverTail и OtterCookie частично совпадают с функциями InvisibleFerret и других модулей на основе Python, но были адаптированы к JavaScript-фреймворку. Этот сдвиг позволяет злоумышленникам уменьшить зависимость от установок на Python, оптимизируя процесс эксплуатации в средах Windows.

#ParsedReport #CompletenessMedium
16-10-2025

DPRK Adopts EtherHiding: Nation-State Malware Hiding on Blockchains

https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding/

Report completeness: Medium

Actors/Campaigns:
Unc5342
Contagious_interview

Threats:
Etherhiding_technique
Jadesnow
Invisibleferret
Clearfake
Clickfix_technique
Beavertail
Lumma_stealer
Supply_chain_technique
Dead_drop_technique

Victims:
Cryptocurrency sector, Technology sector, Developers

Industry:
Petroleum, Financial

Geo:
North korea, North korean, Dprk, Koreas

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1033, T1041, T1059, T1059.007, T1071.001, T1082, T1095, T1102, have more...

IOCs:
File: 1
Coin: 2
Hash: 2

Soft:
WordPress, Telegram, Discord, macOS, Linux, Google Chrome, Chrome, MySQL, Microsoft Edge, 1Password, have more...

Wallets:
metamask

Crypto:
ethereum

Algorithms:
base64, zip, exhibit, sha256, xor

Functions:
ABI

Languages:
python, javascript

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейский злоумышленник UNC5342 представил метод под названием EtherHiding для доставки вредоносного ПО и кражи криптовалюты, который использует общедоступные блокчейны, чтобы избежать обнаружения. Эта кампания, являющаяся частью CLEARFAKE, использует социальную инженерию, нацеленную на разработчиков криптовалют, заставляя их загружать вредоносное ПО JADESNOW, которое использует многоэтапный процесс заражения, кульминацией которого является бэкдор INVISIBLEFERRET.JAVASCRIPT, обеспечивающий связь с сервером C2 для эксфильтрации данных и выполнения произвольных команд. Использование вредоносных смарт-контрактов в BNB Smart Chain и Ethereum усложняет традиционную защиту от кибербезопасности.
-----

Google Threat Intelligence Group (GTIG) недавно выявила новый метод, используемый северокорейским злоумышленником UNC5342, известный как EtherHiding, который облегчает доставку вредоносного ПО и кражу криптовалюты. EtherHiding представляет собой новый подход для акторов национальных государств к использованию общедоступных блокчейнов, позволяющий им хранить и извлекать вредоносную полезную нагрузку таким образом, чтобы избежать обычных мер по обнаружению и удалению. Этот метод был отмечен как часть более масштабной кампании CLEARFAKE, которая использует тактику обмана, такую как поддельные запросы на обновление браузера, чтобы склонить пользователей к запуску вредоносного ПО.

Метод EtherHiding включает в себя сложную кампанию социальной инженерии, направленную на разработчиков в криптовалютном и технологическом секторах. Злоумышленники выдают себя за рекрутеров и взаимодействуют на таких платформах, как Telegram или Discord. Во время технической оценки кандидатов заманивают к загрузке Вредоносных файлов, замаскированных под обзоры проектов или исправления поддельных проблем. Это приводит к развертыванию вредоносного ПО в системах под управлением Windows, macOS и Linux.

Центральное место в этой кампании занимает семейство вредоносных ПО под названием JADESNOW, которое функционирует как загрузчик на основе JavaScript. JADESNOW использует EtherHiding для извлечения и выполнения вредоносных полезных нагрузок из смарт-контрактов в BNB Smart Chain и Ethereum. Вредоносное ПО использует многоэтапный процесс заражения, кульминацией которого является постоянный бэкдор, известный как INVISIBLEFERRET.JAVASCRIPT. Этот бэкдор взаимодействует с сервером управления (C2) через порт 3306, позволяя злоумышленникам собирать системную информацию и выполнять произвольные команды, а также возможности эксфильтрации файлов.

Вредоносные смарт-контракты в BNB Smart Chain и Ethereum предлагают децентрализованный механизм выполнения кода, что еще больше усложняет усилия по обнаружению. Выявленные адреса, на которых находятся вредоносные полезные файлы, вызвали серьезные опасения из-за их постоянного характера и ограничений традиционных средств защиты от кибербезопасности. Несмотря на то, что операции в этих блокчейнах обладают определенной неизменностью, злоумышленники все еще могут использовать централизованные сервисы, создавая точки уязвимости.

Стратегии смягчения последствий особенно важны для организаций, где инструменты централизованного управления, такие как Chrome Enterprise, могут сыграть важную роль. Конкретные политики предотвращения включают прямую блокировку вредоносных загрузок, автоматизацию обновлений браузера, чтобы избежать вводящих в заблуждение подсказок, и контроль веб-доступа к известным угрозам. Эти стратегии направлены на то, чтобы нарушить цепочку атак EtherHiding, передавая меры безопасности в руки администраторов, а не полагаясь на бдительность отдельных пользователей. Такие шаги имеют решающее значение для защиты от эволюционирующей тактики и методов, используемых противниками, подобными UNC5342.

#ParsedReport #CompletenessLow
16-10-2025

Qilin Ransomware and the Ghost Bulletproof Hosting Conglomerate

https://www.resecurity.com/blog/article/qilin-ransomware-and-the-ghost-bulletproof-hosting-conglomerate

Report completeness: Low

Actors/Campaigns:
Bianlian
Doppelgnger (motivation: disinformation)

Threats:
Qilin_ransomware
Spear-phishing_technique
Bec_technique
Amadey
Stealc

Victims:
Beverage manufacturing, Tax administration agency, Family office services, Nutraceuticals manufacturing, Religious organization, Behavioral health services, Insurance technology, Real estate brokerage, Insurance guaranty association, Municipal services, have more...

Industry:
Transport, Telco, Foodtech, Financial, Critical_infrastructure, Government, Military, Logistic, Retail, Healthcare, Energy

Geo:
Japanese, Russian, Italy, North korea, Russia, Spain, Chinese, Brazil, France, Hungary, Croatia, Japan, India, Grenada, Pakistan, Spanish, Slovakia, Korea, Ukrainian, Qatar, Africa, Germany, Hong kong, Usa, China

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1219, T1566, T1583.003, T1583.006, T1587.001, T1588.002

IOCs:
Domain: 1
IP: 4

Soft:
Telegram

Languages:
rust, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Qilin, первоначально известная как "Agenda", действует как программа-вымогатель как услуга (RaaS) и использует передовые методы атак, включая spear phishing и использование инструментов удаленного мониторинга и управления (RMM). Они известны тем, что используют вредоносное ПО, закодированное в Golang и Rust, и недавно нацелились на высокопоставленные организации, такие как Налоговая администрация Испании и американские компании. Их операционные стратегии подкрепляются подключениями к пуленепробиваемым сервисам хостинга, что позволяет им безопасно управлять украденными данными и уклоняться от правоохранительных органов.
-----

Группа вымогателей Qilin, которая работает как программа-вымогатель как услуга (RaaS), известна своими изощренными методами кибератак и зависимостью от инфраструктуры пуленепробиваемого хостинга (BPH). Возникшая в середине 2022 года и первоначально получившая название "Agenda", группа приобрела значительную репутацию после того, как взяла на себя ответственность за крупную атаку с использованием программ-вымогателей на японскую Asahi Group Holdings, которая нарушила работу их пивоваренных заводов почти на две недели. Qilin известна своими вариантами вредоносного ПО, разработанными в Golang и Rust, использующими такие методы, как spear phishing и инструменты удаленного мониторинга и управления (RMM) для получения первоначального доступа к целевым системам.

Последние обновления указывают на то, что в октябре Qilin объявил о нескольких новых жертвах, включая такие известные организации, как Налоговая администрация Испании, различные компании, базирующиеся в США, и правительственные учреждения. Налоговая администрация Испании, с ее обширным бюджетом и возможностями обработки данных, выделяется в качестве важной цели. Такая схема атак отражает стратегическое нацеливание группы на ценные организации с целью максимизации их охвата и воздействия.

Операционная мощь Qilin group's усиливается благодаря ее связям с подпольными поставщиками услуг по лечению аденомы простаты, что позволяет им оставаться в тени, занимаясь незаконной деятельностью. Эти сервисы BPH позволяют группе хранить данные о жертвах и управлять ими в разных юрисдикциях, что усложняет работу правоохранительных органов. Группа также была связана с платформой "WikiLeaksV2" для распространения информации об их деятельности, имеющей связи с серверами BEARHOST, известного поставщика услуг BPH.

Кроме того, недавнее закрытие важных сервисов BPH, таких как Bearhost и связанные с ним бренды, вызвало вопросы о непрерывности работы в среде киберпреступников. Операторы этих сервисов указали, что они закрываются из-за политического давления, сославшись на трудности с поддержанием операционной деятельности, однако они намекнули на возможный ребрендинг в будущем, предложив провести перегруппировку, поскольку они пересматривают свои стратегии в условиях усиливающегося контроля.

Службы BPH играют решающую роль в содействии широкому спектру незаконных действий, включая фишинг, распространение вредоносного ПО, управление ботнете и кампании по дезинформации. Они обеспечивают необходимую инфраструктуру, позволяющую киберпреступникам действовать с определенной степенью анонимности. Решение проблем, связанных с ДГПЖ, остается важным аспектом глобальных усилий по обеспечению кибербезопасности, поскольку их устойчивость к судебным искам подчеркивает острую необходимость скоординированного вмешательства правительств, правоохранительных органов и специалистов по кибербезопасности. Продолжающаяся эволюция таких групп, как Qilin, подчеркивает адаптивность и постоянные угрозы, создаваемые программами-вымогателями в современном киберпространстве.

#ParsedReport #CompletenessMedium
16-10-2025

A Year Later, Interlock Ransomware Keeps Leveling Up

https://www.forescout.com/blog/a-year-later-interlock-ransomware-keeps-leveling-up/

Report completeness: Medium

Actors/Campaigns:
Vice_society (motivation: cyber_criminal)
Chaya_002 (motivation: financially_motivated)

Threats:
Interlock
Interlockrat
Clickfix_technique
Filefix_technique
Azcopy_tool
Putty_tool
Posh-ssh_tool
Rhysida
Socgholish_loader
Kerberoasting_technique
Lumma_stealer
Anydesk_tool
Cobalt_strike_tool
Systembc
Nodesnake
Credential_harvesting_technique
Berserkstealer
Mstsc_tool
Winrm_tool
Advanced-port-scanner_tool
Byovd_technique
Vssadmin_tool
Shadow_copies_delete_technique
Plink_tool
Opendir_technique
Socghlolish
Netsupportmanager_rat
Supper_backdoor

Victims:
Healthcare, Government, Manufacturing

Industry:
Healthcare, Government

TTPs:
Tactics: 10
Technics: 2

IOCs:
File: 7
Path: 3
Registry: 1
Url: 1

Soft:
Twitter, ESXi, trycloudflare, Chrome, AnyConnect, Node.js, Microsoft Defender, Active Directory, Firefox, PsExec, have more...

Algorithms:
cbc

Functions:
Get-Service, Get-PSDrive, Get-NetNeighbor, CryptoAPI

Languages:
javascript, powershell, java, php

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Interlock ransomware, впервые выявленный в конце 2024 года, прошел стадии операционной зрелости, используя сложные тактики, включая кражу учетных данных у брокеров первоначального доступа и захват сеанса для обхода Многофакторной аутентификации. Он использует облачные инструменты для командования и контроля и эксфильтрации данных, ориентируясь при этом на такие секторы, как здравоохранение и правительство, для максимального воздействия на выкуп. Злоумышленники используют пользовательский PowerShell RAT для перемещения внутри компании и эксфильтрации данных в течение 72-96 часов перед развертыванием программ-вымогателей, что указывает на переход к методам быстрых атак и сотрудничеству с другими киберпреступными группами.
-----

Interlock ransomware впервые был обнаружен в конце 2024 года и прошел три этапа эволюции: появление, расширение возможностей и операционная зрелость. Программа-вымогатель использует методы социальной инженерии, в частности ClickFix и FileFix, для получения доступа и часто получает учетные данные от брокеров первоначального доступа (IAB). Злоумышленники могут выдавать себя за пользователей посредством перехвата сеанса с помощью действительных токенов, что позволяет им обходить Многофакторную аутентификацию (MFA).

Облачные утилиты, такие как AzCopy и Cloudflare services, используются для операций командования и контроля (C2) и эксфильтрации данных. Interlock может шифровать различные системы, включая серверы BSD и гипервизоры ESXi, повышая свое операционное воздействие. Среднее время от получения учетных данных до развертывания программы-вымогателя составляет две-три недели, при этом выполнение и закрепление поддерживается с помощью Interlock RAT.

Действия после эксплуатации включают в себя развертывание пользовательских и товарных стиллеров для повышения привилегий и обеспечения перемещения внутри компании к ценным системам, таким как контроллеры домена и серверы резервного копирования. Эксфильтрация обычно происходит в течение 72-96 часов до развертывания программы-вымогателя. В последнее время тактика сместилась в сторону подхода "бей и хватай", отдавая предпочтение скорости.

Interlock использует методы для отключения решений обнаружения конечных точек и реагирования на них (EDR) путем использования уязвимых драйверов и изменения элементов управления безопасностью. Он использует структурированный механизм уведомления о выкупе, включающий обмен сообщениями с двойным вымогательством, и общается по каналам Tor. Имеются признаки сотрудничества между Interlock и другими киберпреступными организациями, что усугубляет угрозу. Были обнаружены артефакты сценариев, связанные с Interlock, что помогает в усилиях по обнаружению.

#ParsedReport #CompletenessMedium
16-10-2025

GhostBat RAT: Inside the Resurgence of RTO-Themed Android Malware

https://cyble.com/blog/ghostbat-rat-inside-the-resurgence-of-rto-themed-android-malware/

Report completeness: Medium

Threats:
Ghostbat
Smishing_technique

Victims:
Android users, Banking users

Industry:
Financial

Geo:
Indian

TTPs:
Tactics: 16
Technics: 10

IOCs:
Hash: 20
File: 2
Url: 38

Soft:
Android, WhatsApp, Telegram, Google Play

Algorithms:
aes, xor, sha256, zip, sha1

Functions:
FindClass

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Возрождение кампаний по вредоносному ПО для Android, в частности "GhostBat RAT", характеризуется тем, что оно маскируется под индийские приложения RTO для кражи конфиденциальной пользовательской информации в Индии. Используя различные векторы распространения, такие как WhatsApp и скомпрометированные веб-сайты, вредоносное ПО использует передовые методы уклонения, такие как многоступенчатые дропперы и запутывание сложных строк. Его функциональность включает в себя фильтрацию SMS-сообщений, сбор данных об устройстве и использование Telegram-бота для Регистрации устройств, что указывает на сложную и развивающуюся среду угроз.
-----

Cyble Research and Intelligence Labs (CRIL) задокументировала возрождение кампаний по вредоносному ПО для Android, замаскированных под приложения индийского RTO (Регионального транспортного управления). Эти кампании направлены на компрометацию конфиденциальной информации пользователей в Индии, используя различные методы распространения, такие как WhatsApp, SMS, содержащие сокращенные URL-адреса, размещенные на GitHub APK-файлы и скомпрометированные веб-сайты, которые подчеркивают множественные векторы заражения, используемые злоумышленниками.

После успешной установки вредоносное ПО использует сложные методы, включая многоступенчатые дропперы, манипулирование заголовками ZIP-файлов и запутывание строк, чтобы избежать обнаружения антивирусным программным обеспечением и помешать усилиям по обратному проектированию. Проанализированные образцы продемонстрировали использование собственных библиотек (.so) для динамического разрешения вызовов API и развертывания вредоносных полезных нагрузок, таких как стиллеры банковских учетных данных и майнеры криптовалют. Кроме того, пользователям предоставляются страницы для фишинга, имитирующие законное приложение mParivahan, обманом заставляя их предоставлять конфиденциальные данные, такие как номера мобильных телефонов, регистрация транспортного средства и платежная информация UPI. Важным аспектом функциональности вредоносного ПО является его способность отправлять все SMS-сообщения, содержащие ключевые слова, связанные с банковской деятельностью, на серверы управления (C&C), а также возможность пересылать или загружать входящие SMS-сообщения, чтобы помочь в сборе одноразовых паролей (OTP).

Регистрация устройства для вредоносного ПО облегчается с помощью Telegram-бота, идентифицированного как GhostBatRat_bot, что способствует присвоению вредоносному ПО названия "GhostBat RAT". Анализ, проведенный в июле 2024 года, выявил его намерение красть контакты и SMS-сообщения с зараженных устройств, что указывает на меняющийся ландшафт угроз.

Технический анализ показывает, что GhostBat RAT использует различные передовые технологии для своей работы. Он использует многоступенчатые рабочие процессы dropper, использует встроенную двоичную упаковку и проводит антиэмуляционные проверки, чтобы затруднить анализ. Вредоносное ПО маскируется под законное приложение, чтобы обмануть пользователей, и добивается обхода защиты с помощью встроенного упаковщика, наряду с проверками для предотвращения анализа в изолированных средах. Он также собирает различную информацию об устройстве и способен фильтровать конфиденциальные SMS-данные по каналу управления.

Эти разработки отражают сложную адаптацию вредоносного ПО для Android на тему RTO, сочетающую продвинутую тактику уклонения, использование API и методы социальной инженерии, направленные на существенную компрометацию пользовательских данных. Наблюдаемая тактика согласуется с несколькими методами, описанными в MITRE ATT&CK framework, включая фишинг для первоначального доступа, использование Нативного API, использование методов обфускации и выполнение Эксфильтрации по каналам управления, что еще больше подчеркивает сложность и уровень угрозы кампании GhostBat RAT.

#ParsedReport #CompletenessLow
16-10-2025

SecuritySnack: Repo The Repo - NPM Phishing

https://dti.domaintools.com/securitysnack-repo-the-repo-npm-phishing/

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Credential_harvesting_technique

Victims:
Software supply chain, Developers

ChatGPT TTPs:
do not use without manual check
T1041, T1078, T1195.001, T1204.002, T1556.004, T1566.002, T1583.001

IOCs:
Domain: 15

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4