#ParsedReport #CompletenessLow
10-02-2026

ClawdBot Skills Just Ganked Your Crypto

https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto

Report completeness: Low

Threats:
Clickfix_technique
Nova_stealer
Typosquatting_technique
Supply_chain_technique

Victims:
Cryptocurrency platforms, Genai skills users

Geo:
Australia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1059.004, T1105, T1195, T1204.002, T1552, T1553.001, T1555, T1566

IOCs:
IP: 1
File: 5
Hash: 6

Soft:
ClawdBot, Claude, Moltbot, ClawHub, macOS, Telegram, Twitter, curl, Gatekeeper, Chrome, Firefox, have more...

Wallets:
bybit, metamask

Crypto:
solana

Algorithms:
base64, zip, md5, sha256

Platforms:
apple, intel, arm

Links:
https://github.com/openclaw/skills/tree/main/skills/aslaep123/polymarket-traiding-bot
https://github.com/openclaw/skills/tree/main/skills/jordanprater/polymarketcli
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания, использующая навыки ClawdBot, была нацелен на пользователей Claude Code и Moltbot с помощью вредоносное ПО для кражи информации, замаскированного под инструменты для торговли криптовалютами, что оказало воздействие как на системы macOS, так и на Windows. Эти вредоносные навыки, использующие тактику социальной инженерии, были связаны с более чем 7000 загрузками и используют инфраструктуру управление с IP 91.92.242.30. Версия macOS изменяет системные настройки для выполнения загрузок, избегая при этом таких мер безопасности, как Apple Gatekeeper, выявляя значительные уязвимости в протоколах безопасности платформы.
-----

Была выявлена недавняя кампания с использованием навыков ClawdBot, нацеленная на пользователей Claude Code и Moltbot для распространения вредоносное ПО, похищающего информацию. В конце января - начале февраля 2026 года были выпущены два набора вредоносных навыков: первоначальная группа из 28 и последующая более крупная партия из 386 навыков. Эти навыки маскируются под инструменты автоматизации торговли криптовалютами, используя тактику социальной инженерии, чтобы убедить пользователей выполнять вредоносные команды в своих системах, в первую очередь нацеленные как на macOS, так и на Windows среды. Вредоносное ПО специально нацелено на кражу конфиденциальной информации, включая API-ключи обмена криптовалютами, Закрытые ключи кошелька, учетные данные SSH и пароли браузера.

Вредоносные программы используют одну и ту же инфраструктуру управление, в частности IP-адрес 91.92.242.30. Расследование ClawHub, где были опубликованы эти навыки, выявило отсутствие эффективных мер безопасности, позволяющих загружать вредоносное ПО в незашифрованном виде в SKILL.md файлы. Этот недосмотр вызывает серьезные опасения по поводу протоколов безопасности в рамках этой экосистемы, поскольку распространение вредоносное ПО в значительной степени осталось неконтролируемым.

Среди вовлеченных вредоносных актор следует отметить пользователя hightower6eu, который был связан примерно с 7000 загрузками, что указывает на то, что эти навыки эффективно проникли в базу пользователей. Примечательно, что эти навыки остаются в сети, несмотря на попытки связаться с администраторами ClawHub по поводу их удаления.

С технической точки зрения, наиболее распространенный вариант вредоносное ПО для macOS сопровождает пользователей по цепочке атак, которая включает изменение настроек временного каталога, загрузку двоичных файлов с сервера управление с помощью команды "curl", удаление атрибутов карантина с помощью "xattr -c", чтобы обойти Apple Gatekeeper, и изменение прав доступа к файлам для выполнения загруженных двоичных файлов. Примечательно, что вредоносное ПО идентифицировано как версия 2 из признанного семейства macOS stealer, содержащая определенные идентификаторы сборки, которые могут связать его с другими Вредоносная Кампания.

Дальнейшее изучение механизма заражения включает в себя проверку на наличие признаков компрометации в пользовательском История команд bash на предмет любых выполненных вредоносных команд. Текущие результаты выявляют вызывающую беспокойство уязвимость supply chain в формирующейся экосистеме Claude Code и навыков Moltbot, демонстрируя, как злоумышленник может использовать доверие пользователей в злонамеренных целях. Это подчеркивает настоятельную необходимость улучшения мер безопасности на этих платформах для снижения подобных рисков в будущем.

#ParsedReport #CompletenessMedium
10-02-2026

VoidLink: Dissecting an AI-Generated C2 Implant

https://www.ontinue.com/resource/voidlink-dissecting-an-ai-generated-c2-implant/

Report completeness: Medium

Threats:
Voidlink
Cobalt_strike_tool
Credential_harvesting_technique

Victims:
Cloud service providers, Enterprise environments

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1036, T1041, T1105, T1496, T1518.001, T1552.001, T1580, T1602.002, have more...

IOCs:
File: 4
Domain: 1
IP: 1
Hash: 1

Soft:
Linux, Docker

Algorithms:
sha256, sha1, aes-256-gcm, exhibit

Platforms:
intel

Links:
have more...
https://github.com/Ontinue-Runway/threat-intel-iocs/blob/main/Public/VoidLink/AI-Pattern-Matching-seperator.md
https://github.com/Ontinue-Runway/threat-intel-iocs/blob/main/Public/VoidLink/AI-Pattern-Matching.md

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidLink - это усовершенствованный фреймворк управление для Linux, используемый для постоянного доступа и эксфильтрация данных в облачных и корпоративных средах. Его имплант, исполняемый файл ELF64 для x86-64, облегчает кражу учетных данных и использует интеллектуальное профилирование среды для оптимизации своих операций на различных платформах, таких как Docker и Kubernetes. Кроме того, он интегрирует функциональные возможности руткит на уровне ядра и использует шифрование AES-256-GCM для безопасной связи, что значительно повышает его возможности скрытности и уклонения.
-----

VoidLink представляет собой сложную команду управление (С2) фреймворк, предназначенный для долговременного доступа и утечки эксфильтрация в облачных и корпоративных средах. Он генерирует двоичные файлы имплантат называют "агента", который облегчает кражи учетных данных и обеспечивает полную скрытность и механизмам эксплуатации. Анализ показывает, что voidlink's имплантат был, вероятно, создан с использованием большого язык модели (магистр) агент кодирования, очевидно, благодаря своей структурированной маркировки, обширное ведение журнала отладки, и документация остатки в скомпилированный двоичный файл, предполагающая минимальное вмешательство человека в его развитии.

Имплантат работает как исполняемый файл Linux ELF64, адаптированный для архитектуры x86-64, и идентифицируется по определенным криптографическим хэш-значениям (SHA1 и SHA256). Его модульная архитектура позволяет различным компонентам функционировать независимо, адаптируясь к целевой среде через фреймворк общего реестра. Такая модульность не только повышает его универсальность, но и оптимизирует его эксплуатационные возможности в соответствии с конкретными условиями развертывания.

Ключевой особенностью VoidLink является интеллектуальное определение среды, которое проводит тщательное профилирование хоста для оценки контекста выполнения, прежде чем активировать его функциональные возможности. Он отлично работает в мультиоблачных средах, активно ориентируясь на учетные данные и собирая их из различных источников у всех основных облачных провайдеров. Возможности имплантата распространяются также на контейнерные среды, выполняя обнаружение во время выполнения на таких платформах, как Docker, Podman и Kubernetes. Это включает в себя использование специальных плагинов escape для нарушения границ контейнера и выполнения атак с повышение привилегий.

Кроме того, VoidLink включает в себя расширенные функциональные возможности руткит на уровне ядра, используя различные методы скрытности, основанные на обнаруженной версии ядра, что делает его особенно эффективным для обхода традиционных мер безопасности и криминалистического обнаружения. Кроме того, его связь управление защищена с помощью шифрования AES-256-GCM, гарантируя, что обмен данными между имплантатом и его операторами остается конфиденциальным.

Таким образом, VoidLink представляет собой комплексную и адаптивную угрозу, которая сочетает в себе возможности постоянного вторжения, эффективное перемещение внутри компании в облачных средах и надежные механизмы сокрытия своих операций от средств обнаружения, что в конечном итоге облегчает обширный сбор учетных записей и эксфильтрация данных.

#ParsedReport #CompletenessLow
10-02-2026

Report Title: Scarcrufts ROKRAT Malware: Recent Changes

https://s2w.inc/en/resource/detail/1011

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Rokrat
Dll_sideloading_technique
Steganography_technique

Victims:
Government sector, Defense sector, Diplomatic sector

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1204.002, T1566.001, T1574.002

IOCs:
File: 3

Soft:
ShellRunas, Dropbox

Algorithms:
ror13, xor, exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ScarCruft, северокорейская APT-группировка, эволюционировала свой метод распространения ROKRAT вредоносное ПО от атак на основе LNK до использования OLE-объектов HWP. Вредоносное ПО теперь встроено в документы HWP, что позволяет ему запускаться через DLL side-loading или выступать в качестве загрузчика для получения дополнительной полезной нагрузки. Общие технические атрибуты включают разрешение API на основе ROR13 и ключ XOR 0x29, что указывает на преемственность подхода ScarCruft's, одновременно повышая риски, связанные с фишинг-файлами HWP.
-----

ScarCruft, поддерживаемая Северной Кореей APT-группировка, недавно адаптировала свои методы распространения ROKRAT вредоносное ПО, перейдя от традиционной цепочки атак на основе LNK к использованию структуры Dropper/Loader на основе HWP OLE. ROKRAT, который находится в обращении с момента своего обнаружения в 2017 году, представляет собой тип вредоносное ПО, которое ScarCruft внедряет для достижения своих вредоносных целей.

Новые методы распространения ROKRAT выявляют случаи, когда вредоносное ПО внедряется в качестве OLE-объекта в документы HWP. Это знаменует собой значительный сдвиг по сравнению с предыдущим подходом, который обычно включал созданные LNK BAT-скрипты, приводящие к выполнению шеллкода. Примечательно, что в первом случае вредоносное ПО, именуемое mpr.dll , был выполнен с помощью DLL side-loading в законное приложение, что иллюстрирует сложный подход к выполнению. Последующее раскрытие информации подтвердило, что этот метод выполнения был последовательным при распространении вредоносное ПО, как было задокументировано в дополнительных случаях.

В другом задокументированном случае вредоносное ПО служило загрузчиком, извлекая и выполняя другой уровень полезной нагрузки из URL-адресов, которые были жестко закодированы в файлах HWP. Хотя метод выполнения в третьем случае относится к версии.dll-файл не был окончательно идентифицирован, предполагается, что он также был включен в качестве OLE-объекта во вредоносный документ HWP, что еще больше усиливает зависимость группы от этого формата для распространения вредоносное ПО.

Общие технические характеристики, общие для всех этих случаев, включают использование разрешения API на основе ROR13 и ключа 0x29 XOR для целей расшифровки, которые согласуются с атрибутами, наблюдавшимися в предыдущих атаках ScarCruft. Это включает в себя общие алгоритмы хэширования API и строки токенов для таких сервисов, как pCloud и Yandex. Эти сходства позволяют предположить, что изменения в структуре атаки ROKRAT's основаны на существующих фреймворк, которые ScarCruft использовал в предыдущих кампаниях.

Учитывая эти достижения в распространении вредоносное ПО через документы HWP, существует повышенный риск, связанный с открытием таких файлов, особенно тех, которые получены с помощью попыток фишинг. Организациям рекомендуется проявлять крайнюю осторожность и применять строгие меры по обнаружению угроз и смягчению их последствий при работе с документами HWP для защиты от меняющейся тактики, используемой ScarCruft в своей деятельности по кибершпионажу.

#ParsedReport #CompletenessMedium
10-02-2026

Phorpiex Phishing Campaign Delivers GLOBAL GROUP Ransomware

https://www.forcepoint.com/blog/x-labs/phorpiex-global-group-ransomware-lnk-phishing

Report completeness: Medium

Threats:
Phorpiex
Global-group-raas
Lolbin_technique
Mamona
Shadow_copies_delete_technique

Victims:
Multiple sectors

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1070.004, T1105, T1204, T1204.002, T1486, T1566.001

IOCs:
File: 8
Path: 2
IP: 2
Url: 2
Hash: 2

Soft:
Windows service, Task Scheduler, Active Directory

Algorithms:
chacha20-poly1305, poly1305

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phorpiex phishing campaign использовала тактику обмана электронной почты для распространения программ-вымогателей GLOBAL GROUP, используя такие темы, как "Ваш документ" и узнаваемые значки Windows, чтобы обмануть пользователей. Программа-вымогатель действует уникальным образом, выполняя все действия локально без подключения к серверу управление, что усложняет обнаружение и анализ. Он использует методы запутывания, включая самоудаление и таймер команды ping, чтобы препятствовать судебно-медицинским расследованиям, используя при этом распространенные типы файлов для первоначальный доступ.
-----

Недавняя масштабная Phorpiex phishing campaign эффективно использовала тактику мошенничества с электронной почтой для распространения программы-Ransomware. от GLOBAL GROUP. В фишинг-письмах часто указывается тема письма "Ваш документ" - знакомая тактика, которая получила распространение в крупномасштабных кампаниях на протяжении 2024 и 2025 годов. Путем включения узнаваемых значков из законных ресурсов Windows, таких как shell32.dll Таким образом, фишинг-вложения можно легко принять за заслуживающие доверия файлы, что уменьшает колебания пользователя и повышает вероятность взаимодействия.

При открытии фишинг-письма пользователю предоставляется вложение с двойным расширением, оформленное так, чтобы оно выглядело как стандартный документ. Этот первоначальный обман обеспечивает плавный ход выполнения в направлении заражения. Что отличает программу-вымогателя GLOBAL GROUP от других, так это ее методология работы, в частности, режим "отключения звука". В отличие от традиционных программ-вымогателей, GLOBAL GROUP не взаимодействует с сервером управление (C2); все действия выполняются локально на скомпрометированном устройстве. Программа-вымогатель генерирует свой ключ шифрования в хост-системе, что сводит на нет необходимость в эксфильтрация данных и обеспечивает выполнение даже в автономном режиме или в среде с воздушным доступом. Эта характеристика значительно повышает способность вредоносное ПО уклоняться от обнаружения, особенно в системах, которые полагаются на мониторинг сетевого трафика на предмет аномального поведения.

Кроме того, программа-вымогатель использует методы запутывания, предназначенные для усложнения криминалистического анализа. Примечательно, что он использует команду ping в качестве таймера перед самоудалением с диска, что еще больше затрудняет расследование после заражения. Кампания подчеркивает непреходящую эффективность давно зарекомендовавших себя семейств вредоносное ПО, таких как Phorpiex When Coupled, в сочетании с простыми, но эффективными стратегиями фишинг. Пользуясь привычными типами файлов, например, ярлыков Windows, злоумышленники могут получить первоначальный доступ с минимальным сопротивлением, что облегчает развертывание значительных нагрузок как Global Group ransomware. Такой подход усиливает необходимость в надежной электронной почте и веб-аналитике для упреждающего блокирования таких попыток фишинг и вредоносной полезной нагрузки.

#ParsedReport #CompletenessLow
10-02-2026

SolarWinds Web Help Desk Exploitation - February2026

https://www.elastic.co/security-labs/solarwinds-whd-exploitation

Report completeness: Low

Threats:
Credential_dumping_technique
Dcsync_technique
Lolbin_technique
Cloudflared_tool

Victims:
Solarwinds web help desk users

CVEs:
CVE-2025-40536 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)

CVE-2025-26399 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (le12.8.6, 12.8.7)

CVE-2025-40551 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- solarwinds web_help_desk (<2026.1)


TTPs:
Tactics: 6
Technics: 5

IOCs:
File: 12
Url: 2
Command: 1

Soft:
Velociraptor, Microsoft Defender, QEMU, Active Directory, Windows Defender, Microsoft Windows Defender, Windows scheduled task

Languages:
powershell, java

Platforms:
x86

Links:
have more...
https://github.com/elastic/detection-rules/blob/main/rules/windows/initial\_access\_potential\_webhelpdesk\_exploit.toml
https://github.com/elastic/detection-rules/blob/main/rules/windows/defense\_evasion\_msiexec\_remote\_payload.toml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
6 февраля 2026, злоумышленники эксплуатировали Ардуино справки веб-сервера столом, положив начало многоэтапные вторжения через Credential dumping и RDP туннели для постоянного доступа. Они использовали авианосца, таких как CVE-2025-26399 для удаленное выполнение кода и занятых "Living-off-the-land" приемы, используя законные инструменты, такие как велоцираптор за выполнение кода и файлов для промежуточного хранения во время использования Windows, запланированных задач на закрепление. Получение учетных данных был нацелен, в частности, с акцентом на базе домена активного каталога (ЗТБ.ДИТ).
-----

6 февраля 2026 года корпорация Майкрософт сообщила о значительном использовании серверов SolarWinds Web Help Desk (WHD), что способствовало многоэтапным вторжениям с использованием программного обеспечения для удаленного мониторинга и управления (RMM). Злоумышленники использовали несколько методов, в том числе credential Dumping и создание туннелей Протокол удаленного рабочего стола (RDP) для поддержания постоянного доступа. Использование потенциально связано с тремя раскрытыми CVE: CVE-2025-26399, уязвимостью для Удаленное Выполнение Кода, не прошедшей проверку подлинности; CVE-2025-40536, которая включает в себя обход контроля безопасности; и CVE-2025-40551, в центре которой находится десериализация ненадежных данных. Несмотря на отчет, на дату публикации в Elastic Security Labs не наблюдалось никаких связанных с этим событий телеметрии.

Первоначальная компрометация с помощью WHD позволила злоумышленник создать интерактивную среду shell. Наблюдения указывают на сильную зависимость от методов "living-off-the-land" (LotL), использующих законные системные утилиты и существующие RMS для облегчения вредоносной деятельности. Как только они настроили RMM agent, злоумышленники приступили к разведка и обнаружению в сети. Были выполнены конкретные команды, нацеленные на Active Directory, что указывает на попытки дальнейшего зондирования сети.

Для уклонения злоумышленники использовали Velociraptor, инструмент судебной экспертизы с открытым исходным кодом, который они использовали не по назначению как для выполнения кода, так и для подготовки файлов. Этот законный инструмент был автоматически установлен с помощью удаленной команды MSI. Чтобы обеспечить закрепление в среде, злоумышленник установил запланированную задачу Windows, что обеспечило им постоянный доступ к системам компрометация.

Важным аспектом этих атак было получение учетных данных, поскольку преступная хакерская группировка осуществляла credential dumping из базы данных домена Active Directory (ntds.dit). Elastic Security внедрила различные средства обнаружения для устранения такого поведения, повышая наглядность этих тактик.

#ParsedReport #CompletenessHigh
10-02-2026

Deep Dive into New XWorm Campaign Utilizing Multiple-Themed Phishing Emails

https://www.fortinet.com/blog/threat-research/deep-dive-into-new-xworm-campaign-utilizing-multiple-themed-phishing-emails

Report completeness: High

Threats:
Xworm_rat
Process_hollowing_technique
Agent_tesla
Remcos_rat
Drakcloud
Deepsea_obfuscator_tool
Hvnc_tool

Victims:
General users, Business users

Industry:
Financial, E-commerce

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1020, T1021, T1027, T1036, T1048.003, T1055.012, T1056.001, T1057, T1059.001, have more...

IOCs:
File: 12
Url: 5
Registry: 1
Domain: 1
Hash: 4

Soft:
NET Framework, Windows registry, Windows Defender

Algorithms:
aes, base64, sha256

Functions:
TaskScheduler-related, Main, RemovePlugins

Win API:
WinHttpConnect, ShellExecuteExW, CreateProcessA, WinHttpOpen, WinHttpOpenRequest, WinHttpSendRequest, WinHttpReceiveResponse, WinHttpQueryDataAvailable, WinHttpReadData, WriteFile, have more...

Win Services:
WebClient

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FortiGuard Labs сообщила об изощренной кампании по фишинг-атаке, в ходе которой был внедрен новый вариант XWorm RAT, использующий вредоносные вложения Excel в фишинг-письмах, созданных на нескольких языках. Атака использует CVE-2018-0802, обеспечивая Удаленное Выполнение Кода и используя модуль .NET без файлов, чтобы избежать обнаружения. После активации XWorm взаимодействует с сервером C2, используя зашифрованный трафик, и обладает широкими возможностями для управления системой, эксфильтрация данных и выполнение атак, что усложняет усилия по обнаружению.
-----

Недавний анализ, проведенный FortiGuard Labs, выявил сложную кампанию фишинг, которая предоставляет новый вариант XWorm RAT, используя различные методы и методологии для выполнения своей полезной нагрузки. Атака начинается с фишинг-сообщений электронной почты, содержащих вредоносные вложения Excel, разработанные для того, чтобы казаться законными с использованием распространенных бизнес-тем. Эти электронные письма составлены на нескольких языках, чтобы максимально повысить их эффективность в отношении различных целей.

В основе этой атаки является использование уязвимости CVE-2018-0802, известной уязвимости в редакторе Microsoft уравнение, которое позволяет удаленное выполнение кода. Успешная эксплуатация позволяет злоумышленнику запустить вредоносный HTA-файл (HTML-приложение). Этот файл использует языки сценариев, такие как VBScript или JScript, чтобы облегчить целей злоумышленника. После этого, услуги инфекции предполагает выполнение fileless .Объем модуля в процессе powershell.exe . Этот модуль использует Process Hollowing, позволяя вредоносное ПО для загрузки в другом процессе, при этом избегая обнаружения.

Как только полезная нагрузка XWorm активирована, она начинает взаимодействовать с сервером командования и контроля (C2). Вредоносное ПО шифрует свой сетевой трафик с помощью алгоритма AES, гарантируя, что его коммуникации скрыты от средств сетевого мониторинга. XWorm RAT оснащен обширной функциональностью, которая включает в себя возможности управления системой, эксфильтрация данных и выполнение атак. В частности, он может извлекать системную информацию, фиксировать нажатия клавиш, управлять различными устройствами ввода и вывода, запускать файлы и даже выполнять DDoS-атаки и программы-вымогатели.

Более того, XWorm предоставляет широкие возможности управления зараженным хостом, позволяя ему перезапускать, завершать работу или обновлять RAT из скомпрометированной системы. Он также может манипулировать системными ресурсами, такими как реестр Windows, запущенные процессы и Системные службы. RAT поддерживает расширенные функциональные возможности, такие как обратный прокси-сервер, ведение журнала нажатий клавиш и связь между злоумышленником и жертвой, что еще больше усложняет усилия по обнаружению и устранению неполадок.

Таким образом, кампания XWorm иллюстрирует современный ландшафт угроз, в котором многоуровневые стратегии фишинг, использование существующих уязвимостей и сложные функциональные возможности вредоносное ПО объединяются для создания высокоэффективного инструментария для кибератакующих. Эта кампания не только подчеркивает важность тактики социальной инженерии, но и настоятельную необходимость постоянной бдительности в отношении таких развивающихся угроз.

#ParsedReport #CompletenessLow
10-02-2026

Socelars Malware Targets Windows Systems to Steal Sensitive Data

https://gbhackers.com/socelars-malware-targets-windows-systems/

Report completeness: Low

Threats:
Socelar
Icmluautil_tool

Victims:
Windows users

ChatGPT TTPs:
do not use without manual check
T1555.003

IOCs:
File: 1
Domain: 1

Soft:
Twitter, WhatsApp, Chrome, Firefox