#ParsedReport #CompletenessMedium
17-12-2025
There's Payloads, And Then There's pAIloads: A Look At Selected Opportunistic (And Possibly AI-"Enhanced") React2Shell Probes and Attacks
https://www.greynoise.io/blog/react2shell-payload-analysis
Report completeness: Medium
Threats:
React2shell_vuln
Mirai
Bashlite
Victims:
Web application servers
Industry:
Iot
Geo:
Spanish, Brazil
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1057, T1059.007, T1105, T1190, T1204.002, T1210
IOCs:
File: 4
Url: 2
IP: 1
Soft:
Node.js, Alpine, Linux, Slack, curl, macOS, Claude, polyfill, Alpine Linux, busybox, have more...
Algorithms:
md5, base64, exhibit
Functions:
getuid
Languages:
javascript
Platforms:
mpsl, cross-platform
17-12-2025
There's Payloads, And Then There's pAIloads: A Look At Selected Opportunistic (And Possibly AI-"Enhanced") React2Shell Probes and Attacks
https://www.greynoise.io/blog/react2shell-payload-analysis
Report completeness: Medium
Threats:
React2shell_vuln
Mirai
Bashlite
Victims:
Web application servers
Industry:
Iot
Geo:
Spanish, Brazil
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1057, T1059.007, T1105, T1190, T1204.002, T1210
IOCs:
File: 4
Url: 2
IP: 1
Soft:
Node.js, Alpine, Linux, Slack, curl, macOS, Claude, polyfill, Alpine Linux, busybox, have more...
Algorithms:
md5, base64, exhibit
Functions:
getuid
Languages:
javascript
Platforms:
mpsl, cross-platform
www.greynoise.io
React2Shell Payload Analysis: A Look at Selected Opportunistic and Possibly AI-"Enhanced" Probes and Attacks
Over the past ~1.5 weeks, the React2Shell campaign has unleashed a flood of exploitation attempts targeting vulnerable React Server Components. Analyzing the payload size distribution across these attacks reveals a clear fingerprint of modern cybercrime,…
CTT Report Hub
#ParsedReport #CompletenessMedium 17-12-2025 There's Payloads, And Then There's pAIloads: A Look At Selected Opportunistic (And Possibly AI-"Enhanced") React2Shell Probes and Attacks https://www.greynoise.io/blog/react2shell-payload-analysis Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ полезных нагрузок React2Shell указывает на сочетание человеческого мастерства и влияния искусственного интеллекта при разработке вредоносного ПО, причем одна полезная нагрузка демонстрирует расширенные функции, типичные для опытных операторов Linux. Однако в нем были обнаружены недостатки, вызванные искусственным интеллектом, такие как неправильные форматы строк JavaScript, которые препятствовали его функциональности. Предполагается, что код был создан исследователем с целью продемонстрировать возможность Удаленного Выполнения Кода без причинения вреда, подчеркивая сохраняющуюся зависимость человеческого опыта в разработке киберугроз от результатов, генерируемых искусственным интеллектом.
-----
Недавний анализ более 50 000 уникальных полезных нагрузок React2Shell выявил заметные закономерности в их создании и выполнении, особенно подчеркнув потенциальное пересечение человеческого мастерства и Искусственного интеллекта при разработке вредоносного ПО. Одна конкретная полезная нагрузка выделялась своей сложностью и изощренностью, свидетельствующей об опытном операторе Linux-вредоносного ПО, а не о более общих результатах, ожидаемых от кода, сгенерированного искусственным интеллектом. Это говорит о том, что полезная нагрузка эволюционировала в результате органичной разработки, включающей различные методы, отточенные на опыте.
Интересно, что полезная нагрузка, по-видимому, представляет собой гибрид человеческой изобретательности и ошибок, вызванных искусственным интеллектом. В частности, в то время как основные элементы демонстрируют глубокое понимание развертывания вредоносного ПО, механизм доставки обладает характеристиками, которые предполагают, что он, возможно, был создан с использованием инструментов искусственного интеллекта, что привело к ошибочным результатам. Такие недостатки включали использование строк JavaScript в одинарных кавычках, которые не могут содержать буквальные переводы строк, что серьезно затрудняло функционирование полезной нагрузки, делая ее неэффективной в попытках использовать целевые объекты.
Расследование также предположило, что этот конкретный код, скорее всего, был создан исследователем безопасности или охотником за ошибками. Цель состояла в том, чтобы продемонстрировать значительное воздействие Удаленного Выполнения Кода (RCE) безопасным способом, используя доступные методы проверки концепции, не нанося вреда системам жертвы. Этот подход включал в себя использование Next.js обработка ошибок, позволяющая получать неразрушающую обратную связь, которая служит "доказательством скриншота" для целей отчетности о вознаграждении, не ставя под угрозу целостность сервера и не оставляя отслеживаемого вредоносного ПО.
Несмотря на спекулятивные рассказы о роли ИИ в киберугрозах, в анализе делается вывод о том, что ИИ еще не получил значительного распространения в разработке оппортунистических атак с первоначальным доступом, особенно в том, что касается создания эффективных полезных нагрузок. Подавляющее большинство наблюдаемых полезных нагрузок было приписано создателям-людям, использующим традиционные методы разработки, интегрирующим установленные шаблонные движки и хорошо документированные методы, что еще раз подчеркивает сохраняющееся доминирование человеческого опыта в разработке киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ полезных нагрузок React2Shell указывает на сочетание человеческого мастерства и влияния искусственного интеллекта при разработке вредоносного ПО, причем одна полезная нагрузка демонстрирует расширенные функции, типичные для опытных операторов Linux. Однако в нем были обнаружены недостатки, вызванные искусственным интеллектом, такие как неправильные форматы строк JavaScript, которые препятствовали его функциональности. Предполагается, что код был создан исследователем с целью продемонстрировать возможность Удаленного Выполнения Кода без причинения вреда, подчеркивая сохраняющуюся зависимость человеческого опыта в разработке киберугроз от результатов, генерируемых искусственным интеллектом.
-----
Недавний анализ более 50 000 уникальных полезных нагрузок React2Shell выявил заметные закономерности в их создании и выполнении, особенно подчеркнув потенциальное пересечение человеческого мастерства и Искусственного интеллекта при разработке вредоносного ПО. Одна конкретная полезная нагрузка выделялась своей сложностью и изощренностью, свидетельствующей об опытном операторе Linux-вредоносного ПО, а не о более общих результатах, ожидаемых от кода, сгенерированного искусственным интеллектом. Это говорит о том, что полезная нагрузка эволюционировала в результате органичной разработки, включающей различные методы, отточенные на опыте.
Интересно, что полезная нагрузка, по-видимому, представляет собой гибрид человеческой изобретательности и ошибок, вызванных искусственным интеллектом. В частности, в то время как основные элементы демонстрируют глубокое понимание развертывания вредоносного ПО, механизм доставки обладает характеристиками, которые предполагают, что он, возможно, был создан с использованием инструментов искусственного интеллекта, что привело к ошибочным результатам. Такие недостатки включали использование строк JavaScript в одинарных кавычках, которые не могут содержать буквальные переводы строк, что серьезно затрудняло функционирование полезной нагрузки, делая ее неэффективной в попытках использовать целевые объекты.
Расследование также предположило, что этот конкретный код, скорее всего, был создан исследователем безопасности или охотником за ошибками. Цель состояла в том, чтобы продемонстрировать значительное воздействие Удаленного Выполнения Кода (RCE) безопасным способом, используя доступные методы проверки концепции, не нанося вреда системам жертвы. Этот подход включал в себя использование Next.js обработка ошибок, позволяющая получать неразрушающую обратную связь, которая служит "доказательством скриншота" для целей отчетности о вознаграждении, не ставя под угрозу целостность сервера и не оставляя отслеживаемого вредоносного ПО.
Несмотря на спекулятивные рассказы о роли ИИ в киберугрозах, в анализе делается вывод о том, что ИИ еще не получил значительного распространения в разработке оппортунистических атак с первоначальным доступом, особенно в том, что касается создания эффективных полезных нагрузок. Подавляющее большинство наблюдаемых полезных нагрузок было приписано создателям-людям, использующим традиционные методы разработки, интегрирующим установленные шаблонные движки и хорошо документированные методы, что еще раз подчеркивает сохраняющееся доминирование человеческого опыта в разработке киберугроз.
#ParsedReport #CompletenessLow
21-12-2025
Christmas Tycoon
https://intelinsights.substack.com/p/christmas-tycoon
Report completeness: Low
Threats:
Credential_harvesting_technique
Tycoon_2fa
Industry:
Financial, Energy, Healthcare
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1056.003, T1071.001, T1204, T1204.001, T1566.002, T1583.001, T1593.003, T1596.001
IOCs:
Url: 3
Domain: 1882
File: 16
Hash: 1
21-12-2025
Christmas Tycoon
https://intelinsights.substack.com/p/christmas-tycoon
Report completeness: Low
Threats:
Credential_harvesting_technique
Tycoon_2fa
Industry:
Financial, Energy, Healthcare
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1056.003, T1071.001, T1204, T1204.001, T1566.002, T1583.001, T1593.003, T1596.001
IOCs:
Url: 3
Domain: 1882
File: 16
Hash: 1
Substack
Christmas Tycoon
Tales from the phishing factory with over 1.9K domains
CTT Report Hub
#ParsedReport #CompletenessLow 21-12-2025 Christmas Tycoon https://intelinsights.substack.com/p/christmas-tycoon Report completeness: Low Threats: Credential_harvesting_technique Tycoon_2fa Industry: Financial, Energy, Healthcare TTPs: Tactics: 1 Technics:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В кампании фишинга было задействовано более 1900 доменов, инициированной со взломанной учетной записи с помощью электронных писем, содержащих URL-адрес, который обходит систему безопасности с помощью защищенных ссылок электронной почты Cisco. Набор для фишинга Tycoon перенаправлял пользователей на чат-бота с искусственным интеллектом при неправильном доступе, позволяя использовать уникальные цифровые отпечатки пальцев для отслеживания связанных доменов. Расследование выявило 418 уникальных доменов для фишинга, основанных на различных HTML-заголовках, в то время как повторяющиеся хэши заголовков указывали на более крупную сеть из более чем 850 вредоносных доменов, что указывает на скоординированный и адаптивный фишинг.
-----
Расследование было сосредоточено вокруг кампании фишинга с использованием более 1900 доменов, инициированной со взломанной учетной записи, которая отправила электронное письмо с фишингов -адресом, содержащим URL-адрес, предназначенный для использования защищенных ссылок электронной почты Cisco для обхода мер безопасности. Набор для фишинга, называемый набором для фишинга Tycoon, использует тактику, которая перенаправляет пользователей на чат-бота с искусственным интеллектом при доступе без соответствующего идентификатора перенаправления, позволяя получить отличительный цифровой отпечаток пальца, который помогает в обнаружении дополнительных связанных доменов и инфраструктуры.
Благодаря методическому подходу анализ повлек за собой удаление поддоменов и дубликатов из первоначального списка доменов, в результате чего было идентифицировано 418 уникальных доменов для фишинга. Эти домены характеризовались наличием отличных HTML-заголовков, что облегчало категоризацию кампаний по фишингу. Эта тактика упрощает идентификацию связанных доменов при анализе масштабов кампании.
Дальнейшее исследование включало изучение повторяющихся хэшей заголовков, присутствующих в различных доменах, что обеспечило доступ к еще одному значительному пулу вредоносных доменов, в общей сложности превышающему 850. Неоднократное появление таких хэшей заголовков указывало на систематические усилия в деятельности организации, связывающие многочисленные попытки фишинга в рамках единой стратегии.
Анализ завершился замечаниями, сделанными при повторном просмотре исходного URL-адреса credential-harvesting, который перенаправлял на один из общих шаблонов, связанных с кампанией. Это наблюдение предполагает, что фишеры активируют эти универсальные целевые страницы, когда их основные усилия по фишингу либо неактивны, либо временно приостановлены, что указывает на уровень оперативной безопасности и адаптивности, присущий кампании.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В кампании фишинга было задействовано более 1900 доменов, инициированной со взломанной учетной записи с помощью электронных писем, содержащих URL-адрес, который обходит систему безопасности с помощью защищенных ссылок электронной почты Cisco. Набор для фишинга Tycoon перенаправлял пользователей на чат-бота с искусственным интеллектом при неправильном доступе, позволяя использовать уникальные цифровые отпечатки пальцев для отслеживания связанных доменов. Расследование выявило 418 уникальных доменов для фишинга, основанных на различных HTML-заголовках, в то время как повторяющиеся хэши заголовков указывали на более крупную сеть из более чем 850 вредоносных доменов, что указывает на скоординированный и адаптивный фишинг.
-----
Расследование было сосредоточено вокруг кампании фишинга с использованием более 1900 доменов, инициированной со взломанной учетной записи, которая отправила электронное письмо с фишингов -адресом, содержащим URL-адрес, предназначенный для использования защищенных ссылок электронной почты Cisco для обхода мер безопасности. Набор для фишинга, называемый набором для фишинга Tycoon, использует тактику, которая перенаправляет пользователей на чат-бота с искусственным интеллектом при доступе без соответствующего идентификатора перенаправления, позволяя получить отличительный цифровой отпечаток пальца, который помогает в обнаружении дополнительных связанных доменов и инфраструктуры.
Благодаря методическому подходу анализ повлек за собой удаление поддоменов и дубликатов из первоначального списка доменов, в результате чего было идентифицировано 418 уникальных доменов для фишинга. Эти домены характеризовались наличием отличных HTML-заголовков, что облегчало категоризацию кампаний по фишингу. Эта тактика упрощает идентификацию связанных доменов при анализе масштабов кампании.
Дальнейшее исследование включало изучение повторяющихся хэшей заголовков, присутствующих в различных доменах, что обеспечило доступ к еще одному значительному пулу вредоносных доменов, в общей сложности превышающему 850. Неоднократное появление таких хэшей заголовков указывало на систематические усилия в деятельности организации, связывающие многочисленные попытки фишинга в рамках единой стратегии.
Анализ завершился замечаниями, сделанными при повторном просмотре исходного URL-адреса credential-harvesting, который перенаправлял на один из общих шаблонов, связанных с кампанией. Это наблюдение предполагает, что фишеры активируют эти универсальные целевые страницы, когда их основные усилия по фишингу либо неактивны, либо временно приостановлены, что указывает на уровень оперативной безопасности и адаптивности, присущий кампании.
#ParsedReport #CompletenessLow
18-12-2025
Scripted Sparrow: A Prolific BEC Threat Group
https://www.fortra.com/resources/guides/scripted-sparrow-prolific-bec-threat-group
Report completeness: Low
Actors/Campaigns:
Scripted_sparrow
Threats:
Bec_technique
Victims:
Financial services, Organizations using email, Accounts payable departments
Industry:
Financial
Geo:
San francisco, Canada, South africa, America, American, Nigeria
ChatGPT TTPs:
T1199, T1583.001, T1585.002, T1586.002, T1656
IOCs:
Domain: 133
Email: 494
Soft:
Telegram
Platforms:
intel
18-12-2025
Scripted Sparrow: A Prolific BEC Threat Group
https://www.fortra.com/resources/guides/scripted-sparrow-prolific-bec-threat-group
Report completeness: Low
Actors/Campaigns:
Scripted_sparrow
Threats:
Bec_technique
Victims:
Financial services, Organizations using email, Accounts payable departments
Industry:
Financial
Geo:
San francisco, Canada, South africa, America, American, Nigeria
ChatGPT TTPs:
do not use without manual checkT1199, T1583.001, T1585.002, T1586.002, T1656
IOCs:
Domain: 133
Email: 494
Soft:
Telegram
Platforms:
intel
Fortra
Scripted Sparrow: A Prolific BEC Threat Group
Scripted Sparrow is a Business Email Compromise (BEC) threat group. In this report, Fortra Intelligence and Research Experts (FIRE) explain how to spot them.
CTT Report Hub
#ParsedReport #CompletenessLow 18-12-2025 Scripted Sparrow: A Prolific BEC Threat Group https://www.fortra.com/resources/guides/scripted-sparrow-prolific-bec-threat-group Report completeness: Low Actors/Campaigns: Scripted_sparrow Threats: Bec_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
По сценарию Sparrow является вновь выявленных бизнес-email компромисс (BEC) группа, известная за счет использования средств автоматизации распространение фишинг-сообщения, при этом значительное повышение активности отмечается с июня 2024. Они используют такие приемы, как, используя скомпрометированные легитимные учетные записи и различные домены электронной почты, в то время как их операции координируются через Telegram, демонстрируя децентрализованной сети участников совместного использования технологий и инфраструктуры. Развиваются методы этой группы имеют более персонализированные фишинг коммуникаций, предназначенных для повышения их эффективности обман, представляющей повышенную опасность для потенциальных мишеней.
-----
Scripted Sparrow - это развивающаяся группа по компрометации деловой электронной почты (BEC), признанная за обширные операции на нескольких континентах, что предполагает сильную зависимость от автоматизации при создании и распространении фишингов -сообщений. Созданная в июне 2024 года, группа продемонстрировала заметный рост своей деятельности, достигнув пика с 496 зарегистрированными контрактами к сентябрю 2025 года. Первоначальные наблюдения показывают, что Scripted Sparrow использует различные тактики, включая использование как бесплатной веб-почты, так и пользовательских доменных Адресов эл. почты для своих атак. Имеются также признаки взлома учетных записей законных организаций, что расширяет их возможности по проведению нацеленного фишинга.
Активные меры защиты от скриптового Sparrow и глубокое расследование команды позволили получить представление об их инфраструктуре. Направляя злоумышленников по определенным URL-адресам, аналитики могли бы собирать IP-адреса и данные пользовательских агентов, эффективно создавая основу для отслеживания акторов в различных ситуациях. Это участие было дополнено методами социальной инженерии, которые позволили акторам раскрыть точные данные о геолокации, несмотря на потенциальное запутывание с помощью VPN. Тем не менее, потенциал географической подмены остается значительным, учитывая доступность различных браузерных плагинов и инструментов для конечных пользователей.
Кроме того, общение внутри группы было связано с платформой Telegram, что было выявлено путем анализа строк их пользовательских агентов. Этот метод подчеркивает их стремление поддерживать оперативную безопасность при одновременном облегчении внутренних коммуникаций. Сетевая структура Scripted Sparrow выглядит децентрализованной и включает в себя различных мошенников, которые действуют по общей схеме, иллюстрируемой общими отпечатками пальцев браузера и финансовыми взаимодействиями.
Группа развивает свою тактику с течением времени; первоначальные сообщения характеризуется общих приветствий перешли к более персонализированным форматы, с подробным взаимодействий перед участием финансовых контактов, тем самым повышая вероятность успешного обмана. Эти изысканные точка подходов к разработке по своей изощренности BEC кампаний и угрожать организаций, которые могут стать жертвой таких нацелен попытки мошенничества. В целом, сведения, собранные в ходе анализа сценариев Sparrow моменты организованной, гибкой злоумышленник эксплуатирует как технологические, так и социальные элементы в своей деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
По сценарию Sparrow является вновь выявленных бизнес-email компромисс (BEC) группа, известная за счет использования средств автоматизации распространение фишинг-сообщения, при этом значительное повышение активности отмечается с июня 2024. Они используют такие приемы, как, используя скомпрометированные легитимные учетные записи и различные домены электронной почты, в то время как их операции координируются через Telegram, демонстрируя децентрализованной сети участников совместного использования технологий и инфраструктуры. Развиваются методы этой группы имеют более персонализированные фишинг коммуникаций, предназначенных для повышения их эффективности обман, представляющей повышенную опасность для потенциальных мишеней.
-----
Scripted Sparrow - это развивающаяся группа по компрометации деловой электронной почты (BEC), признанная за обширные операции на нескольких континентах, что предполагает сильную зависимость от автоматизации при создании и распространении фишингов -сообщений. Созданная в июне 2024 года, группа продемонстрировала заметный рост своей деятельности, достигнув пика с 496 зарегистрированными контрактами к сентябрю 2025 года. Первоначальные наблюдения показывают, что Scripted Sparrow использует различные тактики, включая использование как бесплатной веб-почты, так и пользовательских доменных Адресов эл. почты для своих атак. Имеются также признаки взлома учетных записей законных организаций, что расширяет их возможности по проведению нацеленного фишинга.
Активные меры защиты от скриптового Sparrow и глубокое расследование команды позволили получить представление об их инфраструктуре. Направляя злоумышленников по определенным URL-адресам, аналитики могли бы собирать IP-адреса и данные пользовательских агентов, эффективно создавая основу для отслеживания акторов в различных ситуациях. Это участие было дополнено методами социальной инженерии, которые позволили акторам раскрыть точные данные о геолокации, несмотря на потенциальное запутывание с помощью VPN. Тем не менее, потенциал географической подмены остается значительным, учитывая доступность различных браузерных плагинов и инструментов для конечных пользователей.
Кроме того, общение внутри группы было связано с платформой Telegram, что было выявлено путем анализа строк их пользовательских агентов. Этот метод подчеркивает их стремление поддерживать оперативную безопасность при одновременном облегчении внутренних коммуникаций. Сетевая структура Scripted Sparrow выглядит децентрализованной и включает в себя различных мошенников, которые действуют по общей схеме, иллюстрируемой общими отпечатками пальцев браузера и финансовыми взаимодействиями.
Группа развивает свою тактику с течением времени; первоначальные сообщения характеризуется общих приветствий перешли к более персонализированным форматы, с подробным взаимодействий перед участием финансовых контактов, тем самым повышая вероятность успешного обмана. Эти изысканные точка подходов к разработке по своей изощренности BEC кампаний и угрожать организаций, которые могут стать жертвой таких нацелен попытки мошенничества. В целом, сведения, собранные в ходе анализа сценариев Sparrow моменты организованной, гибкой злоумышленник эксплуатирует как технологические, так и социальные элементы в своей деятельности.
#ParsedReport #CompletenessMedium
16-12-2025
Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users
https://www.koi.ai/blog/inside-ghostposter-how-a-png-icon-infected-50-000-firefox-browser-users
Report completeness: Medium
Threats:
Ghostposter
Steganography_technique
Victims:
Firefox users, Ecommerce affiliate programs
Industry:
E-commerce, Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1027.003, T1036, T1059, T1059.007, T1071.001, T1102, T1102.003, T1104, T1105, have more...
IOCs:
File: 1
Domain: 3
Url: 2
Soft:
Firefox, ChatGPT, Claude
Algorithms:
xor, base64
Functions:
eval
Languages:
javascript
16-12-2025
Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users
https://www.koi.ai/blog/inside-ghostposter-how-a-png-icon-infected-50-000-firefox-browser-users
Report completeness: Medium
Threats:
Ghostposter
Steganography_technique
Victims:
Firefox users, Ecommerce affiliate programs
Industry:
E-commerce, Financial
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.003, T1036, T1059, T1059.007, T1071.001, T1102, T1102.003, T1104, T1105, have more...
IOCs:
File: 1
Domain: 3
Url: 2
Soft:
Firefox, ChatGPT, Claude
Algorithms:
xor, base64
Functions:
eval
Languages:
javascript
www.koi.ai
Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users
Discover how GhostPoster used a malicious PNG icon to infect 50,000 Firefox users and the risks behind seemingly harmless downloads.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-12-2025 Inside GhostPoster: How a PNG Icon Infected 50,000 Firefox Users https://www.koi.ai/blog/inside-ghostposter-how-a-png-icon-infected-50-000-firefox-browser-users Report completeness: Medium Threats: Ghostposter…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GhostPoster вредоносное ПО целевые пользователи Firefox через вредоносные расширения браузера, бесплатный VPN Навсегда, которая служит загрузчик для загрузки фактический вредоносное ПО грузоподъемностью от управление сервером. После запуска он перехватывает партнерские ссылки на основных платформах электронной коммерции, перехватывая комиссионные, одновременно вводя код отслеживания для сбора пользовательских данных и используя методы обхода защиты от CAPTCHA. Кампания иллюстрирует тенденцию вредоносных бесплатных VPN расширений эксплуатируя уязвимости, затрагивающие около 50 000 пользователей.
-----
Вредоносная Кампания GhostPoster нацелена на пользователей Firefox с помощью серии обманчивых тактик, которые используют кажущиеся безобидными расширения браузера, в частности одно под названием Free VPN Forever. Начальный этап включает в себя загрузку расширением файла своего логотипа, который вместо этого содержит вредоносный загрузчик. Этот загрузчик предназначен для извлечения фактической полезной нагрузки вредоносного ПО с сервера управления (C&C). Сама полезная нагрузка скрыта, используя пользовательскую схему кодирования, чтобы избежать обнаружения во время передачи.
После расшифровки и выполнения полезная нагрузка превращает браузер в инструмент для монетизации активности пользователей без их согласия. Вредоносное ПО специально перехватывает партнерские ссылки на крупных платформах электронной коммерции, таких как Taobao и JD.com . Когда пользователи переходят по этим ссылкам, вредоносное ПО перехватывает трафик, эффективно отбирая любые комиссионные, предназначенные для законных партнеров, и перенаправляя их злоумышленникам.
Более того, GhostPoster вводит код отслеживания Google Analytics на каждую посещенную веб-страницу, собирая подробную информацию о привычках пользователя в интернете и продолжительности заражения. Он удаляет заголовки безопасности из HTTP-ответов, еще больше нарушая целостность сайта, и использует множество методов для обхода защиты с помощью CAPTCHA. Это включает в себя имитацию пользовательских взаимодействий и использование внешних ресурсов для распознавания капчи.
Вредоносное ПО также внедряет скрытые iframe-файлы из доменов, контролируемых злоумышленниками, что позволяет широко использовать мошенничество с рекламой и кликами, сохраняя видимость нормальной работы браузеров пользователей. Примечательно, что платформа, лежащая в основе GhostPoster, не уникальна; были выявлены аналогичные кампании вредоносных расширений, связанные с этой инфраструктурой атаки, которая включает в себя по меньшей мере 16 других расширений, использующих те же серверы C&C.
Этот инцидент подчеркивает повторяющуюся тенденцию, когда бесплатные расширения VPN становятся вредоносными, предлагая план будущих угроз. Используемые методы уклонения, такие как Стеганография для сокрытия полезной нагрузки и сложные механизмы отслеживания, отражают растущую оперативную изощренность злоумышленников. Уязвимости, присущие расширениям браузера, были использованы для содействия значительному нарушению, воздействие на которое оказало около 50 000 пользователей, скачавших скомпрометированное программное обеспечение, которое остается доступным на рынке дополнений Firefox.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GhostPoster вредоносное ПО целевые пользователи Firefox через вредоносные расширения браузера, бесплатный VPN Навсегда, которая служит загрузчик для загрузки фактический вредоносное ПО грузоподъемностью от управление сервером. После запуска он перехватывает партнерские ссылки на основных платформах электронной коммерции, перехватывая комиссионные, одновременно вводя код отслеживания для сбора пользовательских данных и используя методы обхода защиты от CAPTCHA. Кампания иллюстрирует тенденцию вредоносных бесплатных VPN расширений эксплуатируя уязвимости, затрагивающие около 50 000 пользователей.
-----
Вредоносная Кампания GhostPoster нацелена на пользователей Firefox с помощью серии обманчивых тактик, которые используют кажущиеся безобидными расширения браузера, в частности одно под названием Free VPN Forever. Начальный этап включает в себя загрузку расширением файла своего логотипа, который вместо этого содержит вредоносный загрузчик. Этот загрузчик предназначен для извлечения фактической полезной нагрузки вредоносного ПО с сервера управления (C&C). Сама полезная нагрузка скрыта, используя пользовательскую схему кодирования, чтобы избежать обнаружения во время передачи.
После расшифровки и выполнения полезная нагрузка превращает браузер в инструмент для монетизации активности пользователей без их согласия. Вредоносное ПО специально перехватывает партнерские ссылки на крупных платформах электронной коммерции, таких как Taobao и JD.com . Когда пользователи переходят по этим ссылкам, вредоносное ПО перехватывает трафик, эффективно отбирая любые комиссионные, предназначенные для законных партнеров, и перенаправляя их злоумышленникам.
Более того, GhostPoster вводит код отслеживания Google Analytics на каждую посещенную веб-страницу, собирая подробную информацию о привычках пользователя в интернете и продолжительности заражения. Он удаляет заголовки безопасности из HTTP-ответов, еще больше нарушая целостность сайта, и использует множество методов для обхода защиты с помощью CAPTCHA. Это включает в себя имитацию пользовательских взаимодействий и использование внешних ресурсов для распознавания капчи.
Вредоносное ПО также внедряет скрытые iframe-файлы из доменов, контролируемых злоумышленниками, что позволяет широко использовать мошенничество с рекламой и кликами, сохраняя видимость нормальной работы браузеров пользователей. Примечательно, что платформа, лежащая в основе GhostPoster, не уникальна; были выявлены аналогичные кампании вредоносных расширений, связанные с этой инфраструктурой атаки, которая включает в себя по меньшей мере 16 других расширений, использующих те же серверы C&C.
Этот инцидент подчеркивает повторяющуюся тенденцию, когда бесплатные расширения VPN становятся вредоносными, предлагая план будущих угроз. Используемые методы уклонения, такие как Стеганография для сокрытия полезной нагрузки и сложные механизмы отслеживания, отражают растущую оперативную изощренность злоумышленников. Уязвимости, присущие расширениям браузера, были использованы для содействия значительному нарушению, воздействие на которое оказало около 50 000 пользователей, скачавших скомпрометированное программное обеспечение, которое остается доступным на рынке дополнений Firefox.
#ParsedReport #CompletenessMedium
18-12-2025
ResidentBat: A new spyware family used by Belarusian KGB
https://rsf.org/sites/default/files/medias/file/2025/12/report1.pdf
Report completeness: Medium
Threats:
Residentbat
Novispy
Massistant_tool
Monokle
Screen_shotting_technique
Victims:
Journalists, Lawyers, Civil society
Geo:
Belarusian, Belarussian, Switzerland, Belarus
ChatGPT TTPs:
T1036.005, T1071.001, T1078, T1105, T1123, T1204.002
IOCs:
File: 14
Hash: 10
Url: 6
IP: 25
Domain: 2
Soft:
Android, android.chrome, instagram.android, viber, whatsapp, firefox, telegram, zoom, Google Play, Chrome, have more...
Algorithms:
sha256
Functions:
removeActiveAdmin
Platforms:
apple
18-12-2025
ResidentBat: A new spyware family used by Belarusian KGB
https://rsf.org/sites/default/files/medias/file/2025/12/report1.pdf
Report completeness: Medium
Threats:
Residentbat
Novispy
Massistant_tool
Monokle
Screen_shotting_technique
Victims:
Journalists, Lawyers, Civil society
Geo:
Belarusian, Belarussian, Switzerland, Belarus
ChatGPT TTPs:
do not use without manual checkT1036.005, T1071.001, T1078, T1105, T1123, T1204.002
IOCs:
File: 14
Hash: 10
Url: 6
IP: 25
Domain: 2
Soft:
Android, android.chrome, instagram.android, viber, whatsapp, firefox, telegram, zoom, Google Play, Chrome, have more...
Algorithms:
sha256
Functions:
removeActiveAdmin
Platforms:
apple
CTT Report Hub
#ParsedReport #CompletenessMedium 18-12-2025 ResidentBat: A new spyware family used by Belarusian KGB https://rsf.org/sites/default/files/medias/file/2025/12/report1.pdf Report completeness: Medium Threats: Residentbat Novispy Massistant_tool Monokle …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ResidentBat - это семейство шпионских программ, используемых белорусским КГБ, специально предназначенных для устройств Android с помощью физического доступа, а не удаленных эксплойтов. Он собирает конфиденциальные данные, включая звонки и сообщения, запрашивая обширный список разрешений. В отличие от традиционных программ-шпионов, ResidentBat не выходит из "песочницы" Android, функционируя аналогично stalkerware, и создает значительные риски для конфиденциальности из-за своих методов установки и конфигураций C2, которые облегчают удаленное общение.
-----
ResidentBat - это недавно выявленное семейство шпионских программ, используемых белорусским КГБ и нацеленных в первую очередь на устройства Android. Это шпионское ПО тайно собирает различные формы данных, включая телефонные звонки, SMS-сообщения и зашифрованные разговоры в чате, что достигается с помощью физического доступа к устройству, а не удаленных эксплойтов. Шпионское ПО устанавливается в виде стандартного APK-файла и отличается тем, что запрашивает у пользователей 38 разрешений, некоторые из которых являются конфиденциальными и обеспечивают широкий доступ к данным, включая разрешения во время выполнения.
Технический анализ показывает, что ResidentBat работает без использования уязвимостей для выхода из "песочницы" приложений Android, позиционируя его аналогично stalkerware, что вызывает серьезные опасения по поводу конфиденциальности, несмотря на более низкие затраты на разработку по сравнению с традиционными программами-шпионами, которые напрямую используют системные недостатки. Его структура включает в себя различные компоненты, объявленные в файле AndroidManifest, такие как действия и службы, которые могут отслеживать конфиденциальные пользовательские данные.
Во время задокументированного инцидента в третьем квартале 2025 года сотрудники КГБ допросили журналиста, который, как сообщается, попросил их положить свой телефон в запертый отсек. Последующее извлечение телефона вызвало опасения по поводу присутствия шпионского ПО, особенно учитывая, что сертификат приложения был действителен только в будущем, что было необычной характеристикой, которая не препятствовала установке. Судебно-медицинский анализ также выявил следы, оставленные на устройстве, такие как новые ключи ADB, что указывает на вероятную подделку.
Жителям и правозащитникам рекомендуется принимать упреждающие меры безопасности для предотвращения несанкционированного доступа и установки шпионских программ, например, сохранять PIN-коды своих устройств и использовать устройства, отключающие боковую загрузку приложений. Кроме того, были выпущены индикаторы компрометации, помогающие пользователям выявлять потенциальные заражения с помощью Mobile Verification Toolkit (MVT), который предназначен для обнаружения экземпляров шпионского ПО и помогает людям оценить степень риска.
Механизмы командования и контроля (C2) ResidentBat включают в себя конкретные конфигурации серверов, предназначенные для удаленной связи, хотя дополнительные технические подробности, касающиеся C2, не разглашаются для защиты конфиденциальных эксплуатационных аспектов. Обнаружение множества образцов резидентных летучих мышей подчеркивает необходимость постоянного мониторинга и бдительности в отношении таких возникающих угроз в цифровом ландшафте.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ResidentBat - это семейство шпионских программ, используемых белорусским КГБ, специально предназначенных для устройств Android с помощью физического доступа, а не удаленных эксплойтов. Он собирает конфиденциальные данные, включая звонки и сообщения, запрашивая обширный список разрешений. В отличие от традиционных программ-шпионов, ResidentBat не выходит из "песочницы" Android, функционируя аналогично stalkerware, и создает значительные риски для конфиденциальности из-за своих методов установки и конфигураций C2, которые облегчают удаленное общение.
-----
ResidentBat - это недавно выявленное семейство шпионских программ, используемых белорусским КГБ и нацеленных в первую очередь на устройства Android. Это шпионское ПО тайно собирает различные формы данных, включая телефонные звонки, SMS-сообщения и зашифрованные разговоры в чате, что достигается с помощью физического доступа к устройству, а не удаленных эксплойтов. Шпионское ПО устанавливается в виде стандартного APK-файла и отличается тем, что запрашивает у пользователей 38 разрешений, некоторые из которых являются конфиденциальными и обеспечивают широкий доступ к данным, включая разрешения во время выполнения.
Технический анализ показывает, что ResidentBat работает без использования уязвимостей для выхода из "песочницы" приложений Android, позиционируя его аналогично stalkerware, что вызывает серьезные опасения по поводу конфиденциальности, несмотря на более низкие затраты на разработку по сравнению с традиционными программами-шпионами, которые напрямую используют системные недостатки. Его структура включает в себя различные компоненты, объявленные в файле AndroidManifest, такие как действия и службы, которые могут отслеживать конфиденциальные пользовательские данные.
Во время задокументированного инцидента в третьем квартале 2025 года сотрудники КГБ допросили журналиста, который, как сообщается, попросил их положить свой телефон в запертый отсек. Последующее извлечение телефона вызвало опасения по поводу присутствия шпионского ПО, особенно учитывая, что сертификат приложения был действителен только в будущем, что было необычной характеристикой, которая не препятствовала установке. Судебно-медицинский анализ также выявил следы, оставленные на устройстве, такие как новые ключи ADB, что указывает на вероятную подделку.
Жителям и правозащитникам рекомендуется принимать упреждающие меры безопасности для предотвращения несанкционированного доступа и установки шпионских программ, например, сохранять PIN-коды своих устройств и использовать устройства, отключающие боковую загрузку приложений. Кроме того, были выпущены индикаторы компрометации, помогающие пользователям выявлять потенциальные заражения с помощью Mobile Verification Toolkit (MVT), который предназначен для обнаружения экземпляров шпионского ПО и помогает людям оценить степень риска.
Механизмы командования и контроля (C2) ResidentBat включают в себя конкретные конфигурации серверов, предназначенные для удаленной связи, хотя дополнительные технические подробности, касающиеся C2, не разглашаются для защиты конфиденциальных эксплуатационных аспектов. Обнаружение множества образцов резидентных летучих мышей подчеркивает необходимость постоянного мониторинга и бдительности в отношении таких возникающих угроз в цифровом ландшафте.
#ParsedReport #CompletenessMedium
16-12-2025
React2Shell used as initial access vector for Weaxor ransomware deployment
https://www.s-rminform.com/latest-thinking/react2shell-used-as-initial-access-vector-for-weaxor-ransomware-deployment
Report completeness: Medium
Threats:
React2shell_vuln
Weaxor
Targetcompany
Cobalt_strike_tool
Shadow_copies_delete_technique
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
ChatGPT TTPs:
T1027, T1036, T1059, T1059.001, T1059.003, T1070.001, T1071.001, T1082, T1105, T1190, have more...
IOCs:
File: 9
Url: 1
IP: 7
Soft:
Microsoft SQL, Windows Defender, Node.js
Algorithms:
sha1
Languages:
powershell
16-12-2025
React2Shell used as initial access vector for Weaxor ransomware deployment
https://www.s-rminform.com/latest-thinking/react2shell-used-as-initial-access-vector-for-weaxor-ransomware-deployment
Report completeness: Medium
Threats:
React2shell_vuln
Weaxor
Targetcompany
Cobalt_strike_tool
Shadow_copies_delete_technique
CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059, T1059.001, T1059.003, T1070.001, T1071.001, T1082, T1105, T1190, have more...
IOCs:
File: 9
Url: 1
IP: 7
Soft:
Microsoft SQL, Windows Defender, Node.js
Algorithms:
sha1
Languages:
powershell
S-Rminform
React2Shell used as initial access vector for Weaxor ransomware deployment
S-RM has responded to an incident where a threat actor used the recently disclosed critical vulnerability known as React2Shell (CVE-2025-55182) to gain access to a corporate network and deploy ransomware.
CTT Report Hub
#ParsedReport #CompletenessMedium 16-12-2025 React2Shell used as initial access vector for Weaxor ransomware deployment https://www.s-rminform.com/latest-thinking/react2shell-used-as-initial-access-vector-for-weaxor-ransomware-deployment Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Инцидент с программой-вымогателем Weaxor подчеркивает использование уязвимости React2Shell (CVE-2025-55182) в серверных компонентах React и Next.js , позволяющий злоумышленникам выполнять произвольный код с помощью вредоносных HTTP-запросов. Злоумышленники быстро перешли от шпионажа к внедрению программ-вымогателей, используя запутанную команду PowerShell и Cobalt Strike для управления. Индикаторы компрометации, связанные с атакой, такие как хэши SHA-1 и IP-адреса C2, подчеркивают необходимость проявлять бдительность в отношении быстрого использования после раскрытия уязвимостей.
-----
Инцидент, связанный с развертыванием программы-вымогателя Weaxor, свидетельствует об использовании уязвимости React2Shell (CVE-2025-55182). Эта критическая уязвимость затрагивает серверные компоненты React и программное обеспечение с открытым исходным кодом Next.js рамки. Это позволяет злоумышленнику отправлять вредоносные HTTP-запросы, которые могут выполнять произвольный код на сервере, тем самым получая привилегированный доступ к системе, в которой запущен веб-сервер.
После публичного раскрытия уязвимости React2Shell 3 декабря 2025 года злоумышленники, включая акторов национальных государств, в течение нескольких часов начали поиск возможностей для использования. В то время как некоторые были сосредоточены на шпионаже путем установки постоянных бэкдоров, финансово мотивированные акторы быстро переключили свое внимание на внедрение Ransomware. Штамм программы-вымогателя Weaxor, ребрендинг ранее известной программы-вымогателя Mallox, был идентифицирован как полезная нагрузка, использованная в этом инциденте.
Цепочка атак началась с компрометации корпоративной сети 5 декабря 2025 года. Запутанная команда PowerShell была выполнена злоумышленником, установившим командование и контроль с помощью загрузки программы Cobalt Strike PowerShell stager. После этого злоумышленник отключил защиту антивируса Windows Defender в режиме реального времени, чтобы облегчить дальнейшие действия, указывая на подготовку к дополнительным полезным нагрузкам.
Были выявлены признаки компрометации, связанные с использованием React2Shell, включая появление cmd.exe и powershell.exe процессы, исходящие от законного Node.js исполняемый файл, node.exe . Этот анализ указывает на высокую вероятность того, что предыдущие действия по обнаружению были замаскированы из-за очистки журналов событий, совпадающей с развертыванием программы-вымогателя.
Кроме того, были задокументированы конкретные показатели, включая определенные хэши SHA-1 и связанные с ними IP-адреса командования и контроля (C2), использованные во время атаки Weaxor. Наличие этих показателей служит для правозащитников важнейшим доказательством для мониторинга и потенциального смягчения подобных попыток эксплуатации в будущем. Быстрый переход от раскрытия уязвимостей к внедрению программ-вымогателей подчеркивает настоятельную необходимость для организаций усилить свою защиту от вновь выявленных уязвимостей и автоматизировать меры обнаружения и реагирования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Инцидент с программой-вымогателем Weaxor подчеркивает использование уязвимости React2Shell (CVE-2025-55182) в серверных компонентах React и Next.js , позволяющий злоумышленникам выполнять произвольный код с помощью вредоносных HTTP-запросов. Злоумышленники быстро перешли от шпионажа к внедрению программ-вымогателей, используя запутанную команду PowerShell и Cobalt Strike для управления. Индикаторы компрометации, связанные с атакой, такие как хэши SHA-1 и IP-адреса C2, подчеркивают необходимость проявлять бдительность в отношении быстрого использования после раскрытия уязвимостей.
-----
Инцидент, связанный с развертыванием программы-вымогателя Weaxor, свидетельствует об использовании уязвимости React2Shell (CVE-2025-55182). Эта критическая уязвимость затрагивает серверные компоненты React и программное обеспечение с открытым исходным кодом Next.js рамки. Это позволяет злоумышленнику отправлять вредоносные HTTP-запросы, которые могут выполнять произвольный код на сервере, тем самым получая привилегированный доступ к системе, в которой запущен веб-сервер.
После публичного раскрытия уязвимости React2Shell 3 декабря 2025 года злоумышленники, включая акторов национальных государств, в течение нескольких часов начали поиск возможностей для использования. В то время как некоторые были сосредоточены на шпионаже путем установки постоянных бэкдоров, финансово мотивированные акторы быстро переключили свое внимание на внедрение Ransomware. Штамм программы-вымогателя Weaxor, ребрендинг ранее известной программы-вымогателя Mallox, был идентифицирован как полезная нагрузка, использованная в этом инциденте.
Цепочка атак началась с компрометации корпоративной сети 5 декабря 2025 года. Запутанная команда PowerShell была выполнена злоумышленником, установившим командование и контроль с помощью загрузки программы Cobalt Strike PowerShell stager. После этого злоумышленник отключил защиту антивируса Windows Defender в режиме реального времени, чтобы облегчить дальнейшие действия, указывая на подготовку к дополнительным полезным нагрузкам.
Были выявлены признаки компрометации, связанные с использованием React2Shell, включая появление cmd.exe и powershell.exe процессы, исходящие от законного Node.js исполняемый файл, node.exe . Этот анализ указывает на высокую вероятность того, что предыдущие действия по обнаружению были замаскированы из-за очистки журналов событий, совпадающей с развертыванием программы-вымогателя.
Кроме того, были задокументированы конкретные показатели, включая определенные хэши SHA-1 и связанные с ними IP-адреса командования и контроля (C2), использованные во время атаки Weaxor. Наличие этих показателей служит для правозащитников важнейшим доказательством для мониторинга и потенциального смягчения подобных попыток эксплуатации в будущем. Быстрый переход от раскрытия уязвимостей к внедрению программ-вымогателей подчеркивает настоятельную необходимость для организаций усилить свою защиту от вновь выявленных уязвимостей и автоматизировать меры обнаружения и реагирования.
#ParsedReport #CompletenessLow
16-12-2025
Meet Cellik - A New Android RAT With Play Store Integration
https://iverify.io/blog/meet-cellik---a-new-android-rat-with-play-store-integration
Report completeness: Low
Threats:
Cellik
Hyperrat
Phantomos
Nebula
Victims:
Mobile users
Industry:
Financial
ChatGPT TTPs:
T1036, T1204, T1513, T1516, T1566
Soft:
Android, Google Play, Gmail
16-12-2025
Meet Cellik - A New Android RAT With Play Store Integration
https://iverify.io/blog/meet-cellik---a-new-android-rat-with-play-store-integration
Report completeness: Low
Threats:
Cellik
Hyperrat
Phantomos
Nebula
Victims:
Mobile users
Industry:
Financial
ChatGPT TTPs:
do not use without manual checkT1036, T1204, T1513, T1516, T1566
Soft:
Android, Google Play, Gmail
iverify.io
Meet Cellik - A New Android RAT With Play Store Integration
Discover how Cellik Android RAT enables full device surveillance with live screen access, keylogging, app injection, and Play Store APK wrapping.
CTT Report Hub
#ParsedReport #CompletenessLow 16-12-2025 Meet Cellik - A New Android RAT With Play Store Integration https://iverify.io/blog/meet-cellik---a-new-android-rat-with-play-store-integration Report completeness: Low Threats: Cellik Hyperrat Phantomos Nebula…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cellik - это недавно идентифицированный троян для удаленного доступа к Android (RAT), который позволяет злоумышленникам осуществлять полный контроль над зараженными устройствами, включая такие функции, как потоковая передача экрана в режиме реального времени и манипулирование пользовательским интерфейсом. Его скрытые возможности браузера создает дополнительные риски за счет облегчения фишинг и других веб нарушений. Интеграция с Google магазин игры позволяет злоумышленникам создавать обманчивое APK-файлы, которые выглядят законными, представляющих тревожная тенденция, когда вредоносное ПО-а-а-сервис, который демократизирует доступ к самым современным мобильным шпионов для низкоквалифицированных актеров.
-----
Cellik является вновь открывшимся для Android троян удаленного доступа (RAT), что создает значительные проблемы безопасности вследствие своей полной функции управления устройствами и интеграцию с Google играть магазин. После установки, Cellik обеспечивает оператору полный контроль над зараженным устройством, в том числе и потоковая передача в реальном времени экрана и возможность удаленно управлять пользовательским интерфейсом. Это эффективно позволяет злоумышленнику получить контроль над деятельностью жертвы в реальном времени при имитации пользовательского ввода, как если бы они были физически взаимодействуя с телефона.
Важной особенностью Cellik является его скрытая функция браузера, которая облегчает активное использование веб-ресурсов и попытки фишинга непосредственно с зараженного устройства. Он запускает невидимый браузер, который может быть использован для различных вредоносных действий, повышая риск для жертв.
Более того, особую тревогу вызывает интеграция Cellik с Google Play Store. Он включает в себя автоматизированный конструктор APK, который позволяет злоумышленникам выбирать законные приложения из Play Store и упаковывать их с полезной нагрузкой Cellik. Эта функция позволяет создавать вредоносные APK-файлы, которые выглядят как подлинные приложения, что затрудняет жертвам идентификацию скрытого внутри вредоносного ПО. Простота создания этих вредоносных приложений значительно расширяет возможности распространения RAT.
Cellik представляет собой относительно тренда в вредоносное вредоносное ПО Андроид, который характеризуется ростом вредоносное ПО-как-услуга (Маас) платформ. Такие сервисы позволить даже низкоквалифицированный злоумышленникам проводить мобильного шпионских операций с минимальными техническими знаниями. Этот сдвиг показывает, что сложные киберугрозы становятся все более доступными для широкого круга злоумышленниками, тем самым эскалации общий ландшафт угроз мобильной безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Cellik - это недавно идентифицированный троян для удаленного доступа к Android (RAT), который позволяет злоумышленникам осуществлять полный контроль над зараженными устройствами, включая такие функции, как потоковая передача экрана в режиме реального времени и манипулирование пользовательским интерфейсом. Его скрытые возможности браузера создает дополнительные риски за счет облегчения фишинг и других веб нарушений. Интеграция с Google магазин игры позволяет злоумышленникам создавать обманчивое APK-файлы, которые выглядят законными, представляющих тревожная тенденция, когда вредоносное ПО-а-а-сервис, который демократизирует доступ к самым современным мобильным шпионов для низкоквалифицированных актеров.
-----
Cellik является вновь открывшимся для Android троян удаленного доступа (RAT), что создает значительные проблемы безопасности вследствие своей полной функции управления устройствами и интеграцию с Google играть магазин. После установки, Cellik обеспечивает оператору полный контроль над зараженным устройством, в том числе и потоковая передача в реальном времени экрана и возможность удаленно управлять пользовательским интерфейсом. Это эффективно позволяет злоумышленнику получить контроль над деятельностью жертвы в реальном времени при имитации пользовательского ввода, как если бы они были физически взаимодействуя с телефона.
Важной особенностью Cellik является его скрытая функция браузера, которая облегчает активное использование веб-ресурсов и попытки фишинга непосредственно с зараженного устройства. Он запускает невидимый браузер, который может быть использован для различных вредоносных действий, повышая риск для жертв.
Более того, особую тревогу вызывает интеграция Cellik с Google Play Store. Он включает в себя автоматизированный конструктор APK, который позволяет злоумышленникам выбирать законные приложения из Play Store и упаковывать их с полезной нагрузкой Cellik. Эта функция позволяет создавать вредоносные APK-файлы, которые выглядят как подлинные приложения, что затрудняет жертвам идентификацию скрытого внутри вредоносного ПО. Простота создания этих вредоносных приложений значительно расширяет возможности распространения RAT.
Cellik представляет собой относительно тренда в вредоносное вредоносное ПО Андроид, который характеризуется ростом вредоносное ПО-как-услуга (Маас) платформ. Такие сервисы позволить даже низкоквалифицированный злоумышленникам проводить мобильного шпионских операций с минимальными техническими знаниями. Этот сдвиг показывает, что сложные киберугрозы становятся все более доступными для широкого круга злоумышленниками, тем самым эскалации общий ландшафт угроз мобильной безопасности.