#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Netskope Threat Labs сообщила о фишинг-кампаниях, использующих инструменты видеоконференцсвязи путем рассылки fake meeting invites, которые побуждают пользователей загружать вредоносное обновление программного обеспечения, замаскированное под законного агента RMM. В этих атаках используются знакомые приложения для повышения доверия, часто с использованием хорошо известных инструментов RMM, таких как LogMeIn и Datto, которые при запуске предоставляют злоумышленникам административный доступ для дальнейших вредоносных действий, включая кражу данных и внедрение программ-вымогателей. Срочность присоединения к собраниям играет решающую роль в снижении бдительности пользователей.
-----

Лаборатория угроз Netskope выявила серию фишинг-кампаний, которые используют инструменты видеоконференцсвязи, такие как Zoom, Microsoft Teams и Google Meet, для распространения вредоносное ПО. Злоумышленники создают срочность, рассылая fake meeting invites, которые предлагают пользователям загрузить предполагаемое обновление программного обеспечения, необходимое для участия в звонке. Эти фишинг-страницы тщательно разработаны таким образом, чтобы максимально походить на законные интерфейсы входа в систему, повышая доверие к ним и обманом заставляя корпоративных пользователей соблюдать требования.

В этих кампаниях пользователи, пытающиеся присоединиться к собранию, сталкиваются с запросом, указывающим на то, что их приложение устарело или несовместимо. Чтобы продолжить, им предлагается загрузить предоставленное обновление, которое на самом деле является вредоносной полезной нагрузкой, замаскированной под агент удаленного мониторинга и управления с цифровой подписью (RMM). Злоумышленники в основном используют хорошо известные инструменты RMM, такие как LogMeIn, Datto и ScreenConnect. Этим агентам отдают предпочтение, поскольку они пользуются доверием и часто предварительно утверждаются в корпоративной среде, позволяя злоумышленникам обходить механизмы безопасности, которые полагаются на обнаружение сигнатур для идентификации вредоносного программного обеспечения.

Полезная нагрузка обычно поставляется в виде исполняемого файла с цифровой подписью или установщика MSI с именами файлов, подобранными так, чтобы они напоминали приложения, с которыми знакомы жертвы, такие как “GoogleMeeet.exe ” или “ZoomWorkspaceinstallersetup.msi”. После запуска эти инструменты RMM предоставляют злоумышленникам административный доступ к системам жертв, обеспечивая постоянный контроль и облегчая дальнейшие вредоносные действия, которые могут включать кражу данных или внедрение Ransomware.

Эта тактика фишинг основана на высокой частоте виртуальных встреч и соответствующей срочности участия. Маскируя вредоносные действия под необходимое обслуживание программного обеспечения, злоумышленники эффективно манипулируют пользователями, заставляя их обходить критические меры безопасности, создавая тем самым значительную угрозу устойчивости организации к Кибербезопасность.

#ParsedReport #CompletenessMedium
13-02-2026

Operation MacroMaze: new APT28 campaign using basic tooling and legit infrastructure

https://lab52.io/blog/operation-macromaze-new-apt28-campaign-using-basic-tooling-and-legit-infrastructure/

Report completeness: Medium

Actors/Campaigns:
Macromaze
Fancy_bear

Threats:
Spear-phishing_technique

Victims:
Government sector, Western europe region, Central europe region

Geo:
Spain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1030, T1036, T1053.005, T1059.003, T1059.005, T1070.004, T1102, T1105, T1204, have more...

IOCs:
Domain: 1
File: 2
Path: 5
Hash: 7
Url: 10

Soft:
Microsoft Word, Windows Scheduled Task, Microsoft Edge

Algorithms:
base64, sha256, exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция MacroMaze, атрибутирован с APT28 (Fancy Bear), нацелена на Западную и Центральную Европу, используя базовые инструменты и документы, содержащие макросы, в качестве "капельниц" для получения доступа к компьютерам жертв. Атака использует скрипты для выполнения эксфильтрация, создавая динамические запланированные задачи Windows, которые выполняют полезную нагрузку с заданными интервалами, сохраняя при этом скрытность с помощью различных методов выполнения в Microsoft Edge. Эксфильтрация происходит с помощью автоматической отправки HTML-формы на удаленный webhook, что обеспечивает минимальное количество обнаруживаемых артефактов и усложняет усилия по обнаружению.
-----

Операция MacroMaze - это кампания, атрибутирован с APT28 (Fancy Bear), активно нацеленная на организации в Западной и Центральной Европе с конца сентября 2025 года по январь 2026 года. Эта операция опирается на базовые инструменты и законную инфраструктуру для выполнения атак и эксфильтрация данных. В кампании используются документы, содержащие различные варианты макросов, предназначенные для использования в качестве механизмов-капельниц для закрепления на машинах-жертвах.

Идентифицированные варианты макросов включают серию документов, которые помещают несколько файлов в каталог %USERPROFILE% — эти файлы состоят из файлов сценариев (VBS, BAT, CMD) и HTML-файлов (HTM, XHTML), используемых в процессе эксфильтрация. Методы атаки начинаются с создания документа-приманки, причем ранние варианты фокусируются на правительственной тематике и используют такие тактики, как изменение невидимости текста и представление поддельных сообщений об ошибках в Microsoft Word, чтобы обманом заставить жертв ознакомиться с вредоносным документом.

Выполнение обеспечивает закрепление за счет динамической генерации запланированных задач Windows. Сценарий, используя компонент CMD, записывает XML-определение на диск для создания задачи и передает аргументы выполнения в VBScript, расположенный в профиле пользователя. Эти задачи предназначены для выполнения полезной нагрузки с запланированными интервалами, при этом наблюдаются различия в частоте выполнения различных версий макроса — от каждых 20 минут до 61 минуты.

Пакетные файлы, связанные с операцией, демонстрируют согласованную схему многоэтапного выполнения. Первоначально они очищают все временные файлы перед отображением полезной нагрузки HTML в кодировке Base64 в Microsoft Edge, которая впоследствии перенаправляется на сайт webhook для загрузки необходимых фрагментов. Эти загруженные компоненты преобразуются в CMD-файл, который затем выполняется, объединяя выходные данные с HTML-шаблонами, содержащими информацию о эксфильтрация. В конечном счете, все отслеживаемые артефакты удаляются после выполнения.

Два примечательных варианта пакетных файлов демонстрируют различные методы поддержания скрытности. Первый вариант работает в безголовом режиме Microsoft Edge, чтобы свести к минимуму видимость пользователя, в то время как второй вариант использует конфигурацию без головы, которая открывает свернутое окно за пределами экрана, используя методы завершения процесса для сохранения контроля над средой при управлении подключениями к конечным точкам, в том числе с недействительными сертификатами.

Эксфильтрация осуществляется с помощью автоматически отправляемой HTML-формы, которая отправляет запрос POST на удаленный веб-узел. Этот метод использует стандартные функции HTML для ненавязчивой передачи данных, гарантируя, что собранные выходные данные команд будут отфильтрованы без ведома пользователя и оставят минимальные обнаруживаемые артефакты. В целом, несмотря на то, что методы, используемые в операции MacroMaze, относительно просты, их сочетание и исполнение создают эффективные оперативные компромиссы, которые усложняют усилия специалистов по Кибербезопасность по обнаружению и атрибуции.

#ParsedReport #CompletenessMedium
14-02-2026

Cloudflare Pages "Continue Read" Redirect Kit Abused for Phishing, Adware, and Malware Delivery

https://malwr-analysis.com/2026/02/15/cloudflare-pages-continue-read-redirect-kit-abused-for-phishing-adware-and-malware-delivery/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Seo_poisoning_technique

Victims:
General internet users

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1189, T1204.001, T1566

IOCs:
Domain: 2
File: 1
Hash: 1
Url: 1

Soft:
Opera

Algorithms:
zip, sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая киберугроза использует страницы Cloudflare для проведения фишинг-рассылки рекламного ПО и доставки вредоносное ПО через инфраструктуру перенаправления, содержащую безобидные на вид статьи, которые привлекают пользователей принудительными запросами. Эта тактика перенаправляет пользователей на вредоносные сайты, увеличивая риск воздействия киберугроза и скрывая при этом истинное предназначение контента. Расширяющееся использование методов перенаправления подчеркивает растущую тенденцию использования законных сервисов для вредоносных действий.
-----

Появилась новая угроза, связанная с использованием страниц Cloudflare для облегчения фишинг-рассылки, распространения рекламного ПО и доставки вредоносное ПО. Атака использует инфраструктуру перенаправления, которая размещает, казалось бы, безобидные статьи, ориентированные на SEO, такие как контент, посвященный состоянию знаменитостей или советам по играм. Эти статьи предназначены для привлечения пользователей и поощрения кликов с помощью принудительного всплывающего окна "Продолжить чтение", которое появляется вскоре после загрузки страницы.

Этот метод эффективно перенаправляет пользователей на вредоносные веб-сайты, где они могут подвергаться различным киберугроза. Всплывающие окна служат для привлечения жертв, удерживая их внимание достаточно долго, чтобы увеличить вероятность взаимодействия с вредоносным контентом. Этот метод не только затрудняет работу пользователей, но и служит целям злоумышленников, скрывая истинные намерения задействованных сайтов.

В ответ на эту новую тактику аналитики подчеркивают необходимость того, чтобы пользователи сохраняли бдительность при навигации по онлайн-контенту, особенно при столкновении с clickbait или принудительными подсказками. Кроме того, инцидент подчеркивает необходимость для владельцев веб-сайтов и платформ внедрять более строгие меры контроля и мониторинга для выявления и смягчения последствий такого злоупотребления законными услугами. Расширяющееся использование инфраструктуры перенаправления в неблаговидных целях сигнализирует о растущей тенденции к веб-атакам, которая требует постоянного внимания и упреждающих мер защиты.

#ParsedReport #CompletenessMedium
14-02-2026

0APT RANSOMWARE: The RealFAKE!

https://theravenfile.com/2026/02/14/0apt-ransomware-the-real-fake/

Report completeness: Medium

Threats:
0apt_syndicate
Promptlock

TTPs:

IOCs:
Url: 3
File: 10
Hash: 7
Domain: 1

Soft:
Linux, NGINX, OpenSSL, Ubuntu

Algorithms:
murmur3, rc4, sha512, xor, salsa20, md5, sha256, chacha20, aes, aes-256, sha1, base64

Functions:
ReadMe

Win API:
RtlGenRandom

Languages:
php, rust

Links:
https://github.com/TheRavenFile/Daily-Hunt/blob/main/0APT%20Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей 0APT, появившаяся в январе 2026 года, работает по модели "программа-вымогатель как услуга", предлагая аффилированным лицам платформу для создания образец своей программы-вымогателя, которая использует метод шифрования Speck, а также имеет версию для Linux. Несмотря на то, что они заявили о сотнях жертв, существует недостаток доказательств, подтверждающих эти заявления, что указывает на зависимость от успеха операций для подтверждения их эффективности. Их тактика свидетельствует о попытке утвердиться в экосистеме программ-вымогателей, несмотря на сомнительную легитимность.
-----

Группа программ-вымогателей 0APT появилась 28 января 2026 года, произведя заметное впечатление в экосистеме программ-вымогателей, заявив о значительном числе жертв, хотя более поздние оценки показали, что эти заявления сомнительны. Несмотря на то, что на их сайте утечки данных, размещенном в домене vanity TOR, было перечислено около 200 жертв, ощутимых доказательств практически не было, поскольку скриншоты компрометация данных не были доступны — резкий контраст с типичным поведением, наблюдаемым в известных группах вымогателей.

Модель "Программа-вымогатель как услуга" (RaaS), по-видимому, реализована этим злоумышленник, который предоставил доступ к панели RaaS. Эта панель позволяет пользователям сгенерировать до пяти образец программы-вымогателя 0APT, что предполагает усилия по набору персонала, направленные на привлечение подлинных партнеров программы-вымогателя. Обсуждения в группе показали, что все возможности программы-вымогателя будут реализованы только после того, как будет заражена действительная жертва, что подчеркивает зависимость от успешного функционирования для демонстрации эффективности вредоносное ПО.

Методы шифрования программ-вымогателей демонстрируют некоторые уникальные аспекты, с особым упоминанием Speck, редкого выбора для шифрования в семействах программ-вымогателей. Такой выбор может указывать на попытку использовать менее распространенные алгоритмы, чтобы избежать обнаружения. Кроме того, был отмечен Linux-вариант программы-вымогателя, что указывает на диверсификацию целевых сред.

Оперативная тактика группы 0APT, раскрытая с помощью их платформы RaaS, предполагает постоянные усилия по созданию профессионального имиджа на рынке программ-вымогателей, но при этом лишена аутентичности, которая обычно характеризует успешных актор-злоумышленников. В целом, расследование 0APT выявляет сложное взаимодействие анонимности в Интернете, потенциальных стратегий вербовки и появляющихся функций вредоносное ПО, хотя законность заявлений группы остается сомнительной. Поскольку образец доступен, рекомендуется проявлять постоянную бдительность в отношении потенциальных компрометация 0APT, чтобы быть в курсе любых событий, связанных с этой угрозой вымогательства.

#ParsedReport #CompletenessLow
13-02-2026

Top Security Incidents of 2025: The Emergence of the ChainedShark APT Group

https://nsfocusglobal.com/top-security-incidents-of-2025-the-emergence-of-the-chainedshark-apt-group/

Report completeness: Low

Actors/Campaigns:
Chainedshark

Threats:
Linkedshell
Grimresource_technique

Industry:
Education

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1566, TA0001

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка ChainedShark, выявленная в 2025 году, разработала последовательную стратегию атак, ориентированных на фишинг, нацеленную на конкретных лиц, с помощью методичных кампаний в 2024 году. Их тактика демонстрирует высокую степень однородности структуры электронной почты и методов социальной инженерии, что указывает на стратегическую психологическую манипуляцию, направленную на максимизацию успеха их атак. Группа постоянно совершенствует свой подход, демонстрируя изощренность и организованные усилия по повышению операционной эффективности, основанные на прошлом опыте.
-----

Появление в 2025 году ChainedShark APT-группировка, занимающаяся распространением устойчивых угроз, ознаменовано эволюцией стратегий атак и последовательностью в нацеливании на конкретных лиц в ходе многочисленных инцидентов, особенно в мае и ноябре 2024 года. Сосредоточившись на одних и тех же жертвах в обеих атаках, ChainedShark демонстрирует методичный подход, который указывает на хорошо спланированную и устойчивую кампанию, а не на оппортунистические удары.

Одной из определяющих особенностей операций ChainedShark's является использование ими фишинг-сообщений электронной почты в качестве основного вектора атаки. Несмотря на то, что в различных фишинг-кампаниях использовалась различная полезная нагрузка, сами электронные письма демонстрировали значительную однородность по своей структуре и содержанию. Это включало сходство в сюжетных линиях, формулировках и общей тактике социальной инженерии, которые в совокупности создают поведенческий отпечаток, используемый группой. Такая последовательность предполагает не только отточенную методологию, но и стратегическое применение психологических манипуляций для повышения вероятности успеха их атак.

Техническое исполнение их кампаний отражает растущую изощренность, они адаптируют и совершенствуют свою тактику, основанную на предыдущих сражениях. Эта эволюционная траектория намекает на организованные усилия по повышению эффективности их операций, потенциально используя циклы обратной связи из тяжелых уроков, извлеченных в ходе предыдущих атак. Аналитики угроз должны сохранять бдительность в отношении показателей компрометация, связанных с ChainedShark, особенно тех, которые связаны с их методами фишинг и нацелен на методы социальной инженерии.

Поскольку ChainedShark продолжает адаптироваться, понимание их постоянной направленности и усовершенствованной тактики будет иметь решающее значение для организаций, пытающихся защититься от этих типов сложных киберугроза. Мониторинг их текущей деятельности и улучшения в выполнении атак будут необходимы специалистам по Кибербезопасность, стремящимся противостоять их влиянию и смягчить потенциальное воздействие на их цифровые активы.

#ParsedReport #CompletenessLow
13-02-2026

Phishing on the Edge of the Web and Mobile Using QR Codes

https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/

Report completeness: Low

Actors/Campaigns:
Unc4221

Threats:
Qshing_technique

Victims:
Financial services, High tech, Wholesale and retail, Telegram users, Mobile app users

Industry:
Education, Entertainment, Retail

Geo:
Ukraine, Ukrainian, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1556, T1566, T1584.006, T1608.002, T1608.004, T1608.005

IOCs:
Url: 23
Domain: 25
Email: 1
File: 5

Soft:
Outlook, Android, Telegram, WeChat, WhatsApp

Wallets:
metamask

Crypto:
bitcoin, ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Растущее использование QR-кодов при бесконтактных транзакциях привело к росту числа фишинг-атак, когда киберпреступники используют средства сокращения URL-адресов для маскировки Вредоносная ссылка, особенно нацеленная на финансовые услуги. Злоумышленники создают динамические QR-коды, которые перенаправляют пользователей на изменяющиеся вредоносные сайты, и используют встроенные ссылки для манипулирования законными функциями приложений в целях мошенничества. Кроме того, QR-коды могут способствовать прямой загрузке вредоносных приложений, повышая риск проникновения вредоносное ПО и кражи данных.
-----

Использование QR-кодов резко возросло, особенно в бесконтактных транзакциях и взаимодействиях, однако эта популярность также способствовала росту числа фишинг-атак. Киберпреступники используют QR-коды, используя средства сокращения URL-адресов для маскировки вредоносных адресатов, побуждая пользователей сканировать ссылки без должной осторожности. Эти укорочители, такие как qrco.de , me-qr.com , и qrs.ly , позволяют злоумышленникам создавать динамические QR-коды, которые могут перенаправлять пользователей на изменяющиеся вредоносные конечные точки, подрывая традиционные меры безопасности.

QR-коды особенно распространены в определенных отраслях, причем наиболее нацелен на финансовые услуги, на долю которых приходится 29% инцидентов с атаками, связанных с компрометация QR-кодов. Примечательно, что многим попыткам фишинг присуща временность; злоумышленники перестают перенаправлять на вредоносные веб-сайты в течение нескольких дней, что затрудняет обнаружение и смягчение последствий.

В дополнение к веб-перенаправлениям злоумышленники используют встроенные ссылки - менее изученный, но не менее опасный вектор угрозы. Эти глубокие ссылки позволяют злоумышленникам манипулировать функциональными возможностями законных приложений, такими как проведение платежных транзакций или отправка вредоносного контента с помощью встроенных коммуникаций. Например, финансовое мошенничество может сопровождаться перебоями в работе платежных приложений, в то время как захват аккаунтов в Социальные сети использует встроенные ссылки для несанкционированного доступа.

Риск усугубляется возможностью QR-кодов облегчать прямую загрузку вредоносных приложений, часто в обход системы безопасности app Store. Эта тактика особенно используется при распространении азартных игр и приложений для казино, где APK-файлы, связанные с помощью QR-кодов, могут содержать вредоносное ПО, предназначенное для извлечения конфиденциальной информации или выполнения несанкционированных действий.

В свете этих угроз обучение пользователей играет жизненно важную роль в борьбе с атаками QR code phishing. Люди должны быть осведомлены о том, что QR-коды могут использоваться для выполнения широкого спектра действий, выходящих за рамки простого открытия веб-сайтов, и при сканировании и взаимодействии с ними необходима должная осмотрительность. Меняющаяся тактика киберпреступников подчеркивает необходимость постоянной бдительности и осведомленности пользователей о безопасности для противодействия этим изощренным схемам фишинг.

#ParsedReport #CompletenessLow
11-02-2026

AgreeToSteal: The First Malicious Outlook Add-In Leads to 4,000 Stolen Credentials

https://www.koi.ai/blog/agreetosteal-the-first-malicious-outlook-add-in-leads-to-4-000-stolen-credentials

Report completeness: Low

Actors/Campaigns:
Agreetosteal
Clawhavoc

Victims:
Email users, Bank customers, Internet service provider customers, Webmail users

Industry:
Telco, E-commerce, Financial

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1566.002, T1583.001

IOCs:
Domain: 1

Soft:
Outlook, Microsoft Outlook, Microsoft Office, Chrome, Graph API, Telegram

Functions:
ReadWriteItem, JavaScript, fetch

Languages:
typescript, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Надстройка Outlook "AgreeToSteal" использовала уязвимости Надстройки Office, что привело к краже около 4000 учетные данные пользователя с помощью метода динамической загрузки контента с сервера. Изначально это был законный инструмент планирования, но он был взломан, чтобы представить поддельную страницу входа в Microsoft, собирающую не только учетные данные электронной почты, но и конфиденциальную финансовую информацию с помощью сложного набора для фишинг-атак. Этот инцидент выявил существенные структурные недостатки в безопасности надстройки Office, поскольку традиционные меры аудита не в состоянии устранить возникающие угрозы, создаваемые такими вредоносными преобразованиями.
-----

Появление надстройки Outlook "AgreeToSteal" выявило значительные уязвимости в работе Надстройки Office, которые привели к краже около 4000 учетные данные пользователей. Вредоносное поведение надстройки атрибутирован с ее методом динамической загрузки содержимого с сервера разработчика каждый раз, когда оно открывается в Outlook. Эта модель сопряжена со значительными рисками, поскольку, как только пользователь взаимодействует с надстройкой, ему открывается обманчивая страница входа в систему Microsoft вместо предполагаемого интерфейса планирования собраний.

AgreeTo возник как законный инструмент планирования с открытым исходным кодом, с активной базой пользователей и хорошо поддерживаемым репозиторием GitHub, демонстрирующий, что он был создан кем-то, изначально намеревавшимся построить бизнес. Однако этот инструмент был захвачен в злонамеренных целях. Злоумышленник использовал четырехстраничный фишинг-набор, состоящий из поддельной страницы входа в систему, страницы сбора паролей, скрипта эксфильтрация и механизма перенаправления.

Масштабы операции вызывают особую тревогу, поскольку один и тот же злоумышленник связан по меньшей мере с дюжиной различных наборов для фишинг-атак, каждый из которых имитирует различные авторитетные бренды, включая канадских интернет-провайдеров и банки. Компрометация данных включает в себя не только учетные данные электронной почты, но и конфиденциальную информацию, такую как номера кредитных карт, CVV, PIN-коды и ответы на вопросы банковской безопасности. Это указывает на хорошо организованную фишинг-операцию, способную перехватывать финансовые транзакции с помощью таких методов, как электронный перевод Interac.

Этот случай подчеркивает критический структурный недостаток в том, как разрабатывались и отслеживались Надстройки Office, поскольку они являются динамическими объектами, которые могут изменять содержимое без каких-либо процессов информирования, предупреждающих пользователей или аудиторов во время их вредоносного преобразования. Это вызывает вопросы об адекватности применяемых мер безопасности, поскольку традиционных проверок на определенный момент времени недостаточно для защиты пользователей от возникающих угроз, которые используют законные приложения в качестве механизмов доставки. Инцидент иллюстрирует насущную потребность в усовершенствованных системах мониторинга, способных обнаруживать переход от доброкачественного к вредоносному поведению в зависимостях программного обеспечения.

#ParsedReport #CompletenessHigh
12-02-2026

How ClickFix Opens the Door to Stealthy StealC Information Stealer

https://www.levelblue.com/blogs/spiderlabs-blog/how-clickfix-opens-the-door-to-stealthy-stealc-information-stealer

Report completeness: High

Threats:
Clickfix_technique
Stealc
Process_injection_technique
Process_hollowing_technique
Donut

Victims:
Windows users, Hospitality

Industry:
Entertainment

Geo:
Vietnamese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1027.009, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...

IOCs:
Url: 6
File: 14
IP: 4
Hash: 2
Path: 3
Registry: 2
Command: 1

Soft:
Steam, Outlook, Microsoft Visual C++, Windows service, Chrome, Opera, Opera GX, Vivaldi, Chromium, Firefox, have more...

Wallets:
metamask, coinbase, atomicwallet, electrum, exodus_wallet, bitcoincore

Crypto:
ethereum, monero

Algorithms:
sha256, rc4, aes-gcm, base64

Functions:
DPAPI

Win API:
CryptUnprotectData, RegQueryValueExA, VirtualAlloc, CreateThread

Languages:
powershell, python, javascript, php

Platforms:
intel, x64

Links:
https://github.com/drole/StealC-C2-Traffic-Decryption-Tool