#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Раскрытие инфраструктуры LockBit 5.0, включая IP-адрес 205.185.116.233 и домен karma0.xyz, раскрывает подробности о его операционной среде и подчеркивает усилия по разведке против этой группы программ-вымогателей. LockBit 5.0 известен своими возможностями самораспространения и обширной эксфильтрацией данных, ориентированной на различные отрасли промышленности. Идентификация ее инфраструктуры может облегчить действия аналитиков по кибербезопасности и правоохранительных органов по пресечению деятельности группы.
-----

Недавнее разоблачение ключевой инфраструктуры LockBit 5.0 раскрыло важные подробности о ее операционной среде, включая конкретный IP-адрес 205.185.116.233 и домен karma0.xyz, который служит хостингом для последних утечек данных группы вымогателей. Этот инцидент подчеркивает разведка и усилий, сопоставления против LockBit вымогателей-а-а-сервис, который существенно вектор угрозы в кибер пейзаж.

LockBit 5.0, последняя версия LockBit ransomware, известна своими возможностями самораспространения и ориентирована на различные отрасли промышленности для обширной эксфильтрации данных перед шифрованием. Идентификация его инфраструктуры может дать представление аналитикам по кибербезопасности и правоохранительным органам, стремящимся устранить оперативные возможности злоумышленника, стоящего за LockBit. Раскрытие информации может привести к потенциальным операциям по удалению данных с указанного IP-адреса и домена, что нарушит деятельность группы вымогателей и снизит их эффективность.

Нацеливаясь на эти ресурсы и отключая их, защитники могут ослабить работу LockBit, потенциально сводя к минимуму риск, создаваемый для различных организаций, которые часто становятся мишенями атак программ-вымогателей. Постоянный мониторинг и расследование инфраструктуры таких групп вымогателей по-прежнему имеют решающее значение для эффективной борьбы с киберугрозами.

#ParsedReport #CompletenessHigh
08-12-2025

Bellerophonte never dreamed of such a thing. The ChimeraWire Trojan scams the popularity of websites by skillfully pretending to be human Dr.Web vxCube sandbox update coming

https://news.drweb.ru/show/?i=15090&lng=ru&c=5

Report completeness: High

Threats:
Chimerawire
Dllsearchorder_hijacking_technique
Buster_tool
Nopecha_tool

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 18
Path: 5
Domain: 12
Hash: 24
Url: 12
IP: 2

Soft:
Google Chrome, Windows shell, Linux, macOS, Windows Registry

Algorithms:
aes-gcm, base64, zip

Languages:
python, visual_basic, powershell

Links:
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Trojan.ChimeraWire/README.adoc
https://github.com/sohaha/zlsgo
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец ChimeraWire - это сложное вредоносное ПО, нацеленное на системы Windows, использующее многоэтапный процесс заражения, который начинается с Trojan.DownLoader48.54600, который проверяет наличие виртуальных сред, чтобы избежать обнаружения. Это маскируется под законное explorer.exe обрабатывать при загрузке дополнительных полезных данных, таких как вредоносный скрипт на Python и ISCSIEXE.dll , позволяя ему имитировать взаимодействие с пользователем для автоматического мошенничества с кликами. ChimeraWire использует передовые методы уклонения и методы закрепления, согласующиеся с различными тактиками MITRE ATT&CK, что указывает на значительную эволюцию в изощренности вредоносного ПО.
-----

Троянец ChimeraWire представляет собой сложную угрозу, использующую различные методы заражения и уклонения. Обнаруженное специалистами "Доктор Веб", это вредоносное ПО работает в системах Windows и обладает функцией кликера. Он инициирует свое заражение с помощью многоэтапного процесса, начинающегося с Trojan.DownLoader48.54600, который проверяет, выполняется ли он в виртуальной среде, и завершает работу, если это так. Если среда легальна, она загружает ZIP-файл, содержащий вредоносный скрипт на Python и сопутствующие файлы, в частности ISCSIEXE.dll , что необходимо для дальнейшего выполнения.

Заражение прогрессирует с помощью Trojan.DownLoader48.61444, для которого требуются права администратора. В этом варианте используется техника маскарадного PEB для маскировки под законного explorer.exe процесс, который помогает ему избежать обнаружения с помощью мер безопасности. Конечная полезная нагрузка, троянец ChimeraWire, затем загружает ZIP-архив из стороннего источника, который включает версию браузера Google Chrome вместе с потенциальными конфигурациями для других операционных систем.

Операционное поведение ChimeraWire's особенно вредоносно, поскольку оно имитирует взаимодействие пользователей для эффективного управления веб-сайтами. Он выполняет поиск по указанным доменам и ключевым словам, открывает результирующие ссылки и идентифицирует гиперссылки на этих страницах. Чтобы обойти защиту от ботов, он перетасовывает порядок кликов, пытаясь имитировать поведение человека. Эта возможность вызывает серьезные опасения, учитывая ее последствия для автоматического мошенничества с кликами и потенциального использования веб-ресурсов.

Самое вредоносное ПО выравниваются с помощью различных методик, описанных в рамках Митре АТТ&КФК, такие как выполнение с участием пользователей, повышение привилегий эскалации, и тактику уклонения. Он демонстрирует передовые закрепление посредством нескольких механизмов, в том числе манипулируя клавишами запуска и запланированные задачи, чтобы обеспечить продолжение работы после начальной компромисс. Злоумышленники, стоящие за ChimeraWire, эффективно используют запутывание и кодирование для предотвращения обнаружения, демонстрируя высокий уровень сложности своих операций. В целом, ChimeraWire пример эволюции в вредоносное ПО обеспечением, что делает его критическим для кибербезопасность кибербезопасность сохранять бдительность в отношении таких обманных стратегий.

#ParsedReport #CompletenessHigh
05-12-2025

Sharpening the knife: GOLD BLADEs strategic evolution

https://news.sophos.com/en-us/2025/12/05/sharpening-the-knife-gold-blades-strategic-evolution/

Report completeness: High

Actors/Campaigns:
Red_wolf (motivation: financially_motivated, cyber_criminal, politically_motivated, cyber_espionage, information_theft)
Stac6565

Threats:
Qwcrypt
Redloader
Edr-killer
Byovd_technique
Zemana_tool
Terminator_tool
Hack-for-hire_technique
Spear-phishing_technique
Lolbin_technique
Ad_explorer_tool
Rpivot_tool
Chisel_tool
Nssm_tool
Impacket_tool
Shadow_copies_delete_technique
Hardbit
Lockbit

Victims:
Canadian organizations, Human resources personnel

Industry:
Retail

Geo:
Canadian, America, Canada

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 17
Domain: 7
Path: 3
IP: 4
Registry: 2
Url: 4
Hash: 25

Soft:
Sysinternals, Windows service, Windows security, curl, bcdedit

Algorithms:
aes, base64, bcrypt, sha256, zip, xor, md5, sha1

Languages:
powershell, python

Links:
https://github.com/ZeroMemoryEx/Terminator/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GOLD BLADE, также известный как RedCurl или RedWolf, эволюционирует от кибершпионажа к гибридной модели, сочетающей кражу данных с внедрением пользовательского варианта программы-вымогателя QWCrypt. С начала 2024 года группа была причастна почти к 40 атакам, в основном нацеленным на канадские организации, с использованием методологии атаки, которая использует сторонние платформы для подбора персонала для фишинга и многоэтапной доставки вредоносного ПО. Использование ими таких инструментов, как RPivot для C2 communications и Terminator для отключения решений безопасности, подчеркивает их сложные методы уклонения и адаптацию к улучшениям обнаружения угроз.
-----

GOLD BLADE, также известная как RedCurl и RedWolf, перешла от кибершпионажа к гибридной модели кражи данных и выборочного внедрения программ-вымогателей с использованием QWCrypt. В период с февраля 2024 по август 2025 года аналитики отследили почти 40 вторжений, причем более 80% были нацелены на канадские организации. Группа исторически действовала по модели "hack-for-hire" без сайта утечки данных, но теперь, похоже, монетизируется с помощью Ransomware. Текущая методология атак включает в себя злоупотребление платформами подбора персонала для проведения кампаний фишинга, нацеленных на персонал отдела кадров, использование "оружейных" резюме, в которых размещается zip-файл, что приводит к развертыванию вредоносного ПО RedLoader. Цепи инфекции начинается с оружием резюме, в конечном счете соединяясь с командования и управления (C2) сервер после загрузки динамически подключаемые библиотеки (DLL). В Python Python с именем 'sra.py" или " osr.py используется для создания соединений С2, способствует RPivot для туннелирования трафика. Чтобы избежать обнаружения, они используют инструмент под названием Terminator, использующий уязвимый драйвер от Zemana AntiMalware для отключения решений обнаружения конечных точек. Успешные случаи вымогателей были отмечены в апреле и июле 2025 году, что свидетельствует об адаптации в тактику, основанную на результаты операционной деятельности.

#ParsedReport #CompletenessLow
08-12-2025

Advent of Configuration Extraction - Part 2: Unwrapping QuasarRAT s Configuration

https://blog.sekoia.io/advent-of-configuration-extraction-part-2-unwrapping-quasarrats-configuration/

Report completeness: Low

Threats:
Quasar_rat
Xrat_rat

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1112, T1140

IOCs:
File: 38
Hash: 1

Soft:
Jupyter Notebook, NET Framework, Docker

Algorithms:
cbc, aes-256, pbkdf2, hmac, aes, sha256

Languages:
powershell, python

Links:
https://github.com/pythonnet/pythonnet
https://github.com/dnSpy/dnSpy
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
QuasarRAT - это троян для удаленного доступа .NET, который был перепрофилирован киберпреступниками с момента его выпуска в 2014 году под названием xRAT из-за его природы с открытым исходным кодом. Анализ сосредоточен на извлечении зашифрованных конфигураций из двоичных файлов QuasarRAT с использованием Python и таких инструментов, как dnSpy и ILSpy. Процесс извлечения идентифицирует метод шифрования AES256 и извлекает необходимые ключи и параметры, эффективно расшифровывая настройки, которые управляют поведением RAT, хотя некоторые варианты могут обходить этот метод.
-----

QuasarRAT - это троянец удаленного доступа .NET (RAT), который первоначально появился в 2014 году под названием xRAT и изначально предназначался как инструмент удаленного администрирования. Его природа с открытым исходным кодом привела к значительному злоупотреблению со стороны киберпреступников из-за его упрощенной модификации и небольшого размера. Основное внимание в текущем анализе уделяется извлечению зашифрованной конфигурации из двоичных файлов QuasarRAT с использованием различных инструментов и методов.

В статье обсуждается создание экстрактора на основе Python, подчеркивается расположение конфигурации в двоичном коде и необходимая среда разработки, которая включает библиотеки для работы с файлами PE/ELF и фреймворки декомпиляции. Используя такие инструменты, как dnSpy и ILSpy, а также Jupyter Notebook и Docker для портативной установки, автор создает всеобъемлющую структуру для анализа образцов QuasarRAT.

Конфигурационные ключи, извлеченные из незафиксированного двоичного файла, включают важные настройки, которые определяют поведение RAT, такие как настройки подключения (задержка повторного подключения, хосты), параметры установки (имя установки, путь, запуск), функции безопасности (ключ шифрования, сертификаты сервера) и режим работы (автоматический режим). В статье описывается системный подход к извлечению этих настроек, в частности, с акцентом на проблемы, связанные с запутанными сборками.

Процесс извлечения включает в себя несколько ключевых этапов, начиная с определения криптографического метода, используемого для шифрования, в частности класса AES256. Далее следует значение salt для получения ключа, за которым следуют ссылки на криптографические функции в модуле. Процедура извлечения продолжается поиском криптографического материала в настройках класса, что позволяет получить ключ AES, необходимый для расшифровки.

Наконец, обнаружив статический конструктор целевого класса и последовательно считывая инициализаторы полей, экстрактор может расшифровать строки, используя идентифицированный ключ AES, соль и вектор инициализации (IV). Кульминацией процесса является тщательное перечисление аргументов для расшифровки и использование криптографической библиотеки Python для расшифровки зашифрованных значений. Хотя представленный метод, возможно, не учитывает все варианты QuasarRAT, особенно те, в которых используются различные шифры шифрования или упакованные образцы, он считается эффективным для большинства типичных сценариев, демонстрируя надежный подход к анализу вредоносного ПО и извлечению конфигурации.

#ParsedReport #CompletenessMedium
03-12-2025

Cydome Research Team Identified "Broadside", A New Mirai Botnet Variant, Active In The Wild

https://cydome.io/cydome-identifies-broadside-a-new-mirai-botnet-variant-targeting-maritime-iot/

Report completeness: Medium

Threats:
Broadside
Mirai
Polymorphism_technique
Udpflood_technique
Credential_dumping_technique

Victims:
Maritime logistics, Shipping companies, Tbk dvr devices

Industry:
Transport, Logistic, Maritime

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 8
Technics: 7

IOCs:
IP: 10
Url: 1
Hash: 15

Soft:
curl, Linux

Algorithms:
sha256

Win Services:
bits

Platforms:
mpsl, m68k, mips, arm, x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Cydome выявило новый вариант ботнет Mirai под названием "Broadside", нацеленный на сектор морской логистики посредством использования CVE-2024-3721, уязвимости для удаленного ввода команд в устройствах TBK DVR. Вредоносное ПО использует типичную тактику Mirai наряду с продвинутыми методами уклонения, включая UDP flooding для DDoS-атак и процедуры самоочистки для поддержания скрытности. Broadside использует Нестандартные порты для командования и контроля и нацелен на повышение привилегий, одновременно угрожая сетям, имеющим решающее значение для судоходных операций.
-----

Исследовательская группа Cydome по кибербезопасности выявила новый вариант ботнет Mirai под названием "Broadside", который в настоящее время активен и специально нацелен на сектор морской логистики. Эта кампания использует критическую уязвимость, CVE-2024-3721, нашли в устройствах ТБК видеорегистратор, в котором используются транспортные компании на борту судна, начать атаку. Уязвимость позволяет удаленному команда инъекций и оказывает непосредственное воздействие на безопасность людей, использующих пострадавших цифровые видеорегистраторы.

Процесс заражения для Broadside следует типичным схемам Mirai, но также включает в себя сложную тактику уклонения. Первоначальный доступ осуществляется посредством удаленного ввода команды в уязвимую конечную точку HTTP POST TBK DVR, что обеспечивает надежный вход в сеть. После заражения ботнет использует высокоскоростной UDP flooding - метод, разработанный для распределенных атак типа "Отказ в обслуживании" (DDoS), и использует базовый polymorphism, чтобы избежать обнаружения. Вредоносное ПО также выполняет команды, которые расширяют его возможности скрытности, включая мониторинг процессов на основе netlink и удаление конкурирующих процессов, тем самым обеспечивая закрепление и доминирование в зараженной среде.

Операционные возможности Broadside's показывают, что он подготавливает зараженную среду, устанавливая ограничение на файловый дескриптор (ulimit -n 1024) для оптимизации производительности при больших объемах сетевой активности. Он примечателен своим неразборчивым подходом к архитектуре, попыткой загружать двоичные файлы с различных типов процессоров без проверки совместимости процессоров. После запуска вредоносное ПО также выполняет процедуру самоочистки, удаляя двоичные файлы из системы, чтобы скрыть свое присутствие.

Инфраструктура управления вредоносным ПО использует Нестандартные порты, в частности TCP/1026 для основной связи и TCP/6969 в качестве запасного варианта. Предупреждения указывают на то, что ботнет пытается получить повышение привилегий путем доступа к конфиденциальным файлам, таким как "/etc/passwd" и "/etc/shadow", что облегчает перечисление локальных учетных данных.

Эксплуатационное воздействие Broadside's значительно угрожает морским сетям, потенциально приводя к широкомасштабным сбоям, учитывая уникальные риски, связанные с нацеливанием на видеорегистраторы TBK. Индикаторами компрометации, связанной с этой угрозой, являются несколько IP-адресов управления, в частности 31.57.105.47, наряду с различными вторичными узлами, и IP-адрес-дроппер, на котором размещаются двоичные файлы вредоносного ПО. Усилия по обнаружению выявили множество хэшей полезной нагрузки, зависящих от архитектуры, которые указывают на способность ботнет нацеливаться на широкий спектр систем.

Подводя итог, можно сказать, что ботнет Broadside представляет собой сложную адаптацию штамма Mirai, использующего передовые методы эксплуатации и закрепления, создавая при этом значительные угрозы для морской и других отраслей промышленности, зависящих от уязвимых устройств DVR.

#ParsedReport #CompletenessLow
01-12-2025

Advent of Configuration Extraction Part 1: Pipeline Overview First Steps with Kaiji Configuration Unboxing

https://blog.sekoia.io/advent-of-configuration-extraction-part-1-pipeline-overview-first-steps-with-kaiji-configuration-unboxing/

Report completeness: Low

Threats:
Kaiji

Victims:
Linux systems, Iot devices

Industry:
Iot

Geo:
Canadian

CVEs:
CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer_ax21_firmware (<1.1.4)

CVE-2024-7954 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1110.001, T1190

IOCs:
Hash: 1
Email: 1

Soft:
Linux

Algorithms:
base64

Languages:
python

Links:
have more...
https://github.com/CybercentreCanada/assemblyline
https://github.com/CybercentreCanada/assemblyline-service-configextractor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается методология команды Sekoia по обнаружению угроз и исследованию для автоматизации извлечения конфигурации вредоносного ПО, уделяя особое внимание вредоносному ПО, написанному на Go, такому как Kaiji, которое нацелено на устройства Linux и Интернета вещей. Процесс использует Assemblyline, платформу с открытым исходным кодом, для извлечения критических элементов, таких как домены C2 и IP-адреса, из образцов вредоносного ПО с помощью службы ConfigExtractor. Анализ показывает, как Kaiji распространяется с помощью атак методом перебора по SSH и использует уязвимости, такие как CVE-2022-7954 и CVE-2023-1389, с четким подходом к извлечению конфигурации C2.
-----

Статья служит введением к первой части серии из четырех частей, в которой подробно описывается методология, используемая командой Sekoia по обнаружению и исследованию угроз (TDR) для автоматизации извлечения конфигурации вредоносного ПО. В нем описан систематический подход к идентификации и обработке данных конфигурации из различных образцов вредоносных ПО, включая .NET вредоносное ПО, и использование Capstone для дизассемблирования, демонстрирующий универсальность метода в различных семействах.

Ключевым компонентом этой методологии является Assemblyline, платформа анализа вредоносного ПО с открытым исходным кодом, разработанная Канадским центром кибербезопасности (CCCS). Assemblyline организует процесс анализа вредоносного ПО в несколько служб, причем конкретная служба ориентирована на извлечение конфигурации, которая идентифицирует такие элементы, как домены C2 (Command and Control), IP-адреса, URL-адреса URL-адресов и криптографические материалы в образцах вредоносного ПО. Платформа позволяет интегрироваться с другими системами через API, облегчая автоматическую отправку образцов вредоносного ПО, полученных из honeypots, платформ обмена вредоносным ПО или мониторинга open directory в Assemblyline для анализа.

Служба ConfigExtractor играет жизненно важную роль в этом рабочем процессе, используя библиотеку ConfigExtractor на Python для извлечения конфигураций вредоносного ПО. Он поддерживает различные платформы извлечения, при этом команда TDR использует MACO для своих экстракторов. Компонент обновления постоянно извлекает новые экстракторы из частного репозитория Git и устанавливает необходимые зависимости, чтобы не отставать от появляющихся семейств вредоносных ПО. Сервис также интегрирует общедоступные репозитории для расширения своих возможностей извлечения.

Сосредоточив внимание на конкретном варианте вредоносного ПО под названием Kaiji, который написан на Go и в первую очередь нацелен на системы Linux и устройства Интернета вещей, в статье обсуждается его способ действия, включая первоначальное распространение посредством атак методом перебора SSH и использование таких уязвимостей, как CVE-2022-7954 и CVE-2023-1389. Анализ включал в себя выполнение статического анализа образца вредоносного ПО, чтобы понять его внутреннюю структуру и то, как оно получает доступ к конфигурациям C2. Примечательно, что было замечено, что двоичный файл не запутан, что упрощает обратное проектирование.

В процессе извлечения конфигурации C2 используется подробный метод, который включает итерацию по извлеченным строкам и использование регулярных выражений для идентификации конкретных конфигураций. Процесс фокусируется на строках с префиксом "use ParseCertificate", декодировании любых найденных значений Base64 и синтаксическом анализе полученных данных для извлечения сведений о C2 и порту. Этот структурированный подход иллюстрирует стремление команды TDR автоматизировать извлечение ценной информации из вредоносного ПО, тем самым расширяя их возможности обнаружения угроз.

#ParsedReport #CompletenessMedium
02-12-2025

QuasarRAT Malware Campaign using CVE-2025-6218

https://blog.synapticsystems.de/quasarrat-malware-campaign-using-cve-2025-6218/

Report completeness: Medium

Threats:
Quasar_rat
Steganography_technique
Tinba
Kuaibu8

Victims:
Coinme users

Industry:
Financial

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1105, T1204

IOCs:
Hash: 2
File: 22
Command: 3
Path: 2
Url: 4
Domain: 1

Soft:
Windows remote access

Algorithms:
sha256, gzip, base64

Win Services:
WebClient

Languages:
python, visual_basic

Platforms:
x64

Links:
https://github.com/Levbohol

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил кампанию вредоносного ПО QuasarRAT, использующую уязвимость WinRAR CVE-2025-6218, позволяющую злоумышленникам распространять вредоносную полезную нагрузку с помощью скрипта на Python с именем Coin.me.py.txt , который извлекает Адреса эл. почты из coinme.com пользователи. Этот скрипт загружает стеганографическое изображение в формате PNG, которое скрывает вредоносные двоичные файлы, выполняя их в памяти, чтобы обойти обнаружение. Кроме того, размещенный на GitHub скрипт Python помогает извлекать полезную нагрузку, связанную с определенным хэшем SHA256.
-----

Недавний анализ образцов вредоносного ПО, использующих уязвимость WinRAR CVE-2025-6218, выявил появление кампании вредоносного ПО QuasarRAT. Эта уязвимость позволяет злоумышленникам использовать недостатки в WinRAR, что приводит к распространению вредоносной полезной нагрузки. Идентифицирован один примечательный образец, на который ссылаются как Coin.me.py.txt , содержит скрипт на Python, предназначенный для извлечения Адресов эл. почты у пользователей coinme.com .

Скрипт работает независимо от антивирусных обнаружений и запрограммирован на загрузку изображения в формате PNG с удаленного сервера. В этом изображении используются методы Стеганографии, встраивающие вредоносные двоичные данные в значения пикселей. После успешного извлечения изображения конечная полезная нагрузка, которая может включать в себя функции для кражи информации или облегчения дистанционного управления, полностью выполняется в памяти, что позволяет избежать традиционных методов обнаружения.

Чтобы помочь в извлечении вредоносной полезной нагрузки, скрытой в изображении, в репозитории GitHub предоставляется скрипт на Python. Этот скрипт упрощает процесс и генерирует файл с меткой stage2_payload.bin, который связан с хэшем SHA256 d6775da94945ff5cbd26a1711f69cecdce981386983d2f504914630639563c36. Кампания подчеркивает эффективность использования известных уязвимостей и инновационного использования Стеганографии для сокрытия вредоносных действий в, казалось бы, безобидных типах файлов.