#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GlassWorm является первым самораспространяющегося червь для Visual Studio расширения кодов с рынка OpenVSX, использование невидимых символов Unicode, чтобы скрыть вредоносный код и блокчейн командования и управления (C2) инфраструктуры на блокчейн Солана для устойчивости. Нарушена расширения коллективно главе для кражи учетных данных из npm, github, а также конкретные криптовалютные кошельки, при этом обеспечивая создание прокси Socks и удаленного доступа по протоколу VNC Hidden VNC. Червь распространяется используя украденные учетные данные для дальнейших атак пакеты, используя многоуровневую стратегию С2, что усложняет выявления и пресечения.
-----

GlassWorm идентифицирован как первый самораспространяющийся червь, нацеленный на расширения Visual Studio Code (VSCode), в частности, из OpenVSX marketplace. Эта изощренная атака использует невидимые символы Юникода для сокрытия вредоносного кода, что значительно затрудняет обнаружение редакторами кода и процессы проверки. Кроме того, GlassWorm использует инфраструктуру командования и контроля (C2) на основе блокчейна, расположенную на блокчейне Solana, что повышает ее устойчивость к попыткам демонтажа.

Атака началась 17 октября 2025 года, когда были скомпрометированы семь различных расширений OpenVSX, в совокупности собрав около 35 800 загрузок. Примечательно, что десять из этих расширений продолжали активно распространять вредоносное ПО через два дня после первоначального взлома. Вредоносное ПО разработано для кражи учетных данных из npm, GitHub и Git, при этом оно специально нацелено на 49 расширений криптовалютных кошельков. Кроме того, это позволяет развертывать прокси-серверы SOCKS, эффективно превращая зараженные компьютеры разработчиков в компоненты более широкой криминальной инфраструктуры. Также установлены серверы Hidden VNC, предоставляющие полный удаленный доступ злоумышленникам.

Важным аспектом стратегии распространения GlassWorm's является его способность использовать украденные учетные данные для автоматической компрометации других пакетов и расширений, что позволяет ему быстро распространяться по экосистеме разработчиков. Угроза использует многоуровневую стратегию C2, используя блокчейн Solana, прямое IP-соединение и Google Calendar в качестве резервного сервера C2, тем самым создавая надежную коммуникационную архитектуру, которую трудно нарушить.

В свете этих событий разработчикам настоятельно рекомендуется проводить аудит установленных ими расширений и отслеживать любые ненормальные действия, такие как необычные сетевые подключения или подозрительное использование API. Существует настоятельная необходимость сканировать все новые расширения перед установкой и устанавливать только необходимые расширения, при этом незамедлительно удаляя те, которые больше не используются. Каждое добавленное расширение увеличивает уязвимость, подчеркивая важность их предварительной тщательной оценки на основе отзывов, истории и репутации издателя. Также рекомендуется соблюдать осторожность в отношении функций автоматического обновления, поскольку они могут непреднамеренно способствовать внедрению вредоносного ПО. Для эффективного управления рисками предлагается вести централизованный учет расширений.

#ParsedReport #CompletenessLow
22-10-2025

The evolving landscape of email phishing attacks: how threat actors are reusing and refining established techniques

https://securelist.com/email-phishing-techniques-2025/117801/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Email users

ChatGPT TTPs:
do not use without manual check
T1027, T1111, T1204, T1556.006, T1566.001, T1566.002

Soft:
Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атаки фишинга по электронной почте развиваются, и злоумышленники внедряют новые методы, такие как использование PDF-вложений, содержащих QR-коды, что затрудняет системам безопасности обнаружение попыток фишинга. Кроме того, возобновление использования оповещений календаря позволяет злоумышленникам встраивать фишинг-ссылки в описания событий, обходя типичные фильтры. По мере того как Многофакторная аутентификация становится все более распространенной, злоумышленники разрабатывают изощренные кампании фишинга, направленные на кражу проверочных данных, убедительно сочетаясь с законными сообщениями.
-----

Ландшафт атак фишинга по электронной почте претерпевает значительные изменения по мере того, как злоумышленники совершенствуют устоявшуюся тактику и внедряют новые методы для повышения их эффективности. Заметной тенденцией является растущее использование PDF-файлов в качестве механизма доставки контента для фишинга. В современных кампаниях по фишингу часто используются вложения в формате PDF, содержащие QR-коды вместо традиционных ссылок для фишинга. Это изменение усложняет системам безопасности отслеживание таких электронных писем, поскольку QR-коды могут скрывать адрес назначения.

Еще одна старая, но возрождающаяся тактика предполагает использование оповещений из календаря. Злоумышленники рассылают электронные письма, содержащие приглашения из календаря, часто с пустым текстом, но содержащие фишинг-ссылки, скрытые в описаниях событий. Этот метод, который в последние годы использовался все реже, сейчас возрождается как способ обойти типичные меры фильтрации электронной почты.

Более того, киберпреступники совершенствуют свои веб-сайты для фишинга, чтобы избежать обнаружения. Вместо того чтобы полагаться исключительно на упрощенный дизайн, даже простые на вид кампании могут содержать ссылки на сайты, использующие продвинутую схему и распространенные веб-технологии, которые могут вводить пользователей в заблуждение. Такая эволюция указывает на усилия злоумышленников по поддержанию эффективности своих операций по фишингу, несмотря на внедрение улучшенных мер безопасности.

Поскольку Многофакторная аутентификация (MFA) становится стандартной практикой обеспечения безопасности среди пользователей, злоумышленники разрабатывают стратегии обхода этого уровня защиты. Кампании фишинга в настоящее время все чаще нацелены на одноразовые коды и другие проверочные данные. Эти кампании сильно различаются по сложности, причем некоторые используют элементарные тактики, в то время как другие представляют хорошо проработанные сообщения, которые очень напоминают законные сообщения, что затрудняет их отличие от подлинных электронных писем.

#ParsedReport #CompletenessMedium
22-10-2025

Tracking Malware and Attack Expansion: A Hacker Groups Journey across Asia

https://www.fortinet.com/blog/threat-research/tracking-malware-and-attack-expansion-a-hacker-groups-journey-across-asia

Report completeness: Medium

Threats:
Holdinghands
Winos

Victims:
Users, Government

Industry:
Financial, Government

Geo:
China, Malaysian, Asia, Japanese, Malaysia, Japan, Taiwan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1053.005, T1055, T1059, T1112, T1204.002, T1566.001, T1574.002

IOCs:
File: 20
Url: 2
IP: 7
Path: 3
Domain: 1
Registry: 1
Hash: 11

Soft:
Task Scheduler, Windows Task Scheduler, Windows service

Algorithms:
sha256, zip

Win API:
VirtualAlloc, GetModuleHandleA, CreateProcessAsUserW

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 5, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании хакерской группировки, проводимые вредоносным ПО по всей Азии, были отслежены с использованием вредоносного ПО версии Winos 4.0, доставляемого по электронной почте с помощью фишинга, оформленного как официальные документы. Эти атаки развивались, связывая действия из материкового Китая в Малайзию через общую инфраструктуру, в частности домен twczb.com . Вредоносное ПО использует многоэтапный процесс, включающий пользовательскую библиотеку DLL, меры защиты от обнаружения и динамическое обновление IP-адреса с помощью записей реестра, что усложняет обнаружение и анализ для обеспечения безопасности.
-----

В недавнем анализе FortiGuard Labs кампании хакерской группировки по вредоносному ПО были прослежены по всей Азии, особое внимание было уделено эволюции их тактики и целевых регионов, начиная с материкового Китая и продвигаясь через Тайвань, Японию и Малайзию. Первоначально выявленные в январе 2025 года, эти кампании использовали вредоносное ПО версии Winos 4.0, доставляемое с помощью фишинг-писем, содержащих вредоносные PDF-файлы, которые вызвали интерес из-за их представления в качестве официальных документов Министерства финансов. Вложения электронной почты содержали множество ссылок, ведущих к варианту вредоносного ПО, который демонстрировал более широкую стратегию кампании, выходящую за рамки локализованных целей.

По мере того как атаки распространялись на Малайзию, была установлена связь между ранее наблюдавшимися кампаниями и недавними действиями через общую инфраструктуру, в частности домен twczb.com . Этот домен, когда-то связанный с усилиями по фишингу, ориентированными на Тайвань, был привязан к тому же IP-адресу, который использовался в кампаниях в Малайзии, что подчеркивает дублирующий характер операций злоумышленника.

Вредоносное ПО включает в себя многоэтапный процесс, использующий специально созданную библиотеку DLL с именем dokan2.dll , который функционирует как загрузчик шелл-кода. Он внедряется с помощью приманки для Целевого фишинга, разработанной таким образом, чтобы напоминать документ налоговой проверки, обманывая пользователей и заставляя их выполнять его. Следующий компонент, sw.dat, подготавливает среду вредоносного ПО, управляя методами повышения привилегий путем олицетворения службы TrustedInstaller, избегая обнаружения с помощью различных мер защиты от виртуальных машин.

Установка вредоносного ПО генерирует определенные файлы, которые усложняют анализ, такие как TimeBrokerClient.dll и msvchost.dat, которые выполняют шелл-код в памяти. В структуре этих файлов используются методы запутывания, при которых имена файлов являются производными от имен процессов и служат ключами для расшифровки. Этот многоуровневый механизм увеличивает сложность обнаружения и устранения вредоносного ПО.

Важным аспектом функциональности вредоносного ПО является функция в полезной нагрузке HoldingHands, которая позволяет динамически обновлять IP-адреса серверов с помощью записей реестра. Эта возможность позволяет злоумышленникам модифицировать свою инфраструктуру с минимальными усилиями, повышая их устойчивость к обнаружению и уничтожению.

FortiGuard Labs подчеркивает, что, хотя злоумышленники используют изощренные тактики уклонения и методы фишинга, характеристики их операций позволяют получить важную информацию, связывающую их деятельность в нескольких странах. Распознавание этих моделей поведения и использования инфраструктуры помогает сформировать всестороннее понимание угроз, исходящих от этой развивающейся группы.

#ParsedReport #CompletenessLow
22-10-2025

Mirai: The IoT Botnet

https://www.pointwild.com/threat-intelligence/mirai-the-iot-botnet

Report completeness: Low

Threats:
Mirai
Upx_tool
Backdoor.w32.300821.linux
Backdoor.w32.131025.linux

Victims:
Internet of things devices

Industry:
Iot

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1105, T1588.006

IOCs:
Hash: 6
File: 1
IP: 2

Soft:
Twitter, curl, BusyBox, Linux

Algorithms:
sha256, md5, sha1

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mirai - это вредоносное ПО для интернета вещей, которое стало печально известно тем, что проводило значительные DDoS-атаки, используя уязвимости в различных подключенных устройствах. Анализ показывает, что он функционирует как 32-разрядный исполняемый файл ELF, осуществляющий исходящие TCP-соединения с известным вредоносным IP-адресом, связанным с DDoS-атаками и операциями C2. Более новые варианты используют такие методы, как сжатие UPX и более широкий набор команд для внешней связи, сохраняя при этом команды для управления системой, что повышает их способность выводить из строя зараженные устройства.
-----

Mirai - хорошо известное вредоносное ПО для интернета вещей, появившееся в 2016 году и печально известное выполнением одной из крупнейших зарегистрированных распределенных атак типа "Отказ в обслуживании" (DDoS). Его значимость в сфере кибербезопасности обусловлена его способностью использовать уязвимости в различных устройствах Интернета вещей (IoT), что приводит к широкомасштабным сбоям.

Технический анализ Mirai выявляет характеристики, общие для вредоносного ПО Интернета вещей, включая его обозначение как 32-разрядного исполняемого файла ELF. Динамический анализ выявил попытки исходящего TCP-соединения с зараженных устройств на вредоносный IP-адрес 65.222.202.53, известный своей причастностью к подозрительным действиям, в частности, указывающим на DDoS-атаку или попытки эксплойта, нацеленные на порт 80 (HTTP). Этот IP-адрес был связан с содействием вредоносному поведению и потенциальным операциям Command & Control (C2).

Более того, специфические показатели компромисса (IOCs) характеризуют как старый, так и новый варианты Mirai. Старый вариант был привязан к IP-адресам типа 160.30.44.120, на которых размещался двоичный файл вредоносного ПО. Напротив, в более новом варианте используются обновленные методы, включая использование сжатия UPX для своих двоичных файлов и более широкий спектр команд для внешней связи, таких как wget, curl и ftpget, которые могут быть использованы для получения дополнительной полезной нагрузки.

Поведение вредоносного ПО также включает команды для управления системой, такие как остановка, перезагрузка и завершение работы. Эти команды указывают на потенциальную возможность Mirai выводить из строя зараженные устройства или захватывать их, повышая уровень своей угрозы. Для удаления, устранения заражения требуется перезагрузка в безопасном режиме с подключением к сети и запуском обновленного антивирусного программного обеспечения, которое обнаруживает вредоносное ПО под названием Backdoor.W32.300821.Linux.Mirai.b.YR.

Таким образом, Mirai's воздействие как ботнет Интернета вещей подчеркивает важность защиты подключенных устройств, выявляя надежные структуры управления и универсальные методы коммуникации, используемые современными версиями вредоносного ПО для расширения их охвата и эффективного контроля скомпрометированных систем.

#ParsedReport #CompletenessHigh
22-10-2025

Unmasking MuddyWaters New Malware Toolkit Driving International Espionage

https://www.group-ib.com/blog/muddywater-espionage/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Phoenix_keylogger
Chromiumstealer
Socgholish_loader
Cannonrat
Credential_harvesting_technique
Action1_tool
Credential_stealing_technique

Victims:
Government entities, International organizations

Industry:
Energy, Government

Geo:
America, Africa, Middle east, Iran, France

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.005, T1078, T1090, T1204, T1219, T1566.001, T1566.001, T1586, have more...

IOCs:
Hash: 9
Domain: 1
Path: 5
File: 2
Registry: 1
IP: 1
Url: 1

Soft:
Microsoft Word, Gmail, Component Object Model, Winlogon, Google Chrome, Opera, Microsoft Edge, Chromium

Algorithms:
aes

Languages:
visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, APT-группировка, запустила целенаправленную кампанию фишинга против более чем 100 правительственных организаций на Ближнем Востоке и в Северной Африке, используя скомпрометированные Учетные записи эл. почты для распространения бэкдора Phoenix (версия 4). Атака включает вредоносные документы, которые развертывают загрузчик FakeUpdate, который затем внедряет бэкдор для поддержания закрепления с помощью COM-библиотеки DLL. Инфраструктура включает в себя пользовательский инструмент RMM и утилиты для удаленного доступа и сбора учетных записей, демонстрирующие эволюционирующие методы шпионажа группы.
-----

Group-IB Threat Intelligence выявила сложную кампанию фишинга, приписываемую APT-группировке "MuddyWater", направленную против более чем 100 правительственных организаций, в основном по всему Ближнему Востоку и Северной Африке. Кампании используют скомпрометированные Учетные записи эл. почты для распространения вредоносного ПО с бэкдором Phoenix, в частности версии 4, в которой используется новая технология закрепления. Примечательно, что MuddyWater использовал скомпрометированную учетную запись для отправки фишингов электронных писем, причем первоначальный доступ был привязан к выходному узлу NordVPN во Франции.

На фишинг-кампании заслуживают внимания из-за их стратегий, которые включают в себя не только официальные государственные адреса эл. почты, но и частным лицам, от поставщиков, как Yahoo и Gmail. Такая широта указывает на глубокое понимание целевых организаций, особенно тех, которые участвуют в международном сотрудничестве и гуманитарных миссиях, что отражает геополитические мотивы, стоящие за шпионской деятельностью.

Поведение вредоносного ПО, связанное с этой операцией, включает в себя развертывание вредоносных документов, которые после включения макросов удаляют файл по пути C:\Users\Public\Documents\ManagerProc.log а затем выполните его. Этот файл служит загрузчиком, называемым FakeUpdate, который расшифровывает и вводит полезную нагрузку второго этапа — бэкдор версии 4 Phoenix — в свой собственный процесс. Эта версия бэкдора характеризуется библиотекой динамических ссылок (DLL) COM-модели объектов (Component Object Model, COM), которая разработана для поддержания закрепления путем выполнения встроенного переносимого исполняемого файла, расположенного по адресу C:\Users\Public\Downloads\Mononoke.exe .

Что касается инфраструктуры, в кампании используется пользовательский инструмент удаленного мониторинга и управления (RMM), а также несколько утилит, найденных на серверах управления (C2), которые, вероятно, использовались для удаленного доступа и сбора учетных записей из скомпрометированных систем. Обнаружение этих новых инструментов указывает на то, что MuddyWater продолжает развивать свои возможности для облегчения шпионажа и тактики проникновения, что предполагает текущие и связанные с ними мероприятия кампании.

#ParsedReport #CompletenessMedium
23-10-2025

Warlock Ransomware: Old Actor, New Tricks?

https://www.security.com/threat-intelligence/warlock-ransomware-origins

Report completeness: Medium

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603

Threats:
X2anylock
Toolshell_vuln
Lockbit
Dll_sideloading_technique
Ak47c2_tool
Project_ak47_tool
Blackbasta
Byovd_technique
Cobalt_strike_tool

Industry:
Healthcare

Geo:
Brazil, Taiwan, India, Japan, China, Russia, Chinese, Middle east

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1553.002, T1562

IOCs:
File: 3
Hash: 12

Soft:
Microsoft SharePoint, Curl

Algorithms:
sha256, 7zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Warlock ransomware, связанная с китайскими злоумышленниками, включая Budworm, Sheathminer и Storm-2603, появилась в июне 2025 года, используя уязвимость CVE-2025-53770 в Microsoft SharePoint. Эта программа-вымогатель может быть ребрендингом Anylock, с непрерывной вредоносной активностью, прослеживаемой вплоть до 2019 года. Атаки Warlock используют сложные методы обхода защиты, включая украденные Цифровые сертификаты, что указывает на сочетание стратегий шпионажа и программ-вымогателей, которые усложняют идентификацию и принятие ответных мер.
-----

Warlock ransomware, связанный с базирующимся в Китае злоумышленником, появился в июне 2025 года, вскоре после того, как был связан с эксплойтами в Microsoft SharePoint, в частности с уязвимостью CVE-2025-53770. Этот инцидент был частью серии атак ToolShell, в ходе которых несколько китайских акторов, идентифицированных как Budworm (APT27), Sheathminer (APT31) и Storm-2603, воспользовались уязвимостью zero-day до ее исправления. Среди них Storm-2603 развернул как Warlock ransomware, так и полезную нагрузку LockBit.

Хотя Warlock можно считать ребрендингом более старой программы-вымогателя Anylock, данные указывают на продолжение вредоносной активности со стороны хакерской группировки еще с 2019 года. Расследования, проведенные Symantec и Carbon Black, выявили использование сложного инструмента обхода защиты при атаках Warlock, примечательного своей аутентификацией с помощью украденного цифрового сертификата, связанного с организацией coolschool. Это подразумевает, что акторы, стоящие за Warlock, были искусны в смешивании шпионажа с операциями с использованием программ-вымогателей - стратегия, которая потенциально служит для сокрытия их основных намерений по сбору разведывательной информации.

Эволюция инструментария группы свидетельствует о возросшем уровне профессионализма и адаптивности, указывая на то, что они могут действовать как подрядчики, предоставляющие услуги для шпионажа, а также для коммерческих схем вымогательства. Двойственный характер их деятельности подчеркивает сложность выявления и реагирования на сегодняшние киберугрозы, отражая более широкую тенденцию, когда киберпреступность используется не только для получения финансовой выгоды, но и в качестве прикрытия для деятельности, связанной со шпионажем.

#ParsedReport #CompletenessLow
22-10-2025

131 Malicious Chrome Extensions Abused WhatsApp Web in a Massive Spam Campaign

https://socradar.io/131-chrome-extensions-abused-whatsapp-web/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Whatsapp web users, Browser extension ecosystem, Marketing and crm users

Geo:
Brazil

TTPs:
Tactics: 2
Technics: 5

Soft:
Chrome, WhatsApp, Firefox

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года исследователи обнаружили 131 вредоносное расширение Chrome, использующее WhatsApp Web для рассылки спама и использующее общий сервер для обхода модерации Google. Эта операция, проведенная под руководством DBX Tecnologia и Grupo OPT, включала внедрение вредоносного JavaScript для массового обмена сообщениями и удаления контактов, а также ложную рекламу законных функций. Эта угроза является примером скоординированной кампании, в ходе которой используются законные платформы для распространения вредоносных расширений, что усложняет обнаружение и увеличивает риски для пользователей.
-----

В начале 2025 года исследователи выявили существенную киберугрозу, связанную с 131 вредоносным расширением Chrome, которое использовало WhatsApp Web для широкомасштабной кампании по рассылке спама. Эти расширения, продаваемые как инструменты для улучшения делового общения, имели общую серверную инфраструктуру и кодовую базу, что позволяло им обходить политику модерации в интернет-магазине Google Chrome. Постоянно проводя ребрендинг и публикуя клонированные расширения, злоумышленники смогли получить доступ к широкой базе пользователей, не вызывая тревоги.

Кампания иллюстрирует тревожную тенденцию злоупотребления браузерными расширениями, функционирующими подобно Цепочке поставок. Одна вредоносная кодовая база была перепрофилирована на несколько расширений, что скрывало источник угрозы и усложняло усилия по обнаружению и устранению неполадок. Основными организациями, стоящими за этой операцией, были определены DBX Tecnologia и Grupo OPT, которые действовали по модели white-label. Эти организации разработали средство автоматизации борьбы со спамом, которое позволило третьим лицам проводить ребрендинг и составлять списки этих вредоносных расширений так, как если бы они были их собственными, что указывает на скоординированные усилия, а не на отдельные инциденты.

Эти расширения были специально нацелены на пользователей, которые после установки внедряли вредоносный JavaScript на веб-страницу WhatsApp. Этот внедренный код способствовал автоматическому отправлению массовых сообщений, удалению контактов и планированию рассылки спама. Эти расширения часто ложно рекламируют такие функции, как соблюдение конфиденциальности и интеграция CRM, в то время как на самом деле нарушают условия предоставления услуг как WhatsApp, так и интернет-магазина Chrome. Ничего не подозревающие пользователи, привлеченные заявлениями об улучшении маркетинговой работы, невольно превратили свои браузеры в спам-ботов.

Для снижения рисков, связанных с такими угрозами, рекомендуется использовать несколько стратегий. Организациям следует регулярно проверять установленные расширения на легитимность и вводить списки разрешений/запретов для расширений браузера. Также важно ограничить установку программного обеспечения проверенными источниками, поддерживать актуальность браузеров и операционных систем и информировать пользователей об опасностях, связанных с неизвестными расширениями. Кроме того, использование различных методов обнаружения, согласованных с платформой MITRE ATT&CK framework, может повысить безопасность, включая мониторинг установки новых расширений, ненормального выполнения JavaScript и подозрительного доступа к данным браузера.

Этот инцидент иллюстрирует, что злонамеренные акторы все больше стирают границы между законными маркетинговыми инструментами и вредоносным программным обеспечением, используя надежные платформы, такие как интернет-магазин Chrome, для широкого распространения спам-инструментов. Необходимо совершенствовать меры безопасности, чтобы обеспечить постоянный мониторинг и управление безопасностью расширений браузера, признавая потенциальные угрозы, присущие этим широко используемым инструментам.