#ParsedReport #CompletenessMedium
14-02-2026

Cloudflare Pages "Continue Read" Redirect Kit Abused for Phishing, Adware, and Malware Delivery

https://malwr-analysis.com/2026/02/15/cloudflare-pages-continue-read-redirect-kit-abused-for-phishing-adware-and-malware-delivery/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Seo_poisoning_technique

Victims:
General internet users

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1189, T1204.001, T1566

IOCs:
Domain: 2
File: 1
Hash: 1
Url: 1

Soft:
Opera

Algorithms:
zip, sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая киберугроза использует страницы Cloudflare для проведения фишинг-рассылки рекламного ПО и доставки вредоносное ПО через инфраструктуру перенаправления, содержащую безобидные на вид статьи, которые привлекают пользователей принудительными запросами. Эта тактика перенаправляет пользователей на вредоносные сайты, увеличивая риск воздействия киберугроза и скрывая при этом истинное предназначение контента. Расширяющееся использование методов перенаправления подчеркивает растущую тенденцию использования законных сервисов для вредоносных действий.
-----

Появилась новая угроза, связанная с использованием страниц Cloudflare для облегчения фишинг-рассылки, распространения рекламного ПО и доставки вредоносное ПО. Атака использует инфраструктуру перенаправления, которая размещает, казалось бы, безобидные статьи, ориентированные на SEO, такие как контент, посвященный состоянию знаменитостей или советам по играм. Эти статьи предназначены для привлечения пользователей и поощрения кликов с помощью принудительного всплывающего окна "Продолжить чтение", которое появляется вскоре после загрузки страницы.

Этот метод эффективно перенаправляет пользователей на вредоносные веб-сайты, где они могут подвергаться различным киберугроза. Всплывающие окна служат для привлечения жертв, удерживая их внимание достаточно долго, чтобы увеличить вероятность взаимодействия с вредоносным контентом. Этот метод не только затрудняет работу пользователей, но и служит целям злоумышленников, скрывая истинные намерения задействованных сайтов.

В ответ на эту новую тактику аналитики подчеркивают необходимость того, чтобы пользователи сохраняли бдительность при навигации по онлайн-контенту, особенно при столкновении с clickbait или принудительными подсказками. Кроме того, инцидент подчеркивает необходимость для владельцев веб-сайтов и платформ внедрять более строгие меры контроля и мониторинга для выявления и смягчения последствий такого злоупотребления законными услугами. Расширяющееся использование инфраструктуры перенаправления в неблаговидных целях сигнализирует о растущей тенденции к веб-атакам, которая требует постоянного внимания и упреждающих мер защиты.

#ParsedReport #CompletenessMedium
14-02-2026

0APT RANSOMWARE: The RealFAKE!

https://theravenfile.com/2026/02/14/0apt-ransomware-the-real-fake/

Report completeness: Medium

Threats:
0apt_syndicate
Promptlock

TTPs:

IOCs:
Url: 3
File: 10
Hash: 7
Domain: 1

Soft:
Linux, NGINX, OpenSSL, Ubuntu

Algorithms:
murmur3, rc4, sha512, xor, salsa20, md5, sha256, chacha20, aes, aes-256, sha1, base64

Functions:
ReadMe

Win API:
RtlGenRandom

Languages:
php, rust

Links:
https://github.com/TheRavenFile/Daily-Hunt/blob/main/0APT%20Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей 0APT, появившаяся в январе 2026 года, работает по модели "программа-вымогатель как услуга", предлагая аффилированным лицам платформу для создания образец своей программы-вымогателя, которая использует метод шифрования Speck, а также имеет версию для Linux. Несмотря на то, что они заявили о сотнях жертв, существует недостаток доказательств, подтверждающих эти заявления, что указывает на зависимость от успеха операций для подтверждения их эффективности. Их тактика свидетельствует о попытке утвердиться в экосистеме программ-вымогателей, несмотря на сомнительную легитимность.
-----

Группа программ-вымогателей 0APT появилась 28 января 2026 года, произведя заметное впечатление в экосистеме программ-вымогателей, заявив о значительном числе жертв, хотя более поздние оценки показали, что эти заявления сомнительны. Несмотря на то, что на их сайте утечки данных, размещенном в домене vanity TOR, было перечислено около 200 жертв, ощутимых доказательств практически не было, поскольку скриншоты компрометация данных не были доступны — резкий контраст с типичным поведением, наблюдаемым в известных группах вымогателей.

Модель "Программа-вымогатель как услуга" (RaaS), по-видимому, реализована этим злоумышленник, который предоставил доступ к панели RaaS. Эта панель позволяет пользователям сгенерировать до пяти образец программы-вымогателя 0APT, что предполагает усилия по набору персонала, направленные на привлечение подлинных партнеров программы-вымогателя. Обсуждения в группе показали, что все возможности программы-вымогателя будут реализованы только после того, как будет заражена действительная жертва, что подчеркивает зависимость от успешного функционирования для демонстрации эффективности вредоносное ПО.

Методы шифрования программ-вымогателей демонстрируют некоторые уникальные аспекты, с особым упоминанием Speck, редкого выбора для шифрования в семействах программ-вымогателей. Такой выбор может указывать на попытку использовать менее распространенные алгоритмы, чтобы избежать обнаружения. Кроме того, был отмечен Linux-вариант программы-вымогателя, что указывает на диверсификацию целевых сред.

Оперативная тактика группы 0APT, раскрытая с помощью их платформы RaaS, предполагает постоянные усилия по созданию профессионального имиджа на рынке программ-вымогателей, но при этом лишена аутентичности, которая обычно характеризует успешных актор-злоумышленников. В целом, расследование 0APT выявляет сложное взаимодействие анонимности в Интернете, потенциальных стратегий вербовки и появляющихся функций вредоносное ПО, хотя законность заявлений группы остается сомнительной. Поскольку образец доступен, рекомендуется проявлять постоянную бдительность в отношении потенциальных компрометация 0APT, чтобы быть в курсе любых событий, связанных с этой угрозой вымогательства.

#ParsedReport #CompletenessLow
13-02-2026

Top Security Incidents of 2025: The Emergence of the ChainedShark APT Group

https://nsfocusglobal.com/top-security-incidents-of-2025-the-emergence-of-the-chainedshark-apt-group/

Report completeness: Low

Actors/Campaigns:
Chainedshark

Threats:
Linkedshell
Grimresource_technique

Industry:
Education

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1566, TA0001

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка ChainedShark, выявленная в 2025 году, разработала последовательную стратегию атак, ориентированных на фишинг, нацеленную на конкретных лиц, с помощью методичных кампаний в 2024 году. Их тактика демонстрирует высокую степень однородности структуры электронной почты и методов социальной инженерии, что указывает на стратегическую психологическую манипуляцию, направленную на максимизацию успеха их атак. Группа постоянно совершенствует свой подход, демонстрируя изощренность и организованные усилия по повышению операционной эффективности, основанные на прошлом опыте.
-----

Появление в 2025 году ChainedShark APT-группировка, занимающаяся распространением устойчивых угроз, ознаменовано эволюцией стратегий атак и последовательностью в нацеливании на конкретных лиц в ходе многочисленных инцидентов, особенно в мае и ноябре 2024 года. Сосредоточившись на одних и тех же жертвах в обеих атаках, ChainedShark демонстрирует методичный подход, который указывает на хорошо спланированную и устойчивую кампанию, а не на оппортунистические удары.

Одной из определяющих особенностей операций ChainedShark's является использование ими фишинг-сообщений электронной почты в качестве основного вектора атаки. Несмотря на то, что в различных фишинг-кампаниях использовалась различная полезная нагрузка, сами электронные письма демонстрировали значительную однородность по своей структуре и содержанию. Это включало сходство в сюжетных линиях, формулировках и общей тактике социальной инженерии, которые в совокупности создают поведенческий отпечаток, используемый группой. Такая последовательность предполагает не только отточенную методологию, но и стратегическое применение психологических манипуляций для повышения вероятности успеха их атак.

Техническое исполнение их кампаний отражает растущую изощренность, они адаптируют и совершенствуют свою тактику, основанную на предыдущих сражениях. Эта эволюционная траектория намекает на организованные усилия по повышению эффективности их операций, потенциально используя циклы обратной связи из тяжелых уроков, извлеченных в ходе предыдущих атак. Аналитики угроз должны сохранять бдительность в отношении показателей компрометация, связанных с ChainedShark, особенно тех, которые связаны с их методами фишинг и нацелен на методы социальной инженерии.

Поскольку ChainedShark продолжает адаптироваться, понимание их постоянной направленности и усовершенствованной тактики будет иметь решающее значение для организаций, пытающихся защититься от этих типов сложных киберугроза. Мониторинг их текущей деятельности и улучшения в выполнении атак будут необходимы специалистам по Кибербезопасность, стремящимся противостоять их влиянию и смягчить потенциальное воздействие на их цифровые активы.

#ParsedReport #CompletenessLow
13-02-2026

Phishing on the Edge of the Web and Mobile Using QR Codes

https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/

Report completeness: Low

Actors/Campaigns:
Unc4221

Threats:
Qshing_technique

Victims:
Financial services, High tech, Wholesale and retail, Telegram users, Mobile app users

Industry:
Education, Entertainment, Retail

Geo:
Ukraine, Ukrainian, Russia

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1556, T1566, T1584.006, T1608.002, T1608.004, T1608.005

IOCs:
Url: 23
Domain: 25
Email: 1
File: 5

Soft:
Outlook, Android, Telegram, WeChat, WhatsApp

Wallets:
metamask

Crypto:
bitcoin, ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Растущее использование QR-кодов при бесконтактных транзакциях привело к росту числа фишинг-атак, когда киберпреступники используют средства сокращения URL-адресов для маскировки Вредоносная ссылка, особенно нацеленная на финансовые услуги. Злоумышленники создают динамические QR-коды, которые перенаправляют пользователей на изменяющиеся вредоносные сайты, и используют встроенные ссылки для манипулирования законными функциями приложений в целях мошенничества. Кроме того, QR-коды могут способствовать прямой загрузке вредоносных приложений, повышая риск проникновения вредоносное ПО и кражи данных.
-----

Использование QR-кодов резко возросло, особенно в бесконтактных транзакциях и взаимодействиях, однако эта популярность также способствовала росту числа фишинг-атак. Киберпреступники используют QR-коды, используя средства сокращения URL-адресов для маскировки вредоносных адресатов, побуждая пользователей сканировать ссылки без должной осторожности. Эти укорочители, такие как qrco.de , me-qr.com , и qrs.ly , позволяют злоумышленникам создавать динамические QR-коды, которые могут перенаправлять пользователей на изменяющиеся вредоносные конечные точки, подрывая традиционные меры безопасности.

QR-коды особенно распространены в определенных отраслях, причем наиболее нацелен на финансовые услуги, на долю которых приходится 29% инцидентов с атаками, связанных с компрометация QR-кодов. Примечательно, что многим попыткам фишинг присуща временность; злоумышленники перестают перенаправлять на вредоносные веб-сайты в течение нескольких дней, что затрудняет обнаружение и смягчение последствий.

В дополнение к веб-перенаправлениям злоумышленники используют встроенные ссылки - менее изученный, но не менее опасный вектор угрозы. Эти глубокие ссылки позволяют злоумышленникам манипулировать функциональными возможностями законных приложений, такими как проведение платежных транзакций или отправка вредоносного контента с помощью встроенных коммуникаций. Например, финансовое мошенничество может сопровождаться перебоями в работе платежных приложений, в то время как захват аккаунтов в Социальные сети использует встроенные ссылки для несанкционированного доступа.

Риск усугубляется возможностью QR-кодов облегчать прямую загрузку вредоносных приложений, часто в обход системы безопасности app Store. Эта тактика особенно используется при распространении азартных игр и приложений для казино, где APK-файлы, связанные с помощью QR-кодов, могут содержать вредоносное ПО, предназначенное для извлечения конфиденциальной информации или выполнения несанкционированных действий.

В свете этих угроз обучение пользователей играет жизненно важную роль в борьбе с атаками QR code phishing. Люди должны быть осведомлены о том, что QR-коды могут использоваться для выполнения широкого спектра действий, выходящих за рамки простого открытия веб-сайтов, и при сканировании и взаимодействии с ними необходима должная осмотрительность. Меняющаяся тактика киберпреступников подчеркивает необходимость постоянной бдительности и осведомленности пользователей о безопасности для противодействия этим изощренным схемам фишинг.

#ParsedReport #CompletenessLow
11-02-2026

AgreeToSteal: The First Malicious Outlook Add-In Leads to 4,000 Stolen Credentials

https://www.koi.ai/blog/agreetosteal-the-first-malicious-outlook-add-in-leads-to-4-000-stolen-credentials

Report completeness: Low

Actors/Campaigns:
Agreetosteal
Clawhavoc

Victims:
Email users, Bank customers, Internet service provider customers, Webmail users

Industry:
Telco, E-commerce, Financial

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1566.002, T1583.001

IOCs:
Domain: 1

Soft:
Outlook, Microsoft Outlook, Microsoft Office, Chrome, Graph API, Telegram

Functions:
ReadWriteItem, JavaScript, fetch

Languages:
typescript, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Надстройка Outlook "AgreeToSteal" использовала уязвимости Надстройки Office, что привело к краже около 4000 учетные данные пользователя с помощью метода динамической загрузки контента с сервера. Изначально это был законный инструмент планирования, но он был взломан, чтобы представить поддельную страницу входа в Microsoft, собирающую не только учетные данные электронной почты, но и конфиденциальную финансовую информацию с помощью сложного набора для фишинг-атак. Этот инцидент выявил существенные структурные недостатки в безопасности надстройки Office, поскольку традиционные меры аудита не в состоянии устранить возникающие угрозы, создаваемые такими вредоносными преобразованиями.
-----

Появление надстройки Outlook "AgreeToSteal" выявило значительные уязвимости в работе Надстройки Office, которые привели к краже около 4000 учетные данные пользователей. Вредоносное поведение надстройки атрибутирован с ее методом динамической загрузки содержимого с сервера разработчика каждый раз, когда оно открывается в Outlook. Эта модель сопряжена со значительными рисками, поскольку, как только пользователь взаимодействует с надстройкой, ему открывается обманчивая страница входа в систему Microsoft вместо предполагаемого интерфейса планирования собраний.

AgreeTo возник как законный инструмент планирования с открытым исходным кодом, с активной базой пользователей и хорошо поддерживаемым репозиторием GitHub, демонстрирующий, что он был создан кем-то, изначально намеревавшимся построить бизнес. Однако этот инструмент был захвачен в злонамеренных целях. Злоумышленник использовал четырехстраничный фишинг-набор, состоящий из поддельной страницы входа в систему, страницы сбора паролей, скрипта эксфильтрация и механизма перенаправления.

Масштабы операции вызывают особую тревогу, поскольку один и тот же злоумышленник связан по меньшей мере с дюжиной различных наборов для фишинг-атак, каждый из которых имитирует различные авторитетные бренды, включая канадских интернет-провайдеров и банки. Компрометация данных включает в себя не только учетные данные электронной почты, но и конфиденциальную информацию, такую как номера кредитных карт, CVV, PIN-коды и ответы на вопросы банковской безопасности. Это указывает на хорошо организованную фишинг-операцию, способную перехватывать финансовые транзакции с помощью таких методов, как электронный перевод Interac.

Этот случай подчеркивает критический структурный недостаток в том, как разрабатывались и отслеживались Надстройки Office, поскольку они являются динамическими объектами, которые могут изменять содержимое без каких-либо процессов информирования, предупреждающих пользователей или аудиторов во время их вредоносного преобразования. Это вызывает вопросы об адекватности применяемых мер безопасности, поскольку традиционных проверок на определенный момент времени недостаточно для защиты пользователей от возникающих угроз, которые используют законные приложения в качестве механизмов доставки. Инцидент иллюстрирует насущную потребность в усовершенствованных системах мониторинга, способных обнаруживать переход от доброкачественного к вредоносному поведению в зависимостях программного обеспечения.

#ParsedReport #CompletenessHigh
12-02-2026

How ClickFix Opens the Door to Stealthy StealC Information Stealer

https://www.levelblue.com/blogs/spiderlabs-blog/how-clickfix-opens-the-door-to-stealthy-stealc-information-stealer

Report completeness: High

Threats:
Clickfix_technique
Stealc
Process_injection_technique
Process_hollowing_technique
Donut

Victims:
Windows users, Hospitality

Industry:
Entertainment

Geo:
Vietnamese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1027.009, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...

IOCs:
Url: 6
File: 14
IP: 4
Hash: 2
Path: 3
Registry: 2
Command: 1

Soft:
Steam, Outlook, Microsoft Visual C++, Windows service, Chrome, Opera, Opera GX, Vivaldi, Chromium, Firefox, have more...

Wallets:
metamask, coinbase, atomicwallet, electrum, exodus_wallet, bitcoincore

Crypto:
ethereum, monero

Algorithms:
sha256, rc4, aes-gcm, base64

Functions:
DPAPI

Win API:
CryptUnprotectData, RegQueryValueExA, VirtualAlloc, CreateThread

Languages:
powershell, python, javascript, php

Platforms:
intel, x64

Links:
https://github.com/drole/StealC-C2-Traffic-Decryption-Tool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix использует социальную инженерию для выполнения многоэтапной атаки на системы Windows, в ходе которой используется Stealer. StealC information (программа для кражи данных). information Пользователей заманивают с помощью мошеннического приглашения Cloudflare, запускающего вредоносные команды PowerShell, которые извлекают сценарий загрузки, что в конечном итоге приводит к загрузке StealC. Вредоносное ПО предназначено для обширного извлечения данных, нацеливаясь на учетные данные из браузеров и криптовалютных кошельков, используя при этом скрытые методы, включая выполнение без файлов и зашифрованную связь со своим сервером C2.
-----

Кампания ClickFix использует тактику социальной инженерии для проведения многоэтапной атаки, нацеленной на системы Windows, и в конечном итоге развертывает StealC. Атака начинается с мошеннического запроса на проверку Cloudflare, который поощряет выполнение вредоносных команд PowerShell, когда пользователи получают доступ к веб-сайтам с компрометация, таким как сайт вьетнамского ресторана. Это приводит к загрузке вредоносной полезной нагрузки JavaScript, которая создает поддельную страницу проверки CAPTCHA.

Первоначально, после выполнения, команда PowerShell извлекает сценарий загрузки с определенного IP-адреса. Последующий шаг включает загрузку независимого от позиции шеллкода, упакованного в файл (cptch.bin), который генерируется фреймворк Donut. Этот фреймворк обеспечивает скрытное выполнение, поскольку шелл-код может запускаться с любого адреса памяти, способствуя безфайловому поведению вредоносное ПО путем встраивания всего исполняемого файла.

Следующий этап включает в себя использование 64-разрядного исполняемого файла Windows PE, предназначенного для загрузки окончательной полезной нагрузки, которая позже вводится в законный процесс Windows. StealC, основное вредоносное ПО, имеет модульную конструкцию с различными возможностями извлечения данных. Он нацелен на учетные данные браузера, расширения криптовалютного кошелька, информацию об учетной записи игровой платформы и учетные данные электронной почты, особенно из Outlook.

Более подробно, StealC ищет и извлекает пароли, сеансовые файлы cookie и информацию о кредитной карте из баз данных браузера пользователя. Вредоносное ПО также тщательно собирает информацию о криптовалютных кошельках и использует запросы реестра для обнаружения путей установки Steam и сведений о профиле Outlook. Кроме того, в нем реализован системный модуль снятия отпечатков пальцев для сбора обширной информации о зараженной системе.

Одной из примечательных особенностей StealC является его способность делать скриншоты, используя Windows API, с последующим сохранением и загрузкой этих изображений на сервер управление (C2). Кроме того, он содержит функцию захвата файлов, которая выполняет поиск по каталогам файлов, соответствующих определенным критериям для эксфильтрация.

Для связи с сервером C2 используются структурированные полезные данные в формате JSON и различные методы шифрования как данных, так и трафика, что затрудняет обнаружение. Операционная система вредоносное ПО включает в себя функцию "самоудаления", которая удаляет его после успешной фильтрации данных.

Стратегии обнаружения, предлагаемые для выявления таких кампаний, включают мониторинг необычных строк пользовательского агента, помечение определенных HTTP-запросов POST и оповещение о значительных шаблонах загрузки данных в подозрительные домены. Кампания ClickFix иллюстрирует современные многогранные векторы атак, которые используют социальную инженерию, выполнение без файлов и сложные методы эксфильтрация данных для обхода традиционных мер безопасности.

#ParsedReport #CompletenessLow
16-02-2026

Tracking DigitStealer: How Operator Patterns Exposed C2 Infrastructure

https://cyberandramen.net/2026/02/16/tracking-digitstealer-how-operator-patterns-exposed-c2-infrastructure/

Report completeness: Low

Threats:
Digitstealer

Victims:
Cryptocurrency wallets, Browser data users, Macos users

Industry:
Entertainment

Geo:
Sweden

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1555.001, T1555.003, T1583.001, T1583.003, T1587.001

IOCs:
IP: 8
File: 2
Domain: 17

Soft:
macOS, nginx, OpenSSH

Crypto:
binance

Algorithms:
md5

Languages:
applescript, javascript, python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4