#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-0249 прошел путь от обычного фишинга до сложных методов постэксплуатации, нацеленных на уязвимости программного обеспечения для обнаружения конечных точек и реагирования на них (EDR). Они используют надежные процессы, в частности, превращая в оружие SentinelOne SentinelAgentWorker.exe , чтобы запутывать вредоносные действия и встраивать команды в законные операции по обеспечению безопасности, облегчая скрытую связь. Используя такие тактики, как DLL sideloading и выполнение без файлов, группа поддерживает закрепление и усложняет усилия по обнаружению, что делает их серьезной проблемой на нескольких платформах EDR.
-----

Storm-0249-это эволюционирующее злоумышленник, который был переведен из общей фишинг тактики на более сложный пост-эксплуатации методов, специально ориентированных на недостатки в конечную точку обнаружения и реагирования (EDR и) программного обеспечения. Эта группа, в частности, начали использовать надежные процессы, в том числе с использованием sentinelagentworker.exe SentinelOne, чтобы скрыть вредоносную активность, как и нормальной работы. Путем встраивания их команды и управление (С2) движения внутри легитимных процессов безопасности, злоумышленники могут избежать обнаружения и поддержания закрепление в скомпрометированной среде.

Группа внедрила новые стратегии, которые используют преимущества доверия, связанного с программным обеспечением безопасности. Например, манипулируя законным исполняемым файлом SentinelOne для скрытой загрузки своего вредоносного кода, Storm-0249 может маскировать свои действия под обычные операции безопасности, эффективно обходя традиционные средства защиты. Такой подход позволяет не только методов скрытного общения, но и позволяет выполнять разведка деятельности маскируются под законные задачи, используя надежные утилиты Windows, такие как reg.exe и findstr.exe.

Переход Storm-0249's к высокоточному таргетингу означает переход от методов фишинга, основанных на объемах, к усовершенствованным методам атаки, которые используют доверенные процессы с помощью таких механизмов, как дополнительная загрузка библиотеки динамических ссылок (DLL) и выполнение без файлов. Эти методы особенно опасны, поскольку они легко интегрируют вредоносные действия в ожидаемые процессы, что усложняет усилия по обнаружению. Закрепление группы за счет использования пакетов MSI с системными привилегиями гарантирует, что их позиции сохранятся даже при стандартных мерах по исправлению, таких как обычная переустановка программного обеспечения или исправления.

Кроме того, методы, используемые Storm-0249, включая те, которые включают DLL sideloading, не ограничиваются продуктами SentinelOne, что делает их актуальными для различных платформ EDR. Такая адаптивность позволяет Storm-0249 продавать предварительный доступ аффилированным лицам программ-вымогателей, упрощая развертывание программ-вымогателей и усугубляя распространение атак в различных секторах.

Учитывая изощренность этих тактик, организациям настоятельно рекомендуется усовершенствовать свои защитные стратегии, переключив внимание с традиционного обнаружения на основе сигнатур на поведенческую аналитику. Выявляя аномалии, такие как неправильное использование законных исполняемых файлов или необычное выполнение команд, организации могут превентивно устранять такие угрозы. Службы безопасности должны уделять приоритетное внимание механизмам видимости и быстрого реагирования, чтобы противостоять передовым методам, используемым злоумышленниками, такими как Storm-0249.

#ParsedReport #CompletenessLow
09-12-2025

New eBPF Filters for Symbiote and BPFdoor Malware

https://www.fortinet.com/blog/threat-research/new-ebpf-filters-for-symbiote-and-bpfdoor-malware

Report completeness: Low

Threats:
Symbiote
Bpfdoor
Bvp47
Ebpfkit
Triplecross
Timestomp_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1040

IOCs:
File: 2
Hash: 2

Soft:
Linux, Claude

Algorithms:
rc4

Platforms:
x86, arm

Links:
https://github.com/radareorg/radare2-mcp
https://github.com/radareorg/radare2
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году семейства вредоносных ПО, такие как Symbiote и BPFDoor, усовершенствовали свою тактику обхода с использованием технологий eBPF, усложнив анализ за счет более интеллектуальных методов фильтрации. Эти руткиты часто используют Нестандартные порты для передачи команд и контроля, используя пробелы в традиционных средствах безопасности. Кроме того, появилось множество вариантов BPFDoor, причем в этом году было обнаружено заметное увеличение количества образцов, что вызывает вопросы о потенциальных новых функциональных возможностях в их дизайне.
-----

В 2025 году вредоносное ПО, использующее технологии eBPF (Extended Berkeley Packet Filter), получило развитие, особенно в таких семействах, как Symbiote и BPFDoor. Эти руткиты внедрили более интеллектуальные методы фильтрации, чтобы избежать обнаружения, что значительно усложняет их анализ. Архитектура набора команд eBPF упрощает определенные процессы, но создает дополнительные проблемы для обратного проектирования вредоносного ПО. Хотя для работы с байт-кодом BPF доступны различные инструменты, такие как bpftool и движок Capstone, необходимость понимания конкретной архитектуры может препятствовать эффективному анализу.

Передача команд и контрольных данных (C2) этих типов вредоносного ПО часто осуществляется через Нестандартные порты. Эта тактика распространена среди ботнет и использует тенденцию обычных средств безопасности — таких как базовые брандмауэры и системы обнаружения/предотвращения вторжений — сосредотачивать свои проверки главным образом на стандартных портах, таких как HTTP. Следовательно, вредоносный трафик, связанный с Symbiote, часто упускается из виду, поскольку эти инструменты могут регистрировать минимальную активность, а предупреждения обычно ограничиваются уведомлениями о "неизвестном порту", которые можно легко отклонить как доброкачественные.

В рамках платформы BPF были достигнуты заметные успехи, включая добавление поддержки IPv6 в BPFDoor. Это наблюдалось в конкретном образце, где фильтр BPF применялся к необработанному сокету, что свидетельствует об изменении возможностей, которые используют авторы вредоносного ПО. Более того, появление вариантов BPFDoor было значительным: с момента его создания в 2021 году было обнаружено 240 образцов, из которых 150 были отмечены только в 2025 году. Характеристики этих вариантов вызвали интерес к тому, представляют ли они собой просто постепенные изменения или вводят существенные новые функциональные возможности.

#ParsedReport #CompletenessLow
09-12-2025

Lumma Stealer: Danger lurking in fake game updates from itch.io and Patreon

https://www.gdatasoftware.com/blog/2025/12/38310-lumma-stealer-itchio-patreon

Report completeness: Low

Threats:
Lumma_stealer

Victims:
Gaming users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036, T1105, T1199, T1204.002, T1497.001, T1566.002, T1659

IOCs:
File: 88
Command: 1
Hash: 5

Soft:
Steam, Node.js, burpsuite, virtualbox, hyper-v, qemu, BlockBlasters

Algorithms:
base64, sha256

Languages:
powershell, javascript

Links:
have more...
https://github.com/nexe/nexe
https://github.com/unex/nexeDecompiler

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer - это недавно выявленное вредоносное ПО, которое нацелено на пользователей с помощью поддельных обновлений игр на таких платформах, как Itch.io и Patreon, доставляющий исполняемый файл, замаскированный под "game.exe - в архиве. Это вредоносное ПО использует nexe для упаковки Node.js приложение и использует сложные методы антианализа, включая обнаружение виртуальных машин, чтобы обойти меры безопасности. Кроме того, он декодирует полезную нагрузку Base64, которая действует как вариант Lumma Stealer, указывая на методический подход злоумышленника к распространению вредоносного ПО через различные учетные записи и закодированные файлы.
-----

Lumma Stealer - это появляющаяся киберугроза, которая использует поддельные обновления игр на таких платформах, как Itch.io и Патреон. Злоумышленники создают несколько спам-аккаунтов для публикации комментариев к легальным играм, направляя ничего не подозревающих пользователей загружать архив с надписью "Обновлено Version.zip " под видом обновлений игры. В то время как большая часть содержимого этого архива кажется безобидной, основной исполняемый файл, "game.exe ," вот где кроется угроза.

После исполнения,"game.exe " не выполняет никаких законных действий по обновлению. Статический анализ показывает, что он скомпилирован с помощью nexe, что позволяет Node.js приложения должны быть упакованы в виде исполняемых файлов PE. Это примечательно, поскольку представляет собой новый метод доставки вредоносного ПО, о котором ранее широко не сообщалось в связи с угрозами, с которыми сталкивались.

Вредоносное ПО использует передовые методы антианализа, включая механизм обнаружения виртуальной машины (ВМ). Он проверяет системную память и количество ядер процессора, определяя, запущен ли он в среде виртуальной машины. Если система идентифицируется как виртуальная, вредоносное ПО прекращает выполнение, что эффективно защищает ее от анализа.

Кроме того, исполняемый файл декодирует полезную нагрузку в кодировке Base64, которая является вариантом Lumma Stealer, эффективно загружая ее как Node.js модуль. Это указывает на систематический подход одного злоумышленника, который использует несколько учетных записей и различные ссылки для скачивания для распространения различных файлов, скомпилированных nexe, с использованием различных методов кодирования. Несмотря на усилия по маскировке вредоносного ПО, различия в именах переменных и функций остаются идентифицируемыми даже после расшифровки, что свидетельствует о структурированной, но легко адаптируемой стратегии оператора. Такое динамичное использование nexe и внедренные контрмеры подчеркивают растущую сложность развертывания вредоносного ПО.

#ParsedReport #CompletenessMedium
09-12-2025

New BYOVD loader behind DeadLock ransomware attack

https://blog.talosintelligence.com/byovd-loader-deadlock-ransomware/

Report completeness: Medium

Threats:
Byovd_technique
Deadlock
Shadow_copies_delete_technique
Winrm_tool
Anydesk_tool
Mstsc_tool
Process_hollowing_technique
Rustdesk_tool

Victims:
Enterprise environments

CVEs:
CVE-2024-51324 [Vulners]
CVSS V3.1: 3.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 3

IOCs:
File: 12
Command: 1

Soft:
Windows Defender, Windows service, Dropbox, Microsoft SQL Server, MySQL, QuickBooks, Microsoft Exchange, Apache Tomcat

Crypto:
bitcoin, monero

Algorithms:
sha256

Functions:
CreateFile, ZwTerminateProcess, Test-Admin

Win API:
DeviceIOControl, GetSystemTimeAsFileTime

Win Services:
Eventlog, msmpeng, MSSQL$VEEAMSQL2012, FishbowlMySQL, VeeamTransportSvc, ccEvtMgr, RTVscan, MVArmor

Languages:
powershell

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/12/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Талос компания Cisco сообщила о финансово мотивированный злоумышленник, используя DeadLock вымогателей, который реализует byovd BYOVD эксплуатации Байду антивирус драйвер уязвимость (CVE-2024-51324), чтобы отключить EDR и услуг. Актор использует сценарий PowerShell для bypass UAC, деактивации защитника Windows и удаления shadow copies томов, что затрудняет восстановление. DeadLock нацелен на Windows с пользовательскими шифрование с использованием временных ключей на базе, способствующие эффективной шифрования с помощью передовых методов, избегая при этом обнаружения с использованием нестандартных методов шифрования.
-----

Циско Талос был выявлен новый тактики финансово мотивированный злоумышленник, используя DeadLock вымогателей, отличается своей инновационной использование собственных уязвимых драйвер техника BYOVD BYOVD). Актор воспользовался уязвимостью в драйвере антивируса Baidu, обозначенной CVE-2024-51324, чтобы отключить службы обнаружения конечных точек и реагирования (EDR). Они инициировали нападения с PowerShell PowerShell, который обходит Контроль учетных записей (UAC), Защитник Windows отключается, прекращается критических обновлений и процессов базе и удаляет объема shadow copies, чтобы сорвать усилия по восстановлению системы.

Сама программа-вымогатель DeadLock нацелена на компьютеры Windows с помощью пользовательского механизма шифрования, который использует криптографические ключи, основанные на времени. Этот метод шифрует различные типы файлов, предотвращая при этом повреждение системы за счет выборочного нацеливания на файлы и использования стратегий защиты от криминалистики, что затрудняет восстановление для жертв. Этот вариант программы-вымогателя активен, по крайней мере, с июля 2025 года; однако злоумышленник воздерживается от обслуживания сайта утечки данных, вместо этого предпочитая напрямую взаимодействовать с жертвами через Session messenger.

Манипулирование актором процессами безопасности имеет большое значение. Они использовали законный исполняемый файл SystemSettingsAdminFlows.exe чтобы изменить настройки защитника Windows, отключив защиту в режиме реального времени и облачные защитные меры. Они выполняли команды, предотвращающие отправку подозрительных файлов для анализа, ставя под угрозу защитные возможности хостинга.

Дальнейшее расследование показало, что актор поддерживал постоянный доступ к сети жертвы. Они установили AnyDesk, включив удаленный доступ всего за день до развертывания Ransomware. Данные телеметрии указывают на то, что они находились внутри сети примерно пять дней до этапа шифрования, проводя внутреннюю разведку и перемещение внутри компании для выявления особо важных целей.

Процесс шифрования DeadLock's характеризуется сложной архитектурой. Он включает в себя рекурсивный обход каталогов, ввод/вывод файлов с отображением в памяти и многопоточность для эффективной оптимизации шифрования целых файловых систем. Двоичный файл содержит обширный конфигурационный блок размером 8 888 байт, который программа-вымогатель использует для определения своих операционных протоколов путем анализа этих данных во время выполнения. Примечательно, что реализация шифрования DeadLock's отличается от стандартных криптографических API Windows, что позволяет эффективно избегать обнаружения.

#technique

Stillepost - Or: How to Proxy your C2s HTTP-Traffic through Chromium

https://x90x90.dev/posts/stillepost/

#ParsedReport #CompletenessHigh
09-12-2025

React2Shell exploited to deploy EtherRAT across cloud servers

https://cybersecsentinel.com/react2shell-exploited-to-deploy-etherrat-across-cloud-servers/

Report completeness: High

Actors/Campaigns:
Earth_lamia
Jackpot_panda

Threats:
React2shell_vuln
Etherrat

Victims:
Cloud servers, Web servers, React server components deployments, Next.js deployments

Industry:
Financial

Geo:
China, Dprk, North korea

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 4
IP: 14
Coin: 1
Hash: 11
Url: 18

Soft:
Node.js, Systemd, crontab, curl, linux

Crypto:
ethereum, monero

Algorithms:
md5, sha1, base64

Languages:
python, javascript

YARA: Found
SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
React2Shell - критическая уязвимость удаленного выполнения кода без проверки подлинности (CVE-2025-55182) в протоколе управления компонентами сервера React, позволяющая злоумышленникам выполнять произвольный код с помощью созданных HTTP-запросов, в частности, затрагивающая React 19 и Next.js приложения. Эксплуатация связана с EtherRAT, сложным трояном удаленного доступа, который использует множество механизмов закрепления, повышающих его живучесть. Различные хакерские группировки, в том числе из КНДР и Китая, используют эту уязвимость для таких действий, как криптомайнинг и кража облачных учетных данных, используя Ethereum для командования и контроля.
-----

React2Shell идентифицирован как критическая уязвимость удаленного выполнения кода без проверки подлинности в протоколе управления компонентами сервера React. Этот недостаток позволяет злоумышленникам выполнять произвольный код, отправляя специально созданный HTTP-запрос, особенно влияя на стандартные конфигурации в таких фреймворках, как серверные компоненты React 19 и Next.js приложения. Использование этой уязвимости было связано с внедрением EtherRAT, троянца удаленного доступа, который использует сложную поэтапную цепочку заражения, подчеркивающую скрытность и закрепление.

Подход EtherRAT's к заражению примечателен тем, что в нем используются множественные механизмы закрепления, получившие название "Агрессивной пятерки". Эти методы включают в себя создание пользовательской службы systemd со случайным именем файла unit, установку Записей автозапуска XDG со скрытыми настройками, настройку заданий cron для автоматического выполнения и внедрение вредоносного кода в файлы инициализации пользовательской оболочки, такие как .bashrc и .profile. Такая тактика повышает живучесть EtherRAT's в скомпрометированных системах.

Оценка рисков подчеркивает сочетание широко используемой серьезной уязвимости и расширенных возможностей скрытности EtherRAT в качестве новой серверной угрозы. Это особенно важно из-за его устойчивости к традиционной защите периметра и сложностей, связанных с его децентрализованным механизмом командования и контроля, использующим Ethereum для связи.

Уязвимость, кодируемая как CVE-2025-55182, в частности, является результатом ошибки десериализации при обработке структурированных полезных нагрузок в приложениях React. Атака включает в себя создание примитивов выполнения, которые манипулируют десериализатором для выполнения произвольного кода JavaScript. Хотя первоначальные обсуждения могут ограничить угрозу до Next.js , это фактически оказывает воздействие на любой сервер, использующий уязвимую библиотеку серверных компонентов React.

Различные хакерские группировки, в том числе связанные с КНДР и Китаем, быстро использовали React2Shell с намерениями, варьирующимися от криптомайнинга до кражи облачных учетных данных. Отличительной особенностью EtherRAT's является его зависимость от Ethereum для разрешения команд, что усложняет усилия по реагированию. Следовательно, меры безопасности, включая строгие наборы правил брандмауэра веб-приложений, сегментацию сети и немедленную изоляцию скомпрометированных ресурсов, имеют решающее значение для сдерживания этих угроз. В случае компрометации EtherRAT для эффективного устранения вредоносного ПО необходимы всесторонний судебный анализ и полная перестройка инфраструктуры, а не поверхностные исправления.

#ParsedReport #CompletenessMedium
10-12-2025

AMOS Stealer Exploits AI Trust: Malware Delivered Through ChatGPT and Grok

https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust

Report completeness: Medium

Threats:
Amos_stealer
Credential_harvesting_technique
Clickfix_technique
Seo_poisoning_technique

Victims:
Macos users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1105, T1204.002, T1566, T1608.006

IOCs:
Url: 3
Hash: 5
IP: 2

Soft:
ChatGPT, macOS, OpenAI, Gatekeeper, curl, sudo, Node.js, Ledger Live, macOS Gatekeeper, Claude, have more...

Wallets:
ledger_wallet, trezor, electrum, metamask, coinbase

Algorithms:
sha256, base64, zip

Languages:
python, applescript

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО AMOS Stealer представляет собой серьезную угрозу, использующую платформы, управляемые искусственным интеллектом, для доставки, используя методы социальной инженерии, известные как атаки "ClickFix". Атака нацелена на устройства macOS, обманом заставляя пользователей выполнять вредоносные команды с помощью скриптов, замаскированных под решения распространенных проблем, инициируя многоэтапное заражение, направленное на сбор учетных записей и повышение привилегий. Вредоносное ПО использует закрепление с помощью функции LaunchDaemon в macOS, обеспечивая непрерывный доступ и эксфильтрацию данных в обход традиционных мер безопасности.
-----

Вредоносное ПО AMOS Stealer стало серьезной угрозой, особенно из-за его инновационных механизмов доставки, которые используют доверие пользователей к платформам, управляемым искусственным интеллектом, таким как ChatGPT и Grok. Эта киберугроза использует стратегию социальной инженерии, известную как атаки "ClickFix", которые обманом заставляют пользователей выполнять вредоносные команды, замаскированные под законные решения таких распространенных проблем, как очистка дискового пространства.

В ходе расследования, проведенного командой Huntress, было обнаружено, что атака начинается с, казалось бы, безобидных поисковых запросов, связанных с управлением дисками на устройствах macOS. Пользователи вступают в хорошо продуманные диалоги, имитирующие подлинное взаимодействие в чате. Эти взаимодействия усиливают доверие людей к знакомым доменам и форматирование типичных ответов искусственного интеллекта, что затрудняет пользователям обнаружение злого умысла, стоящего за передаваемыми командами.

Вредоносное ПО запускается с помощью строки в кодировке base64, встроенной в команду, которая при запуске подключается к URL-адресу, содержащему вредоносный bash-скрипт, предназначенный для инициирования многоэтапного заражения. Начальный этап фокусируется на сборе учетных записей и молчаливом повышении привилегий, что позволяет злоумышленнику получить несанкционированный доступ к пользовательской информации. Расшифрованная команда направляет пользователей к вредоносной полезной нагрузке, доступной по URL-адресу, подключенному к внешнему серверу.

Как только злоумышленник получает учетные данные, запускается загрузчик AppleScript, который загружает и устанавливает основную полезную нагрузку, исполняемый файл Mach-O, в скрытый каталог в домашнем каталоге пользователя. Этот исполняемый файл запрограммирован на эксфильтрацию ценных данных, что указывает на целенаправленный подход к краже данных.

Чтобы поддерживать закрепление в скомпрометированной системе, злоумышленник использует функцию LaunchDaemon в macOS, которая позволяет автоматически запускать сценарий bash при каждой перезагрузке системы. Этот механизм закрепления имеет решающее значение, поскольку он гарантирует, что присутствие злоумышленника на зараженной машине останется незамеченным.

Инфраструктура, поддерживающая эту кампанию, включает в себя конкретные URL-адреса командования и контроля (C2) и IP-адреса, связанные с различными компонентами вредоносного ПО. Заслуживающие внимания аспекты этой угрозы включают ее способность обходить традиционные меры безопасности, используя в своих интересах поведение пользователя, такое как копирование и вставка команд из предполагаемых надежных источников без каких-либо подозрений.

Эволюция угрозы AMOS свидетельствует об изменении подхода злоумышленников, переходящих от попыток обойти скептицизм пользователей к прямому использованию доверия пользователей к установленным платформам и Поисковым системам. Это достижение подчеркивает необходимость усиления бдительности в отношении социально спроектированных атак вредоносного ПО, особенно тех, которые используют тактику обмана, связанную с Искусственным интеллектом.

#ParsedReport #CompletenessLow
10-12-2025

Spiderman Phishing Kit Mimics Top European Banks With A Few Clicks

https://www.varonis.com/blog/spiderman-phishing-kit

Report completeness: Low

Threats:
Spiderman_tool
Bec_technique
Smishing_technique
Spamgpt_tool
Matrixpdf_tool
Atroposia

Victims:
Banking customers, Financial sector, Cryptocurrency users

Industry:
Financial, Telco, Government

Geo:
Germany, Polish, Deutsche, Switzerland, Belgium, Austria

ChatGPT TTPs:
do not use without manual check
T1036, T1056.6, T1111, T1204, T1566, T1583.001

Soft:
Android, Twitter

Wallets:
metamask, exodus_wallet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор для фишинга "Spiderman" представляет собой сложную угрозу, нацеленную на клиентов европейских банков, объединяя несколько банковских учреждений в единый интерфейс для эффективных атак в разных регионах. Его продвинутая тактика уклонения, включая внесение в белый список интернет-провайдеров и геоблокировку, снижает вероятность обнаружения обычными инструментами, в то время как функции перехвата одноразовых паролей в режиме реального времени и криптографических исходных фраз повышают риск. Модульная конструкция обеспечивает непрерывную адаптацию к банковским обновлениям, обеспечивая постоянную актуальность в условиях угроз.
-----

Набор для фишинга от Spiderman представляет собой развивающуюся и изощренную угрозу, нацеленную на клиентов европейских банков. Он отличается своими широкими возможностями таргетинга, объединяя множество известных банковских учреждений в пяти странах в единый интерфейс для фишинга. Такая консолидация повышает эффективность, позволяя злоумышленникам без особых усилий переключаться между регионами и нацеливаться на несколько банков одновременно, тем самым увеличивая масштаб и потенциальное воздействие атак.

Одной из примечательных особенностей набора Spiderman является его продвинутая тактика уклонения. Используя белый список интернет-провайдеров, геоблокировку и стратегии фильтрации устройств, это значительно снижает видимость для экспертов по кибербезопасности. Многие обычные инструменты обнаружения фишинга неэффективны против такого индивидуального подхода, поскольку не позволяют проанализировать конкретную инфраструктуру, которой избегает Spiderman. Это сочетается с механизмами, поддерживающими кражу криптовалюты, поскольку включает модули для захвата начальных фраз криптовалюты, что указывает на переход к гибридным банковским операциям и крипто-мошенничеству.

Возможности набора для перехвата в режиме реального времени представляют собой значительный прогресс в методах фишинга. В него интегрированы функции для получения одноразовых паролей (OTP) с помощью таких инструментов, как Phototan, что создает повышенный риск для европейских банков, использующих методы аутентификации TAN. Такой уровень сложности иллюстрирует тенденцию, при которой перехват в режиме реального времени, вероятно, станет стандартной тактикой фишинга, что еще больше усложнит меры защиты.

Более того, модульный характер набора для фишинга от Spiderman обеспечивает его непрерывную эволюцию, поскольку злоумышленники могут добавлять новые банковские порталы и адаптироваться к меняющимся методам аутентификации. Это означает, что по мере того, как европейские банки обновляют свои онлайн-сервисы, Spiderman может развиваться в тандеме, сохраняя свою актуальность и эффективность в условиях угроз.

Панель управления для операторов отображает показатели сеансов жертвы в режиме реального времени, включая входные данные и сведения о компьютере пользователя, что облегчает отслеживание отдельных лиц и оптимизирует стратегии атак. Модуль контроля доступа, встроенный в комплект, позволяет злоумышленникам ограничивать загрузку фишинг-страниц, препятствуя доступу исследователей и гарантируя, что только подлинные цели смогут попасть на вредоносный сайт.

#ParsedReport #CompletenessLow
10-12-2025

macOS Stealers: How Modern Infostealers Harvest Credentials

https://deceptiq.com/blog/macos-stealers-technical-analysis

Report completeness: Low

Threats:
Chainbreaker_tool
Banshee_stealer
Banshee

Victims:
Macos users

Geo:
Russian

TTPs:
Tactics: 5
Technics: 14

IOCs:
File: 7

Soft:
macOS, Firefox, Chrome, Chromium, Unix

Algorithms:
aes-256-gcm, 3des, pbkdf2, xor, zip, aes, base64

Functions:
getMacOSPassword, getProfiles, getIP, writeToFile, NSUserName

Languages:
applescript, objective_c, c_language

Platforms:
arm, apple

Links:
https://github.com/n0fate/chainbreaker
have more...
https://github.com/vxunderground/MalwareSourceCode/blob/main/MacOS/MacOS.Stealer.Banshee.7z