#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, нацеленная на Booking.com появились аккаунты, использующие скомпрометированные электронные письма из взломанных отелей для обхода фильтров безопасности и перенаправления жертв на поддельную страницу входа в систему. Эта страница развертывает вредоносное ПО с помощью двухэтапного сценария PowerShell, который извлекает системную информацию и использует тактику DLL side-loading для скрытой работы в памяти. В конечном счете, злоумышленники выдают себя за отели, чтобы принудить гостей к совершению мошеннических платежей, что приводит к значительным Кражам денежных средств.
-----

Изощренная кампания по фишингу, нацеленная на Booking.com были выявлены учетные записи, действующие как организованное преступное предприятие со специализированными функциями, направленными на обман постояльцев отеля. Первоначальный компромисс использует электронные письма с ранее взломанных законных аккаунтов других отелей, которые обходят фильтры безопасности и кажутся жертвам срочными. Электронные письма содержат ссылки, ведущие к Системе распределения трафика (TDS), чтобы замаскировать конечную точку. Попадая на целевую страницу, пользователи сталкиваются с убедительно воспроизведенным Booking.com интерфейс входа в систему, в котором функция JavaScript предназначена для копирования вредоносной команды PowerShell в буфер обмена. Жертвам предлагается вставить и выполнить эту команду, тем самым невольно загружая и запуская вредоносное ПО.

Развертывание вредоносного ПО включает в себя двухэтапный сценарий PowerShell: первый сценарий выполняется по команде пользователя и извлекает более продвинутый второй сценарий PowerShell с сервера злоумышленника. Этот дополнительный сценарий выполняет разведку для сбора системной информации, которая затем отфильтровывается обратно на сервер командования и контроля (C2). Злоумышленники доставляют полезные файлы, которые включают в себя один законный, подписанный исполняемый файл наряду с вредоносными библиотеками DLL. Механизм постоянной угрозы использует ключи реестра и ярлыки папок автозагрузки, используя тактику DLL side-loading, при которой вместо законного исполняемого файла загружаются вредоносные библиотеки DLL. Этот метод без файлов позволяет вредоносному ПО работать в памяти, сводя к минимуму риски обнаружения.

Конечная цель кампании - Кража денежных средств, получившая название аферы "Я заплатил дважды". Злоумышленники собирают учетные данные для отелей' Booking.com порталы экстрасети, использующие различные методы, включая клавиатурные шпионы и сброс памяти. Получая доступ к подлинным данным бронирования, они выдают себя за отели и связываются со своими гостями, заявляя о проблемах с банковским обслуживанием или безопасностью и принуждая их к совершению мошеннических платежей на счета, контролируемые злоумышленниками, в результате чего жертвы обманом платят дважды за свое пребывание.

Базовая инфраструктура для этой операции включает рынки учетных данных, где украденные учетные данные продаются на форумах Dark Web, с автоматизированными инструментами проверки, обеспечивающими действительность учетных данных. Очевиден многоуровневый подход, использующий методы фишинга и передовые методы исполнения, чтобы избежать обнаружения и обеспечить закрепление в скомпрометированных системах. Рекомендации по защите включают повышение уровня подготовки пользователей, применение мер безопасности электронной почты, ограничение использования PowerShell, мониторинг необычной активности в реестре, внесение приложений в белый список и обязательную Многофакторную аутентификацию для учетных записей платформы бронирования, чтобы снизить риски, связанные с этой постоянной угрозой.

#ParsedReport #CompletenessLow
11-11-2025

GlassWorm Returns: New Wave Strikes as We Expose Attacker Infrastructure

https://www.koi.ai/blog/glassworm-returns-new-wave-openvsx-malware-expose-attacker-infrastructure

Report completeness: Low

Threats:
Glassworm

Victims:
Software development, Government

Industry:
Critical_infrastructure, Financial, E-commerce, Government

Geo:
Middle east, America, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1090, T1102, T1105, T1195, T1552, T1659

IOCs:
IP: 1

Soft:
Chrome, VSCode, Hugging Face

Crypto:
solana

Languages:
javascript

Links:
https://github.com/Darkrain2009/RedExt?tab=readme-ov-file
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберугроза GlassWorm нацелена на расширения кода Visual Studio, использующие невидимые символы Юникода, чтобы скрыть вредоносный код и избежать обнаружения. Недавно это распространилось на GitHub, где злоумышленники используют украденные учетные данные для совершения кажущихся законными коммитов, которые скрывают вредоносное ПО. Эта угроза подчеркивает трудности в борьбе с изощренными атаками, которые могут распространяться через скомпрометированные учетные записи, затрагивая широкий круг жертв по всему миру.
-----

Киберугроза GlassWorm появилась вновь, конкретно нацеленная на расширения Visual Studio Code (VS Code). Первоначально раскрытый тремя неделями ранее, GlassWorm примечателен своей самораспространяющейся природой, использующей невидимые символы Юникода для скрытия вредоносного кода, который ускользает от обнаружения в редакторах кода. Недавние события указывают на появление еще трех расширений OpenVSX, демонстрирующих ту же сигнатуру GlassWorm, что подтверждает закрепление угрозы и ее адаптивность.

Исследования показывают, что GlassWorm расширил свой охват репозиториев GitHub по состоянию на 31 октября 2025 года, а исследователи безопасности из Aikido Security выявили случаи, когда разработчики обнаруживали, что их репозитории скомпрометированы. Атаки включали якобы законные коммиты, которые включали изменения кода для конкретного проекта, которые казались сгенерированными искусственным интеллектом, чтобы замаскироваться под обычную деятельность по разработке. Однако эти коммиты скрывали один и тот же невидимый шаблон вредоносного ПО в Юникоде, используя кодировку области частного использования, чтобы скрыть вредоносную полезную нагрузку. Полезные нагрузки используют ранее идентифицированный механизм доставки через блокчейн Solana. Примечательно, что злоумышленники используют украденные учетные данные GitHub для выполнения вредоносных коммитов, демонстрируя тем самым способность червя к самораспространению через захваченные учетные записи.

Круг пострадавших простирается по Соединенным Штатам, Южной Америке, Европе, Азии и включает в себя правительственное учреждение с Ближнего Востока, а также множество индивидуальных разработчиков и организаций. Это тревожное распространение подчеркивает широкомасштабные последствия атаки GlassWorm и подчеркивает необходимость улучшения управления и прозрачности по всей Цепочке поставок программного обеспечения. Сложность этой угрозы иллюстрирует ограничения традиционных средств безопасности в среде, где вредоносное ПО может оставаться незамеченным, а злоумышленники могут использовать украденные учетные данные для дальнейшего распространения.

#ParsedReport #CompletenessLow
11-11-2025

North Korean hackers rely on Google to locate and find opportunities, and remotely destroy the core data of the target's phone after stealing the secret.

https://www.secrss.com/articles/84887

Report completeness: Low

Actors/Campaigns:
Scarcruft
Kimsuky
Forumtroll

Threats:
Spear-phishing_technique

Victims:
Android smartphone users

Geo:
North korean

ChatGPT TTPs:
do not use without manual check
T1446, T1566

Soft:
Android, KakaoTalk, Gmail

Win API:
IoKlTr

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские хакеры разработали новую тактику APT, позволяющую им удаленно манипулировать смартфонами Android и перезагружать их с помощью точной геолокации и фишинга. Первоначально собирая критическую информацию с помощью фишинга, они используют уязвимости для удаленной очистки устройства, что приводит к значительной потере данных. Этот метод свидетельствует о тревожной тенденции в области киберугроз, сочетающей традиционную социальную инженерию с передовыми технологическими манипуляциями для эффективного воздействия на жертв.
-----

Недавние результаты, полученные от иностранной охранной фирмы, свидетельствуют о новой тактике использования северокорейскими хакерами сложных целенаправленных угроз (APT). Эта группа разработала метод удаленного управления Android-смартфонами и их сброса. Используя комбинацию методов точной геолокации и фишингов-мошенничества, хакеры могут эффективно воздействовать на пользователей.

Как только цель идентифицирована, хакеры начинают свою атаку, сначала получая критическую информацию с помощью попыток фишинга. Такой подход позволяет им использовать уязвимости или слабые места в мобильном устройстве цели. После успешного проникновения злоумышленники могут выполнить удаленную очистку устройства, что приведет к значительной потере данных жертвой. Намерение, стоящее за этими действиями, по-видимому, направлено на нанесение разрушительного удара, удаление основных данных с целевых телефонов для достижения своих целей.

Этот метод иллюстрирует тревожную тенденцию в области киберугроз, когда традиционная тактика социальной инженерии дополняется технологическими манипуляциями. Полагаясь на такие инструменты и сервисы, как Google, для точного отслеживания местоположения, эти злоумышленники могут увеличить свои шансы на успешное взаимодействие с выбранными целями. Последствия этих атак подчеркивают важность защиты персональных устройств и бдительности в отношении попыток фишинга, особенно для тех, кто может подвергаться более высокому риску стать мишенью киберпреступников, спонсируемых государством.

#ParsedReport #CompletenessLow
11-11-2025

Analysis of the Yurei ransomware's Go-based builder encryption structure.

https://asec.ahnlab.com/ko/90933/

Report completeness: Low

Threats:
Yurei
Ransom/mdp.event.m1785
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1875
Ransomware/win.yureicrypt.r721068
Ransomware/win.yureicrypt.r721188
Prince_ransomware

Industry:
Foodtech, Transport, Logistic

Geo:
Nigeria, Sri lanka

ChatGPT TTPs:
do not use without manual check
T1083, T1486, T1490

IOCs:
File: 1

Soft:
nuget, vscode

Algorithms:
md5, chacha20-poly1305, ecdh, aes-gcm

Languages:
dotnet

Platforms:
intel, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Yurei - это новая группа программ-вымогателей, использующая классическую модель программ-вымогателей с тактикой двойного вымогательства, нацеленную на корпоративные сети, шифрование данных и удаление резервных копий. Он построен с использованием языка программирования Go и использует уникальный процесс шифрования, идентифицирующий файлы без стандартных процедур, и использует алгоритм ChaCha20-Poly1305 с 32-байтовым ключом и 24-байтовым одноразовым номером, которые дополнительно защищены с помощью шифрования secp256k1-ECIES. Это усложняет процесс расшифровки, усиливая угрозу для затронутых организаций.
-----

Yurei - это недавно выявленная группа программ-вымогателей, которая появилась в начале сентября 2025 года и использует классическую модель программ-вымогателей, проникая в корпоративные сети, шифруя данные, удаляя резервные копии и требуя выкуп с помощью тактики двойного вымогательства. До сих пор не было никаких признаков модели "Программа-вымогатель как услуга" (RaaS) или сотрудничества с другими группами, а также свидетельств ребрендинга существующих Ransomware. Общение с жертвами осуществляется через специализированные платформы Dark Web.

Yurei ransomware создана с использованием языка программирования Go и имеет уникальный механизм шифрования. В отличие от традиционных программ-вымогателей, Yurei не инициирует процесс шифрования с помощью стандартных процедур, таких как изменение разрешений, установка значений аргументов или создание мьютексов. Вместо этого он быстро готовится к шифрованию, собирая информацию о диске из своей среды выполнения и запуская процедуру поиска файлов для шифрования по всем путям к диску.

Для шифрования Yurei использует алгоритм ChaCha20-Poly1305, генерирующий случайный 32-байтовый ключ и 24-байтовый одноразовый номер. Эти компоненты имеют решающее значение для процесса шифрования, поскольку они обеспечивают безопасное шифрование файлов. Как только целевые файлы идентифицированы, Yurei выполняет свою процедуру шифрования, используя сгенерированный ключ и одноразовый номер. Кроме того, для повышения безопасности ключа и одноразового номера они шифруются с использованием метода secp256k1-ECIES со встроенным открытым ключом, что делает их доступными для извлечения только злоумышленником, обладающим соответствующим закрытым ключом. Такой криптографический подход повышает сложность расшифровки файлов без вмешательства злоумышленника, тем самым усиливая воздействие программы-вымогателя на пострадавшие организации.

#ParsedReport #CompletenessLow
11-11-2025

Danabot Malware Reemerges with Version 669 After Operation Endgame

https://gbhackers.com/danabot-malware/

Report completeness: Low

Threats:
Danabot

Victims:
Banking sector

Industry:
Financial

IOCs:
IP: 4
Coin: 2

Soft:
Twitter, WhatsApp

Wallets:
tron

Crypto:
bitcoin, ethereum, litecoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Danabot, банковское вредоносное ПО, вновь появилось с версией 669 после шестимесячного перерыва после операции Endgame. Недавняя активность свидетельствует о развертывании новых серверов управления, что указывает на эволюционировавшую стратегию злоумышленников, направленную на повышение операционной устойчивости и уклонение от обнаружения. Это возрождение подчеркивает сохраняющиеся риски, связанные с передовым банковским вредоносным ПО, и показывает трудности, с которыми сталкиваются правоохранительные органы при постоянном уничтожении сетей киберпреступников.
-----

Danabot, банковское вредоносное ПО, появилось в новой версии 669 после сбоев, вызванных операцией Endgame в мае 2025 года. Это знаменует собой заметное возвращение вредоносного ПО, которое было относительно неактивным в течение почти шести месяцев. Обновленная активность свидетельствует о том, что злоумышленники, стоящие за Danabot, адаптировали и развили свои стратегии, продолжая представлять значительные риски для организаций.

Недавние наблюдения исследователей безопасности свидетельствуют о развертывании множества новых серверов управления (C2). Такая диверсификация инфраструктуры указывает на продуманные усилия злоумышленников по повышению своей операционной устойчивости и уклонению от обнаружения, тем самым укрепляя их способность организовывать кибератаки.

Возрождение версии 669 Danabot подчеркивает сохраняющиеся опасности, связанные с передовыми семействами банковских вредоносных ПО. Это иллюстрирует проблемы, с которыми сталкиваются правоохранительные органы, которым, возможно, удастся временно вывести из строя эти сети, но с трудом удается окончательно разрушить более широкую экосистему киберпреступников. Организации должны сохранять бдительность и укреплять свою защиту от таких постоянных угроз, признавая, что вредоносное ПО, подобное Danabot, может быстро появиться вновь, несмотря на предыдущие попытки его нейтрализовать.

#ParsedReport #CompletenessLow
11-11-2025

New KomeX Android RAT Hits Hacker Forums with Tiered Subscriptions

https://gbhackers.com/komex-android-rat/

Report completeness: Low

Threats:
Komex
Btmob_rat

Soft:
Android, Twitter, WhatsApp, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KomeX - это троян для удаленного доступа к Android (RAT), распространяемый злоумышленником Gendirector, с многоуровневой моделью подписки, которая позволяет использовать целевые возможности в зависимости от цены. Он предлагает обширные функциональные возможности, такие как мониторинг коммуникаций, выполнение удаленных команд и сбор конфиденциальной информации, позиционируя его как сложный инструмент в среде мобильного вредоносного ПО. Эта разработка подчеркивает тенденцию к созданию более совершенного вредоносного ПО, доступного более широкому кругу злоумышленников, что вызывает опасения по поводу увеличения числа компрометаций устройств Android.
-----

KomeX - это недавно идентифицированный троян для удаленного доступа к Android (RAT), активно распространяемый на подпольных хакерских форумах злоумышленником, известным как Gendirector. Это вредоносное ПО особенно примечательно своей многоуровневой моделью подписки, предполагающей деловой подход к его распространению, ориентированный на различные возможности пользователей на основе различных цен.

KomeX RAT обладает широким спектром вредоносных функций, предоставляя злоумышленникам значительный контроль над зараженными устройствами. Его возможности, вероятно, включают в себя возможность отслеживать и перехватывать сообщения, удаленно выполнять команды и собирать конфиденциальную информацию, хранящуюся на устройстве. Такие функции делают его более продвинутым по сравнению со стандартным вредоносным ПО, что указывает на изменение уровня сложности в среде мобильных вредоносных ПО.

Появление KomeX RAT высвечивает эволюционирующие угрозы в экосистеме "вредоносное ПО как услуга", отмечая тенденцию, когда сложные инструменты становятся доступными для более широкой аудитории злоумышленников. Эта разработка вызывает опасения относительно потенциального всплеска компрометации устройств Android, поскольку злоумышленники используют эти расширенные возможности для различных вредоносных целей.

#ParsedReport #CompletenessMedium
11-11-2025

Maverick and Coyote: Analyzing the Link Between Two Evolving Brazilian Banking Trojans

https://www.cyberproof.com/blog/maverick-and-coyote-analyzing-the-link-between-two-evolving-brazilian-banking-trojans/

Report completeness: Medium

Threats:
Maverick
Coyote
Sorvepotel

Victims:
Banks, Financial institutions users, Hotels, Brazilian users

Industry:
Financial

Geo:
Brazil, Brazilian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1059.003, T1140, T1204.001, T1204.002, T1204.003, T1587.001, T1588.001

IOCs:
File: 7
Command: 3
Url: 1
IP: 3
Hash: 3
Domain: 65

Soft:
WhatsApp, Microsoft Defender, chrome, firefox, opera, chromium

Wallets:
electrum

Algorithms:
gzip, sha256, md5, aes, zip, cbc, sha1, base64

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи CyberProof выявили связь между двумя бразильскими банковскими троянами, Maverick и Coyote, которые распространяются через WhatsApp. Оба штамма вредоносного ПО используют схожие многоступенчатые методы заражения, используя вредоносные сжатые файлы, которые выполняют команды PowerShell для нацеливания на банковские URL-адреса. Примечательно, что они специально ориентированы на бразильских пользователей и финансовые учреждения, что указывает на дублирование операций и меняющийся ландшафт угроз, потенциально усиливаемый достижениями в области искусственного интеллекта.
-----

Недавние исследования, проведенные исследователями CyberProof, выявили связь между двумя развивающимися бразильскими банковскими троянами, Maverick и Coyote, которые распространяются главным образом через приложение для обмена сообщениями WhatsApp. Анализ, начатый после выявления инцидентов, связанных с вредоносным ПО Maverick, показал многоэтапную цепочку заражения, в которой используются аналогичные методы, ранее отмеченные в кампании Coyote.

И Maverick, и Coyote имеют общие технические характеристики, включая методы заражения, которые начинаются с файлов Вредоносных ссылок, выполняющих команды PowerShell. Злоумышленники используют общий алгоритм шифрования для расшифровки целевых банковских URL-адресов, что указывает на уровень дублирования операций между двумя троянами. Оба штамма вредоносного ПО также ориентированы на одну и ту же демографическую группу, конкретно ориентируясь на бразильских пользователей и финансовые учреждения, и разрабатываются с использованием .СЕТЕВОЙ фреймворк.

В одном примечательном инциденте файл с надписью NEW-20251001_152441-PED_561BCF01.zip был загружен с веб-интерфейса WhatsApp, что позволяет предположить, что вредоносное ПО распространяется через общие файлы в потоках обмена сообщениями. Расследование CyberProof также выявило структурированную цепочку уничтожения атак, которая начинается с безобидных на вид архивированных файлов, за которыми следует выполнение скриптов PowerShell.

Исследователи предоставили подробный поисковый запрос, направленный на выявление загрузок из WhatsApp, которые могут привести к дальнейшим заражениям. Этот запрос фокусируется на отслеживании загрузок файлов с платформы обмена сообщениями и соотносит их с последующим выполнением команд PowerShell, потенциально выявляя вредоносную активность, связанную с вредоносным ПО.

Анализ показал, что Maverick влияет не только на пользователей бразильских банковских учреждений, но и на бразильский гостиничный бизнес. Кроме того, поведение вредоносного ПО указывает на возможность будущих итераций, основанных на достижениях искусственного интеллекта, что указывает на эволюционирующий ландшафт для этих киберугроз.