#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно обнаруженный пакет duer-js в NPM представляет собой сложное вредоносное ПО, идентифицированное как "bada stealer", нацеленное на системы Windows. После выполнения он завершает процессы браузера для сбора конфиденциальной информации, такой как пароли и данные кредитной карты, которые он извлекает через Discord webhook или Gofile. Кроме того, он загружает дополнительную полезную нагрузку, предназначенную для взлома настольного приложения Discord, используя передовые методы обфускации для перехвата конфиденциального сетевого трафика.
-----

Недавнее обнаружение вредоносного пакета с именем duer-js в NPM пользователем, идентифицированным как luizaearlyx, вызвало серьезную тревогу. Это изощренное вредоносное ПО, которое самоидентифицируется как "bada stealer", представляет собой усовершенствованный похититель информации, предназначенный для систем Windows. Примечательно, что пакет включает в себя меры защиты от несанкционированного доступа, которые усложняют анализ для исследователей, пытающихся расшифровать или изменить его содержимое.

После запуска вредоносное ПО инициирует процесс, завершая активные процессы браузера и Telegram, чтобы подготовиться к краже данных. Он систематически собирает конфиденциальную информацию, такую как пароли пользователей, данные кредитной карты и данные автозаполнения. Извлеченная информация хранится в файлах с именами Passwords.txt , Cards.txt , и Autofills.txt в пределах указанного пути "copyright" перед удалением. Основным методом эксфильтрация осуществляется через веб-интерфейс Discord, с альтернативным методом резервного копирования, использующим файлообменный сервис Gofile, где вредоносное ПО динамически извлекает адреса серверов для загрузки украденных данных.

Кроме того, исходная полезная нагрузка предназначена для загрузки вторичной полезной нагрузки по сильно запутанной ссылке. Этот второй этап вредоносное ПО не менее сложен и использует такие методы, как экранирование URI и динамическое вычисление для запутывания строк. Его основная функция заключается в захвате электронной среды настольного приложения Discord. Подключив отладчик, он способен перехватывать и фиксировать конфиденциальный сетевой трафик в режиме реального времени.

Что касается исправления, пострадавшим пользователям рекомендуется удалить пакет duer-js и предпринять шаги по отзыву и замене любых учетные данные, которые были скомпрометированы при компрометация. Это включает в себя полное удаление Discord из их систем, удаление связанных папок и обеспечение очистки связанных данных из их среды. Пользователи должны дополнительно аннулировать все украденные токены Discord, включить двухфакторную аутентификацию (2FA) и удалить любые потенциально компрометация приложений из своих процессов запуска.

Несмотря на относительно небольшое количество загрузок - 528, уникальные методы обфускации и структура с несколькими полезными нагрузками этого вредоносное ПО подчеркивают его потенциал для значительного воздействие на затронутых лиц. Присутствие пакета на GitHub более двух лет позволяет предположить, что он, возможно, способствовал другим попыткам заражения до недавних находок, что вызывает опасения по поводу личности и целей злоумышленника, стоящего за пользователем luizaearlyx.

#ParsedReport #CompletenessLow
12-02-2026

The macOS Stealer Gold Rush: How Cybercriminals Are Racing to Exploit Apples Ecosystem

https://flare.io/learn/resources/blog/the-macos-stealer-gold-rush-how-cybercriminals-are-racing-to-exploit-apples-ecosystem

Report completeness: Low

Actors/Campaigns:
Valhall88 (motivation: cyber_criminal)

Threats:
Macc_stealer
Clearfake
Amos_stealer
Etherhiding_technique
Clickfix_technique
Fakecop

Victims:
Cryptocurrency platforms, Wordpress ecosystem, Mac users

Industry:
Education, E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1056, T1059.004, T1083, T1102, T1105, T1190, T1204, T1553.002, T1555.001, T1555.003, have more...

Soft:
macOS, Chrome, Gatekeeper, WordPress, ChatGPT, Mac OS, OpenAI, LastPass

Wallets:
exodus_wallet, trezor

Languages:
swift, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт киберугроза для macOS меняется, поскольку появляется все больше изощренных стиллер, нацеленных на пользовательские данные, включая пароли и начальные фразы для криптовалют. Заметная активность группы UNC5142 подчеркивает использование компрометация сайтов WordPress для развертывания JavaScript в целях управление и продвинутые методы фишинг-атаки, нацеленные на определенные криптовалютные расширения Chrome. Эти угрозы основаны на ошибочном представлении о том, что устройства macOS невосприимчивы к вредоносное ПО, что требует повышенной осведомленности и обнаружения тактик атак, специфичных для macOS.
-----

Ландшафт киберугроза, нацеленных на macOS, резко изменился, поскольку все большее число актор-злоумышленников разрабатывают сложные стиллер-программы, специально разработанные для экосистемы Apple. Это знаменует собой значительный отход от прошлого, когда пользователи Mac сохраняли ложное чувство защищенности от вредоносное ПО, которое в основном поражало платформы Windows. В настоящее время процветающий подпольный рынок ориентирован на стиллер macOS, который может извлекать исчерпывающие пользовательские данные, включая пароли браузера и начальные фразы криптовалютного кошелька, с помощью передовых методов, а не полагаться на старые, грубые методы.

Примечательным примером в рамках этого меняющегося ландшафта угроз является группа, идентифицированная как UNC5142, которая инновационно использовала надежные платформы для усиления своих атак. Они использовали сайты WordPress, подвергшиеся компрометация, для внедрения JavaScript, который взаимодействует со смарт-контрактами блокчейна, что позволяет им создавать инфраструктуру управление. Этот подход демонстрирует тактическую эволюцию, при которой злоумышленники используют врожденное доверие к законным платформам, усложняя усилия по обнаружению и реагированию.

Акцент на краже криптовалют стал движущей силой таргетинга на устройства macOS. Стиллер разработан специально для атаки на 103 расширения Chrome, связанных с криптовалютой, используя тактику фишинг, имитирующую интерфейсы реальных кошельков. Например, фишинг-вариант, нацеленный на Trezor, уведомляет пользователей в режиме реального времени о неправильно введенных начальных фразах, усиливая обман. Другие варианты, такие как те, которые нацелены на Exodus, позволяют эксфильтрация начальных фраз сразу после ввода пароля, не представляя непосредственных признаков компрометация для пользователя.

По мере того как эти угрозы набирают обороты, устаревшее представление о том, что "компьютеры Mac не заражаются вирусами", представляет существенный риск. Организациям, использующим macOS, настоятельно рекомендуется усилить свою защиту, внедрив возможности обнаружения, которые определяют тактики, методы и процедуры, специфичные для macOS (TTP). Они могут включать мониторинг неподписанных приложений, запрашивающих конфиденциальные пароли, необычные действия терминала и неожиданные подключения к узлам блокчейна, которые не имеют законных финансовых целей. Кроме того, организациям следует проявлять бдительность в отношении закономерностей, указывающих на эксфильтрация данных, нацеленных на важную хранимую информацию, такую как Связка ключей и данные браузера. Такой упреждающий подход необходим для противодействия продвинутому и адаптированному характеру современных угроз для macOS.

#ParsedReport #CompletenessHigh
12-02-2026

Tenant from Hell: Prometei's Unauthorized Stay in Your Windows Server

https://www.esentire.com/blog/tenant-from-hell-prometeis-unauthorized-stay-in-your-windows-server

Report completeness: High

Threats:
Prometei_botnet
Credential_harvesting_technique
Lolbin_technique
Nop_sled_technique
Miwalk
Mimikatz_tool

Victims:
Construction industry, Windows server users

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1059.003, T1059.003, T1071.001, T1078.002, T1105, T1140, T1543.003

IOCs:
Path: 8
File: 7
IP: 3
Hash: 314
Registry: 1
Command: 5
Coin: 1
Url: 3

Soft:
Windows Service, Windows Firewall, Microsoft Defender, Windows Registry, Remote Desktop services, Windows Defender Application Control

Crypto:
monero

Algorithms:
rsa-1024, lznt1, base64, sha256, rc4, xor

Functions:
bytearray, Sleep, LZNT1_Decompress

Win API:
NtQueryInformationProcess, GetSystemTimes, CoInitializeEx, CoCreateInstance, gethostname, GetComputerNameA, GetComputerNameExA, GetSystemInfo, Decompress, EvtSubscribe, have more...

Languages:
python, powershell, php

Platforms:
x64

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/Prometei/Prometei\_Unpacker.py
have more...
https://github.com/eSentire/iocs/blob/main/Prometei/Prometei\_Additional\_Module\_Decrypter.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 14, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года была выявлена атака, в ходе которой вредоносное ПО Prometei было внедрено на сервер Windows с помощью учетные данные с компрометация RDP. Злоумышленники выполнили команды, облегчающие установку вредоносное ПО, которое использует шифр на основе скользящего ключа XOR для расшифровки своих компонентов. Prometei устанавливает связь с сервером C2 и может загружать дополнительные модули после выполнения, используя пакетный скрипт, хранящийся в определенном месте зараженной системы.
-----

В январе 2026 года была обнаружена вредоносная команда, пытавшаяся развернуть вредоносное ПО Prometei на сервере Windows, используемом заказчиком в строительном секторе. Первоначальный доступ для этой атаки, по-видимому, был получен путем использования общеизвестных учетные данные или данных по умолчанию, специально предназначенных для служб Протокол удаленного рабочего стола (RDP). После успешной компрометация учетной записи удаленного рабочего стола злоумышленники выполнили команды с помощью командных подсказок с повышенными правами, инициировав процесс развертывания вредоносное ПО.

Цепочка атак указывает на то, что после получения доступа через учетную запись RDP с компрометация злоумышленники выполнили определенную команду командной строки/PowerShell, которая облегчила загрузку и выполнение Prometei. Основная программа вредоносного ПО Prometei расположена в разделе .stub его кода и использует шифр на основе скользящего ключа XOR для расшифровки его основных компонентов, в частности разделов .text и .data. Процесс расшифровки начинается с чтения файла ключа XOR, расположенного по адресу C:\Windows\mshlpda32.dll .

Во время его установки на зараженный система, Prometei устанавливает связь с управляющим сервером (С2), но работает только эффективно, как служба Windows. Такое поведение усложняет динамического анализа, так как требует отладчика к после инициализации службы с помощью Диспетчера управления службами (SCM). Вредоносное ПО взаимодействует со своим сервером C2 по протоколу HTTP с конкретным сервером C2, идентифицированным как 103.176.111.176, зарегистрированным под номером 63737, который связан с Vietserver Services Technology Company Limited.

Дальнейший анализ показал, что Prometei способен загружать дополнительные модули после выполнения. Этот процесс делается с помощью пакетного скрипта, сгенерированного вредоносное ПО, расположенном в "C:\Windows\dell\walker_updater.cmd". Исследователи обеспечены правило Яра, чтобы облегчить обнаружение Prometei полезной нагрузки, и отметил наличие инструментов анализа в виде двух Python сценарии разработаны eSentire, чтобы помочь в дальнейшем расследовании этого вредоносное ПО и связанных модулей.

#ParsedReport #CompletenessMedium
12-02-2026

OysterLoader Unmasked: The Multi-Stage Evasion Loader

https://blog.sekoia.io/oysterloader-unmasked-the-multi-stage-evasion-loader/

Report completeness: Medium

Actors/Campaigns:
Rhysida
Fin12

Threats:
Oyster_loader
Oyster
Rhysida
Vidar_stealer
Gootkit
Textshell
Api_hammering_technique
Steganography_technique
Dll_hijacking_technique

Victims:
Software users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1027.007, T1055, T1071.001, T1106, T1132, T1553.006, T1573, T1620, have more...

IOCs:
File: 14
Command: 1
Path: 1
IP: 3
Url: 6

Soft:
WinSCP, xz-utils, task scheduler, Mozilla Firefox, Node.js, Microsoft ASP.NET Core, Microsoft Visual C++

Algorithms:
xor, base64, rc4, lzma

Functions:
GDI, DLLs, DLL

Win API:
OaBuildVersion, IsDebuggerPresent, NtAllocateVirtualMemory, RtlInitUnicodeString, LdrLoadDll, LoadLibrary, GetProcAddress, ExitProcess, VirtualProtect, ShowWindow, have more...

Win Services:
bits

Languages:
python

Platforms:
x64

Links:
https://gist.github.com/lbpierre/73efce1af55792af7644161da9ed1290
have more...
https://gist.github.com/lbpierre/282e2c40bfed6352e750736f35801b9b

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OysterLoader, также известный как Broomstick или CleanUp, представляет собой многоступенчатый загрузчик вредоносное ПО, впервые обнаруженный в июне 2024 года, в основном распространяющий полезную нагрузку через веб-сайты с контрафактным ИТ-программным обеспечением. Его четырехэтапная работа включает в себя обширную обфускацию, Динамическое разрешение API и связь с серверами управления по протоколу HTTPS с поддельными заголовками. На заключительном этапе используется файл PE32+ для дальнейшего сокрытия вредоносных действий, что указывает на высокоадаптивную инфраструктуру, способную распространять множество типов вредоносное ПО, включая Rhysida ransomware и Vidar.
-----

OysterLoader, также известный как Broomstick или CleanUp, представляет собой разработанное на C++ вредоносное ПО, идентифицированное как многоступенчатый загрузчик, о котором впервые сообщалось в июне 2024 года. В основном он распространяется через поддельные веб-сайты, имитирующие законное ИТ-программное обеспечение, в частности такие приложения, как PuTTY и WinSCP. Основная функция вредоносное ПО заключается в том, чтобы выполнять функцию загрузчика, облегчая развертывание дальнейших угроз, в частности Ransomware.

Вредоносный процесс состоит из четырех отдельных этапов. На первом этапе используется упаковщик, идентифицируемый как TextShell, который запутывает следующий шаг загрузки. Эта первоначальная функция умело маскирует свои действия, широко вызывая законные API-интерфейсы, - метод, разработанный для того, чтобы избежать обнаружения, смешивая вредоносное поведение с обычными действиями системы. Такое Динамическое разрешение API, часто использующее пользовательские алгоритмы хэширования, позволяет вредоносное ПО маскировать свою реальную функциональность и усложнять обнаружение сигнатур.

На втором этапе вредоносное ПО выполняет шелл-код, который критически зависит от предыдущих шагов и требует знания ключевых функций для облегчения последующих процессов. Третий этап функционирует как загрузчик, выполняя дополнительные Системные проверки и участвуя в предварительных взаимодействиях с серверами командования и контроля (C2). Примечательно, что при подготовке к установлению связи C2 он выполняет проверки для подтверждения настроек системного языка, хотя некоторые функции, потенциально предназначенные для отладки, остаются неактивными.

Переход на связь C2 характеризуется запросами HTTPS, которые выполняются для маскировки действий вредоносное ПО, используя поддельные заголовки, чтобы слиться со стандартным веб-трафиком. Первоначальное сообщение, отправленное на сервер C2, служит для регистрации и содержит уникальные идентификаторы бота и его кампании. Связь осуществляется по незашифрованному протоколу HTTP, циклически проходя через жестко закодированные серверы C2, оснащенные резервным механизмом, который еще больше повышает его устойчивость к обнаружению.

Заключительный этап, известный как COPYING3, включает в себя выполнение допустимого файла PE32+, который продолжает шаблоны обфускации вредоносное ПО. При взаимодействии С2, кодирование используется для обмена сообщениями динамично смены, гарантируя, что операции вредоносное ПО вредоносных программ остаются скрыты, даже в последующих сообщениях.

OysterLoader демонстрирует сложную инфраструктуру, поддерживающую его работу, которая характеризуется многоуровневой настройкой сервера и постоянными обновлениями его коммуникационных протоколов. Позволяя распространять различные типы вредоносное ПО, включая товарные угрозы, такие как Vidar, это увековечивает сложный и эволюционирующий ландшафт угроз, который, по прогнозам, сохранится до начала 2026 года.

#ParsedReport #CompletenessMedium
12-02-2026

Quick analysis of Netdragon, a botnet for Feiniu NAS

https://blog.xlab.qianxin.com/netdragon/

Report completeness: Medium

Threats:
Netdragon

Victims:
Network attached storage devices, Feiniu nas users

Geo:
Japan, China, Tokyo, Australia, Singapore

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1071.001, T1102, T1105, T1190, T1499

IOCs:
Domain: 3
File: 2
Hash: 3
IP: 1

Soft:
systemd, Telegram

Algorithms:
chacha20, xor

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сетевой накопитель Feiniu (fnOS) был подвергнут компрометация вредоносной программой Netdragon, использующей нераскрытую уязвимость для внедрения вредоносных программ через открытые интернет-сервисы. Netdragon обеспечивает удаленное выполнение команд и DDoS-атаки, превращая зараженные устройства в ботнет. Он имеет HTTP-бэкдор на порту 57132 и взаимодействует с серверами управление, отображая индивидуальные стратегии атак, которые адаптируются к среде fnOS, сохраняя при этом закрепление на устройствах компрометация.
-----

Сетевой накопитель Feiniu (fnOS) недавно был подвергнут компрометация в результате серьезного инцидента с безопасностью, связанного с Netdragon вредоносное ПО, которое использует нераскрытую уязвимость в системе NAS Feiniu. Это вредоносное ПО позволяет злоумышленникам внедрять вредоносные программы на устройства, получая доступ через открытые сервисы, подключенные к Интернету. Netdragon, идентифицированный и отслеживаемый с октября 2024 года, способен выполнять распределенные атаки типа "отказ в обслуживании" (DDoS) и удаленное выполнение команд, эффективно превращая зараженные устройства NAS в компоненты ботнет, используемые для крупномасштабных атак.

Вредоносное ПО использует бэкдор-интерфейс HTTP, позволяющий злоумышленникам удаленно получать доступ к зараженным устройствам и управлять ими. Инструкции по инициированию DDoS-атак передаются преимущественно через каналы Telegram-ботов и HTTP API, что свидетельствует о последовательной схеме в методологии работы netdragon. Долгосрочный мониторинг показал, что образец этого семейства вредоносное ПО является модульным и включает в себя загрузочный компонент, отвечающий за первоначальное функционирование и анализ окружающей среды, наряду с компонентом DDoS, который выполняет конкретные команды атаки.

Анализ показывает, что netdragon не является обобщенным вредоносное ПО, а скорее демонстрирует характеристики, адаптированные к среде fnOS, адаптируясь к архитектуре и конфигурации системы. Такой таргетинг предполагает весьма специфическую стратегию атаки, ориентированную на уязвимости в устройствах Feiniu. Несмотря на решения и скрипты, выпущенные пользователями, и официальный ответ по борьбе с вредоносное ПО, 31 января было зарегистрировано обновление компонентов ботнет, что указывает на адаптивный характер вредоносное ПО в противодействии усилиям по смягчению последствий.

HTTP-бэкдор прослушивает локальный порт 57132, способный выполнять произвольные инструкции. Компоненты DDoS предназначены не только для выполнения атак, но и для поддержания закрепление на устройстве компрометация. Кроме того, вредоносное ПО может подключаться к различным серверам управление (C2) с жестко запрограммированными параметрами, такими как IP-адрес 45.95.*.* или домен, указанный как aura.kabot.отделение интенсивной терапии, облегчающее контроль над зараженными устройствами NAS. Эти данные свидетельствуют о сложной операции, направленной как на уклонение от обнаружения, так и на максимизацию своего атакующего потенциала.

#ParsedReport #CompletenessLow
12-02-2026

Inside the Ecosystem, Operations: DragonForce

https://medium.com/s2wblog/inside-the-ecosystem-operations-dragonforce-11048db4cbb0

Report completeness: Low

Actors/Campaigns:
Dragonforce
0ktapus

Threats:
Dragonforce_ransomware
Eldorado_ransomware
Ransomhub
Devman
Lockbit
Conti
Ransombay_raas
Qilin_ransomware
Byovd_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1068, T1486, T1583.001, T1585.003, T1587.001

Soft:
Linux, ESXi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, группа программ-вымогателей, действующая по модели "Программа-вымогатель как услуга" с декабря 2023 года, атаковала 363 компании, причем активность возросла с 2025 года. Их программа-вымогатель основана на утечке исходного кода LockBit 3.0 и Conti, включая версии как для Windows, так и для Linux, которые используют метод BYOVD для завершения процесса с расширенными функциями для систем ESXi. Их передовая инфраструктура поддерживает управление клиентами и генерацию сборок, а изменения в правилах шифрования и метаданных указывают на эволюцию их операционных возможностей.
-----

DragonForce - это группа программ-вымогателей, которая появилась в декабре 2023 года и работает по модели "Программа-вымогатель как услуга" (RaaS). Группа взяла на себя ответственность за атаки на 363 компании в период с декабря 2023 по январь 2026 года, при этом с 2025 года отмечается значительный рост активности. В отличие от типичных операций RaaS, DragonForce отличается тем, что предлагает широкий спектр услуг, которые включают в себя нацеливание на конкурирующие группы и формирование альянсов, тем самым устанавливая более сложную операционную парадигму в экосистеме программ-вымогателей.

Программа-вымогатель группы основана на утечке LockBit 3.0 (также известной как LockBit Black) и исходном коде Conti. По состоянию на начало 2026 года конструктор, основанный на LockBit 3.0, больше не доступен, что указывает на эволюцию их операционных возможностей. DragonForce использует различные форумы Dark Web, такие как BreachForums, RAMP и Exploit, для утечки украденных данных и вербовки аффилированных лиц и пентестеров. Группа продвигает разнообразный набор услуг, включая расширенный анализ данных и звонки о домогательствах, которые призваны отличить ее от других группировок программ-вымогателей.

Детальное изучение партнерской инфраструктуры выявило расширенную панель с возможностями управления клиентами, генерацией сборок и инструментами координации. Программа-вымогатель работает как на платформах Windows, так и на Linux, в частности, нацелена на системы ESXi, NAS и RHEL. Версия для Windows использует метод BYOVD для завершения процесса и поддерживает основные функции шифрования, за исключением структурных изменений в метаданных и макете конфигурации. В отличие от этого, вариант Linux реализует дополнительные функции, такие как обработка завершения работы виртуальной машины для версии ESXi, сохраняя при этом идентичные основные процессы во всех версиях.

Ключевые обновления в конфигурации программы-вымогателя включают добавление поля "encryption_rules" и изменения в структуре метаданных, которые увеличили размер, связанный с зашифрованными файлами. Процедура расшифровки использует алгоритм ChaCha8 и остается неизменной во всех сборках. Стратегический подход DragonForce's продолжает развиваться, предполагая изменение целей, поскольку компания стремится расширить свое операционное присутствие, используя как отношения сотрудничества, так и тактику противостояния конкурирующим группам вымогателей.

#ParsedReport #CompletenessLow
12-02-2026

Carding-as-a-Service: The Underground Market of Stolen Cards

https://www.rapid7.com/blog/post/tr-carding-as-a-service-stolen-credit-cards-fraud

Report completeness: Low

Actors/Campaigns:
Dragonfish

Threats:
Majik_pos
Blackpos
Chrysalis

Victims:
Banking and payments industry, Consumers, Organizations, Merchants

Industry:
E-commerce, Petroleum, Iot, Financial

Geo:
France, Peru, China, Norway, Canada, American, Russian, United kingdom

ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.003, T1056.004, T1059.007, T1557, T1566

IOCs:
Domain: 3

Wallets:
zcash

Crypto:
bitcoin, litecoin

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кардинг-экономика создала структурированный рынок украденной информации о кредитных картах, предлагающий такие услуги, как "CaaS", который включает в себя CVV, fullz и dumps. Злоумышленники все чаще используют фишинг и инструменты PhaaS для получения данных кредитных карт, в то время как варианты вредоносное ПО нацелены на POS-системы, захватывая не только информацию о картах, но и личные данные. Передовые методы взлома, такие как подделка EMV-карт, находятся на подъеме, а специализированные подпольные платформы облегчают эту незаконную деятельность и усложняют ландшафт угроз для организаций.
-----

Кардинговая экономика превратилась в структурированный подпольный рынок краденых данных кредитных карт, несмотря на активные усилия по борьбе с мошенничеством с кредитными картами. Этот незаконный рынок, часто называемый "кардинг как услуга" (CaaS), состоит из различных предложений, включая номера кредитных карт, личную информацию и исходные данные для клонирования карт, известные как "дампы". Эти рынки, работающие аналогично законным онлайн—платформам, облегчают продажу нескольких типов финансовой информации, полученной мошенническим путем, в просторечии называемой "CVV", "fullz" и "dumps", каждая из которых содержит различные уровни детализации о владельце карты.

Фишинг остается распространенным методом получения украденной информации о кредитных картах, при этом доступно все большее число инструментов фишинг как услуга (PhaaS), что упрощает проведение фишинг-кампаний для злоумышленников. Эти платформы обеспечивают инфраструктуру и дизайн, позволяющие преступникам легко заманивать жертв в ловушку, заставляя их раскрывать конфиденциальную личную финансовую информацию. Также эволюционировали инструменты физического взлома, такие как "шимминг", нацеленный на современные карты с чипом EMV. Этот сдвиг свидетельствует о переходе от традиционных методов "скимминга" к использованию более сложных технологий для извлечения данных карт из платежных устройств и банкоматов.

Вредоносное ПО еще больше усложнило ландшафт угроз благодаря разработке вариантов, предназначенных для проникновения в системы и сети торговых точек (POS). Примечательно, что вредоносное ПО-стиллер позволяет собирать не только данные кредитной карты, но и информацию, позволяющую установить личность (PII). Кроме того, криминальные форумы делятся методами веб-эксплуатации, включая образец кода для межсайтового скриптинга (XSS), что позволяет злоумышленникам размещать вредоносные скрипты на платежных страницах для получения конфиденциальной информации непосредственно от пользователей.

На подпольном рынке кардинга есть несколько известных платформ, таких как "Findsome", "UltimateShop" и "Brian's Club", которые занимаются продажей CVV и fullz по различным ценам, основанным на предполагаемом качестве данных. В то время как масштаб мошенничества с магнитными полосами уменьшается из-за развития технологии EMV, локализованные операции, включающие шимминг и захват пин-кода, могут сохраниться, что позволяет предположить, что в будущем кардинг станет менее глобальным, но более специализированным и изощренным.

По мере того как экономика кардинга процветает, ее последствия выходят за рамки финансовых потерь, затрагивая целостность личных данных и приводя к долгосрочным последствиям для жертв. Перед организациями стоит задача внедрить надежные стратегии не только для управления отдельными случаями мошенничества, но и для нарушения общей supply chain этой криминальной экономики. Одних только традиционных мер безопасности недостаточно, и постоянный мониторинг активности в Dark Web и упреждающее реагирование на возникающие угрозы имеют решающее значение для снижения рисков, связанных с кражей кредитных карт, в этой меняющейся среде.