#ParsedReport #CompletenessLow
26-11-2025

Whisper Leak: A novel side-channel attack on remote language models

https://www.microsoft.com/en-us/security/blog/2025/11/07/whisper-leak-a-novel-side-channel-cyberattack-on-remote-language-models/

Report completeness: Low

Victims:
Ai chatbot users

Industry:
Government, Healthcare

Geo:
San francisco

ChatGPT TTPs:
do not use without manual check
T1040

IOCs:
File: 1

Soft:
Microsoft Defender

Algorithms:
aes-gcm, ecdh, chacha20, aes

Links:
http://github.com/yo-yo-yo-jbo/whisper\_leak

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака по побочному каналу "Whisper Leak" использует уязвимости в чат-ботах на базе искусственного интеллекта, особенно в таких деликатных контекстах, как здравоохранение и юридические консультации, путем анализа структуры трафика данных, чтобы отличить обсуждения по конкретным темам, таким как законность, от общей болтовни. Используя эту методологию, злоумышленники потенциально могут раскрыть конфиденциальные пользовательские данные, поскольку моделирование показывает, что даже незначительные обсуждения конфиденциальных тем среди несвязанных разговоров создают значительные риски для конфиденциальности. Это подчеркивает настоятельную необходимость эффективных мер по анонимизации и шифрованию в коммуникациях с использованием искусственного интеллекта.
-----

Разработка чат-ботов на базе искусственного интеллекта привела к растущей обеспокоенности по поводу конфиденциальности взаимодействий, особенно в таких деликатных ситуациях, как здравоохранение и юридические консультации. Внедрение новой атаки по побочному каналу, называемой "Whisper Leak", выявляет уязвимости в моделях удаленного языка, которые потенциально могут раскрыть конфиденциальные пользовательские данные. Эта методология атаки использует предсказуемость разговоров, выделяя конкретную тему — такую как "законность отмывания денег" — из общих обсуждений посредством анализа закономерностей в трафике данных.

Атаки по побочным каналам обычно нацелены на криптографические реализации путем мониторинга таких аспектов, как энергопотребление и время извлечения секретных ключей. В этом случае атака Whisper Leak использует аналогичные принципы, обучая классификатор различать целевую чувствительную тему и фоновый шум, создаваемый несвязанными разговорами. Моделирование показывает, что даже при незначительном присутствии конфиденциальной темы в большом наборе данных существует значительный риск компрометации пользовательских данных. Это означает, что кибератакующие могли бы эффективно отслеживать разговоры в режиме реального времени, вызывая серьезные этические проблемы и проблемы безопасности в отношении конфиденциальности пользователей.

Чтобы снизить риски, связанные с этой уязвимостью, пользователям рекомендуется воздерживаться от обсуждения деликатных тем с помощью чат-ботов с искусственным интеллектом, особенно в ненадежных сетях. Рекомендуется использовать VPN-сервисы для дополнительной безопасности, выбирать поставщиков, у которых действуют надежные меры конфиденциальности, и выбирать модели, не связанные с потоковой передачей. Постоянное обновление протоколов безопасности поставщиков также имеет решающее значение для обеспечения безопасности взаимодействий в контексте растущего использования искусственного интеллекта. Атака Whisper Leak подчеркивает важность эффективной анонимизации и шифрования для поддержания целостности и конфиденциальности коммуникаций с системами искусственного интеллекта.

#ParsedReport #CompletenessMedium
26-11-2025

Fake adult websites pop realistic Windows Update screen to deliver stealers via ClickFix

https://www.acronis.com/en/tru/posts/fake-adult-websites-pop-realistic-windows-update-screen-to-deliver-stealers-via-clickfix/

Report completeness: Medium

Threats:
Clickfix_technique
Jackfix_technique
Rhadamanthys
Vidar_stealer
Redline_stealer
Amadey
Filefix_technique
Junk_code_technique

Victims:
Consumers, Adult site visitors

Industry:
Education, Financial, Government

Geo:
Guinea, Australia, Russian, Indonesia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.001, T1105, T1140, T1189, T1204, T1204.002, T1566.002, have more...

IOCs:
File: 1
Domain: 31
IP: 11

Soft:
Windows Security, Steam, Telegram, Chrome, Firefox, Microsoft Defender, twitter

Algorithms:
xor, aes, base64

Win Services:
bits

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака JackFix использует изощренный захват экрана и тактику социальной инженерии, чтобы ввести пользователей в заблуждение и заставить их выполнять вредоносные команды через поддельные веб-сайты для взрослых, выдавая им убедительное полноэкранное сообщение Центра обновления Windows. Атака использует запутанные скрипты, чтобы избежать обнаружения, кульминацией которой является сложная полезная нагрузка PowerShell, которая доставляет различные типы вредоносного ПО, включая стиллеров информации и RAT. Примечательно, что метод использует контексты, вызывающие дискомфорт, чтобы манипулировать пользователями, заставляя их участвовать в их собственном компромиссе, демонстрируя эволюцию стратегий атаки ClickFix.
-----

Недавнее исследование Acronis TRU выявило новую киберугрозу, получившую название "атака JackFix", которая сочетает в себе сложные методы захвата экрана с ClickFix для обмана пользователей. В этой продолжающейся кампании используются поддельные веб-сайты для взрослых, которые отображают убедительное полноэкранное приглашение Центра обновления Windows, утверждающее, что они предоставляют "Критические обновления для системы безопасности Windows". Цель состоит в том, чтобы ввести пользователей в заблуждение и заставить их выполнять вредоносные команды, используя тактику социальной инженерии, которая стимулирует срочность и страх.

Атака начинается с того, что жертв заманивают на фишинг-сайты для взрослых. Авторы отмечают, что такой выбор контекста является преднамеренным, поскольку он вызывает дискомфорт и подрывает доверие, делая пользователей более восприимчивыми к выполнению следующих инструкций. Исследователи заметили, что сайты фишинга подверглись многократным итерациям, причем в более ранних версиях содержались комментарии российских разработчиков в коде, прежде чем они были позже удалены, что указывает на потенциальную связь с русскоязычными злоумышленниками.

Примечательной особенностью атаки JackFix является использование методов запутывания. Эта версия ClickFix умело маскирует как вредоносную полезную нагрузку, так и команды, ответственные за ее передачу в буфер обмена жертвы. Поступая таким образом, атака обходит методы обнаружения, которые основаны на идентификации определенных команд HTML или JavaScript, обычно связанных с атаками ClickFix.

Кульминацией вредоносной активности является выдача поддельного запроса на обновление Windows, который выполняется с помощью HTML и JavaScript, встроенных непосредственно в сайт фишинга. Этот метод отличает его от предыдущих реализаций метода заражения Windows Update, создавая новые возможности для различных форм атак.

Первоначально атака развертывает серию скриптов в качестве полезной нагрузки первого этапа. Эти сценарии могут быть основаны либо на одной кампании, либо на наборе кампаний, использующих схожую структуру. После начального этапа поступает более сложная полезная нагрузка второго этапа в виде большого скрипта PowerShell, размер которого, как сообщается, достигает 13 мегабайт, а самый маленький - около 20 000 слов. Эта изнурительная сложность указывает на потенциальную возможность дальнейших вредоносных действий.

Заключительный этап атаки включает в себя несколько типов вредоносного ПО, включая стиллеров информации и троянов удаленного доступа (RAT), которые доставляются ничего не подозревающим жертвам методом "распыляй и молись". Эта кампания является примером передовой тактики социальной инженерии, которая позволяет злоумышленникам манипулировать пользователями, заставляя их чувствовать себя соучастниками собственной виктимизации, тем самым повышая вероятность взаимодействия с вредоносным контентом.

Хотя отмечается, что решения Acronis XDR обеспечивают защиту от этой кампании, обнаруживая и блокируя выполнение полезной нагрузки PowerShell, сама кампания иллюстрирует эволюцию методологий атак с ClickFix и постоянную необходимость проявлять бдительность в отношении подобных угроз социальной инженерии.

#ParsedReport #CompletenessHigh
24-11-2025

Morphisec Thwarts Russian-Linked StealC V2 Campaign Targeting Blender Users via Malicious .blend Files

https://www.morphisec.com/blog/morphisec-thwarts-russian-linked-stealc-v2-campaign-targeting-blender-users-via-malicious-blend-files/

Report completeness: High

Actors/Campaigns:
Blender

Threats:
Stealc
Pyramid_c2_tool
Blenderx
Uac_bypass_technique

Victims:
Blender users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1204, T1587, T1588

IOCs:
File: 2
Url: 27
Hash: 24
Path: 1
IP: 9

Soft:
macOS, Linux, Chromium, Firefox, Opera, Chrome, Telegram, Discord, Pidgin

Algorithms:
chacha20, sha256, zip

Languages:
python, powershell

Links:
https://github.com/cessen/rigify/tree/master

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер StealC V2, связанный с русскоязычными злоумышленниками, распространяется с помощью вредоносных программ .смешайте файлы, предназначенные для пользователей Blender. Эти файлы загружаются на бесплатные веб-сайты 3D asset, используя популярность программного обеспечения для охвата более широкой аудитории. Эволюция вредоносного ПО сделала его привлекательным для киберпреступников низкого уровня, и разведданные указывают на продолжающуюся активность в отношении пользователей, которые взаимодействуют с этими файлами.
-----

Недавние усилия по кибербезопасности высветили возрождение стиллера StealC V2, связанного с русскоязычными злоумышленниками, которые используют вредоносное ПО .смешивайте файлы специально для пользователей Blender. Эти файлы, связанные с Blender — широко используемым бесплатным пакетом для создания 3D-изображений с открытым исходным кодом — служат каналами распространения вредоносного ПО из-за широкой привлекательности Blender среди различных групп пользователей, включая любителей и профессиональных художников.

Были замечены злоумышленники , загружающие эти вредоносные программы .добавляйте файлы на бесплатные веб-сайты с 3D-активами, используя популярность платформы для обеспечения более широкого охвата. Вредоносное ПО StealC V2 эволюционировало с момента своего первоначального анонса в 2025 году, демонстрируя адаптивность для привлечения киберпреступников низкого уровня, ищущих простые методы развертывания. Информация с подпольных форумов указывает на то, что кампания по вредоносному ПО была усовершенствована и активно нацелена на пользователей, которые взаимодействуют с этими файлами.

Примечательно, что Morphisec эффективно защитила себя от этой угрозы, используя передовые методы обнаружения и предотвращения. Их платформа не только идентифицирует случаи StealC, но и защищает целостность данных до того, как произойдет какая-либо кража на уровне конечной точки. Такой упреждающий подход имеет решающее значение для снижения рисков, связанных с использованием скомпрометированных файлов .blend, которые все чаще используются в скоординированных кампаниях по борьбе с вредоносным ПО.

#ParsedReport #CompletenessLow
27-11-2025

GhostAd: Hidden Google Play Adware Drains Devices and Disrupts Millions of Users

https://blog.checkpoint.com/research/ghostad-hidden-google-play-adware-drains-devices-and-disrupts-millions-of-users/

Report completeness: Low

Actors/Campaigns:
Ghostad

Victims:
Android users

Industry:
Software_development

Geo:
Pakistan, Philippines, Malaysia, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1430

IOCs:
Hash: 5

Soft:
Google Play, Android

Wallets:
harmony_wallet

Languages:
kotlin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Check Point выявили GhostAd, рекламную кампанию в Google Play Store, затрагивающую устройства Android. Он работает скрытно, запуская постоянные фоновые процессы, которые нарушают производительность устройства и пользовательский интерфейс, создавая значительную угрозу целостности устройства. Замаскированный под легальные приложения, GhostAd может показывать агрессивную рекламу, что приводит к увеличению расхода заряда батареи и чрезмерному использованию данных, одновременно вызывая опасения по поводу уязвимостей в процессах проверки приложений на таких платформах.
-----

Исследователи Check Point выявили значительную рекламную кампанию в Google Play Store под названием GhostAd, которая затрагивает устройства Android. Это рекламное ПО работает скрытно, потребляя ресурсы устройства и вызывая сбои в обычной работе телефона. Основная тактика заключается в запуске постоянных фоновых процессов, которые могут серьезно воздействие на производительность устройства и пользовательский опыт без ведома пользователей.

GhostAd в первую очередь маскируется под легальные приложения, что позволяет ему обходить первоначальную проверку и размещаться на устройствах миллионов пользователей. После установки он начинает агрессивно показывать рекламу, часто запуская нежелательную рекламу, которая может прерывать работу других приложений и служб. Эти постоянные сбои не только влияют на удобство использования устройства, но и могут привести к ускоренному разряду батареи и потенциальному чрезмерному использованию данных, поскольку рекламное ПО неустанно работает в фоновом режиме.

Последствия такого рекламного ПО выходят за рамки простого раздражения; они представляют угрозу целостности устройства и доверию пользователей к безопасности приложений. Рекламное ПО, подобное GhostAd, выявляет уязвимости в процессах проверки приложений на таких платформах, как Google Play, поскольку ему удается оставаться незамеченным в течение длительного времени, что вызывает опасения по поводу эффективности текущих мер безопасности, применяемых для защиты пользователей от вредоносных приложений. Пользователям, затронутым GhostAd, следует проявлять бдительность в отношении разрешений, которые они предоставляют приложениям, и рассмотреть возможность использования решений для обеспечения безопасности, которые могут обнаруживать и устранять присутствие вредоносного программного обеспечения, такого как рекламное ПО.

#ParsedReport #CompletenessHigh
26-11-2025

Inside the GitHub Infrastructure Powering North Koreas Contagious Interview npm Attacks

https://socket.dev/blog/north-korea-contagious-interview-npm-attacks

Report completeness: High

Actors/Campaigns:
Contagious_interview (motivation: information_theft)

Threats:
Ottercookie
Beavertail
Supply_chain_technique

Victims:
Blockchain developers, Web3 developers

Industry:
Financial

Geo:
Japan, North koreas, Dprk, North korean, North korea

TTPs:
Tactics: 5
Technics: 23

IOCs:
Domain: 2
Url: 9
File: 44
Hash: 1
Registry: 1
Coin: 3
IP: 2
Email: 24

Soft:
Chrome, macOS, Linux, Node.js, virtualbox, qemu, virtualbox\|qemu, WalletConnect

Wallets:
keplr, metamask, core_wallet, tonkeeper, xdefi, solflare, safepal, unisat, coinbase, rabby, have more...

Crypto:
binance

Functions:
eval, setHeader, main, s, ss, aa, bb, unref, setInterval, getBasePaths, have more...

Languages:
javascript, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские злоумышленники проводят операцию "Contagious Interview", внедряя по меньшей мере 197 вредоносных пакетов npm, нацеленных на разработчиков блокчейна и Web3, замаскированных под предложения о работе. Примечательно, что typosquatted пакет "tailwind-magic" действует как удаленный загрузчик, выполняя произвольный JavaScript при установке и связываясь с сервером, который доставляет вредоносную полезную нагрузку, соответствующую семейству вредоносных ПО OtterCookie. Это вредоносное ПО обладает широкими возможностями, включая кражу буфера обмена, удаленный доступ к командной строке, кражу учетных данных, Регистрацию нажатий клавиш и закрепление в системах Windows, что иллюстрирует сложные методы атаки по Цепочке поставок.
-----

Северокорейские акторы запустили операцию "Contagious Interview", нацеленную на разработчиков блокчейна и Web3, распространяя 197 вредоносных пакетов npm с более чем 31 000 загрузок. Ключевой пакет "tailwind-magic" представляет собой typosquatted, бэкдорную версию "tailwind-merge", выполняющую постинсталляционный скрипт, который связывается с сервером, управляемым злоумышленником, и позволяет выполнять произвольный код JavaScript. Промежуточный сервер работает по адресу tetrismic.vercel.app, доставляя вредоносную полезную нагрузку JSON, извлеченную и выполненную с помощью функции eval() JavaScript в приложении жертвы. Node.js процесс. Полезная нагрузка соответствует семейству вредоносных ПО OtterCookie, способных обнаруживать виртуальные машины перед отправкой первоначальных запросов на сервер C2. Как только первоначальные проверки пройдены, вредоносное ПО выполняет кражу буфера обмена, устанавливает интерактивную удаленную оболочку, обеспечивает закрепление в Windows и выполняет кражу учетных данных браузера и кошелька, Регистрацию нажатий клавиш, захват скриншотов и систематическое сканирование файлов. Вредоносный код распространяется через репозиторий dexproject, иллюстрируя атаку по Цепочке поставок. Операция представляет собой продвинутую тактику, описанную в платформе MITRE ATT&CK, включая разработку возможностей вредоносного ПО и выполнение вредоносных библиотек.

#ParsedReport #CompletenessLow
27-11-2025

RelayNFC: The New NFC Relay Malware Targeting Brazil

https://cyble.com/blog/relaynfc-nfc-relay-malware-targeting-brazil/

Report completeness: Low

Threats:
Ngate
Relaynfc
Supercard-x
Phantomcard

Victims:
Payment systems users in brazil

Geo:
Brazilian, Brazil

TTPs:
Tactics: 8
Technics: 5

IOCs:
Url: 10
File: 2
Hash: 5

Soft:
Android

Algorithms:
sha256

Languages:
kotlin, javascript, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RelayNFC - это семейство вредоносных ПО для Android, нацеленное на пользователей в Бразилии с помощью фишинг-кампаний, позволяющих осуществлять мошеннические бесконтактные платежи с помощью NFC-ретрансляционных атак. Это создает канал ретрансляции APDU в режиме реального времени, позволяя злоумышленникам имитировать физическое владение картой. Работая с минимальными разрешениями и используя методы, которые включают фишинг для первоначального доступа, сбор информации об устройстве и перехватывание пользовательского ввода, RelayNFC осуществляет скрытую связь с помощью WebSockets через Нестандартные порты, подчеркивая свои расширенные возможности уклонения.
-----

Семейство вредоносных ПО RelayNFC представляет значительную киберугрозу, особенно нацеленную на пользователей в Бразилии с помощью сложных кампаний фишинга, направленных на обеспечение возможности мошеннических бесконтактных платежей. Это вредоносное ПО для Android облегчает атаки с ретрансляцией NFC, создавая полноценный канал ретрансляции APDU в режиме реального времени, тем самым позволяя злоумышленникам проводить транзакции, как если бы они физически владели картой жертвы.

Распространение RelayNFC основано на методах фишинга, которые успешно обманывают пользователей, заставляя их загружать вредоносное ПО. Его построение с использованием React Native и байт-кода Hermes создает проблемы для традиционного статического анализа, тем самым помогая ему избежать обнаружения. Это свидетельствует о более широкой тенденции среди появляющихся типов вредоносного ПО, о чем свидетельствуют такие варианты, как Ngate, SuperCardX и PhantomCard, которые аналогичным образом используют технологию NFC для перехвата или ретрансляции платежных данных. Более того, родственный вариант RelayNFC экспериментирует с эмуляцией хост-карты (HCE), что позволяет предположить, что злоумышленник диверсифицирует свои методы атаки. Текущий анализ с помощью VirusTotal не показывает обнаружений этого вредоносного ПО, что указывает на тревожный уровень скрытности и подчеркивает продолжающуюся эволюцию вредоносного ПО.

С технической точки зрения RelayNFC работает с минимальными разрешениями и имеет оптимизированную архитектуру, что еще больше облегчает его усилия по запутыванию. Он собирает информацию об устройстве на начальных этапах его работы, используя методы, проверенные в рамках MITRE ATT&CK framework. Тактика вредоносного ПО включает методичное использование фишинга для первоначального доступа (TA0027, T1660), сбор системной информации (TA0032, T1426) и перехватывание пользовательского ввода через графический интерфейс для получения конфиденциальных данных, таких как платежные ПИН-коды (TA0031, T1417.002). Механизмы командования и контроля используют WebSockets для обмена данными по протоколам HTTP (TA0037, T1437.001) и Нестандартным портам, в частности, через порт 3000, что обеспечивает злоумышленникам скрытый канал связи.

Таким образом, кампания RelayNFC является примером значительного расширения возможностей NFC relay malware, демонстрируя эффективное сочетание социальной инженерии, сложных методов запутывания и перехвата транзакций в режиме реального времени. Активная угроза представляет повышенный риск для целостности платежных систем NFC, особенно в условиях Бразилии, где продолжается разработка и адаптация злоумышленниками.

#ParsedReport #CompletenessMedium
28-11-2025

Rare Earth Material Lure Delivering Shellcode Loader

https://dmpdump.github.io/posts/Reia/

Report completeness: Medium

Victims:
Rare earth materials sector, Think tanks

Industry:
Military, Education

Geo:
China, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1620

IOCs:
File: 5
Url: 1
Domain: 1
Hash: 4
IP: 1

Algorithms:
zip

Win API:
LoadLibrary, SwitchToFiber

Links:
https://github.com/dmpdump/ShellcodeFiber/blob/main/main.cpp
https://github.com/dmpdump
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4