#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберкампания использует typosquatting для доставки вредоносное ПО Cuckoo Stealer разработчикам macOS, имитируя процесс установки Homebrew. Злоумышленники используют поддельные домены, чтобы обманом заставить пользователей выполнить вредоносный сценарий оболочки, который перехватывает законные команды установки, собирая учетные данные с помощью команды "dscl authonly", перед развертыванием Cuckoo Stealer. Это вредоносное ПО крадет конфиденциальную информацию, включая учетные данные браузера и данные с ключом macOS, используя зашифрованную связь C2 и внедряя меры скрытности, включая возможности самоуничтожения после выполнения команды.
-----

Недавняя преступная хакерская кАмпания использовала сложную технику typosquatting для распространения вредоносное ПО Cuckoo Stealer с помощью метода, известного как ClickFix, нацеленного на пользователей macOS, особенно разработчиков. Эта кампания работает, имитируя процесс установки Homebrew, используя доверие пользователей к этому широко используемому менеджеру пакетов. Злоумышленники создали несколько мошеннических доменов, которые очень напоминают законный сайт Homebrew, используя тонкие вариации и альтернативные домены верхнего уровня (TLD), размещая их в общей инфраструктуре.

Атака начинается, когда пользователь неосознанно выполняет вредоносный сценарий оболочки, замаскированный под аутентичную команду установки Homebrew. Эта полезная нагрузка первого этапа создается путем внедрения вредоносного кода в законный сценарий установки Homebrew, который зацикливается на запросах пароля с помощью команды "dscl authonly", эффективно собирая действительные учетные данные пользователя. Как только учетные данные получены, вредоносное ПО запускает свою полезную нагрузку второго этапа, Cuckoo Stealer, который функционирует как полнофункциональный похититель информации и Троянская программа для удаленного доступа (RAT).

Cuckoo Stealer устанавливает закрепление с помощью системы macOS LaunchAgent и использует локализованную фильтрацию, чтобы избежать заражения в Содружестве Независимых Государств (СНГ). Он взаимодействует со своим сервером управление (C2) по зашифрованному протоколу HTTPS, используя усовершенствованные механизмы обмена ключами для безопасной передачи данных. Вредоносное ПО проводит обширный сбор данных, нацеливаясь на учетные данные браузера в основных браузерах, уделяя особое внимание тем, которые связаны с приложениями для криптовалютных кошельков. Он также извлекает конфиденциальную информацию пользователя из macOS Связка ключей, Apple Notes и различных приложений для обмена сообщениями, позволяя потенциальному захвату учетной записи путем сбора токенов аутентификации.

Функциональность вредоносное ПО включает просмотр файловой системы в режиме реального времени и эксфильтрация за счет использования двойного канала связи с сервером C2. Он может захватывать и извлекать скриншоты и файлы, специально ориентируясь на пользовательские каталоги, такие как рабочий стол и документы. Кроме того, в нем реализована оперативная мера безопасности, позволяющая отключать системные звуки во время эксфильтрация, чтобы избежать обнаружения пользователем.

Как только Cuckoo Stealer получает команду удаления с сервера C2, он выполняет процедуру самоуничтожения, тщательно удаляя доказательства своего присутствия. Эта кампания не только демонстрирует нацелен подход к краже учетных данных и эксфильтрация данных, но и подчеркивает растущую изощренность злоумышленник в использовании стратегий маскировки для использования надежных рабочих процессов в системах macOS. Сохраняющаяся угроза требует от разработчиков и пользователей macOS повышенной бдительности в отношении целостности используемых установочных сценариев и команд.

#ParsedReport #CompletenessLow
17-02-2026

Kraken Darknet Access via Clearnet Gateways

https://malwr-analysis.com/2026/02/18/kraken-darknet-access-via-clearnet-gateways/

Report completeness: Low

Threats:
Kraken_cryptor

Victims:
Darknet ecosystem users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 28

Languages:
php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования выявили интерфейс авторизации, связанный с даркнетом Kraken, доступный как через обычный интернет, так и через Tor, что позволяет злоумышленникам использовать открытость обычного интернета, сохраняя при этом анонимность даркнета. Такой гибридный доступ может способствовать незаконной деятельности, привлекая более широкую аудиторию и увеличивая риск фишинговых атак и атак с использованием методов социальной инженерии. Слияние угроз из обеих сред вызывает опасения по поводу уязвимостей и необходимости постоянного сбора разведывательной информации для обнаружения и противодействия возникающим киберугрозам.-----

Недавние анализы выявили интерфейс авторизации, связанный с экосистемой даркнета Kraken, доступный как через обычные домены в открытом интернете, так и через сервисы Tor Onion. Эта двойная доступность представляет собой серьезную проблему, поскольку позволяет злоумышленникам использовать более открытую среду открытого интернета, сохраняя при этом анонимность и кажущуюся безопасность, предлагаемые сетью Tor. Злоумышленники могут использовать это для более свободного осуществления незаконной деятельности, используя шлюзы открытого интернета для привлечения более широкой аудитории или облегчения транзакций, которые в противном случае могли бы быть ограничены более анонимными рамками даркнета.

Последствия этого открытия указывают на потенциальные уязвимости, поскольку оно объединяет традиционные угрозы, наблюдаемые как в открытом интернете, так и в даркнете. Пользователи, стремящиеся получить доступ к таким платформам, могут непреднамеренно подвергнуть себя различным киберугрозам, включая попытки фишинга или другие формы социальной инженерии, из-за упрощенной доступности интерфейсов авторизации. Кроме того, простота перехода между этими платформами может позволить киберпреступникам использовать слабые места в мерах кибербезопасности, которые, как правило, более надежны в традиционных средах, но могут менее строго применяться в контексте даркнета.

По мере развития этих событий пользователи и организации, занимающиеся кибербезопасностью, должны осознавать риски, связанные с такой гибридной доступностью. Это указывает на необходимость улучшения мониторинга и защиты в обеих областях для противодействия растущей изощренности злоумышленников, использующих такие методы в противоправных целях. Эта тенденция подчеркивает необходимость постоянного сбора и анализа разведывательной информации для выявления и смягчения возникающих угроз, связанных с пересечением открытого и темного интернет-пространств.

#ParsedReport #CompletenessLow
18-02-2026

Beyond the Backdoor: How Contagious Interview Is Surgically Tampering with MetaMask Wallets

https://sp4rk.medium.com/beyond-the-backdoor-how-contagious-interview-is-surgically-tampering-with-metamask-wallets-0314ae901d85

Report completeness: Low

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated, information_theft)

Threats:
Beavertail
Invisibleferret

Victims:
It professionals, Cryptocurrency sector, Web3 sector, Artificial intelligence sector, Developers, Engineers

Geo:
Dprk, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1041, T1056.002, T1059.006, T1059.007, T1071.001, T1095, T1105, T1195, have more...

IOCs:
IP: 9
Url: 6
File: 8
Hash: 18

Soft:
VSCode, macOS, Linux, KeePass, Chrome

Wallets:
metamask

Crypto:
solana, ethereum

Algorithms:
zip, hmac

Functions:
report, submitPassword

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview, атрибутирован с северокорейскими злоумышленник, нацелена на ИТ-специалистов в области криптовалют, Web3 и искусственного интеллекта, чтобы отфильтровать конфиденциальную финансовую информацию. Он использует двухэтапную атаку с использованием вредоносного JavaScript в троянских пакетах NPM, которые взаимодействуют с серверами управление для загрузки дополнительной полезной нагрузки, включая вредоносное ПО на Python InvisibleFerret и бэкдор для удаленного доступа. Ключевая тактика заключается в компрометации расширения кошелька MetaMask для сбора учетные данные, что является примером сложной многоэтапной стратегии эксфильтрация данных кампании.
-----

Кампания Contagious Interview, связанная с северокорейскими злоумышленник, в настоящее время нацелена на ИТ-специалистов в секторах криптовалют, Web3 и искусственного интеллекта с намерением украсть финансовую информацию и конфиденциальные данные. Эта угроза использует двухэтапную атаку, которая начинается с полезной нагрузки JavaScript, подтверждающей успешное заражение путем отправки маяка на серверы управление (C2) злоумышленников и получения дополнительных сценариев. Эти дополнительные полезные нагрузки включают вредоносное ПО на основе Python с именем InvisibleFerret и два файла JavaScript: один для создания бэкдора удаленного доступа, а другой для идентификации и извлечения конфиденциальных файлов из системы жертвы.

Процесс заражения инициируется с помощью вредоносного JavaScript, закодированного в троянские пакеты NPM, маскирующиеся под законные инструменты, связанные с работой. После выполнения JavaScript подключается к серверу C2 для получения дополнительной полезной нагрузки, включая файл, который загружает конфиденциальные данные, хранящиеся на компьютере жертвы, с акцентом на учетные данные, криптовалютные кошельки и информацию менеджера паролей в нескольких операционных системах. Кампания превратилась в сложную операцию, разделенную на этапы, с систематической фильтрацией конфиденциальных файлов, в том числе связанных с криптовалютой.

Вредоносное ПО извлекает файлы, используя четко определенный шаблон поиска, основанный на ключевых словах, связанных с конфиденциальными данными, в частности, нацеливаясь на документы, относящиеся к криптовалютным кошелькам, настройкам разработки и Закрытые ключи. Кроме того, в campaign используется облегченный бэкдор JavaScript, который позволяет C2 взаимодействовать по определенному протоколу, получать и выполнять команды, включая выборку дополнительных сценариев.

Один из ключевых компонентов связан со взломом расширения кошелька MetaMask, популярного среди пользователей криптовалют. Актор заменяет законное расширение вредоносной версией, которая напрямую захватывает учетные данные кошелька и передает их на сервер C2. Этот процесс манипулирования влечет за собой изменение файлов конфигурации браузера для принудительного внедрения кода злоумышленником.

Цепочка заражения демонстрирует сложную стратегию эксфильтрация данных, которая выполняется в несколько этапов: сначала нацеливание на сохраненные в браузере учетные данные, затем переход к извлечению файлов на основе предопределенных ключевых слов и, в конечном счете, выполнение команд для сбора большего количества данных в соответствии с инструкциями злоумышленник. Вариант вредоносного ПО BeaverTail, использованный в этой кампании, продемонстрировал адаптивность и закрепление, поскольку он продолжает совершенствовать свои методы кражи конфиденциальных данных и средств, связанных с криптовалютой, у жертв.

#ParsedReport #CompletenessLow
18-02-2026

Pwning Malware with Ninjas and Unicorns

https://www.levelblue.com/blogs/spiderlabs-blog/pwning-malware-with-ninjas-and-unicorns

Report completeness: Low

Threats:
Sysupdate

Victims:
Unspecified organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1573, T1608

IOCs:
File: 5

Soft:
Linux, unicorn

Algorithms:
xor

Functions:
main, setup_memory_mappings, write_memory_mappings, generate_key_internal, generate_key, xor_and_UNK_1, setup_registers, setup_xor_unk_decrypt

Languages:
rust

Platforms:
x86

Links:
https://github.com/unicorn-engine/unicorn/tree/master/bindings/rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается обратный инженерный анализ предполагаемого варианта вредоносное ПО для Linux, аналогичного SysUpdate, с акцентом на разработку инструмента для расшифровки трафика управление-командами путем изучения его процедур шифрования. В нем описывается создание эмулятора для модульной обработки ассемблерного кода, который помогает понять алгоритм шифрования вредоносное ПО, в частности процедуры генерации ключей и их воздействие на состояние стека во время выполнения. Такой структурированный подход упрощает процесс анализа различных образец вредоносное ПО.
-----

В статье обсуждается попытка обратного инжиниринга образец вредоносное ПО для Linux, предположительно являющийся новой версией SysUpdate. Основное внимание уделяется разработке инструмента для расшифровки трафика системы управление (C2), в частности, путем анализа процедур шифрования в вредоносное ПО. Автор описывает процесс создания эмулятора для эффективной обработки ассемблерного кода и генерации необходимых инструментов, подчеркивая модульность, позволяющую повторно использовать логику для различных образец вредоносное ПО.

Подход к расшифровке вредоносное ПО основан на понимании алгоритма шифрования, используемого для связи C2. Автор отмечает важность чистого и модульного дизайна в эмуляторе для поддержания организованной логики при сохранении целевых функциональных возможностей. Эта структурированная методология облегчает разработку кода, который может взаимодействовать с различными образец-ми вредоносное ПО, тем самым повышая эффективность будущего анализа.

В статье также подробно описывается создание сопоставления кода, согласованного с адресом критически важных процедур генерации ключей в вредоносное ПО. Важность этого сопоставления заключается в сосредоточении внимания на конкретных функциях в рамках более широкого набора процедур, что помогает понять инкапсулированные процессы шифрования и дешифрования. Представляющие интерес процедуры подробно описаны, в частности, как они влияют на состояние стека во время выполнения; это понимание необходимо для успешного выполнения расшифровки.

#technique

Emoji Smuggling: Hiding Malicious Code in Plain Sight

https://sosintel.co.uk/emoji-smuggling-hiding-malicious-code-in-plain-sight/

#technique #ai #llm

AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks

https://research.checkpoint.com/2026/ai-in-the-middle-turning-web-based-ai-services-into-c2-proxies-the-future-of-ai-driven-attacks/

#ParsedReport #CompletenessHigh
19-02-2026

XWorm Malware Delivered via Fake Financial Receipts Targeting Windows Systems to Steal Logins and Sessions

https://cybersecuritynews.com/xworm-malware-fake-financial-receipts/

Report completeness: High

Threats:
Xworm_rat
Steganography_technique
Lolbin_technique
Stego_loader

Victims:
Windows users

Industry:
Financial

Geo:
Latin american, Brazilian, Brazil, Latam

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1059.001, T1105, T1566.001

IOCs:
File: 2
Url: 3
Command: 3
Path: 2
Domain: 1
IP: 1
Hash: 1

Soft:
Windows Task Scheduler, NET framework

Algorithms:
aes-ecb, base64, sha256, md5

Functions:
TaskService, TaskDefinition

Win API:
ShowWindow

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm - это усовершенствованное вредоносное ПО, нацеленное на системы Windows, использующее тактику обмана, такую как поддельные финансовые квитанции, для облегчения сбор учетных записей. Он использует команды steganography и PowerShell для загрузки замаскированного Вредоносный файл с жестко закодированного URL-адреса Cloudinary. Полезная нагрузка, отображаемая в виде файла .txt, но на самом деле имеющая обратную кодировку Base64 .СЕТЕВОЙ исполняемый файл означает, что вредоносное ПО продолжает развиваться и усиливает его способность обходить меры безопасности.
-----

XWorm - это изощренный вариант вредоносное ПО, который в первую очередь нацелен на системы Windows, используя тактику обмана, такую как поддельные финансовые квитанции, чтобы обманом заставить пользователей загрузить его. Это вредоносное ПО предназначено для кражи логинов и информации о сеансах с зараженных устройств, что указывает на ориентацию на сбор учетных записей. Атака начинается с распространения, казалось бы, безобидной финансовой квитанции, которая при ближайшем рассмотрении становится вектором распространения вредоносное ПО.

Процесс заражения включает расширенное использование steganography, где вредоносное ПО использует команду PowerShell, которая подключается к жестко закодированному URL-адресу, размещенному Cloudinary, легальным сервисом размещения изображений. Эта команда извлекает файл, который маскируется под стандартное изображение в формате JPEG, что затрудняет традиционным мерам безопасности обнаружение вредоносной активности по периметру сети.

При выполнении обнаруживается, что полезная нагрузка, которая обманчиво имеет расширение .txt, имеет обратную кодировку Base64.ЧИСТЫЙ исполняемый файл. Этот компонент XWorm помечен как версия 5.6, что указывает на продолжающуюся разработку и усовершенствование вредоносное ПО. Использование таких методов кодирования позволяет вредоносное ПО скрывать свою истинную природу, что еще больше усложняет усилия по обнаружению.

#ParsedReport #CompletenessHigh
19-02-2026

Beyond Tax Returns: How Shared Malware Infrastructure Scales Brand Abuse In Indonesia

https://www.group-ib.com/blog/indonesia-tax-impersonation-goldfactory-malware

Report completeness: High

Actors/Campaigns:
Goldfactory

Threats:
Gigabud_rat
Mmrat
Taotie
Smishing_technique
Credential_harvesting_technique

Victims:
Tax services, Financial services, Government services, Mobile banking users

Industry:
Foodtech, Energy, Transport, Petroleum, Government, Aerospace, Financial

Geo:
Thailand, South africa, Peru, Vietnam, Indonesia, Indonesian, Philippines

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1059.008, T1078, T1105, T1113, T1204.002, T1219, T1566.002, T1566.004, T1583, have more...

IOCs:
File: 2
Domain: 53
Hash: 27
IP: 7

Soft:
Coretax, WhatsApp, Android

Algorithms:
exhibit, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа угроз GoldFactory инициировала мошенническую кампанию в Индонезии с использованием поддельных приложений Coretax, нацеленную примерно на 67 миллионов граждан во время налогового сезона и причинившую, по оценкам, финансовый ущерб в размере от 1,5 до 2 миллионов долларов США. В операции используется инфраструктура "Вредоносное ПОкак услуга", использующая вредоносное ПО, такое как Gigabud.RAT и MMRat для Имперсонация и банковских операций. Злоумышленники собирают персональные данные путем разведка и используют URL-адреса фишинг, ведущие к вредоносное ПО, кульминацией которых являются голосовые фишинг-атаки для срочных платежей и захвата учетных записей, подчеркивая риски для общественной инфраструктуры, связанные с такой передовой тактикой киберпреступность.
-----

Мошенническая кампания, использующая поддельные приложения Coretax в Индонезии, представляет собой значительную киберугроза, организованную кластером угроз GoldFactory. Появившись одновременно с национальным налоговым сезоном, эта сложная схема началась в июле 2025 года и резко обострилась в январе 2026 года. В первую очередь он использует Имперсонация законной платформы Coretax с целью обмана примерно 67 миллионов граждан, что привело, по оценкам, к финансовому ущербу в размере от 1,5 до 2 миллионов долларов США.

Центральное место в операции занимает использование общей инфраструктуры "Вредоносное ПО как услуга" (MaaS), которая облегчает злоупотребление брендом в нескольких надежных сервисах - по сообщениям, в ходе этой кампании манипулировали более чем 16 брендами. Вредоносное ПО, идентифицированное в рамках фреймворк, включает в себя известные семейства, такие как Gigabud.RAT и MMRat, при этом обнаружено 228 новых вредоносных образец. Гигабайт.RAT предназначен для выдачи себя за правительственные и финансовые организации, в то время как MMRat фокусируется на банковских операциях Android с помощью пользовательских протоколов Управление для эффективной эксфильтрация.

Оперативный фреймворк атаки включает в себя несколько этапов, начиная с разведка с целью сбора личной информации (PII) о потенциальных жертвах. Злоумышленники создают фишинг-URL-адреса, побуждающие жертв загружать вредоносные приложения Coretax. После установки эти приложения замораживают устройство жертвы, чтобы облегчить кражу конфиденциальных данных, за чем следует голосовой фишинг, когда мошенники маскируются под налоговых чиновников, требуя от физических лиц срочных платежей. Эта многоуровневая атака завершается захватом учетных записей и крупными несанкционированными транзакциями, часто проводимыми через сложные сети отмывания денег.

Показатели компрометация показывают, что в атаке использовались недолговечные URL-адреса фишинг, которые трудно отследить, а также применялись поведенческие стратегии обнаружения для выявления аномалий, указывающих на мошенничество. По имеющимся сообщениям, применяемые методологии прогнозного моделирования снизили вероятность успешного мошенничества среди защищенных клиентов до чрезвычайно низкого уровня в 0,027%.

Последствия таких атак выходят за рамки непосредственного Кража денежных средств, демонстрируя, как унифицированная инфраструктура вредоносное ПО может нарушить целостность цифрового ландшафта целой страны. Кампания иллюстрирует продвинутое состояние современной киберпреступность, когда злоумышленник использует комплексную тактику, включающую внедрение вредоносное ПО и методы социальной инженерии, создавая системные риски для национальной общественной инфраструктуры и финансовых экосистем. Этот случай подчеркивает настоятельную необходимость усиления мер по Кибербезопасность среди предприятий, потребителей и регулирующих фреймворк для эффективной борьбы с такими сложными киберугроза.

#ParsedReport #CompletenessHigh
19-02-2026

(Don't) TrustConnect: It's a RAT in an RMM hat

https://www.proofpoint.com/us/blog/threat-insight/dont-trustconnect-its-a-rat

Report completeness: High

Threats:
Trustconnect
Redline_stealer
Docconnect
Simplehelp_tool
Superops_tool
N-able_tool
Logmein_tool
Screenconnect_tool
Uac_bypass_technique
Clickfix_technique
Lumma_stealer
Rhadamanthys

Victims:
Rmm users, Organizations targeted via email campaigns

Industry:
Financial, Government

Geo:
French, Dutch, South africa

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1102, T1553.002, T1566.002, T1583.001, T1608.003

IOCs:
Domain: 8
File: 10
IP: 1
Hash: 3
Url: 6

Soft:
Zoom, Microsoft Teams, NET Core, Telegram, Supabase, SignalR

Crypto:
bitcoin

Algorithms:
sha256

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Proofpoint идентифицировала TrustConnect, вредоносное ПО как сервис, Маскировка которого осуществляется под законный инструмент удаленного мониторинга и управления. Он распространяется через обманчивый веб-сайт и предлагает веб-панель управление (C2) для автоматической генерации полезной нагрузки, продается по подписке за 300 долларов в месяц и принимает платежи в криптовалюте. Вредоносное ПО работает через API-коммуникации и было связано с различными кампаниями, что указывает на циклический характер действий злоумышленник, использующих законные приложения RMM для первоначального доступа к системе.
-----

Proofpoint выявила новое вредоносное ПО как услугу (MaaS) под названием TrustConnect, которое маскируется под законный инструмент удаленного мониторинга и управления (RMM). Это вредоносное ПО продается через веб-сайт, который был создан для имитации страницы входа в реальное приложение RMM. В настоящее время доступ к TrustConnect стоит 300 долларов в месяц, и есть признаки того, что актор, стоящий за этим, также может быть известным пользователем Redline Stealer. Сотрудничество между партнерами по разведке привело к сбоям в инфраструктуре TrustConnect's; однако актор продемонстрировал устойчивость, запустив новый вариант вредоносное ПО под названием DocConnect через альтернативный веб-сайт RMM вскоре после этого.

Инструменты удаленного мониторинга и управления часто нацелен киберпреступниками на первоначальный доступ к системам. Законные приложения RMM, такие как SimpleHelp, SuperOps, Datto и N-able, обычно используются, часто с помощью тактики электронной почты или в качестве вторичной полезной нагрузки после первоначального взлома. Домен, на котором размещено вредоносное ПО, trustconnectsoftware.com , был зарегистрирован 12 января 2026 года и представляет себя как инструмент RMM под названием TrustConnectAgent. Сайт предназначен для введения в заблуждение пользователей и поставщиков сертификатов, размещая сфабрикованную статистику клиентов и документацию по программному обеспечению. Считается, что актор, возможно, использовал большую языковую модель для создания этого убедительного фасада.

TrustConnect наблюдается в экосистеме, где злоумышленник часто переключается между полезными нагрузками, позволяя одному URL-адресу ссылаться на различные формы вредоносное ПО на протяжении всей кампании. Вредоносное ПО было подтверждено как распространяемое 27 января, что совпадает с датой, когда продавец начал использовать цифровую Подпись исполняемого кода программного обеспечения. Было отмечено множество кампаний с участием различных злоумышленник, распространяющих это вредоносное ПО.

Вредоносное ПО предлагает веб-панель управление (C2), которая позволяет автоматически генерировать полезную нагрузку и поддерживает модель подписки, также стоимостью 300 долларов в месяц, при этом транзакции облегчаются с помощью криптовалюты. Этот централизованный сервер C2 управляет операциями для многочисленных клиентов, а связь осуществляется через простой API без какого-либо шифрования, кроме стандартного SSL/TLS. Панель C2 для TrustConnect также содержит контактную информацию для дескриптора Телеграм, который используется для поддержки и продаж.

Появление и функционирование TrustConnect иллюстрируют существенные закономерности в текущей ситуации с угрозами, особенно в том, что касается неправомерного использования и коммерциализации законных инструментов удаленного мониторинга киберпреступниками.