#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В киберкампании используются методы SEO-паразитов, которые создают поддельные страницы товаров, похожие на Amazon, заполненные SEO-спамом, связанным с азартными играми, для манипулирования рейтингами в поисковых системах. Злоумышленники используют теги canonical, чтобы ложно представить эти страницы как легитимные, используя метаданные Open Graph и структурированные данные для повышения видимости и нанесения ущерба репутации подлинных сайтов. Использование таких платформ, как Cloudflare Pages, позволяет этим вредоносным страницам поддерживать постоянное присутствие в Сети, подчеркивая изощренность тактики в этих обширных усилиях по SEO-манипулированию.
-----

Была выявлена крупномасштабная киберкампания, использующая методологию паразитного SEO, которая использует поддельные страницы товаров, имитирующие дизайн Amazon. Злоумышленники внедряют шаблон, который включает HTML-элементы, стилизованные под законные списки товаров Amazon, которые затем заполняются SEO-спамом, относящимся к азартным играм. Эта стратегия направлена на манипулирование результатами поисковой системы с целью ложного повышения видимости вредоносного контента.

В ходе атаки используются различные технические механизмы, в частности, используются теги canonical, метаданные Open Graph и поля структурированных данных. Теги Canonical используются для представления поддельных страниц как законных альтернатив подлинным продуктам, что снижает рейтинг репутации не связанных с ними законных веб-сайтов. Эта манипуляция может привести к снижению видимости поиска для жертв, в то время как злоумышленники повышают рейтинг своего спам-контента в результатах поиска.

Кроме того, использование страниц Cloudflare для размещения этих вводящих в заблуждение страниц облегчает постоянное присутствие в Сети и позволяет избежать обнаружения в течение длительного периода. Этот метод не только подрывает достоверность результатов поисковой системы, но и угрожает целостности брендов, которые ненадлежащим образом ассоциируются со спамом, связанным с азартными играми. Злоупотребление устоявшимися веб-технологиями и платформами подчеркивает изощренную тактику, используемую злоумышленниками для проведения этой масштабной кампании по манипулированию SEO.

#ParsedReport #CompletenessLow
06-01-2026

QuasarRAT (xRAT) malware being distributed via webhards (adult gaming)

https://asec.ahnlab.com/ko/91835/

Report completeness: Low

Threats:
Quasar_rat
Xrat_rat
Njrat
Xworm_rat

Victims:
Webhard users, Adult gaming users

Industry:
Entertainment

Geo:
Korea, Korean

ChatGPT TTPs:
do not use without manual check
T1036

IOCs:
File: 8
Hash: 4
Domain: 1

Soft:
Event Tracing for Windows

Algorithms:
zip, md5, aes

Functions:
EtwEventWrite

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
xRAT, или QuasarRAT - троянец удаленного доступа, распространенный в Южной Корее, в основном распространяемый через платформы webhard, выдающий себя за игровой контент для взрослых. Это предоставляет злоумышленникам широкий контроль над зараженными системами, позволяя им выполнять команды, перехватывать нажатия клавиш и извлекать данные. То, что вредоносное ПО нацелено на определенную демографическую группу, свидетельствует о преднамеренной эксплуатации со стороны злоумышленников, выявляющих уязвимости в программной экосистеме этих платформ.
-----

xRAT, также известный как QuasarRAT, превратился в серьезную угрозу в корейском киберпространстве, особенно известный своим распространением через платформы webhard, Маскировкой под игровой контент для взрослых. Эти веб-карты являются популярными файлообменными сервисами, используемыми в Южной Корее, которые позволяют пользователям загружать различные типы носителей. Рост распространения вредоносного ПО через такие платформы подчеркивает распространенную угрозу тактики социальной инженерии, используемой для заманивания ничего не подозревающих пользователей к загрузке Вредоносных файлов.

QuasarRAT - это троян удаленного доступа (RAT), который предоставляет злоумышленникам широкий контроль над зараженными системами. После развертывания он позволяет киберпреступникам удаленно выполнять команды, фиксировать нажатия клавиш, отслеживать активность на экране и потенциально извлекать конфиденциальные данные. Нацеливание на игровые платформы для взрослых предполагает продуманный подход злоумышленников к использованию демографических данных конкретных пользователей, что делает вредоносное ПО более привлекательным и увеличивает вероятность успешного заражения.

Продолжающееся распространение xRAT указывает на критическую уязвимость в программной экосистеме сайтов webhard, подчеркивая необходимость повышенной бдительности пользователей в отношении типов файлов, которые они выбирают для загрузки. Меры по кибербезопасности должны быть направлены на информирование пользователей о потенциальных рисках, связанных с загрузкой контента из непроверенных источников, особенно в области программного обеспечения для взрослых, где склонность к внедрению вредоносного ПО может быть значительно выше. В целом, рост xRAT представляет собой эволюционирующий ландшафт угроз, в котором пользователи должны проявлять осторожность, чтобы защитить свои системы от многогранных киберугроз.

#ParsedReport #CompletenessMedium
06-01-2026

Phishing actors exploit complex routing and misconfigurations to spoof domains

https://www.microsoft.com/en-us/security/blog/2026/01/06/phishing-actors-exploit-complex-routing-and-misconfigurations-to-spoof-domains/

Report completeness: Medium

Actors/Campaigns:
Storm-1747

Threats:
Tycoon_2fa
Bec_technique
Aitm_technique

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1566.003

IOCs:
IP: 8
Domain: 7

Soft:
Microsoft Defender, Microsoft Entra, Microsoft Exchange, Office 365, Microsoft Office 365, Microsoft Edge, Windows Hello, Twitter

Algorithms:
base64

Functions:
InternetMessageId

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы, занимающиеся фишингом, используют неправильно настроенные средства защиты от подделки доменов и сложную маршрутизацию для создания убедительных электронных писем, которые, как представляется, приходят с законных внутренних доменов, часто используя платформы фишинга как услуги, такие как Tycoon2FA. Ключевые уязвимости включают неадекватные настройки записи MX и слабые политики DMARC, позволяющие злоумышленникам отправлять поддельные электронные письма, напоминающие внутреннюю переписку. Эти попытки фишинга часто имитируют такие сервисы, как DocuSign или HR-уведомления, с целью обманом заставить получателей раскрыть свои учетные данные.
-----

Акторы, занимающиеся фишингом, все чаще используют сложные сценарии маршрутизации и неправильно настроенные средства защиты от подделки доменов для создания убедительных электронных писем с фишингом, которые, как представляется, исходят из законных внутренних доменов. Эта тактика часто предполагает использование платформ "фишинг как услуга", таких как Tycoon2FA, для распространения различных типов вредоносных сообщений. Приманки разнообразны и вращаются вокруг таких тем, как голосовая почта, общие документы или сообщения из отдела кадров, касающиеся конфиденциальных тем, таких как сброс пароля или изменение льгот, и все они направлены на выявление фишинга учетных данных.

Одной из критических уязвимостей, используемых злоумышленниками, является неадекватная конфигурация MX-записей и политики защиты от подделок. В случаях, когда MX-записи клиента не перенаправляются в Office 365 и отсутствуют строгие политики DMARC, злоумышленники могут отправлять поддельные электронные письма, которые, как представляется, приходят из домена организации. Чтобы противодействовать этому, важно внедрить строгие политики отклонения DMARC и параметры жесткого отказа SPF, а также надлежащие конфигурации любых сторонних почтовых соединителей.

Наблюдаемые попытки фишинга часто используют знакомую тактику, включая поддельные сервисы, такие как DocuSign, или Маскировку под сообщения отдела кадров, побуждая получателей переходить по ссылкам или сканировать QR-коды, ведущие на веб-сайты, занимающиеся фишингом. Заметной отличительной чертой этих атак является их внешний вид; в полях "От" и "Кому" в электронных письмах часто указывается один и тот же внутренний адрес, что повышает легитимность попыток фишинга.

Кроме того, Microsoft Threat Intelligence задокументировала финансовые аферы, проводимые с помощью этих поддельных электронных писем, часто напоминающих обсуждения между высокопоставленными руководителями и запросы, связанные с финансами. Такие сообщения могут не только вводить получателей в заблуждение, но и из—за отсутствия принудительной аутентификации, на что указывают разрешающие настройки DMARC, могут беспрепятственно проникать в почтовые ящики организации.

Чтобы смягчить последствия этих атак, организациям следует внедрить рекомендуемые конфигурации для соединителей почтового потока и применять более строгие методы проверки подлинности электронной почты. Скоординированные меры по обнаружению и предотвращению имеют решающее значение для всех конечных точек и систем электронной почты для эффективной борьбы с этими проблемами фишинга. Такие инструменты, как Microsoft Defender XDR, облегчают обнаружение подобных угроз и реагирование на них, предлагая интегрированную защиту различных ресурсов.

#ParsedReport #CompletenessLow
06-01-2026

The DocuSign Impersonation Wave with Real-Time Customizable LogoKit

https://www.group-ib.com/blog/docusign-impersonation-logokit/

Report completeness: Low

Threats:
Logokit_tool
Credential_harvesting_technique

Victims:
Docusign users

Industry:
Critical_infrastructure

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1102, T1204, T1204.001, T1566.002, T1583.006

IOCs:
IP: 6

Soft:
Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Число атак фишинга, выдаваемых за DocuSign, резко возросло в 2024 году, увеличившись на 22%, и было зарегистрировано более 193 000 инцидентов. Злоумышленники используют методы социальной инженерии, включая поддельные электронные письма и веб-сайты с динамическим credential-harvesting для обмана пользователей. Эти письма с фишингом часто содержат несоответствующие заголовки для ответа и URL-адреса, содержащие адрес электронной почты жертвы, что повышает их эффективность, в то время как технические индикаторы, такие как неудачная проверка SPF, сигнализируют о вредоносной активности.
-----

Растущая распространенность атак фишинга, особенно тех, которые выдают себя за DocuSign, подчеркивает заметную киберугрозу, использующую методы социальной инженерии для обмана пользователей и получения их учетных данных. В 2024 году активность фишинга выросла на 22%, при этом было зарегистрировано более 193 000 инцидентов, которые привели к значительным финансовым потерям.

Эти кампании фишинга обычно разворачиваются с помощью электронных писем, которые выглядят как законные запросы на проверку документов от DocuSign. Злоумышленники часто подделывают Адреса эл. почты, иногда имитируя собственный домен получателя для повышения доверия. Содержание этих электронных писем тщательно продумано, они адресованы пользователям по их именам для входа и содержат кнопки “Просмотреть документ”, которые ссылаются на веб-сайты, использующие credential-harvesting, созданные с использованием платформы LogoKit. Этот фреймворк позволяет злоумышленникам динамически генерировать убедительные страницы входа в систему, используя фирменные элементы в режиме реального времени, что требует минимальных усилий для создания обмана.

Ключевыми характеристиками таких писем с фишингом являются несовпадающие заголовки ответов, которые перенаправляют пользователей на несвязанные объекты, и URL-адреса, размещенные на таких платформах, как IPFS или AWS S3, часто содержащие адрес электронной почты жертвы в качестве части ссылки, - тактика, разработанная для персонализации и повышения эффективности фишинга. Такие ссылки ведут на страницы, использующие динамический сбор учетных записей, что делает их особенно коварными.

Признаки компрометации в этих атаках очевидны; например, в электронных письмах с фишингом обычно обнаруживаются неудачные проверки SPF из-за подмены отправителя. Дополнительные признаки вредоносного поведения обнаруживаются с помощью различных аналитических методов, которые определяют личность отправителя, проверяют содержимое на наличие признаков спама и анализируют URL-адреса на наличие известных шаблонов, связанных с предыдущими попытками фишинга.

Система защиты деловой электронной почты Group-IB (BEP) обеспечивает многоуровневый подход к обнаружению, предназначенный для эффективного противодействия таким угрозам. Он выявляет расхождения между заголовками "Ответить кому" и "От кого", распознает ненормальные ответы SPF и DKIM и использует машинное обучение для обозначения подозрительного содержимого электронной почты. Кроме того, BEP анализирует URL-адреса на предмет внедрения шаблонов, отражающих предыдущие атаки, тем самым обеспечивая защиту, которая блокирует попытки фишинга до того, как они дойдут до пользователя.

Продолжающаяся волна Имперсонации DocuSign не только иллюстрирует эволюцию тактики фишинга посредством неправильного использования бренда и адаптивного дизайна веб-страниц, но и подчеркивает необходимость надежных стратегий обнаружения для эффективного противодействия таким возникающим киберугрозам.

#ParsedReport #CompletenessMedium
07-01-2026

Malicious NPM Packages Deliver NodeCordRAT

https://www.zscaler.com/blogs/security-research/malicious-npm-packages-deliver-nodecordrat

Report completeness: Medium

Threats:
Nodecordrat
Supply_chain_technique
Typosquatting_technique

Victims:
Software developers, Cryptocurrency users

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 9
Email: 1
Hash: 3

Soft:
Discord, Chrome, Linux, macOS, Node.js

Wallets:
metamask

Crypto:
bitcoin

Algorithms:
md5

Languages:
jscript, powershell, javascript

Links:
https://github.com/bitcoinjs
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года Zscaler ThreatLabZ выявил три вредоносных пакета npm, предназначенных для доставки NodeCordRAT, троянца удаленного доступа (RAT), который нацелен на конфиденциальные данные браузера, такие как учетные данные Chrome и информация о метамасках. RAT использует Discord для командования и контроля, создавая частный канал для эксфильтрации команд и данных. Использование JavaScript в рамках Node.js среде, он собирает незащищенные учетные данные и может извлекать файлы и скриншоты из зараженной системы.
-----

В ноябре 2025 года Zscaler ThreatLabZ обнаружил три вредоносных пакета npm: bitcoin-main-lib, bitcoin-lib-js и bip40. Эти пакеты были разработаны для доставки NodeCordRAT, троянца удаленного доступа (RAT), который может красть конфиденциальную информацию. Пакеты bitcoin-main-lib и bitcoin-lib-js выполнили сценарий постустановки, который требовал установки bip40, который содержит фактическую вредоносную полезную нагрузку. Этот подход, включающий typosquatting, использовал имена, похожие на законные репозитории в проекте bitcoinjs, чтобы обманом заставить разработчиков загрузить эти вредоносные пакеты. Примечательно, что NodeCordRAT также можно загрузить автономно через пакет bip40, что позволяет ему обходить предыдущие установки.

NodeCordRAT предназначен для обработки различных конфиденциальных данных браузера, включая учетные данные Chrome, токены API и данные с криптовалютной платформы MetaMask. Примечательно, что ThreatLabZ сообщил о нескольких тысячах загрузок этих вредоносных пакетов, что указывает на значительную потенциальную базу пользователей, затронутых этой угрозой.

Технически, NodeCordRAT работает путем установления уникального идентификатора для каждой зараженной машины с помощью снятия отпечатков пальцев хоста и использует Discord для обмена данными между командами и контролем (C2). Этот RAT создает приватный канал в Discord после подключения к жестко запрограммированному серверу, облегчая эксфильтрацию команд и данных. Возможности вредоносного ПО включают сбор конфиденциальной информации из скомпрометированной системы и отправку ее обратно злоумышленнику по этому частному каналу.

Вредоносное ПО создано с использованием JavaScript и использует Node.js среда, выполняющая команды для сбора подробной системной информации и конфигурации сети. Он специально выполняет поиск незащищенных учетных данных в текстовых файлах и данных сеанса браузера, включая файлы cookie и сохраненные пароли. Кроме того, он может извлекать файлы из локальной системы и даже делать скриншоты активности пользователя.

NodeCordRAT использует Discord API в первую очередь для связи C2, используя структурированный канал для отправки команд и сбора информации. Собранные данные загружаются непосредственно через существующее соединение C2, что затрудняет жертвам отслеживание или остановку процесса эксфильтрации.

#ParsedReport #CompletenessLow
08-01-2026

Chrome Extensions Impersonate AI Tools to Steal ChatGPT & DeepSeek Chats

https://socradar.io/blog/chrome-extensions-steal-chatgpt-deepseek-chats/

Report completeness: Low

Victims:
Browser users

ChatGPT TTPs:
do not use without manual check
T1102, T1176

IOCs:
Hash: 2
Domain: 6

Soft:
Chrome, ChatGPT, DeepSeek, Claude

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена Вредоносная Кампания с использованием обманчивых расширений Chrome, выдающих себя за законные инструменты искусственного интеллекта, которая была загружена более чем 900 000 раз, прежде чем была раскрыта. Эти вредоносные расширения запрашивали у пользователей разрешения под видом аналитики, внедряя код для мониторинга активности в интернете и сбора конфиденциальных данных, включая URL-адреса, поисковые запросы и потенциально конфиденциальную информацию. Несмотря на их разоблачение, оба расширения оставались доступными в интернет-магазине Chrome в течение некоторого времени.
-----

Недавнее расследование выявило Вредоносную Кампанию с участием двух обманчивых расширений Chrome, которые выдавали себя за законные инструменты искусственного интеллекта. Эти расширения, предназначенные для сбора пользовательских данных, в совокупности собрали более 900 000 загрузок из интернет-магазина Chrome, прежде чем была раскрыта их вредоносная природа. Исследователи безопасности выявили, что после установки этих расширений пользователям было предложено авторизовать то, что якобы являлось анонимной аналитикой. После утверждения расширения развернули код, который отслеживал активность пользователей во всех открытых вкладках Chrome.

Типы данных, собираемых вредоносными расширениями, включали конфиденциальные разговоры в сеансах искусственного интеллекта, которые могли непреднамеренно содержать конфиденциальную информацию, деловые обсуждения и личные данные. Кроме того, расширения предоставляли полные URL-адреса всех открытых вкладок, потенциально раскрывая доступ к конфиденциальным или ограниченным ресурсам. Они также фиксировали поисковые запросы, в которых указывались темы исследований пользователей или следственные действия, а также параметры URL-адресов, которые могли привести к утечке идентификаторов или информации, связанной с сеансами пользователя.

После обнаружения этих угроз в конце декабря Google сообщила о расширениях. На тот момент, хотя у одного из них был удален статус рекомендуемого, оба они оставались доступными в интернет-магазине Chrome. Этот инцидент подчеркивает риски, связанные с кажущимися законными расширениями, которые могут злоупотребить доверием пользователей, что приводит к существенной компрометации данных.

#ParsedReport #CompletenessHigh
07-01-2026

Inside GoBruteforcer: AI-Generated Server Defaults, Weak Passwords, and Crypto-Focused Campaigns

https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/

Report completeness: High

Threats:
Gobruteforcer_botnet
Garbler_tool

Victims:
Crypto and blockchain projects, Linux servers

Industry:
Military, Financial, Government

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 10
Url: 1
File: 5
Coin: 1
IP: 4
Domain: 6

Soft:
curl, mysql, wordpress, wordpress:wordpress, phpMyAdmin, PostgreSQL, Linux, Docker

Wallets:
tron, harmony_wallet

Crypto:
binance

Algorithms:
sha256, md5

Languages:
perl, php

Platforms:
x86, arm, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoBruteforcer, модульный ботнет, написанный на Go, нацелен на серверы Linux, используя слабые пароли в таких сервисах, как FTP, MySQL, PostgreSQL и phpMyAdmin. Он распространяется через Веб-шеллы и IRC-ботов и особенно активен в отношении устаревших веб-стеков, таких как XAMPP, которые часто используют учетные данные по умолчанию. Ботнет использует систематические методы брутфорса, используя сервер управления для управления учетными данными и применяя тактику скрытности, чтобы оставаться незамеченным при компрометации более 50 000 серверов, особенно тех, которые связаны с криптовалютными проектами.
-----

GoBruteforcer - это модульный ботнет, нацеленный на серверы Linux с помощью слабых паролей и учетных данных, позволяющий использовать брутфорс для входа в такие сервисы, как FTP, MySQL, PostgreSQL и phpMyAdmin. По оценкам, более 50 000 серверов находятся под угрозой из-за конфигураций, созданных искусственным интеллектом, использующих предсказуемые имена пользователей и слабые пароли по умолчанию. Ботнет в основном распространяется через плохо защищенные FTP-сервисы, особенно в системах, использующих XAMPP, которые часто неправильно настроены для обеспечения безопасности. Он использует систематический брутфорс с использованием предопределенных списков учетных данных, управляемых сервером C2. Вредоносное ПО использует интеллектуальный выбор IP-адреса, проверяет службы перед попыткой входа в систему, используя жестко закодированные учетные данные для FTP и логины из C2-источников для MySQL и PostgreSQL. Модуль phpMyAdmin выполняет более сложные веб-взаимодействия через HTTP. GoBruteforcer скрывает свое присутствие с помощью изменений имен процессов и запланированных задач, обеспечивая закрепление и оперативную скрытность. Ботнет балансирует рабочие нагрузки на зараженных серверах, чтобы повысить производительность без перегрузки ресурсов. Использование неправильно сконфигурированных систем подчеркивает значительные угрозы, создаваемые автоматизированными инструментами в скомпрометированной инфраструктуре.