#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Серьезная уязвимость zero-day в Dell RecoverPoint for Virtual Machines, CVE-2026-22769, использовалась преступная хакерская группировка UNC6201, связанная с Китаем, с середины 2024 года. Эта группа использует вредоносное ПО, такое как бэкдор GRIMBOLT, разработанный на C# для улучшения скрытности, и перешла от предыдущих угроз, таких как BRICKSTORM. UNC6201 использует сложные методы, включая создание временных портов на виртуальных машинах и использование вредоносных запросов к Apache Tomcat Manager, что указывает на значительный риск для предприятий.
-----

Mandiant и Google Threat Intelligence Group выявили значительную уязвимость zero-day в Dell RecoverPoint для виртуальных машин, отслеживаемую как CVE-2026-22769, которая имеет оценку CVSSv3.0, равную 10,0. Этой уязвимостью пользовалась преступная хакерская группировка UNC6201, предположительно имеющая связи с Китайской Народной Республикой, по крайней мере с середины 2024 года. Эксплуатация позволяет UNC6201 перемещаться в разных средах, поддерживать постоянный доступ и развертывать различное вредоносное ПО, включая недавно идентифицированный GRIMBOLT, наряду с ранее известными угрозами, такими как SLAYSTYLE и BRICKSTORM. Хотя первоначальный доступ к вектору не определен, UNC6201 предназначен для использования с периферийными устройствами, такими как концентраторы VPN.

Важным открытием в ходе расследований стал переход от BRICKSTORM к GRIMBOLT, который наблюдался в сентябре 2025 года. GRIMBOLT - это бэкдор foothold, разработанный на C# с использованием встроенной компиляции с опережением времени (AOT) и упакованный в UPX, предоставляющий возможности удаленной оболочки. Точный мотив замены BRICKSTORM на GRIMBOLT остается неопределенным и может быть либо стратегической эволюцией, либо реакцией на инциденты. Использование встроенной компиляции AOT повышает производительность на устройствах с ограниченными ресурсами и усложняет статический анализ из-за отсутствия метаданных Common Intermediate Language (CIL), что усложняет обнаружение.

Уязвимость (CVE-2026-22769) была обнаружена во время анализа среды жертвы, в которой активные соединения command and control (C2) были подключены к обоим бэкдор. Анализ выявил множество веб-запросов, в частности, с использованием имени пользователя "admin", направленных на Apache Tomcat Manager устройства, что привело к развертыванию вредоносного файла WAR, содержащего веб-оболочку SLAYSTYLE.

Дополнительный метод, использованный злоумышленник, включал создание временных сетевых портов на виртуальных машинах внутри сервера ESXi, что облегчало дальнейший доступ к внутренним сетям жертвы и инфраструктурам SaaS. Более того, судебно-медицинский анализ Mandiant выявил прокси-команды iptables, выполняемые через веб-оболочку с компрометация в SLAYSTYLE, что указывает на сложную тактику уклонения.

Расследования подчеркнули необходимость тщательной проверки веб-журналов, связанных с Tomcat Manager, особенно запросов на развертывание WAR-файлов по подозрительным путям, поскольку это может указывать на компрометация. Потенциально вредоносные загрузки и их артефакты, обнаруженные в журналах приложений, требуют бдительности, особенно в отношении установленных методов закрепление, используемых бэкдорами BRICKSTORM и GRIMBOLT. В конечном счете, полученные результаты указывают на эволюционирующую тактику и возможности преступная хакерская группировка UNC6201, представляющая постоянный риск для предприятий, использующих решения Dell для виртуализации.

#ParsedReport #CompletenessMedium
18-02-2026

The Curious Case of the Triton Malware Fork

https://brennan.day/the-curious-case-of-the-triton-malware-fork/

Report completeness: Medium

Threats:
Triton

Victims:
Software development platforms, Open source developers

Industry:
Critical_infrastructure, Financial

Geo:
America, German, Portuguese

TTPs:
Tactics: 7
Technics: 8

IOCs:
Hash: 1
File: 6
Command: 1
Path: 3
Registry: 3

Soft:
MacOS, OpenClaw, Forgejo, Raspberry Pi

Algorithms:
zip, sha256

Languages:
python, lua, java

Platforms:
x86

Links:
https://github.com/otaviocc/Triton
https://github.com/OP-Future/.github/issues/2
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается вредоносный форк приложения для macOS Triton, в котором злоумышленники внедрили вирус Windows в исходную кодовую базу, исключив указание авторства. Это вредоносное ПО использует многоэтапный процесс, извлекая файлы во временный каталог с использованием пароля "заражен" и имитируя законный трафик как часть своей инфраструктуры командования и контроля при профилировании жертв. Несмотря на свои недостатки, атака демонстрирует сложные операции с файловой системой, нацеленные на среды разработки и обходящие сетевые средства защиты для извлечения данных.
-----

В статье рассматривается вредоносный форк приложения macOS под названием Triton, в котором злоумышленник клонировал исходный код исходного проекта, удалил атрибуцию оригинального создателя и внедрил в проект вирус Windows. Получившееся в результате вредоносное ПО, идентифицированное как сбой Вредоносная Кампания, требует от пользователей загрузки и выполнения кода на компьютере с Windows, что маловероятно, учитывая специфику пользовательской базы Triton.

При анализе вредоносное ПО вредоносное ПО использует многоэтапный процесс. Первый этап включает в себя извлечение архива, где используется пароль "infected" для извлечения файлов во временный каталог со случайным именем. Последующее поведение включает значительную сетевую активность, функционирующую как инфраструктура Command & Control (C2), маскирующуюся под законный офисный трафик. Он также направлен на обнаружение внешних IP-адресов для профилирования жертв, включает функции блокчейна и криптовалюты и облегчает эксфильтрация данных через надежную инфраструктуру, избегая базового мониторинга сети.

Операции с файловой системой указывают на изощренность вредоносное ПО; оно ищет среды разработки, такие как Java, Python и .NET, и может искать журналы программного обеспечения безопасности и системные каталоги для повышения привилегий. Репозиторий проекта включает такие темы, как вредоносное ПО и деобфускация, что предполагает попытку казаться законным и вызвать интерес исследователей безопасности.

Несмотря на многочисленные сообщения о вредоносном репозитории на GitHub, учетная запись остается активной, что подчеркивает трудности удаления вредоносного контента с таких платформ. В статье также выражаются опасения по поводу времени отклика GitHub и общего качества обслуживания, объясняя проблемы тем, что Microsoft уделяет особое внимание функциям искусственного интеллекта в ущерб критическим ошибкам в инфраструктуре. Сравнение с альтернативными платформами, такими как Codeberg и автономные решения, свидетельствует о стремлении к созданию более безопасных сред разработки с соблюдением этических норм.

В конечном счете, хотя вредоносный форк выглядит как ошибочная попытка Вредоносная Кампания, он подчеркивает риски, связанные с совместным использованием кода, и демонстрирует потенциал для эксплуатации посредством разветвления кода без надлежащих этических соображений.

#ParsedReport #CompletenessMedium
18-02-2026

Sticky trail: exploring the attacks of the PseudoSticky faction

https://www.f6.ru/blog/pseudo-sticky/

Report completeness: Medium

Actors/Campaigns:
Pseudosticky (motivation: cyber_criminal, cyber_espionage)
Sticky_werewolf
Mimistick

Threats:
Remcos_rat
Darktrack_rat
Defendnot_tool

Victims:
Retail, Construction

Industry:
Military, Government, Retail, Aerospace, Education, Energy, Transport

Geo:
Russian, Ukrainian, Belarus, Russia, Chelyabinsk

TTPs:
Tactics: 1
Technics: 0

IOCs:
Command: 3
Registry: 1
Path: 1
File: 19
Url: 6
Domain: 3
IP: 1
Hash: 54

Soft:
Telegram, Windows Defender, Viber, WhatsApp

Algorithms:
md5, sha1, sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года группа PseudoSticky, связанная с ранее идентифицированным злоумышленник Sticky Werewolf, провела сложные кампании фишинг-рассылки, нацеленные на розничную торговлю и строительный сектор, используя сезонную тематику. К началу 2026 года PseudoSticky адаптировала свои методы атаки после Нового года, указывая на эволюционирующую тактику. Постоянное использование группой устоявшихся инструментов при расширении их целевых показателей свидетельствует о целенаправленных усилиях по повышению их операционного воздействие и использованию новых уязвимостей в различных отраслях.
-----

В ноябре 2025 года эксперты F6 раскрыли скоординированную вредоносную кампанию, атрибутирован с группой, известной как PseudoSticky. Эта операция выявила обширный и изощренный набор действий вредоносное ПО, демонстрирующее четкую связь с ранее идентифицированным актор угроз Sticky Werewolf. Эта связь была очевидна благодаря общей тактике, техникам и процедурам (TTP), а также конкретным инструментам, используемым в их операциях, что предполагает сотрудничество или общую методологию между двумя группировками.

К декабрю 2025 года группа PseudoSticky расширила свою деятельность, в частности, с помощью нацелен-ных фишинг-кампаний, нацеленных на компании в сфере розничной торговли и строительства. Эта стратегия продемонстрировала способность группы адаптировать свою тактику социальной инженерии к конкретным отраслям промышленности, потенциально используя сезонные темы для повышения эффективности, о чем свидетельствует время проведения их операций в рождественский период.

В январе 2026 года аналитики F6 заметили изменение в методах работы группы PseudoSticky. После новогодних праздников группа изменила свою цепочку атак, что указывает на эволюцию их подхода или целей. Хотя конкретные детали, касающиеся этих изменений, не приводятся, адаптация сигнализирует о потенциальном усовершенствовании их тактики, которое может быть направлено на повышение их успешности или расширение охвата их целей.

К февралю 2026 года PseudoSticky продолжила свою кампанию с постоянными TTP и инструментами, хотя и расширила список своих целевых пользователей и сетевую инфраструктуру. Такой рост масштабов предполагает стратегическое решение усилить их воздействие и, возможно, использовать новые уязвимости в различных секторах. Сохранение их прежних методологий указывает на уровень операционной зрелости и приверженность устойчивой вредоносной деятельности.

#ParsedReport #CompletenessMedium
18-02-2026

Dark Web Profile: Sinobi Ransomware

https://socradar.io/blog/dark-web-profile-sinobi-ransomware/

Report completeness: Medium

Actors/Campaigns:
Lynx_ransomware

Threats:
Sinobi
Inc_ransomware
Lynx
Lolbin_technique
Rclone_tool
Shadow_copies_delete_technique

Industry:
Healthcare, Entertainment, Education

Geo:
Australia, United kingdom, Canada

CVEs:
CVE-2024-53704 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (le7.1.1-7058, 7.1.2-7019)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 11
Technics: 19

IOCs:
File: 2
Registry: 1

Soft:
BinDiff, Tor browser

Algorithms:
aes-128-ctr, curve25519

Win API:
CryptGenRandom, DeviceIOControl, SHEmptyRecycleBinA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Считается, что программа-вымогатель Sinobi, появившаяся в середине 2025 года, является преемницей Lynx Ransomware group, использующей для удаленного доступа учетные данные для компрометация и известные уязвимости, такие как CVE-2024-53704 и CVE-2024-40766. Группа использует методы фишинг для получения первоначальный доступ, после чего использует надежные методы шифрования для блокировки файлов, что делает невозможным восстановление без ключей дешифрования. Структура и операции Sinobi предполагают, что она унаследовала инструменты от существующих разновидностей программ-вымогателей, что указывает на преемственность предыдущих атак.
-----

Программа-вымогатель Sinobi - это программа-вымогатель как услуга (RaaS), появившаяся в середине 2025 года и считающаяся ребрендингом или преемницей ранее действовавшей Lynx Ransomware group, которая развилась из семейства INC Ransomware. Название группы обыгрывает термин "Шиноби", отражая темы из различных СМИ, где ниндзя занимают видное место, предполагая культурную связь или стратегию брендинга.

В Sinobi Group, в первую очередь, задачи организации путем проникновения среды через взломанные учетные данные для удаленного доступа. Они наблюдались с использованием векторов, таких как VPN-шлюзы и протокол удаленного рабочего стола (RDP) на счетах. Кроме того, использование известных уязвимостей-это тактика, используемая группой, в частности, уязвимость CVE-2024-53704, который влияет проверки подлинности устройств SonicWall VPN с шифрованием SSL и CVE-2024-40766, связанных с ненадлежащим контролем доступа. Поддерживая их стратегий записи, в группе работают фишинг методов, предусматривающих писем с вредоносными вложениями или ссылками.

После успешного получения доступа программа-вымогатель Sinobi внедряет надежные методы шифрования, которые делают невозможным восстановление данных без получения ключей дешифрования у злоумышленников. Это усиливает важность того, чтобы организации уделяли приоритетное внимание превентивным мерам против таких киберугроза.

Анализ показывает, что Sinobi вредоносное ПО появляется структурно и функционально аналогичен ранее вымогателей вариации, связанные с Inc Ransom и Lynx, указывая, что нынешние операторы, скорее всего, были получены или изменения существующих рекламных инструментов и инфраструктуры от Dark Web источников. Эта операционная модель предполагает, что Sinobi не отдельные сущности, а лишь продолжение существующего кластера оператор ребрендинг для новых кампаний.

#ParsedReport #CompletenessHigh
18-02-2026

Fake Homebrew Typosquats Used to Deliver Cuckoo Stealer via ClickFix

https://hunt.io/blog/fake-homebrew-clickfix-cuckoo-stealer-macos

Report completeness: High

Threats:
Cuckoo_stealer
Clickfix_technique
Credential_harvesting_technique
Typosquatting_technique
Spear-phishing_technique

Victims:
Macos developers

Industry:
Entertainment

Geo:
Ukrainian, Belarusian, Russian, Netherlands

TTPs:
Tactics: 10
Technics: 30

IOCs:
Domain: 4
IP: 1
File: 7
Url: 2
Hash: 2

Soft:
macOS, curl, Chromium, Discord, Telegram, sudo, Gatekeeper, IndexedDB, Steam, Unix, have more...

Wallets:
coinbase, rabby, bitpay

Crypto:
binance, bitcoin, ethereum

Algorithms:
curve25519, xor, ecdh, base64, md5

Languages:
applescript, javascript, powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберкампания использует typosquatting для доставки вредоносное ПО Cuckoo Stealer разработчикам macOS, имитируя процесс установки Homebrew. Злоумышленники используют поддельные домены, чтобы обманом заставить пользователей выполнить вредоносный сценарий оболочки, который перехватывает законные команды установки, собирая учетные данные с помощью команды "dscl authonly", перед развертыванием Cuckoo Stealer. Это вредоносное ПО крадет конфиденциальную информацию, включая учетные данные браузера и данные с ключом macOS, используя зашифрованную связь C2 и внедряя меры скрытности, включая возможности самоуничтожения после выполнения команды.
-----

Недавняя преступная хакерская кАмпания использовала сложную технику typosquatting для распространения вредоносное ПО Cuckoo Stealer с помощью метода, известного как ClickFix, нацеленного на пользователей macOS, особенно разработчиков. Эта кампания работает, имитируя процесс установки Homebrew, используя доверие пользователей к этому широко используемому менеджеру пакетов. Злоумышленники создали несколько мошеннических доменов, которые очень напоминают законный сайт Homebrew, используя тонкие вариации и альтернативные домены верхнего уровня (TLD), размещая их в общей инфраструктуре.

Атака начинается, когда пользователь неосознанно выполняет вредоносный сценарий оболочки, замаскированный под аутентичную команду установки Homebrew. Эта полезная нагрузка первого этапа создается путем внедрения вредоносного кода в законный сценарий установки Homebrew, который зацикливается на запросах пароля с помощью команды "dscl authonly", эффективно собирая действительные учетные данные пользователя. Как только учетные данные получены, вредоносное ПО запускает свою полезную нагрузку второго этапа, Cuckoo Stealer, который функционирует как полнофункциональный похититель информации и Троянская программа для удаленного доступа (RAT).

Cuckoo Stealer устанавливает закрепление с помощью системы macOS LaunchAgent и использует локализованную фильтрацию, чтобы избежать заражения в Содружестве Независимых Государств (СНГ). Он взаимодействует со своим сервером управление (C2) по зашифрованному протоколу HTTPS, используя усовершенствованные механизмы обмена ключами для безопасной передачи данных. Вредоносное ПО проводит обширный сбор данных, нацеливаясь на учетные данные браузера в основных браузерах, уделяя особое внимание тем, которые связаны с приложениями для криптовалютных кошельков. Он также извлекает конфиденциальную информацию пользователя из macOS Связка ключей, Apple Notes и различных приложений для обмена сообщениями, позволяя потенциальному захвату учетной записи путем сбора токенов аутентификации.

Функциональность вредоносное ПО включает просмотр файловой системы в режиме реального времени и эксфильтрация за счет использования двойного канала связи с сервером C2. Он может захватывать и извлекать скриншоты и файлы, специально ориентируясь на пользовательские каталоги, такие как рабочий стол и документы. Кроме того, в нем реализована оперативная мера безопасности, позволяющая отключать системные звуки во время эксфильтрация, чтобы избежать обнаружения пользователем.

Как только Cuckoo Stealer получает команду удаления с сервера C2, он выполняет процедуру самоуничтожения, тщательно удаляя доказательства своего присутствия. Эта кампания не только демонстрирует нацелен подход к краже учетных данных и эксфильтрация данных, но и подчеркивает растущую изощренность злоумышленник в использовании стратегий маскировки для использования надежных рабочих процессов в системах macOS. Сохраняющаяся угроза требует от разработчиков и пользователей macOS повышенной бдительности в отношении целостности используемых установочных сценариев и команд.

#ParsedReport #CompletenessLow
17-02-2026

Kraken Darknet Access via Clearnet Gateways

https://malwr-analysis.com/2026/02/18/kraken-darknet-access-via-clearnet-gateways/

Report completeness: Low

Threats:
Kraken_cryptor

Victims:
Darknet ecosystem users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 28

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования выявили интерфейс авторизации, связанный с даркнетом Kraken, доступный как через обычный интернет, так и через Tor, что позволяет злоумышленникам использовать открытость обычного интернета, сохраняя при этом анонимность даркнета. Такой гибридный доступ может способствовать незаконной деятельности, привлекая более широкую аудиторию и увеличивая риск фишинговых атак и атак с использованием методов социальной инженерии. Слияние угроз из обеих сред вызывает опасения по поводу уязвимостей и необходимости постоянного сбора разведывательной информации для обнаружения и противодействия возникающим киберугрозам.-----

Недавние анализы выявили интерфейс авторизации, связанный с экосистемой даркнета Kraken, доступный как через обычные домены в открытом интернете, так и через сервисы Tor Onion. Эта двойная доступность представляет собой серьезную проблему, поскольку позволяет злоумышленникам использовать более открытую среду открытого интернета, сохраняя при этом анонимность и кажущуюся безопасность, предлагаемые сетью Tor. Злоумышленники могут использовать это для более свободного осуществления незаконной деятельности, используя шлюзы открытого интернета для привлечения более широкой аудитории или облегчения транзакций, которые в противном случае могли бы быть ограничены более анонимными рамками даркнета.

Последствия этого открытия указывают на потенциальные уязвимости, поскольку оно объединяет традиционные угрозы, наблюдаемые как в открытом интернете, так и в даркнете. Пользователи, стремящиеся получить доступ к таким платформам, могут непреднамеренно подвергнуть себя различным киберугрозам, включая попытки фишинга или другие формы социальной инженерии, из-за упрощенной доступности интерфейсов авторизации. Кроме того, простота перехода между этими платформами может позволить киберпреступникам использовать слабые места в мерах кибербезопасности, которые, как правило, более надежны в традиционных средах, но могут менее строго применяться в контексте даркнета.

По мере развития этих событий пользователи и организации, занимающиеся кибербезопасностью, должны осознавать риски, связанные с такой гибридной доступностью. Это указывает на необходимость улучшения мониторинга и защиты в обеих областях для противодействия растущей изощренности злоумышленников, использующих такие методы в противоправных целях. Эта тенденция подчеркивает необходимость постоянного сбора и анализа разведывательной информации для выявления и смягчения возникающих угроз, связанных с пересечением открытого и темного интернет-пространств.

#ParsedReport #CompletenessLow
18-02-2026

Beyond the Backdoor: How Contagious Interview Is Surgically Tampering with MetaMask Wallets

https://sp4rk.medium.com/beyond-the-backdoor-how-contagious-interview-is-surgically-tampering-with-metamask-wallets-0314ae901d85

Report completeness: Low

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated, information_theft)

Threats:
Beavertail
Invisibleferret

Victims:
It professionals, Cryptocurrency sector, Web3 sector, Artificial intelligence sector, Developers, Engineers

Geo:
Dprk, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1056.002, T1059.006, T1059.007, T1071.001, T1095, T1105, T1195, have more...

IOCs:
IP: 9
Url: 6
File: 8
Hash: 18

Soft:
VSCode, macOS, Linux, KeePass, Chrome

Wallets:
metamask

Crypto:
solana, ethereum

Algorithms:
zip, hmac

Functions:
report, submitPassword

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview, атрибутирован с северокорейскими злоумышленник, нацелена на ИТ-специалистов в области криптовалют, Web3 и искусственного интеллекта, чтобы отфильтровать конфиденциальную финансовую информацию. Он использует двухэтапную атаку с использованием вредоносного JavaScript в троянских пакетах NPM, которые взаимодействуют с серверами управление для загрузки дополнительной полезной нагрузки, включая вредоносное ПО на Python InvisibleFerret и бэкдор для удаленного доступа. Ключевая тактика заключается в компрометации расширения кошелька MetaMask для сбора учетные данные, что является примером сложной многоэтапной стратегии эксфильтрация данных кампании.
-----

Кампания Contagious Interview, связанная с северокорейскими злоумышленник, в настоящее время нацелена на ИТ-специалистов в секторах криптовалют, Web3 и искусственного интеллекта с намерением украсть финансовую информацию и конфиденциальные данные. Эта угроза использует двухэтапную атаку, которая начинается с полезной нагрузки JavaScript, подтверждающей успешное заражение путем отправки маяка на серверы управление (C2) злоумышленников и получения дополнительных сценариев. Эти дополнительные полезные нагрузки включают вредоносное ПО на основе Python с именем InvisibleFerret и два файла JavaScript: один для создания бэкдора удаленного доступа, а другой для идентификации и извлечения конфиденциальных файлов из системы жертвы.

Процесс заражения инициируется с помощью вредоносного JavaScript, закодированного в троянские пакеты NPM, маскирующиеся под законные инструменты, связанные с работой. После выполнения JavaScript подключается к серверу C2 для получения дополнительной полезной нагрузки, включая файл, который загружает конфиденциальные данные, хранящиеся на компьютере жертвы, с акцентом на учетные данные, криптовалютные кошельки и информацию менеджера паролей в нескольких операционных системах. Кампания превратилась в сложную операцию, разделенную на этапы, с систематической фильтрацией конфиденциальных файлов, в том числе связанных с криптовалютой.

Вредоносное ПО извлекает файлы, используя четко определенный шаблон поиска, основанный на ключевых словах, связанных с конфиденциальными данными, в частности, нацеливаясь на документы, относящиеся к криптовалютным кошелькам, настройкам разработки и Закрытые ключи. Кроме того, в campaign используется облегченный бэкдор JavaScript, который позволяет C2 взаимодействовать по определенному протоколу, получать и выполнять команды, включая выборку дополнительных сценариев.

Один из ключевых компонентов связан со взломом расширения кошелька MetaMask, популярного среди пользователей криптовалют. Актор заменяет законное расширение вредоносной версией, которая напрямую захватывает учетные данные кошелька и передает их на сервер C2. Этот процесс манипулирования влечет за собой изменение файлов конфигурации браузера для принудительного внедрения кода злоумышленником.

Цепочка заражения демонстрирует сложную стратегию эксфильтрация данных, которая выполняется в несколько этапов: сначала нацеливание на сохраненные в браузере учетные данные, затем переход к извлечению файлов на основе предопределенных ключевых слов и, в конечном счете, выполнение команд для сбора большего количества данных в соответствии с инструкциями злоумышленник. Вариант вредоносного ПО BeaverTail, использованный в этой кампании, продемонстрировал адаптивность и закрепление, поскольку он продолжает совершенствовать свои методы кражи конфиденциальных данных и средств, связанных с криптовалютой, у жертв.

#ParsedReport #CompletenessLow
18-02-2026

Pwning Malware with Ninjas and Unicorns

https://www.levelblue.com/blogs/spiderlabs-blog/pwning-malware-with-ninjas-and-unicorns

Report completeness: Low

Threats:
Sysupdate

Victims:
Unspecified organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1573, T1608

IOCs:
File: 5

Soft:
Linux, unicorn

Algorithms:
xor

Functions:
main, setup_memory_mappings, write_memory_mappings, generate_key_internal, generate_key, xor_and_UNK_1, setup_registers, setup_xor_unk_decrypt

Languages:
rust

Platforms:
x86

Links:
https://github.com/unicorn-engine/unicorn/tree/master/bindings/rust