#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В октябре 2025 года северокорейская APT-группировка Kimsuky осуществила скоординированную атаку, используя вводящий в заблуждение JSE-файл с именем "Руководство по проверке работоспособности.pdf.jse", чтобы обмануть жертв. При выполнении он запускает запутанный JavaScript через WScript.exe для доставки вредоносного ПО, устанавливая связь C2 с сервером (http://load.samework.o-r.kr/index.php ) каждую минуту. Вредоносное ПО получает дополнительные полезные данные, расшифровывая их с помощью ключа RC4, но конкретное вредоносное поведение не удалось подтвердить из-за проблем с подключением к серверу C2.
-----

В конце октября 2025 года скоординированная атака, приписываемая северокорейской APT-группировке Kimsuky, использовала файл JSE, Маскировку под руководство по медицинскому обследованию, чтобы облегчить первоначальную передачу инфекции. Файл, названный "Руководство по проверке работоспособности.pdf.jse", предназначен для введения в заблуждение, побуждая жертв взаимодействовать с ним под предлогом получения доступа к информации, связанной со здоровьем. При выполнении он запускает запутанный код JavaScript с помощью WScript.exe , позволяющая доставлять вредоносную полезную нагрузку.

Связь командования и контроля (C2) устанавливается с вредоносной конечной точкой по адресу http://load.samework.o-r.kr/index.php , когда зараженный хост пытается подключиться каждую минуту, чтобы получить определенные значения ответа от сервера C2. Эта непрерывная связь свидетельствует о сложном механизме, предназначенном для поддержания закрепления и контроля над скомпрометированными системами.

После этих взаимодействий вредоносное ПО способно получать дополнительную полезную нагрузку. Начальный этап предполагает расшифровку дополнительных вредоносных переносимых исполняемых файлов (PES) с использованием встроенного 30-байтового ключа RC4 после получения зашифрованных данных с сервера C2. После авторизации он запускает дополнительные библиотеки DLL и вызывает функцию, называемую "функцией приветствия", которая может вызывать различные вредоносные действия, определенные злоумышленниками. В ходе анализа следствие не смогло подтвердить специфику такого поведения из-за невозможности установить успешное соединение с сервером C2.

Идентифицированным показателем компрометации (IoC), связанным с этой кампанией, является файл с именем "Руководство по медицинскому обследованию.pdf.jse", который подчеркивает важность бдительности и распознавания вводящих в заблуждение типов файлов в стратегиях защиты от кибербезопасности. Этот инцидент подчеркивает сохраняющуюся угрозу, исходящую от Kimsuky и подобных злоумышленников, которые используют методы социальной инженерии в сочетании с вредоносным программным обеспечением для проведения операций по шпионажу и сбору разведывательных данных.

#ParsedReport #CompletenessMedium
08-11-2025

Slot Gacor: The Rise of Online Casino Spam

https://blog.sucuri.net/2025/11/slot-gacor-the-rise-of-online-casino-spam.html

Report completeness: Medium

Actors/Campaigns:
Slot_gacor

Threats:
Blackseo_technique
Cloaking_technique

Industry:
Healthcare, Entertainment, E-commerce

Geo:
Japanese, New zealand, Canada, Turkey, Indonesian, Indonesia, Thailand, Australia, Asian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.001, T1105, T1190, T1204.001, T1505.003, T1564.003, T1608.006

IOCs:
File: 5
Domain: 1

Soft:
WordPress, ChatGPT, Nginx, Google Chrome

Algorithms:
base64

Functions:
eval

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спам онлайн-казино стал заметной киберугрозой, возникающей из-за того, что спамеры нацеливаются на скомпрометированные веб-сайты, чтобы использовать прибыльный рынок онлайн-гемблинга. Злоумышленники часто взламывают популярные платформы, такие как WordPress, чтобы внедрять обратные ссылки для улучшения SEO, используя сложные методы cloaking, чтобы ввести в заблуждение пользователей и Поисковые системы. Вредоносное ПО, связанное с этими атаками, встроено как в файлы тем, так и в плагины, используя таблицу базы данных wp_options для постоянной доставки полезной нагрузки, что позволяет злоумышленникам сохранять контроль даже после внесения изменений.
-----

Спам онлайн-казино стал важным видом киберугрозы на скомпрометированных веб-сайтах, используя прибыльный характер рынка онлайн-гемблинга. Исторически спам-контент ассоциировался с фармацевтическими продуктами, услугами по написанию научных статей и контрафактными товарами. Однако в последнее время акцент сместился в сторону продвижения онлайн-казино, которые предоставляют пользователям возможность развлечься с низкими ставками. Этот сдвиг в значительной степени обусловлен потенциальным доходом от онлайн-гемблинга, привлекающим спамеров, стремящихся повысить видимость своих некачественных веб-сайтов с помощью вредоносных средств.

Самая распространенная тактика среди спамеров взломаем сайты, особенно те, которые построены на популярных платформах, как WordPress, чтобы придать обратных ссылок и совершенствовать собственную поисковую оптимизацию (SEO). В конкретных случаях скомпрометированные веб-сайты продемонстрировали относительно высокий уровень сложности в том, как они доставляют спам-контент. Например, в один примечательный инцидент, в "программы" появились страницы в поисковой выдаче, несмотря на отсутствие соответствующего каталога в структуру сайта файл. Это означает, изощренные методы cloaking контента, чтобы ввести в заблуждение пользователей и поисковые системы похожи.

Кроме того, вредоносное ПО, ответственное за рассылку спама, было избыточно внедрено в различные места структуры веб—сайта - как в файлах темы, так и в файлах плагинов. Вредоносный код использовал таблицу базы данных `wp_options` для хранения и потенциальной повторной загрузки полезной нагрузки спама, что позволяло ей сохраняться, даже если исходные файлы были изменены или удалены. Этот двухуровневый механизм хранения данных является примером передовой тактики, применяемой злоумышленниками для поддержания контроля над скомпрометированными сайтами.

Интересно, что в то время как традиционный спам в основном нацелен на англоязычную аудиторию, наблюдается заметная экспансия на неанглоязычные рынки, особенно в азиатских странах, таких как Индонезия. Такая эволюция предполагает более широкую стратегию киберпреступников по освоению развивающихся рынков для онлайн-гемблинга, что отражает глобальный характер спама и его адаптируемость к различным культурным контекстам.

Поскольку распространенность спама от онлайн-казино продолжает расти, владельцам веб-сайтов настоятельно рекомендуется сохранять бдительность и принимать упреждающие меры против подобных заражений. Изощренность методов, используемых злоумышленниками, подчеркивает необходимость в надежных методах обеспечения безопасности для защиты онлайн-платформ от использования спамерами, стремящимися извлечь выгоду из растущей индустрии онлайн-гемблинга.

#ParsedReport #CompletenessHigh
08-11-2025

LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

Report completeness: High

Actors/Campaigns:
Psoa
Cl-unk-1054
Stealth_falcon
Variston
Cytrox
Quadream

Threats:
Landfall
Heliconia_noise_tool

Victims:
Mobile users, Smartphone users, Samsung android device users

Industry:
Government

Geo:
Iran, Turkish, Australia, India, Iraq, Middle east, Turkey, Asia, Morocco, Japan

CVEs:
CVE-2025-43300 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-21043 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55177 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-21042 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1068, T1071.001, T1105, T1190, T1203, T1404, T1406, have more...

IOCs:
Hash: 13
Domain: 4
IP: 6

Soft:
Android, SELinux, WhatsApp, curl, Chrome, Mac OS

Algorithms:
xor, sha256, sha1, base64, lzma, zip

Functions:
geteuid, rand

Win API:
decompress

Platforms:
arm, intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Подразделение 42 выявило сложную программу-шпиона для Android под названием LANDFALL, использующую уязвимость zero-day (CVE-2025-21042) в библиотеке обработки изображений Samsung, специально предназначенную для устройств Galaxy. Шпионское ПО использует модульную архитектуру для шпионажа и эксфильтрации данных, используя такие тактики, как управление настройками SELinux и манипулирование данными WhatsApp. LANDFALL обменивается данными по протоколу HTTPS с использованием нестандартных TCP-портов и иллюстрирует текущие тенденции в использовании уязвимостей обработки изображений DNG на мобильных платформах, причем потенциальные жертвы, вероятно, находятся в Ираке, Иране, Турции и Марокко.
-----

Исследование, проведенное подразделением 42, выявило новый тип шпионского ПО для Android, обозначенный как LANDFALL, который использует уязвимость zero-day (CVE-2025-21042) в библиотеке обработки изображений Android от Samsung. Это шпионское ПО специально разработано для устройств Samsung Galaxy и, похоже, является частью продолжающейся тенденции, связанной с аналогичными уязвимостями, которые затрагивают несколько мобильных платформ.

Обнаружение LANDFALL произошло во время расследования цепочки эксплойтов iOS, которая была раскрыта ранее в 2025 году. К такому выводу привел анализ искаженных файлов изображений DNG, обычно используемых в фотографии и содержащих встроенный ZIP—архив. Злоумышленники обычно используют цепочки эксплойтов, требующие наличия множества уязвимостей для успешного распространения шпионского ПО, и архитектура LANDFALL's соответствует этой методологии.

Возможности LANDFALL кажутся сложными и модульными, направленными на шпионаж и эксфильтрацию данных. Вредоносное ПО включает в себя компонент, известный как b.so , в котором отсутствует определенная логика, но который указывает на потенциал для расширения функциональности за счет загрузки дополнительных модулей. Его оперативная тактика включает загрузку собственных общих объектных файлов, выполнение DEX-файлов из различных источников, управление настройками SELinux и манипулирование данными WhatsApp. Такое поведение подчеркивает способность LANDFALL поддерживать постоянное присутствие на уязвимых устройствах во время сбора информации.

Важным аспектом LANDFALL являются его методы уклонения, разработанные для того, чтобы избежать обнаружения с помощью таких методологий, как идентификация отладчика и динамическое инструментирование. Кроме того, сетевое взаимодействие происходит по протоколу HTTPS, при этом b.so компонент, использующий нестандартные TCP-порты для подключения к серверам командования и контроля (C2). Конфигурация для этого компонента включает в себя важные значения, такие как сведения C2 и криптографические ключи, хранящиеся в зашифрованном объекте JSON.

Анализ шпионского ПО также выявил сходство с аналогичной уязвимостью (CVE-2025-21043) в той же библиотеке Samsung, демонстрируя тревожную закономерность в уязвимостях обработки изображений DNG на мобильных платформах. Анализ потенциальных жертв с помощью VirusTotal показывает, что цели могут быть расположены в таких странах, как Ирак, Иран, Турция и Марокко. Существование LANDFALL подчеркивает более широкий спектр коммерческих шпионских программ, которые потенциально используют несколько эксплойтов zero-day.

#ParsedReport #CompletenessMedium
06-11-2025

Fantasy Hub: Another Russian Based RAT as M-a-a-S

https://zimperium.com/blog/fantasy-hub-another-russian-based-rat-as-m-a-a-s

Report completeness: Medium

Threats:
Fantasyhub
Hyperrat
Clayrat

Victims:
Banking, Mobile users, Enterprise byod users

Industry:
Financial

Geo:
Russian, Russia

TTPs:
Tactics: 9
Technics: 12

IOCs:
File: 1
Url: 12
Hash: 145

Soft:
Android, Google Play, WebRTC, Telegram, Burp suite

Algorithms:
xor, zip, gzip

Functions:
getContacts, createImagesZip, deleteNotification, deleteZipArchive, getCallLogs, getDeviceInfo, getMediaFiles, getZipArchivesList, setInvisibleIntercept

Win API:
getSystemInfo

Languages:
javascript

Links:
https://github.com/Zimperium/IOC/tree/master/2025-11-FantasyHUB

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"Fantasy Hub" - это Android RAT, распространяемое как вредоносное ПО-как-услуга, в первую очередь, на русскоязычных платформах. Это позволяет субъектам угрозу переносить SMS, контакты, и медиа, а перехват уведомлений и перехвата SMS возможности без разрешения. Ключевые функции включают мониторинг в режиме реального времени через WebRTC и расширенный фишинг, нацеленный на финансовые учреждения, наряду с тактикой уклонения, такой как встроенный дроппер для усложнения обнаружения, аналогично шпионским программам для Android, таким как ClayRat.
-----

"Fantasy Hub" - это недавно идентифицированный троян для удаленного доступа к Android (RAT), работающий по модели "Вредоносное ПО как услуга" (MaaS), доступный в основном на русскоязычных платформах. Это вредоносное ПО обладает широкими возможностями контроля устройств, позволяя злоумышленникам извлекать SMS-сообщения, контакты, журналы вызовов, а также массово красть изображения и видео. Он также может перехватывать входящие уведомления, отвечать на них и удалять, что делает его мощным инструментом для шпионажа и кражи данных.

Разработанный для того, чтобы снизить барьер для проникновения менее опытных злоумышленников, Fantasy Hub предоставляет надежную документацию, видеоуроки и Telegram-бота, который облегчает управление подпиской и добавляет функциональность дроппера к пользовательским APK. Эта модель, управляемая ботами, позволяет злоумышленникам использовать передовые методы фишинга, включая создание поддельных банковских интерфейсов для эффективной компрометации финансовых рабочих процессов. Особую тревогу вызывает способность вредоносного ПО перехватывать роль обработчика SMS, что позволяет ему получать доступ к содержимому SMS и возможностям обмена сообщениями без необходимости предоставления индивидуальных разрешений.

Примечательной технической особенностью Fantasy Hub является использование WebRTC, протокола, который позволяет осуществлять потоковую передачу аудио и видео в режиме реального времени. Это позволяет злоумышленникам скрытно постоянно следить за жертвами с помощью камер и микрофонов своих устройств. Возможности фишинга вредоносного ПО направлены на различные финансовые учреждения, позволяя злоумышленникам развертывать как готовые, так и пользовательские окна фишинга, нацеленные на конкретные банки, что повышает риски для пользователей, использующих мобильные банковские приложения.

Самое вредоносное ПО принимает несколько тактик уклонения, и прежде всего интеграция уроженец капельницы в библиотеке, затрудняя обнаружение. Он использует разрешения SMS по умолчанию для получения широкого доступа к конфиденциальным пользовательским данным, что делает его похожим на другие варианты программ-шпионов для Android, такие как ClayRat. Кроме того, она может выполнять команды, которые позволяют ему читать текстовые сообщения, журналы вызовов доступа и отслеживания установленных приложений при передаче этих данных обратно в управляющий сервер (С2).

#ParsedReport #CompletenessLow
08-11-2025

Finding Related Fake "DMCA Takedown" Domains with Validin

https://www.validin.com/blog/fake_dmca_notice_scam_hunting/

Report completeness: Low

Actors/Campaigns:
Dmca_takedown (motivation: financially_motivated)

Victims:
Youtube content creators

Industry:
Financial, Iot

Geo:
Quebec, Georgia, New york, Moscow, San francisco, Berlin, London, Tokyo, Sydney, Ontario, Vancouver

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1204.002, T1566.002, T1583.001, T1584.001, T1593.001, T1659

IOCs:
Domain: 81
IP: 43
Url: 3

Platforms:
apple

Links:
https://github.com/stamparm/maltrail/blob/094293b3c04198dee377f6c0630c6e83fa309732/trails/static/malware/fakeapp.txt#L25018-L25195

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 ноября 2025 года в ходе фишинг-атаки на создателей контента YouTube использовались поддельные уведомления об DMCA takedown для облегчения загрузки вредоносных программ. Домен для фишинга, dmca-security.com , был связан с более широкой сетью скомпрометированных доменов и IP-адресов, в частности 101.99.92.246 и 217.119.129.87, которые подключались к хостингу вредоносного ПО. Вредоносные исполняемые файлы, передаваемые с подозрительных доменов, включая ms-team-ping4.com , предполагающий потенциально обманчивую структуру управления в рамках более широких организованных усилий злоумышленников.
-----

5 ноября 2025 года несколько известных создателей контента YouTube подверглись атаке с использованием поддельных уведомлений о DMCA takedown, которые привели к вредоносным загрузкам. Домен, явно связанный с этой аферой, был dmca-security.com , который выступал в качестве первоначального сайта для фишинга. Аналитики по кибербезопасности, включая Таннера и Джона Хаммонда, исследовали этот домен, чтобы выявить связанную с ним вредоносную инфраструктуру и собрать соответствующие показатели компрометации (IOCs).

Анализ домена, подвергшегося фишингу, выявил подключения к дополнительным доменам и IP-адресам, сосредоточив внимание на методах поворота истории DNS для отслеживания угрозы. В частности, IP-адрес 101.99.92.246 был идентифицирован как используемый вскоре после регистрации домена для фишинга. Это указывает на потенциально организованные усилия злоумышленников по быстрому созданию сети вредоносных доменов.

Дальнейшее расследование связало IP 217.119.129.87 с cavradocuments.top, зловещим доменом, ранее связанным с размещением вредоносного ПО в открытом каталоге. Это указывает на более широкую стратегию злоумышленников по внедрению своих операций во взаимосвязанные мошеннические домены.

Во время анализа в реальном времени было замечено, что вредоносный исполняемый файл взаимодействовал с ms-team-ping4.com и несколько других подобных доменов. Интересно, ms-team-ping4.com при прямом запросе не было предоставлено никакого контента, что наводит на мысль о потенциально бездействующей или фальсифицированной структуре управления (C2). Домен также был привязан к инфраструктуре Cloudflare, что ограничивало традиционные возможности анализа на основе DNS для дальнейшего изучения.

Инцидент иллюстрирует тревожную тенденцию, когда простота использования инструментов Искусственного интеллекта значительно снижает барьер для проникновения злоумышленников, позволяя им осуществлять сложные мошеннические действия с минимальными ресурсами. Развивающаяся тактика требует от защитников наличия надежных инструментов и стратегий для эффективного обнаружения, анализа и смягчения таких угроз. Проводимые исследования и анализ подчеркивают важность бдительности при выявлении постоянно меняющихся киберугроз и реагировании на них.

#ParsedReport #CompletenessHigh
06-11-2025

GootLoader New Evasion Methods Target Search Driven Workflows

https://cybersecsentinel.com/gootloader-new-evasion-methods-target-search-driven-workflows/

Report completeness: High

Actors/Campaigns:
Unc2565
Storm-0494
Vice_society

Threats:
Gootkit
Seo_poisoning_technique
Cobalt_strike_tool
Kronos
Snowcone
Rhysida
Blackcat
Zeppelin
Fonelaunch
Kerberoasting_technique

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 4
Command: 3
Path: 3
Hash: 10
Url: 66
Domain: 54
IP: 7

Soft:
WordPress, Windows Explorer, Active Directory

Algorithms:
sha256, zip

Languages:
jscript, php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GootLoader, связанный с хакерской группировкой UNC2565, вновь появился, используя передовые методы Отравления поисковой оптимизации (SEO) для таргетирования пользователей, которые ищут шаблоны бизнес-документов. Вредоносное ПО использует обманчивый ZIP-архив для доставки вредоносного файла JScript через Windows Script Host, используя PowerShell для получения дополнительной полезной нагрузки. Индикаторами компрометации являются файл закрепления в папке автозагрузки пользователя, использующий краткое соглашение об именовании, и сетевая активность, направленная на скомпрометированные сайты WordPress с действительными SSL-сертификатами.
-----

GootLoader, управляемый хакерской группировкой UNC2565 (также известной как Storm-0494), вновь появился с передовыми технологиями для использования рабочих процессов, управляемых поиском. Этот загрузчик вредоносного ПО занимает центральное место в сложной платформе Access-as-a-Service, которая облегчает первоначальный доступ для филиалов программ-вымогателей, включая Vanilla Tempest, и использует поисковую систему SEO poisoning (agesoages) для привлечения пользователей, ищущих шаблоны бизнес-документов.

Примечательный метод атаки включает в себя использование ZIP-архива с раздвоением личности. Этот архив разработан таким образом, чтобы обмануть "песочницы" безопасности, выглядя безвредным при извлечении вредоносного js-файла для обычных пользователей. После выполнения, обычно запускаемого двойным щелчком пользователя по файлу JScript, полезная нагрузка запускается через Windows Script Host, а именно WScript.exe или CScript.exe , который, в свою очередь, вызывает PowerShell для извлечения последующих вредоносных полезных нагрузок.

Кампания GootLoader не использует никаких конкретных уязвимостей CVE, вместо этого полагаясь на различные тактики, такие как несоответствия формату архива, скомпрометированные законные сайты WordPress и устаревшее поведение с именами файлов. Эволюция инфраструктуры GootLoader включает усовершенствования в ее механизмах закрепления, теперь предпочтение отдается пользовательской папке автозагрузки по сравнению со старыми методами, включающими запланированные задачи, что сводит к минимуму риски обнаружения.

Индикаторы компрометации, связанные с GootLoader, включают файл закрепления, расположенный по адресу %APPDATA%\Microsoft\Windows\Меню Пуск\Программы\Автозагрузка\, который использует соглашение о сокращенных именах 8.3, чтобы избежать стандартного обнаружения, и сетевую активность, направленную на скомпрометированные сайты WordPress, использующие законные SSL-сертификаты. Вредоносное ПО использует схему оповещения, которая обычно возникает каждые 300-900 секунд, обмениваясь небольшими зашифрованными полезными данными со своей инфраструктурой управления.

Стратегии смягчения последствий сосредоточены на отключении узла сценариев Windows, применении строгих мер по уменьшению поверхности атаки (ASR) и использовании методов защиты от PowerShell. Организациям настоятельно рекомендуется избегать загрузки документов из результатов поиска и обеспечить наличие внутренних политик для безопасного поиска шаблонов. Общая оценка угрозы для GootLoader остается повышенной, что подчеркивает эффективность его методик уклонения и непрерывность работы UNC2565.

#ParsedReport #CompletenessMedium
08-11-2025

MUT-4831: Trojanized npm packages deliver Vidar infostealer malware

https://securitylabs.datadoghq.com/articles/mut-4831-trojanized-npm-packages-vidar/

Report completeness: Medium

Actors/Campaigns:
Mut-4831

Threats:
Vidar_stealer
Arkei_stealer
Supply_chain_technique

Victims:
Software development, Open source developers

Geo:
Emea

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1059.007, T1071.001, T1102, T1105, T1195, T1204.002

IOCs:
File: 7
Url: 11
Domain: 14
Command: 1
Email: 2
Hash: 1

Soft:
telegram, Node.js, TikTok, Steam, Microsoft Office, twitter

Algorithms:
zip, sha256

Functions:
Write-Host, Get-Item, executeExe

Languages:
powershell

Links:
https://github.com/Datadog/malicious-software-packages-dataset

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была идентифицирована кампания злоумышленника cluster MUT-4831, включающая 17 вредоносных пакетов npm, которые развертывают вредоносное ПО Vidar -стиллер информации. Эти пакеты маскируются под законные SDK и выполняют сценарий постустановки для установки вредоносного ПО, которое нацелено на конфиденциальную информацию из систем Windows. Этот инцидент примечателен тем, что он представляет собой первое известное распространение Vidar через пакеты npm, подчеркивающее риски безопасности, связанные с реестрами с открытым исходным кодом.
-----

Недавнее исследование Datadog Security выявило кампанию, приписываемую кластеру злоумышленников с именем MUT-4831, включающую 17 пакетов npm (всего 23 выпуска), которые содержат вредоносное ПО-загрузчик. Эти пакеты маскируются под законные SDK, которые обеспечивают реальную функциональность при одновременном выполнении постинсталляционного сценария, который развертывает вредоносное ПО Vidar стиллер информации в системах Windows. Это первый известный инцидент с вредоносным ПО Vidar, распространяемым через пакеты npm.

Реестр npm все чаще становится мишенью для крупных захватов пакетов, что позволяет злоумышленникам использовать его в качестве эффективного средства распространения вредоносного ПО. Несмотря на то, что принимаются меры по противодействию этим злоупотреблениям, ожидается, что такое использование экосистемы нпм будет продолжаться. Печально известный метод, встречающийся в этих вредоносных пакетах, включает в себя выполнение скрипта во время установки. В этом случае Node.js сценарий найден по адресу src/dependencies.js подтверждается, что он вредоносный, следуя типичной цепочке атак, когда изначально установленный облегченный загрузчик загружает более вредоносную полезную нагрузку второго этапа.

Полезная нагрузка второго этапа, выявленная в ходе этой кампании, является вариантом стиллера Vidar, который впервые появился в 2018 году как эволюция более старого Arkei Trojan. Этот исполняемый файл предназначен для кражи конфиденциальной информации из скомпрометированных систем, которая затем может быть продана на подпольных форумах или использована для дальнейших действий по эксплуатации.

Выводы Datadog также включают ссылки на различные контролируемые домены, связанные с кампанией, которые используются для загрузки полезных данных второго этапа или функционируют как инфраструктура командования и контроля (C2). Исследование показывает, что информация, собранная в результате этих атак, является ценным ресурсом, особенно предназначенным для разработчиков, которые имеют доступ к значительным активам.

Таким образом, распространение Vidar с помощью троянских пакетов npm иллюстрирует эволюционирующую тактику, применяемую злоумышленниками, такими как MUT-4831, и подчеркивает присущие уязвимости, присутствующие в реестрах пакетов с открытым исходным кодом, таких как npm. Такая ситуация вызывает серьезные опасения в отношении безопасности Цепочки поставок и постоянной угрозы, которую злонамеренные акторы представляют для ничего не подозревающих пользователей и организаций.

#ParsedReport #CompletenessLow
08-11-2025

PDFChampions YAPA Browser Hijacker/Loader Analysis

https://malasada.tech/pdfchampions-yapa-browser-hijacker-loader-analysis/

Report completeness: Low

Threats:
Pdfchampions
Convert_master
Convertyfile

Victims:
Consumers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1112, T1489, T1608, T1620

IOCs:
Url: 8
File: 4
Hash: 1
Domain: 5

Soft:
Firefox

Algorithms:
sha256

Functions:
SetFF, GetFF