#ParsedReport #CompletenessLow
08-01-2026
Fake Windows Update and BSOD Alerts Used in a Tech Support Scam
https://malwr-analysis.com/2026/01/09/fake-windows-update-and-bsod-alerts-used-in-a-tech-support-scam/
Report completeness: Low
Threats:
Petya
Emotet
Victims:
Consumers
TTPs:
Tactics: 1
Technics: 0
IOCs:
Url: 1
IP: 1
File: 3
Soft:
WordPress, Windows Security
Algorithms:
base64
Languages:
php, javascript
08-01-2026
Fake Windows Update and BSOD Alerts Used in a Tech Support Scam
https://malwr-analysis.com/2026/01/09/fake-windows-update-and-bsod-alerts-used-in-a-tech-support-scam/
Report completeness: Low
Threats:
Petya
Emotet
Victims:
Consumers
TTPs:
Tactics: 1
Technics: 0
IOCs:
Url: 1
IP: 1
File: 3
Soft:
WordPress, Windows Security
Algorithms:
base64
Languages:
php, javascript
Malware Analysis, Phishing, and Email Scams
Fake Windows Update and BSOD Alerts Used in a Tech Support Scam
Overview While reviewing submissions received through the WordPress feedback form on my website, I came across a URL that initially appeared unremarkable. Such submissions are common and often cont…
CTT Report Hub
#ParsedReport #CompletenessLow 08-01-2026 Fake Windows Update and BSOD Alerts Used in a Tech Support Scam https://malwr-analysis.com/2026/01/09/fake-windows-update-and-bsod-alerts-used-in-a-tech-support-scam/ Report completeness: Low Threats: Petya Emotet…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Мошенники из службы технической поддержки используют поддельные предупреждения центра обновления Windows и BSOD, чтобы обмануть пользователей, заставив их поверить, что их системы скомпрометированы. Злоумышленники создают страницы фишинга, которые используют социальную инженерию для внушения страха, побуждая жертв обращаться в мошеннические службы поддержки, где они могут предоставить удаленный доступ к своим системам, что приводит к краже данных и установке вредоносного ПО. Этот метод подчеркивает более широкую тенденцию среди киберпреступников, которые используют недостаток технических знаний пользователей для усиления взаимодействия со злонамеренными акторами.
-----
Расследование выявило мошенничество с технической поддержкой, использующее поддельные оповещения центра обновления Windows и предупреждающие сообщения о синем экране смерти (BSOD) для обмана пользователей. Злоумышленники создают страницы фишинга, имитирующие законные обновления Windows, заставляя пользователей полагать, что их системы заражены или работают со сбоями. На этих страницах обычно используются методы социальной инженерии, чтобы внушить страх, принуждая людей обращаться в предполагаемые службы технической поддержки.
При обращении в эти мошеннические службы поддержки жертв часто убеждают предоставить удаленный доступ к своим компьютерам, что приводит к потенциальной краже данных, установке вредоносного программного обеспечения или дальнейшим финансовым аферам. Этот способ работы в значительной степени основан на использовании недостатка технических знаний пользователей, что делает их более восприимчивыми к манипуляциям.
Злоумышленник, стоящий за этой схемой, остается неустановленным, но применяемая тактика указывает на более широкую тенденцию в поведении киберпреступников, когда использование поддельных оповещений значительно повышает вероятность взаимодействия пользователей со вредоносными объектами. Необходимо усилить меры по кибербезопасности, чтобы обучить пользователей отличать подлинные системные уведомления от мошеннических, а также подчеркнуть важность обращения по техническим вопросам к официальным каналам поддержки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Мошенники из службы технической поддержки используют поддельные предупреждения центра обновления Windows и BSOD, чтобы обмануть пользователей, заставив их поверить, что их системы скомпрометированы. Злоумышленники создают страницы фишинга, которые используют социальную инженерию для внушения страха, побуждая жертв обращаться в мошеннические службы поддержки, где они могут предоставить удаленный доступ к своим системам, что приводит к краже данных и установке вредоносного ПО. Этот метод подчеркивает более широкую тенденцию среди киберпреступников, которые используют недостаток технических знаний пользователей для усиления взаимодействия со злонамеренными акторами.
-----
Расследование выявило мошенничество с технической поддержкой, использующее поддельные оповещения центра обновления Windows и предупреждающие сообщения о синем экране смерти (BSOD) для обмана пользователей. Злоумышленники создают страницы фишинга, имитирующие законные обновления Windows, заставляя пользователей полагать, что их системы заражены или работают со сбоями. На этих страницах обычно используются методы социальной инженерии, чтобы внушить страх, принуждая людей обращаться в предполагаемые службы технической поддержки.
При обращении в эти мошеннические службы поддержки жертв часто убеждают предоставить удаленный доступ к своим компьютерам, что приводит к потенциальной краже данных, установке вредоносного программного обеспечения или дальнейшим финансовым аферам. Этот способ работы в значительной степени основан на использовании недостатка технических знаний пользователей, что делает их более восприимчивыми к манипуляциям.
Злоумышленник, стоящий за этой схемой, остается неустановленным, но применяемая тактика указывает на более широкую тенденцию в поведении киберпреступников, когда использование поддельных оповещений значительно повышает вероятность взаимодействия пользователей со вредоносными объектами. Необходимо усилить меры по кибербезопасности, чтобы обучить пользователей отличать подлинные системные уведомления от мошеннических, а также подчеркнуть важность обращения по техническим вопросам к официальным каналам поддержки.
#ParsedReport #CompletenessMedium
07-01-2026
Ghost Tapped: Tracking the Rise of Chinese Tap-to-pay Android Malware
https://www.group-ib.com/blog/ghost-tapped-chinese-malware/
Report completeness: Medium
Threats:
Ghost_tap_technique
Nfcgate_tool
X-nfc_tool
Smishing_technique
Ngate
Z-nfc_tool
Supercard
Phantomcard
Jiagu
Victims:
Banking, Mobile wallets, Financial institutions, Payment networks, Consumers
Industry:
Financial
Geo:
China, Italy, Chinese, Czech, Singapore, Asia, Malaysian, Brazil, Middle east, Africa
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1041, T1071.001, T1204.002, T1566.004, T1587.001, T1598.003
IOCs:
File: 2
Domain: 5
Hash: 54
Soft:
Android, Telegram
Algorithms:
sha256, md5, sha1
Platforms:
apple
07-01-2026
Ghost Tapped: Tracking the Rise of Chinese Tap-to-pay Android Malware
https://www.group-ib.com/blog/ghost-tapped-chinese-malware/
Report completeness: Medium
Threats:
Ghost_tap_technique
Nfcgate_tool
X-nfc_tool
Smishing_technique
Ngate
Z-nfc_tool
Supercard
Phantomcard
Jiagu
Victims:
Banking, Mobile wallets, Financial institutions, Payment networks, Consumers
Industry:
Financial
Geo:
China, Italy, Chinese, Czech, Singapore, Asia, Malaysian, Brazil, Middle east, Africa
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1041, T1071.001, T1204.002, T1566.004, T1587.001, T1598.003
IOCs:
File: 2
Domain: 5
Hash: 54
Soft:
Android, Telegram
Algorithms:
sha256, md5, sha1
Platforms:
apple
Group-IB
Ghost Tapped: Tracking the Rise of Chinese Tap-to-pay Android Malware
Group-IB researchers detail the inner workings of Chinese tap-to-pay schemes on Telegram and examine the NFC-enabled Android apps fraudsters are using to steal money from victim’s bank cards and mobile wallets remotely.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-01-2026 Ghost Tapped: Tracking the Rise of Chinese Tap-to-pay Android Malware https://www.group-ib.com/blog/ghost-tapped-chinese-malware/ Report completeness: Medium Threats: Ghost_tap_technique Nfcgate_tool X-nfc_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование Group-IB выявило рост вредоносного ПО tap-to-pay в Китае, нацеленного на устройства Android и использующего технологию NFC для несанкционированных банковских транзакций. Вредоносные приложения, такие как TX-NFC и NFU Pay, продаются в Telegram и обманом заставляют пользователей устанавливать их с помощью smishing или Кампаний по Вымогательству. После установки вредоносное ПО захватывает информацию о картах, инструктируя жертв подключаться к их банковским картам, передавая данные злоумышленникам через сервер управления и способствуя значительным мошенническим транзакциям с использованием скомпрометированных финансовых данных.
-----
Китайское вредоносное ПО tap-to-pay нацелено на устройства Android, используя технологию NFC для несанкционированных транзакций. Вредоносное ПО распространяется через вредоносные приложения, продаваемые на китайских форумах по борьбе с киберпреступностью, в частности в Telegram. Известные варианты вредоносного ПО включают TX-NFC с более чем 21 000 подписчиков и NFU Pay. TX-NFC появился в январе 2025 года, в то время как другой вариант, X-NFC, появился в декабре 2024 года и набрал 5000 участников. Жертв обманом заставляют устанавливать эти приложения с помощью smishing или Кампаний по Вымогательству. После установки жертвы подключают свои банковские карты к зараженным устройствам, захватывая информацию о карте, которая отправляется на сервер управления. Злоумышленники используют скомпрометированные POS-терминалы, рекламируемые в каналах киберпреступности, для облегчения процесса вывода наличных. Один поставщик отметил мошеннические транзакции на сумму более 355 000 долларов США в период с ноября 2024 по август 2025 года. Было идентифицировано более 54 различных образцов APK, многие из которых замаскированы под законные финансовые приложения. Вредоносное ПО использует сложные оболочки и методы обфускации, такие как китайский коммерческий упаковщик 360 Jiagu, чтобы избежать обнаружения. Образцы TX-NFC могут использоваться как в качестве считывателя, так и в качестве толкателя, что повышает универсальность эксплуатации. Злоумышленники создают индивидуальные версии вредоносного ПО для конкретных географических целей, что указывает на переход к более эффективным стратегиям фишинга. Эта тенденция создает значительные риски для финансовых учреждений и частных лиц, подчеркивая необходимость усиления мер безопасности и бдительности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование Group-IB выявило рост вредоносного ПО tap-to-pay в Китае, нацеленного на устройства Android и использующего технологию NFC для несанкционированных банковских транзакций. Вредоносные приложения, такие как TX-NFC и NFU Pay, продаются в Telegram и обманом заставляют пользователей устанавливать их с помощью smishing или Кампаний по Вымогательству. После установки вредоносное ПО захватывает информацию о картах, инструктируя жертв подключаться к их банковским картам, передавая данные злоумышленникам через сервер управления и способствуя значительным мошенническим транзакциям с использованием скомпрометированных финансовых данных.
-----
Китайское вредоносное ПО tap-to-pay нацелено на устройства Android, используя технологию NFC для несанкционированных транзакций. Вредоносное ПО распространяется через вредоносные приложения, продаваемые на китайских форумах по борьбе с киберпреступностью, в частности в Telegram. Известные варианты вредоносного ПО включают TX-NFC с более чем 21 000 подписчиков и NFU Pay. TX-NFC появился в январе 2025 года, в то время как другой вариант, X-NFC, появился в декабре 2024 года и набрал 5000 участников. Жертв обманом заставляют устанавливать эти приложения с помощью smishing или Кампаний по Вымогательству. После установки жертвы подключают свои банковские карты к зараженным устройствам, захватывая информацию о карте, которая отправляется на сервер управления. Злоумышленники используют скомпрометированные POS-терминалы, рекламируемые в каналах киберпреступности, для облегчения процесса вывода наличных. Один поставщик отметил мошеннические транзакции на сумму более 355 000 долларов США в период с ноября 2024 по август 2025 года. Было идентифицировано более 54 различных образцов APK, многие из которых замаскированы под законные финансовые приложения. Вредоносное ПО использует сложные оболочки и методы обфускации, такие как китайский коммерческий упаковщик 360 Jiagu, чтобы избежать обнаружения. Образцы TX-NFC могут использоваться как в качестве считывателя, так и в качестве толкателя, что повышает универсальность эксплуатации. Злоумышленники создают индивидуальные версии вредоносного ПО для конкретных географических целей, что указывает на переход к более эффективным стратегиям фишинга. Эта тенденция создает значительные риски для финансовых учреждений и частных лиц, подчеркивая необходимость усиления мер безопасности и бдительности.
#ParsedReport #CompletenessLow
08-01-2026
Fake Browser Updates Targeting WordPress Administrators via Malicious Plugin
https://blog.sucuri.net/2026/01/fake-browser-updates-targeting-wordpress-administrators-via-malicious-plugin.html
Report completeness: Low
Victims:
Wordpress administrators, Website administrators
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036, T1059.007, T1071.001, T1078.003, T1102, T1105, T1189, T1190, T1204.002, T1505.003, have more...
IOCs:
Domain: 2
Url: 1
Soft:
WordPress, Chrome, Firefox
Algorithms:
base64
Languages:
javascript, java
08-01-2026
Fake Browser Updates Targeting WordPress Administrators via Malicious Plugin
https://blog.sucuri.net/2026/01/fake-browser-updates-targeting-wordpress-administrators-via-malicious-plugin.html
Report completeness: Low
Victims:
Wordpress administrators, Website administrators
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1059.007, T1071.001, T1078.003, T1102, T1105, T1189, T1190, T1204.002, T1505.003, have more...
IOCs:
Domain: 2
Url: 1
Soft:
WordPress, Chrome, Firefox
Algorithms:
base64
Languages:
javascript, java
Sucuri Blog
Fake Browser Updates Targeting WordPress Administrators via Malicious Plugin
Learn about the dangers of fake browser update alerts and how a malicious plugin targeted WordPress site owners.
CTT Report Hub
#ParsedReport #CompletenessLow 08-01-2026 Fake Browser Updates Targeting WordPress Administrators via Malicious Plugin https://blog.sucuri.net/2026/01/fake-browser-updates-targeting-wordpress-administrators-via-malicious-plugin.html Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование киберугрозы выявило вредоносный плагин под названием "Modern Recent Posts", нацеленный на администраторов WordPress с помощью обманчивых уведомлений об обновлениях браузера. Этот плагин, который маскировался под законный виджет, загружал удаленные JavaScript-скрипты и избегал обнаружения пользователями, не являющимися пользователями Windows. Это позволило злоумышленникам получить доступ к конфиденциальной информации, генерировать поддельные запросы на обновление и поддерживать закрепление в скомпрометированных системах, обеспечивая постоянный доступ, несмотря на смену пароля.
-----
Недавнее расследование киберугроз выявило вредоносную активность, направленную против администраторов WordPress с помощью обманчивых уведомлений об обновлениях браузера. Жертвы сообщали о постоянных всплывающих окнах на своих веб-сайтах, призывающих к ненужным обновлениям браузера, несмотря на то, что их программное обеспечение является актуальным. Основная причина была идентифицирована как вредоносный плагин под названием "Современные последние сообщения", который маскировался под доброкачественный виджет. Этот плагин отвечал за загрузку и выполнение удаленных JavaScript-скриптов из внешнего домена, а именно hxxps://persistancejs.store/jsplug/plugin.php .
Вредоносная кампания была специально разработана для того, чтобы избежать обнаружения, сосредоточившись на законных пользователях и игнорируя ботов, сканеры или пользователей, не являющихся пользователями Windows, которые не могут запустить удаленный exe-файл. После установки плагин выполнял несколько гнусных действий: он передавал конфиденциальную информацию злоумышленникам, генерировал поддельные запросы на обновление Java для имитации срочности и подлинности, а также включал функциональность для удаленного обновления и самоуничтожения, гарантируя, что вредоносное ПО сохраняло закрепление в скомпрометированных системах.
Последствия для затронутых сайтов WordPress были значительными, поскольку установка этого бэкдора позволяла злоумышленникам получать постоянный доступ даже при изменении паролей. Шаги по исправлению включают удаление всех нераспознанных каталогов плагинов, аудит учетных записей пользователей для устранения подозрительной активности, сброс всех связанных с ними учетных данных и проведение всестороннего сканирования локальных систем на предмет потенциальных компрометаций. Кроме того, рекомендуется отслеживать исходящий трафик на предмет подозрительных подключений к домену, обновлять все компоненты WordPress до их последних версий и использовать брандмауэр веб-приложений (WAF) в качестве превентивных мер против подобных атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование киберугрозы выявило вредоносный плагин под названием "Modern Recent Posts", нацеленный на администраторов WordPress с помощью обманчивых уведомлений об обновлениях браузера. Этот плагин, который маскировался под законный виджет, загружал удаленные JavaScript-скрипты и избегал обнаружения пользователями, не являющимися пользователями Windows. Это позволило злоумышленникам получить доступ к конфиденциальной информации, генерировать поддельные запросы на обновление и поддерживать закрепление в скомпрометированных системах, обеспечивая постоянный доступ, несмотря на смену пароля.
-----
Недавнее расследование киберугроз выявило вредоносную активность, направленную против администраторов WordPress с помощью обманчивых уведомлений об обновлениях браузера. Жертвы сообщали о постоянных всплывающих окнах на своих веб-сайтах, призывающих к ненужным обновлениям браузера, несмотря на то, что их программное обеспечение является актуальным. Основная причина была идентифицирована как вредоносный плагин под названием "Современные последние сообщения", который маскировался под доброкачественный виджет. Этот плагин отвечал за загрузку и выполнение удаленных JavaScript-скриптов из внешнего домена, а именно hxxps://persistancejs.store/jsplug/plugin.php .
Вредоносная кампания была специально разработана для того, чтобы избежать обнаружения, сосредоточившись на законных пользователях и игнорируя ботов, сканеры или пользователей, не являющихся пользователями Windows, которые не могут запустить удаленный exe-файл. После установки плагин выполнял несколько гнусных действий: он передавал конфиденциальную информацию злоумышленникам, генерировал поддельные запросы на обновление Java для имитации срочности и подлинности, а также включал функциональность для удаленного обновления и самоуничтожения, гарантируя, что вредоносное ПО сохраняло закрепление в скомпрометированных системах.
Последствия для затронутых сайтов WordPress были значительными, поскольку установка этого бэкдора позволяла злоумышленникам получать постоянный доступ даже при изменении паролей. Шаги по исправлению включают удаление всех нераспознанных каталогов плагинов, аудит учетных записей пользователей для устранения подозрительной активности, сброс всех связанных с ними учетных данных и проведение всестороннего сканирования локальных систем на предмет потенциальных компрометаций. Кроме того, рекомендуется отслеживать исходящий трафик на предмет подозрительных подключений к домену, обновлять все компоненты WordPress до их последних версий и использовать брандмауэр веб-приложений (WAF) в качестве превентивных мер против подобных атак.
#ParsedReport #CompletenessLow
08-01-2026
UAT-7290 targets high value telecommunications infrastructure in South Asia
https://blog.talosintelligence.com/uat-7290/
Report completeness: Low
Actors/Campaigns:
Uat-7290 (motivation: cyber_espionage)
Stone_panda
Redfoxtrot
Threats:
Chronosrat
Driveswitch
Mystrodx
Redleaves
Shadowpad
Bulbature
Cobalt_strike_tool
Supershell
Gobrat
Victims:
Telecommunications infrastructure, Critical infrastructure entities
Industry:
Telco, Critical_infrastructure
Geo:
China, Hong kong, Asia, Chinese
ChatGPT TTPs:
T1027, T1497, T1497, T1571
IOCs:
Hash: 3
Soft:
Linux, Busybox
08-01-2026
UAT-7290 targets high value telecommunications infrastructure in South Asia
https://blog.talosintelligence.com/uat-7290/
Report completeness: Low
Actors/Campaigns:
Uat-7290 (motivation: cyber_espionage)
Stone_panda
Redfoxtrot
Threats:
Chronosrat
Driveswitch
Mystrodx
Redleaves
Shadowpad
Bulbature
Cobalt_strike_tool
Supershell
Gobrat
Victims:
Telecommunications infrastructure, Critical infrastructure entities
Industry:
Telco, Critical_infrastructure
Geo:
China, Hong kong, Asia, Chinese
ChatGPT TTPs:
do not use without manual checkT1027, T1497, T1497, T1571
IOCs:
Hash: 3
Soft:
Linux, Busybox
Cisco Talos Blog
UAT-7290 targets high value telecommunications infrastructure in South Asia
Talos assesses with high confidence that UAT-7290 is a sophisticated threat actor falling under the China-nexus of Advanced Persistent Threat actors (APTs). UAT-7290 primarily targets telecommunications providers in South Asia.
CTT Report Hub
#ParsedReport #CompletenessLow 08-01-2026 UAT-7290 targets high value telecommunications infrastructure in South Asia https://blog.talosintelligence.com/uat-7290/ Report completeness: Low Actors/Campaigns: Uat-7290 (motivation: cyber_espionage) Stone_panda…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAT-7290 - это злоумышленник, нацеленный на телекоммуникационную инфраструктуру в Южной Азии с 2022 года, использующий сложный инструментарий, включающий семейства вредоносных ПО, такие как RushDrop, SilentRaid и Bulbature. RushDrop функционирует как дроппер с закодированными двоичными файлами, что позволяет избежать обнаружения, в то время как SilentRaid имеет модульную конструкцию с плагинами для настраиваемых операций. Bulbature использует аналогичную кодировку и предоставляет возможность привязки к указанным портам для выполнения команд.
-----
UAT-7290 - это злоумышленник, известный тем, что он осуществляет шпионские вторжения, нацеленные на ценную телекоммуникационную инфраструктуру в Южной Азии. Действующая по меньшей мере с 2022 года, эта группа занимается всесторонней технической разведкой целевых организаций перед началом атак. UAT-7290 использует сложный набор инструментов для защиты от вредоносного ПО, который включает в себя несколько различных семейств: RushDrop, DriveSwitch, SilentRaid и Bulbature.
RushDrop функционирует как дроппер вредоносного ПО, разработанный с использованием трех закодированных двоичных файлов. Он выполняет предварительные проверки, чтобы убедиться, что работает на подлинных системах, избегая обнаружения "песочницами". Этот дроппер облегчает развертывание дополнительных полезных нагрузок, которые могут быть использованы в жизненном цикле атаки.
SilentRaid - это многофункциональное вредоносное ПО, написанное на C++, которое работает с использованием модульной архитектуры плагинов. Он начинается с выполнения рутинных проверок антивирусной машины (VM) и анализа перед контактом с сервером управления (C2) для получения дальнейших инструкций. Плагины, встроенные в SilentRaid, предоставляют различные вредоносные функции, позволяющие злоумышленнику настраивать поведение вредоносного ПО в зависимости от конкретной операции, которую он намеревается выполнить.
Кроме того, вредоносное ПО Bulbature использует схему кодирования, аналогичную другим вредоносным ПО, разработанным UAT-7290, обычно с использованием сжатия UPX. Bulbature может связывать и прослушивать либо случайный порт, либо порт, указанный через командную строку, обеспечивая гибкое выполнение команд в соответствии с требованиями злоумышленника.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
UAT-7290 - это злоумышленник, нацеленный на телекоммуникационную инфраструктуру в Южной Азии с 2022 года, использующий сложный инструментарий, включающий семейства вредоносных ПО, такие как RushDrop, SilentRaid и Bulbature. RushDrop функционирует как дроппер с закодированными двоичными файлами, что позволяет избежать обнаружения, в то время как SilentRaid имеет модульную конструкцию с плагинами для настраиваемых операций. Bulbature использует аналогичную кодировку и предоставляет возможность привязки к указанным портам для выполнения команд.
-----
UAT-7290 - это злоумышленник, известный тем, что он осуществляет шпионские вторжения, нацеленные на ценную телекоммуникационную инфраструктуру в Южной Азии. Действующая по меньшей мере с 2022 года, эта группа занимается всесторонней технической разведкой целевых организаций перед началом атак. UAT-7290 использует сложный набор инструментов для защиты от вредоносного ПО, который включает в себя несколько различных семейств: RushDrop, DriveSwitch, SilentRaid и Bulbature.
RushDrop функционирует как дроппер вредоносного ПО, разработанный с использованием трех закодированных двоичных файлов. Он выполняет предварительные проверки, чтобы убедиться, что работает на подлинных системах, избегая обнаружения "песочницами". Этот дроппер облегчает развертывание дополнительных полезных нагрузок, которые могут быть использованы в жизненном цикле атаки.
SilentRaid - это многофункциональное вредоносное ПО, написанное на C++, которое работает с использованием модульной архитектуры плагинов. Он начинается с выполнения рутинных проверок антивирусной машины (VM) и анализа перед контактом с сервером управления (C2) для получения дальнейших инструкций. Плагины, встроенные в SilentRaid, предоставляют различные вредоносные функции, позволяющие злоумышленнику настраивать поведение вредоносного ПО в зависимости от конкретной операции, которую он намеревается выполнить.
Кроме того, вредоносное ПО Bulbature использует схему кодирования, аналогичную другим вредоносным ПО, разработанным UAT-7290, обычно с использованием сжатия UPX. Bulbature может связывать и прослушивать либо случайный порт, либо порт, указанный через командную строку, обеспечивая гибкое выполнение команд в соответствии с требованиями злоумышленника.
#ParsedReport #CompletenessLow
08-01-2026
Analysis of a Fake Cloudflare Turnstile Used as a Traffic Filtering Gate
https://malwr-analysis.com/2026/01/07/analysis-of-a-fake-cloudflare-turnstile-used-as-a-traffic-filtering-gate/
Report completeness: Low
Geo:
France, French
ChatGPT TTPs:
T1059.007, T1082, T1102, T1583.006, T1586, T1590.001
IOCs:
File: 2
Soft:
Cloudflare Turnstile, Selenium
Languages:
php, javascript
08-01-2026
Analysis of a Fake Cloudflare Turnstile Used as a Traffic Filtering Gate
https://malwr-analysis.com/2026/01/07/analysis-of-a-fake-cloudflare-turnstile-used-as-a-traffic-filtering-gate/
Report completeness: Low
Geo:
France, French
ChatGPT TTPs:
do not use without manual checkT1059.007, T1082, T1102, T1583.006, T1586, T1590.001
IOCs:
File: 2
Soft:
Cloudflare Turnstile, Selenium
Languages:
php, javascript
Malware Analysis, Phishing, and Email Scams
Analysis of a Fake Cloudflare Turnstile Used as a Traffic Filtering Gate
Overview During analysis of a phishing URL chain, I observed a fake Cloudflare Turnstile verification page acting as an intelligent traffic filtering gate. Rather than protecting a website, this pa…
CTT Report Hub
#ParsedReport #CompletenessLow 08-01-2026 Analysis of a Fake Cloudflare Turnstile Used as a Traffic Filtering Gate https://malwr-analysis.com/2026/01/07/analysis-of-a-fake-cloudflare-turnstile-used-as-a-traffic-filtering-gate/ Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была обнаружена цепочка URL-адресов для фишинга, использующая поддельную страницу проверки турникета Cloudflare, которая злонамеренно фильтрует веб-трафик вместо обеспечения безопасности. Он использует отслеживание геолокации, чтобы блокировать или разрешать доступ в зависимости от региона пользователя, обнаруживает использование прокси-сервера для выявления потенциальных злонамеренных намерений и использует дактилоскопию браузера для оценки законности попыток доступа. Этот сложный подход повышает эффективность операции фишинга за счет тонкой настройки управления трафиком.
-----
Анализ цепочки URL-адресов для фишинга выявил работу поддельной страницы проверки турникета Cloudflare, предназначенной для функционирования в качестве сложного шлюза для фильтрации веб-трафика. Вместо того чтобы выполнять свою основную задачу по обеспечению безопасности веб-сайтов, этот поддельный турникет действует злонамеренно, выборочно отказывая, перенаправляя или разрешая доступ пользователям на основе нескольких критериев. Используемые механизмы включают отслеживание геолокации, идентификацию использования прокси-сервера и методы снятия отпечатков пальцев с браузера.
Геолокация используются для определения географического происхождения входящего трафика. Это может привести к блокировки пользователей из определенных регионов, позволяя доступ к другим, исходя из предпочтений злоумышленника. Использование прокси-сервера обнаружения СПИДа в предлагаемых ли пользователь использует сервисы анонимизации, что может свидетельствовать о злому умыслу или в обход мер безопасности. Отпечатки пальцев браузера, техника, которая собирает информацию об устройстве пользователя и настроек браузера добавляет дополнительный уровень анализа, чтобы определить законность попытка доступа. Такое сочетание методов позволяет противнику тонко настраивать контроль доступа применяется к веб-трафик, тем самым повышая эффективность их работы фишинг.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была обнаружена цепочка URL-адресов для фишинга, использующая поддельную страницу проверки турникета Cloudflare, которая злонамеренно фильтрует веб-трафик вместо обеспечения безопасности. Он использует отслеживание геолокации, чтобы блокировать или разрешать доступ в зависимости от региона пользователя, обнаруживает использование прокси-сервера для выявления потенциальных злонамеренных намерений и использует дактилоскопию браузера для оценки законности попыток доступа. Этот сложный подход повышает эффективность операции фишинга за счет тонкой настройки управления трафиком.
-----
Анализ цепочки URL-адресов для фишинга выявил работу поддельной страницы проверки турникета Cloudflare, предназначенной для функционирования в качестве сложного шлюза для фильтрации веб-трафика. Вместо того чтобы выполнять свою основную задачу по обеспечению безопасности веб-сайтов, этот поддельный турникет действует злонамеренно, выборочно отказывая, перенаправляя или разрешая доступ пользователям на основе нескольких критериев. Используемые механизмы включают отслеживание геолокации, идентификацию использования прокси-сервера и методы снятия отпечатков пальцев с браузера.
Геолокация используются для определения географического происхождения входящего трафика. Это может привести к блокировки пользователей из определенных регионов, позволяя доступ к другим, исходя из предпочтений злоумышленника. Использование прокси-сервера обнаружения СПИДа в предлагаемых ли пользователь использует сервисы анонимизации, что может свидетельствовать о злому умыслу или в обход мер безопасности. Отпечатки пальцев браузера, техника, которая собирает информацию об устройстве пользователя и настроек браузера добавляет дополнительный уровень анализа, чтобы определить законность попытка доступа. Такое сочетание методов позволяет противнику тонко настраивать контроль доступа применяется к веб-трафик, тем самым повышая эффективность их работы фишинг.
#ParsedReport #CompletenessLow
08-01-2026
Fake portal of the Ministry of Interior discovered: phishing on residence permit
https://cert-agid.gov.it/news/scoperto-falso-portale-del-ministero-dellinterno/
Report completeness: Low
Victims:
Immigrants, Public sector users
Industry:
Financial
Geo:
Italy
ChatGPT TTPs:
T1036, T1566.002, T1583.001
IOCs:
Domain: 1
Url: 2
08-01-2026
Fake portal of the Ministry of Interior discovered: phishing on residence permit
https://cert-agid.gov.it/news/scoperto-falso-portale-del-ministero-dellinterno/
Report completeness: Low
Victims:
Immigrants, Public sector users
Industry:
Financial
Geo:
Italy
ChatGPT TTPs:
do not use without manual checkT1036, T1566.002, T1583.001
IOCs:
Domain: 1
Url: 2
CERT-AGID
Scoperto falso portale del Ministero dell’Interno: phishing su permesso di soggiorno
Il CERT-AGID ha avuto evidenza di un dominio malevolo, di recente registrazione, utilizzato per ospitare un falso portale del Ministero dell’Interno (con riferimenti anche alla Polizia di Stato). Il sito si presenta come servizio di verifica dello stato di…
CTT Report Hub
#ParsedReport #CompletenessLow 08-01-2026 Fake portal of the Ministry of Interior discovered: phishing on residence permit https://cert-agid.gov.it/news/scoperto-falso-portale-del-ministero-dellinterno/ Report completeness: Low Victims: Immigrants, Public…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавно обнаруженная киберугроза связана с мошенническим доменом, выдающим себя за Министерство внутренних дел Италии, на котором размещен поддельный портал, запрашивающий конфиденциальную личную информацию под видом проверки документов, связанных с иммиграцией. Эта схема фишинга использует общественное доверие к правительственным веб-сайтам, повышая вероятность взаимодействия пользователей с вредоносным контентом, тем самым повышая риск кражи личных данных и других киберпреступных действий. Эта тенденция подчеркивает необходимость осторожности при взаимодействии с онлайновыми государственными службами.
-----
Недавно выявленная киберугроза была связана с созданием вредоносного домена, на котором размещен поддельный портал, Маскировка под Министерство внутренних дел Италии. Этот мошеннический сайт претендует на предоставление услуг по проверке статуса и действительности различных административных документов, в частности, касающихся иммиграции. Портал не только нацелен на то, чтобы обманом заставить пользователей предоставлять конфиденциальную личную информацию, но и предназначен для того, чтобы выдавать себя за заслуживающие доверия государственные учреждения, включая ссылки на государственную полицию.
Это фишинг попытку является частью общей тенденции, когда киберпреступники эксплуатируют доверие в правительственных веб-сайтов для кражи конфиденциальной информации от ничего не подозревающих людей. Имитирующих официальные порталы, этими злоумышленниками увеличить вероятность пользователи взаимодействуют с сайтом и невольно представив личные данные, которые затем могут быть использованы для кражи личных данных и других вредоносных действий.
Специфика этой угрозы подчеркивает важность бдительности в отношении онлайн-взаимодействий, особенно при работе с государственными службами. Пользователи должны быть осторожны и проверять подлинность таких порталов, проверяя официальные правительственные сообщения или используя URL-адреса с прямыми ссылками для доступа к сервисам, а не полагаться на результаты поисковой системы или интерактивные ссылки, которые могут привести к мошенническим сайтам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавно обнаруженная киберугроза связана с мошенническим доменом, выдающим себя за Министерство внутренних дел Италии, на котором размещен поддельный портал, запрашивающий конфиденциальную личную информацию под видом проверки документов, связанных с иммиграцией. Эта схема фишинга использует общественное доверие к правительственным веб-сайтам, повышая вероятность взаимодействия пользователей с вредоносным контентом, тем самым повышая риск кражи личных данных и других киберпреступных действий. Эта тенденция подчеркивает необходимость осторожности при взаимодействии с онлайновыми государственными службами.
-----
Недавно выявленная киберугроза была связана с созданием вредоносного домена, на котором размещен поддельный портал, Маскировка под Министерство внутренних дел Италии. Этот мошеннический сайт претендует на предоставление услуг по проверке статуса и действительности различных административных документов, в частности, касающихся иммиграции. Портал не только нацелен на то, чтобы обманом заставить пользователей предоставлять конфиденциальную личную информацию, но и предназначен для того, чтобы выдавать себя за заслуживающие доверия государственные учреждения, включая ссылки на государственную полицию.
Это фишинг попытку является частью общей тенденции, когда киберпреступники эксплуатируют доверие в правительственных веб-сайтов для кражи конфиденциальной информации от ничего не подозревающих людей. Имитирующих официальные порталы, этими злоумышленниками увеличить вероятность пользователи взаимодействуют с сайтом и невольно представив личные данные, которые затем могут быть использованы для кражи личных данных и других вредоносных действий.
Специфика этой угрозы подчеркивает важность бдительности в отношении онлайн-взаимодействий, особенно при работе с государственными службами. Пользователи должны быть осторожны и проверять подлинность таких порталов, проверяя официальные правительственные сообщения или используя URL-адреса с прямыми ссылками для доступа к сервисам, а не полагаться на результаты поисковой системы или интерактивные ссылки, которые могут привести к мошенническим сайтам.
#ParsedReport #CompletenessLow
06-01-2026
Behavioral and Code Analysis Findings
https://www.reversinglabs.com/blog/unpacking-pkr_mtsi
Report completeness: Low
Threats:
Pkr_mtsi_tool
Seo_poisoning_technique
Vanguard_stealer
Oyster
Vidar_stealer
Supper_backdoor
Shellcoderunner
Textshell
Junk_code_technique
Antidebugging_technique
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1106, T1140, T1204.002, T1608.004, T1608.006, T1622
IOCs:
File: 11
Soft:
Microsoft Teams
Algorithms:
sha256, exhibit, xor
Functions:
Obfuscated, Conditional, Many
Win API:
VirtualAlloc, ZwAllocateVirtualMemory, DllRegisterServer, CheckRemoteDebuggerPresent, LoadLibraryA, ntdll_handle, RtlInitUnicodeString, LdrLoadDll, NtProtectVirtualMemory, VirtualProtect, have more...
Platforms:
x64
YARA: Found
Links:
have more...
06-01-2026
Behavioral and Code Analysis Findings
https://www.reversinglabs.com/blog/unpacking-pkr_mtsi
Report completeness: Low
Threats:
Pkr_mtsi_tool
Seo_poisoning_technique
Vanguard_stealer
Oyster
Vidar_stealer
Supper_backdoor
Shellcoderunner
Textshell
Junk_code_technique
Antidebugging_technique
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1106, T1140, T1204.002, T1608.004, T1608.006, T1622
IOCs:
File: 11
Soft:
Microsoft Teams
Algorithms:
sha256, exhibit, xor
Functions:
Obfuscated, Conditional, Many
Win API:
VirtualAlloc, ZwAllocateVirtualMemory, DllRegisterServer, CheckRemoteDebuggerPresent, LoadLibraryA, ntdll_handle, RtlInitUnicodeString, LdrLoadDll, NtProtectVirtualMemory, VirtualProtect, have more...
Platforms:
x64
YARA: Found
Links:
https://github.com/OALabs/hashdbhave more...
https://github.com/upx/upx/blob/1ebd3356f36780960a03354a8ded23410ebc7e79/src/stub/src/amd64-win64.pe.S#L480-L507ReversingLabs
Researcher’s Notebook: Unpacking ‘pkr_mtsi’ | ReversingLabs
This RL research team analysis highlights the Windows packer’s evolution — and provides a YARA rule to detect all versions of the packer.