#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NANOREMOTE - это сложный бэкдор для Windows, обнаруженный в октябре 2025 года, тесно связанный с имплантатом FINALDRAFT. Это вредоносное ПО, предназначенное для шпионажа, работает через двухкомпонентную цепочку атак с загрузчиком (WMLOADER) и полезной нагрузкой, используя Google Drive API для выполнения команд и передачи данных. Он имеет жестко запрограммированное подключение к не маршрутизируемому IP-адресу, сжимает данные с помощью Zlib, шифрует их с помощью AES-CBC и использует архитектуру управления с 22 обработчиками команд, предполагающую связи с аналогичными злоумышленниками на основе общей структуры кода и поведения.
-----

Бэкдор NANOREMOTE, идентифицированный Elastic Security Labs в октябре 2025 года, представляет собой сложный вариант вредоносного ПО для Windows, тесно связанный с имплантатом FINALDRAFT и другим вредоносным ПО, упомянутым в REF7707. Этот полнофункциональный бэкдор предназначен для шпионажа и обладает возможностями выполнения команд, разведки, передачи файлов и обнаружения системы через Google Drive API. Архитектура NANOREMOTE's объединяет элементы из известных проектов с открытым исходным кодом, таких как Microsoft Detours и libPeConv.

Вредоносное ПО действует посредством двухкомпонентной цепочки атак, включающей загрузчик, называемый WMLOADER, и саму полезную нагрузку, NANOREMOTE. Бэкдор написан на C++ и представлен в виде 64-разрядного исполняемого файла, созданного без запутывания, что предполагает потенциальное быстрое развертывание и более высокую обнаруживаемость. Его конструкция предполагает предварительно настроенное подключение к жестко закодированному, не маршрутизируемому IP-адресу, что приводит к выводу, что оно было сгенерировано с помощью конструктора вредоносного ПО без видимых настроек конфигурации в коде.

Связь с NANOREMOTE устанавливается по протоколу HTTP, где он передает сжатые Zlib и зашифрованные AES-CBC данные JSON через POST-запросы к указанному URI: /api/клиенту. Функциональность GUID для вычисления полезной нагрузки с FNV для хэширования позволяет идентифицировать пользователя во время запросов команд. NANOREMOTE управляется 22 различными обработчиками команд, которые облегчают различные действия, отражая структурированную архитектуру управления (C2). Кроме того, он оснащен пользовательским интерфейсом, который регистрирует подробные действия в режиме реального времени, усиливая контроль оператора.

Сходство между NANOREMOTE и FINALDRAFT охватывает как структуру кода, так и поведенческие паттерны, указывая на то, что они могли быть разработаны или использованы одними и теми же или связанными с ними злоумышленниками. Elastic Security Labs использует платформу MITRE ATT&CK для оценки и документирования тактик, методов и процедур (TTP), связанных с этими угрозами, предоставляя представление о том, как они работают в корпоративных сетях.

Усилия по смягчению последствий NANOREMOTE показали эффективность в лабораторных тестах с использованием Elastic Defend, которые запускали множество предупреждений, указывающих на вредоносную активность, при запуске вредоносного ПО. Это подчеркивает полезность упреждающих мер защиты при обнаружении и противодействии таким сложным угрозам бэкдора, как NANOREMOTE.

#ParsedReport #CompletenessLow
10-12-2025

[Includes IOC\] Analysis of Wild Exploitation Incidents of Next.js RCE Vulnerability

https://mp.weixin.qq.com/s/a0uB8-dr25TSdeIb2Towrw

Report completeness: Low

Threats:
Nezha_tool

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


IOCs:
File: 1
Hash: 1
IP: 10

Soft:
curl

Algorithms:
zip, md5

#ParsedReport #CompletenessMedium
11-12-2025

RTO Challan Fraud: A Technical Report on APK-Based Financial and Identity Theft

https://www.cyfirma.com/research/rto-challan-fraud-a-technical-report-on-apk-based-financial-and-identity-theft/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Mobile users in india

Industry:
Government, Financial

Geo:
India, Chinese

TTPs:
Tactics: 6
Technics: 10

IOCs:
Domain: 2
File: 1
Hash: 2

Soft:
Android, WhatsApp

Algorithms:
base64, zip, sha256, md5

Functions:
sendTextMessage

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Схема мошенничества RTO Challan использует вредоносное приложение для Android, замаскированное под предупреждение о нарушении правил дорожного движения, функционирующее как двухэтапный дроппер с передовыми методами запутывания и скрытым процессом установки. Он создает пользовательский VPN-туннель для сокрытия сетевой активности и взаимодействует со сложной инфраструктурой управления, позволяя перехватывать SMS и телефонные звонки для облегчения мошенничества. Приложение использует критические разрешения для сбора конфиденциальной личной информации, сохраняя при этом обманные операции для дальнейшего заманивания пользователей в ловушку.
-----

Схема мошенничества RTO Challan вращается вокруг вредоносного приложения для Android, распространяемого через WhatsApp, Маскировка которого выдается за официальное предупреждение о нарушении правил дорожного движения. Это приложение, получившее название "RTO Challan / e-Challan", функционирует как двухэтапный дроппер, включающий расширенную защиту от обфускации, скрытые методы установки и управление разрешениями для поддержания постоянного контроля над зараженными устройствами. После установки приложение использует пользовательский VPN-туннель, позволяющий скрывать сетевую активность и избегать обнаружения программным обеспечением безопасности, одновременно облегчая скрытую связь с инфраструктурой управления (C2).

Технический анализ показывает, что макет приложения работают НП ApkControlFlowConfusion, чтобы скрыть свою внутреннюю логику и управляет скрытая установка рабочего процесса, в котором пользователь неосознанно устанавливает дополнительно вредоносное содержимое, которые остаются скрытыми от приложения ящик. Регистрируясь пользовательские VPN сервиса, вредоносное ПО могут перехватывать и манипулировать сетевого трафика, эффективно скрывая своей команды и операции с решениями безопасности.

Кроме того, вредоносное ПО использует критические разрешения Android (READ_SMS, SEND_SMS, CALL_PHONE и READ_PHONE_STATE) для получения доступа к SMS-сообщениям и звонкам. Эта возможность позволяет ему перехватывать одноразовые пароли (OTP), отправлять несанкционированные сообщения и совершать манипулятивные действия, такие как корректировка переадресации вызовов, предназначенные для получения мошеннических выгод. В нем также реализован мошеннический платежный интерфейс, который запрашивает конфиденциальную личную информацию (PII) и финансовые данные, включая номера Aadhaar, данные карты и учетные данные UPI, посредством имитируемых потоков платежей.

Инфраструктура C2 особенно сложна, в ней используются фрагментированные строки в кодировке Base64, чтобы скрыть свои URL-адреса и облегчить многогранную регистрацию конечных точек, загрузку данных и извлечение задач. Один идентифицированный домен C2, jsonserv.xyz, служит структурированным бэкэндом для управления скомпрометированными устройствами и сбора отфильтрованных данных. Дополнительный анализ указывает на способность вредоносного ПО собирать подробные профили устройств и телефонные номера с нескольких SIM-карт, что расширяет его возможности для мошеннических операций.

Во время динамического анализа приложение выдает вводящие в заблуждение сообщения, побуждающие пользователей загружать новые вредоносные программы под видом обновлений. Инфраструктура, поддерживающая эту кампанию, является централизованной, с общими характеристиками для всех наблюдаемых доменов, что указывает на скоординированные усилия по пресечению этого мошенничества.

#ParsedReport #CompletenessLow
11-12-2025

VS Code extensions use fake image containing a trojan

https://www.reversinglabs.com/blog/malicious-vs-code-fake-image

Report completeness: Low

Threats:
Timebomb_technique
Lolbin_technique
Supply_chain_technique

Victims:
Software supply chain, Developers

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.007, T1195

IOCs:
File: 5
Hash: 19

Soft:
Twitter, Visual Studio Code, ETHCode

Algorithms:
sha1, base64

Languages:
rust, typescript, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания выявила 19 вредоносных расширений в Visual Studio Code Marketplace, внедряющих троянские программы, в основном маскирующие поврежденные файлы под изображения в формате PNG. Злоумышленники изменили структуру этих расширений, в частности, изменив "index.js " файл для запуска вредоносного ПО, скрытого в кажущихся безобидными файлах, демонстрирует изменение тактики использования доверенных сред для уклонения от обнаружения. Это сложное запутывание отражает растущую тенденцию к тому, что злоумышленники нацеливаются на Цепочки поставок, манипулируя надежными компонентами экосистемы.
-----

Недавнее исследование выявило сложную кампанию с участием 19 вредоносных расширений на платформе Visual Studio Code (VS Code) Marketplace, в ходе которой злоумышленники манипулировали файловыми структурами для внедрения троянских программ. Эти расширения в основном включают поврежденный файл, Маскировку под изображение в формате PNG. Эта тактика означает переход в методологиях злоумышленников, когда они используют надежные экосистемы, такие как VS Code, для развертывания вредоносного ПО, избегая обнаружения.

Было обнаружено, что вредоносные расширения содержат папку с именем "node_modules", похожую на структуру пакетов npm, в которой содержатся важные зависимости для функциональности расширения. Однако злоумышленники изменили основной файл скрипта, "index.js ," чтобы ввести новый класс, который инициирует вредоносное поведение. Эта манипуляция устанавливает прямую ссылку на выполнение вредоносного ПО, хитроумно скрытого в, казалось бы, безобидном файле изображения.

Расследование PNG-файла выявило расшифрованный JavaScript-дроппер, проливающий свет на тонкости кампании. Используя распространенный в сообществе разработчиков инструмент и встраивая вредоносные двоичные файлы в тип файла, который обычно воспринимается как безвредный, злоумышленники успешно использовали осведомленность пользователей для обхода мер безопасности. Этот сложный метод запутывания иллюстрирует растущую тенденцию к тому, что злоумышленники все глубже проникают в Цепочку поставок и используют уязвимости в, казалось бы, безобидных компонентах.

Эволюция этой тактики подчеркивает необходимость повышения осведомленности и надежных механизмов обнаружения таких скрытых атак, поскольку злонамеренные акторы продолжают совершенствовать свои подходы к проникновению на надежные платформы.

#ParsedReport #CompletenessLow
11-12-2025

Total Takeover: DroidLock Hijacks Your Device

https://zimperium.com/blog/total-takeover-droidlock-hijacks-your-device

Report completeness: Low

Threats:
Droidlock
Credential_stealing_technique

Victims:
Android users, Mobile users

Industry:
Financial

Geo:
Spanish

TTPs:
Tactics: 10
Technics: 20

IOCs:
File: 1

Soft:
Android

Algorithms:
base64

Links:
https://github.com/Zimperium/IOC/tree/master/2025-12-DroidLock

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DroidLock - это программа-вымогатель, нацеленная на испанских пользователей Android, использующая фишинг для установки вредоносного ПО, которое использует службы специальных возможностей и запрашивает разрешения администратора устройства. Он взаимодействует со своим сервером C2 через HTTP и websockets, используя наложения для скрытия пользовательского интерфейса и сбора личной информации, нажатий клавиш и уведомлений, а также отслеживает местоположение и получает доступ к камерам устройств. Вредоносное ПО демонстрирует передовые методы уклонения и соответствует нескольким тактикам в платформе MITRE ATT&CK, включая первоначальный доступ, закрепление и получение учетных данных.
-----

DroidLock - это недавно выявленная программа-вымогатель, нацеленная на испанских пользователей Android, отличающаяся способностью захватывать устройства через веб-сайты фишинга. Атака начинается с дроппера, который обманом заставляет пользователей устанавливать основную полезную нагрузку вредоносного ПО, эффективно обходя ограничения безопасности Android за счет использования служб специальных возможностей. После установки вредоносное ПО запрашивает разрешения администратора устройства и служб специальных возможностей для совершения различных вредоносных действий, включая блокировку доступа пользователей к их устройствам и кражу конфиденциальных учетных данных.

Вредоносное ПО взаимодействует со своим сервером Command & Control (C2), используя как HTTP, так и websockets. Первоначально он устанавливает HTTP-соединение для отправки основных данных устройства для аналитики. Впоследствии он переключается на связь через websocket для приема команд и передачи данных. Одной из его примечательных особенностей является возможность создавать полноэкранное наложение, имитирующее легальные приложения, эффективно принуждая пользователей раскрывать личную информацию или связываться с злоумышленником по электронной почте.

DroidLock использует механизмы двойного наложения для работы с конкретными приложениями. Когда происходит событие, например изменение состояния приложения, оно активирует наложения, которые скрывают пользовательский интерфейс, включая обманчивые экраны, имитирующие обновления системы Android. Эта тактика часто используется для предотвращения взаимодействия с пользователем, в то время как вредоносное ПО выполняет свои операции в фоновом режиме. Кроме того, он обладает возможностями записи экрана и может фиксировать широкий спектр действий пользователя, включая нажатия клавиш и уведомления. Он также может отслеживать SMS-сообщения, отслеживать местоположение и получать доступ как к камере, так и к микрофону для сбора данных с зараженного устройства.

Набор возможностей вредоносного ПО позволяет ему непрерывно выполнять команды с сервера C2, что указывает на надежный механизм для организованных атак. Примечательно, что DroidLock демонстрирует передовые методы уклонения, такие как Маскировка под законные приложения, чтобы избежать обнаружения. Несмотря на свои сложные методы, мобильные платформы защиты от угроз, такие как Zimperium, продемонстрировали способность обнаруживать DroidLock в режиме реального времени, подчеркивая текущие проблемы в борьбе с такими угрозами.

DroidLock совместим с несколькими тактиками в рамках MITRE ATT&CK. Первоначальный доступ достигается с помощью фишинга, в то время как закрепление устанавливается с помощью широковещательных приемников. Вредоносное ПО способно к повышению привилегий, обходу защиты и получению учетных данных с помощью различных средств, таких как Перехват вводимых данных и извлечение Данных из буфера обмена. Его конструкция также облегчает обнаружение системной информации и списков приложений, что делает его мощной угрозой, способной оказать значительное воздействие на скомпрометированные устройства.

#ParsedReport #CompletenessHigh
11-12-2025

GOLD SALEM tradecraft for deploying Warlock ransomware

https://news.sophos.com/en-us/2025/12/11/gold-salem-tradecraft-for-deploying-warlock-ransomware/

Report completeness: High

Actors/Campaigns:
Warlock (motivation: cyber_criminal, cyber_espionage)
Storm-2603
Crimson_palace (motivation: cyber_espionage)
Gold_mystic
Apt31
Emissary_panda
Bronze_starlight (motivation: cyber_espionage)

Threats:
X2anylock
Toolshell_vuln
Av-killer
Dll_sideloading_technique
Cloudflared_tool
Mimikatz_tool
Lockbit
Babuk
Credential_harvesting_technique
Byovd_technique
Radmin_tool
Donutldr
Edr-killer

Victims:
Telecommunications providers, Nuclear energy research companies, Aerospace organizations, Advanced technical research organizations, Government linked organizations

Industry:
Retail, Telco, Aerospace, Transport, Foodtech, Government, Financial, Energy

Geo:
Chinese, Russia, Asia, Russian, Taiwan, China, Taiwanese

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 5
File: 18
Url: 2
Hash: 14

Soft:
Velociraptor, Protonmail, Visual Studio Code, vscode, Azure blob, MinIO, Linux, OpenSSH, UNIX, ESXi, have more...

Algorithms:
md5, sha256, sha1

Functions:
MiniDump

Languages:
powershell, java

Links:
have more...
https://github.com/minio/mc
https://github.com/cloudflare/cloudflared/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года киберпреступная группа GOLD SALEM была связана с деятельностью вымогателей-предшественников, связанной с Warlock, которые использовали уязвимости SharePoint для доступа. Они использовали цепочку эксплойтов ToolShell, упорствовали, создавая административные учетные записи и развертывая Velociraptor для вредоносных целей, наряду с использованием vmtools.exe чтобы избежать обнаружения. Их усилия по командованию и контролю включали использование кода Visual Studio в туннельном режиме и средства туннелирования Cloudflared, имеющего историю нацеливания на чувствительные сектора и жертв в России, что указывает на сложную оперативную тактику и потенциальные связи с интересами национальных государств.
-----

В августе 2025 года исследователи из Подразделения по борьбе с угрозами (CTU) выявили действия, указывающие на операции-предшественники программ-вымогателей, связанные с Warlock ransomware, приписываемой киберпреступной группе GOLD SALEM. Группа в основном использовала уязвимости SharePoint для получения первоначального доступа в определенных инцидентах. В частности, в одном случае они использовали цепочку эксплойтов ToolShell после того, как общедоступный код эксплойта стал доступен на GitHub. Это примечательно, поскольку отражает то, насколько быстро злоумышленники могут использовать обнаруженные уязвимости.

Получив доступ, GOLD SALEM применила методы закрепления, создав новые учетные записи администратора, используя согласованные учетные данные для нескольких инцидентов. Их тактическое выполнение включало использование законного инструмента цифровой криминалистики Velociraptor, который они загрузили из скомпрометированной инфраструктуры, что указывает на его злонамеренное использование. Группа также использовала антивирус и средство обнаружения конечных точек и реагирования на них под названием killer vmtools.exe , тактика уклонения от обороны, указывающая на сложные оперативные возможности.

Для инфраструктуры command and control (C2) GOLD SALEM попыталась настроить каналы связи, используя такие инструменты, как Visual Studio Code, в туннельном режиме. Кроме того, они использовали инструмент туннелирования Cloudflared, что свидетельствует об их усилиях по созданию скрытого операционного пространства. Первоначальная загрузка этих инструментов часто происходила из доменов, которые контролировала группа, что подчеркивает их стратегическую практику размещения инструментов.

КТП расследование показало, что Gold Salem использовал множество рекламных вариантов, в том числе Warlock, LockBit, и Babuk, часто называя их исполняемых файлов после целенаправленной организации. Это свидетельствует о продуманной стратегии усиления психологического воздействия на жертв. Фон пункты потерпевших в отношении организаций, связанных с "чувствительных" секторах, таких как телекоммуникации, атомной энергетики, аэрокосмических исследований, который может привлечь интерес со стороны национально-государственных субъектов, предполагая, что Gold Salem может работать под одеяло финансовой мотивации при совершении кражи данных.

Примечательно, что в виктимологии группы указаны цели в России, несмотря на то, что местные группы вымогателей обычно избегают таких целей, что позволяет предположить, что GOLD SALEM, скорее всего, действует за пределами юрисдикции российских правоохранительных органов.

#ParsedReport #CompletenessMedium
11-12-2025

It didnt take long: CVE-2025-55182 is now under active exploitation

https://securelist.com/cve-2025-55182-exploitation/118331/

Report completeness: Medium

Threats:
React2shell_vuln
Xmrig_miner
Mirai
Bashlite
Rondodox
Supply_chain_technique

Victims:
Web applications

Industry:
Iot

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1005, T1059, T1190, T1565

IOCs:
Url: 39
Hash: 6

Soft:
curl, AppArmor, SELinux, BusyBox, Linux

Crypto:
monero

Algorithms:
base64, md5

Languages:
powershell

Links:
https://github.com/ejpir/CVE-2025-55182-poc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, критическая уязвимость с рейтингом CVSS 10.0, затрагивает серверные компоненты React, позволяя злоумышленникам выполнять произвольные команды и манипулировать файлами с привилегиями серверного процесса. Классифицированный как CWE-502, он предусматривает десериализацию ненадежных данных и привел к резкому увеличению числа попыток их использования, чему способствует доступное подтверждение концепции. В результате веб-приложения, использующие платформу React, подвергаются повышенному риску кибератак.
-----

CVE-2025-55182 - критическая уязвимость с оценкой CVSS 10,0, недавно обнародованная 4 декабря 2025 года. Эта уязвимость, неофициально называемая React4Shell, оказывает воздействие на функциональность серверных компонентов React (RSC), которая используется в веб-приложениях, созданных с использованием библиотеки React. RSC улучшает визуализацию пользовательского интерфейса за счет разделения рабочих нагрузок между клиентом и сервером, но эта возможность создает значительные риски для безопасности.

Ошибка классифицируется как CWE-502, что указывает на то, что она связана с десериализацией ненадежных данных. Эта уязвимость позволяет злоумышленнику выполнять произвольные команды и получать возможность читать и записывать файлы в каталогах, доступных веб-приложению, работая с привилегиями серверного процесса. Такое повышение привилегий повышает серьезность и привлекательность эксплойта для киберпреступников.

После раскрытия уязвимости произошло заметное увеличение числа попыток ее использования, о чем свидетельствуют данные, собранные с помощью Kaspersky honeypots, отслеживающих атаки. Быстрому внедрению злоумышленниками способствует простота использования в сочетании с наличием рабочей проверки концепции (PoC), которая демонстрирует, как использовать уязвимость. Учитывая эти обстоятельства, ожидается, что объем атак с использованием CVE-2025-55182 в ближайшей перспективе продолжит расти, создавая существенную угрозу для веб-приложений, использующих React framework.

#ParsedReport #CompletenessMedium
11-12-2025

Bellerophon never dreamed of such a thing. The ChimeraWire Trojan boosts website popularity by skillfully impersonating a human.

https://news.drweb.ru/show/?lng=ru&i=15090

Report completeness: Medium

Threats:
Chimerawire
Dllsearchorder_hijacking_technique
Nopecha_tool

Victims:
Web advertising and marketing

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 16
Path: 5

Soft:
Google Chrome, Linux macOS, Windows Task Scheduler, Windows registry

Algorithms:
aes-gcm

Languages:
powershell, python, visual_basic

Links:
have more...
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Trojan.ChimeraWire/README.adoc
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/sohaha/zlsgo

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Trojan.ChimeraWire на базе ОС Windows, вредоносное ПО определены компанией "Доктор Веб", предназначен для раздувания веб-трафик через кликер функциональность. Он поражает, прежде всего, через Python.Загрузчик.208, используя DLL Search Order угон, чтобы манипулировать iscsicpl.exe процесс. Ключевые методы включают пользователей-помогать исполнения, закрепление с помощью планировщика задач Windows, повышение привилегий через DLL hijacking, и тактику уклонения, например, шифрование, обфускацию, и поддерживать двустороннюю связь через веб-протоколы.
-----

Trojan.ChimeraWire - это сложное вредоносное ПО, выявленное специалистами "Доктор Веб", в основном работающее в системах Windows. Этот троянец обладает функциональностью кликера и предназначен для искусственного увеличения посещаемости веб-сайта путем имитации взаимодействия с человеком. Он отличается тем, что разработан на основе проектов с открытым исходным кодом, в частности zlsgo и Rod, которые используются для автоматизированного управления веб-сайтами и веб-приложениями.

Первоначальный метод заражения приписывается Python.Downloader.208, который использует метод перехвата DLL search order, включающий манипулирование iscsicpl.exe процесс для использования ISCSIEXE.библиотека dll в каталоге %SystemRoot%\SysWOW64\.

Trojan.ChimeraWire использует различные векторы атак в рамках платформы MITRE ATT&CK. Ключевые методы включают выполнение с помощью пользователя (T1204), при котором вредоносному ПО часто способствует выполнение Вредоносных файлов, библиотек или сценариев PowerShell. Злоумышленники могут использовать такие инструменты, как Командная оболочка Windows, Visual Basic и Python для достижения своих целей. Более того, он использует планировщик задач Windows для закрепления, используя такие методы, как объединение ключей запуска в реестре Windows или запуск запланированных задач.

Вредоносное ПО также включает в себя возможности для повышения привилегий, в частности, путем перехвата поиска DLL-файлов и обхода механизмов контроля учетных записей пользователей (UAC). Чтобы избежать обнаружения, он реализует тактику шифрования и запутывания, наряду с методологиями создания Скрытых окон и Деобфускации файлов или путей. Кроме того, троянец поддерживает двустороннюю связь по Веб-протоколам, что повышает эффективность его работы.