CTT Report Hub
#ParsedReport #CompletenessLow 18-02-2026 Beyond the Backdoor: How Contagious Interview Is Surgically Tampering with MetaMask Wallets https://sp4rk.medium.com/beyond-the-backdoor-how-contagious-interview-is-surgically-tampering-with-metamask-wallets-0314ae901d85…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Contagious Interview, атрибутирован с северокорейскими злоумышленник, нацелена на ИТ-специалистов в области криптовалют, Web3 и искусственного интеллекта, чтобы отфильтровать конфиденциальную финансовую информацию. Он использует двухэтапную атаку с использованием вредоносного JavaScript в троянских пакетах NPM, которые взаимодействуют с серверами управление для загрузки дополнительной полезной нагрузки, включая вредоносное ПО на Python InvisibleFerret и бэкдор для удаленного доступа. Ключевая тактика заключается в компрометации расширения кошелька MetaMask для сбора учетные данные, что является примером сложной многоэтапной стратегии эксфильтрация данных кампании.
-----
Кампания Contagious Interview, связанная с северокорейскими злоумышленник, в настоящее время нацелена на ИТ-специалистов в секторах криптовалют, Web3 и искусственного интеллекта с намерением украсть финансовую информацию и конфиденциальные данные. Эта угроза использует двухэтапную атаку, которая начинается с полезной нагрузки JavaScript, подтверждающей успешное заражение путем отправки маяка на серверы управление (C2) злоумышленников и получения дополнительных сценариев. Эти дополнительные полезные нагрузки включают вредоносное ПО на основе Python с именем InvisibleFerret и два файла JavaScript: один для создания бэкдора удаленного доступа, а другой для идентификации и извлечения конфиденциальных файлов из системы жертвы.
Процесс заражения инициируется с помощью вредоносного JavaScript, закодированного в троянские пакеты NPM, маскирующиеся под законные инструменты, связанные с работой. После выполнения JavaScript подключается к серверу C2 для получения дополнительной полезной нагрузки, включая файл, который загружает конфиденциальные данные, хранящиеся на компьютере жертвы, с акцентом на учетные данные, криптовалютные кошельки и информацию менеджера паролей в нескольких операционных системах. Кампания превратилась в сложную операцию, разделенную на этапы, с систематической фильтрацией конфиденциальных файлов, в том числе связанных с криптовалютой.
Вредоносное ПО извлекает файлы, используя четко определенный шаблон поиска, основанный на ключевых словах, связанных с конфиденциальными данными, в частности, нацеливаясь на документы, относящиеся к криптовалютным кошелькам, настройкам разработки и Закрытые ключи. Кроме того, в campaign используется облегченный бэкдор JavaScript, который позволяет C2 взаимодействовать по определенному протоколу, получать и выполнять команды, включая выборку дополнительных сценариев.
Один из ключевых компонентов связан со взломом расширения кошелька MetaMask, популярного среди пользователей криптовалют. Актор заменяет законное расширение вредоносной версией, которая напрямую захватывает учетные данные кошелька и передает их на сервер C2. Этот процесс манипулирования влечет за собой изменение файлов конфигурации браузера для принудительного внедрения кода злоумышленником.
Цепочка заражения демонстрирует сложную стратегию эксфильтрация данных, которая выполняется в несколько этапов: сначала нацеливание на сохраненные в браузере учетные данные, затем переход к извлечению файлов на основе предопределенных ключевых слов и, в конечном счете, выполнение команд для сбора большего количества данных в соответствии с инструкциями злоумышленник. Вариант вредоносного ПО BeaverTail, использованный в этой кампании, продемонстрировал адаптивность и закрепление, поскольку он продолжает совершенствовать свои методы кражи конфиденциальных данных и средств, связанных с криптовалютой, у жертв.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Contagious Interview, атрибутирован с северокорейскими злоумышленник, нацелена на ИТ-специалистов в области криптовалют, Web3 и искусственного интеллекта, чтобы отфильтровать конфиденциальную финансовую информацию. Он использует двухэтапную атаку с использованием вредоносного JavaScript в троянских пакетах NPM, которые взаимодействуют с серверами управление для загрузки дополнительной полезной нагрузки, включая вредоносное ПО на Python InvisibleFerret и бэкдор для удаленного доступа. Ключевая тактика заключается в компрометации расширения кошелька MetaMask для сбора учетные данные, что является примером сложной многоэтапной стратегии эксфильтрация данных кампании.
-----
Кампания Contagious Interview, связанная с северокорейскими злоумышленник, в настоящее время нацелена на ИТ-специалистов в секторах криптовалют, Web3 и искусственного интеллекта с намерением украсть финансовую информацию и конфиденциальные данные. Эта угроза использует двухэтапную атаку, которая начинается с полезной нагрузки JavaScript, подтверждающей успешное заражение путем отправки маяка на серверы управление (C2) злоумышленников и получения дополнительных сценариев. Эти дополнительные полезные нагрузки включают вредоносное ПО на основе Python с именем InvisibleFerret и два файла JavaScript: один для создания бэкдора удаленного доступа, а другой для идентификации и извлечения конфиденциальных файлов из системы жертвы.
Процесс заражения инициируется с помощью вредоносного JavaScript, закодированного в троянские пакеты NPM, маскирующиеся под законные инструменты, связанные с работой. После выполнения JavaScript подключается к серверу C2 для получения дополнительной полезной нагрузки, включая файл, который загружает конфиденциальные данные, хранящиеся на компьютере жертвы, с акцентом на учетные данные, криптовалютные кошельки и информацию менеджера паролей в нескольких операционных системах. Кампания превратилась в сложную операцию, разделенную на этапы, с систематической фильтрацией конфиденциальных файлов, в том числе связанных с криптовалютой.
Вредоносное ПО извлекает файлы, используя четко определенный шаблон поиска, основанный на ключевых словах, связанных с конфиденциальными данными, в частности, нацеливаясь на документы, относящиеся к криптовалютным кошелькам, настройкам разработки и Закрытые ключи. Кроме того, в campaign используется облегченный бэкдор JavaScript, который позволяет C2 взаимодействовать по определенному протоколу, получать и выполнять команды, включая выборку дополнительных сценариев.
Один из ключевых компонентов связан со взломом расширения кошелька MetaMask, популярного среди пользователей криптовалют. Актор заменяет законное расширение вредоносной версией, которая напрямую захватывает учетные данные кошелька и передает их на сервер C2. Этот процесс манипулирования влечет за собой изменение файлов конфигурации браузера для принудительного внедрения кода злоумышленником.
Цепочка заражения демонстрирует сложную стратегию эксфильтрация данных, которая выполняется в несколько этапов: сначала нацеливание на сохраненные в браузере учетные данные, затем переход к извлечению файлов на основе предопределенных ключевых слов и, в конечном счете, выполнение команд для сбора большего количества данных в соответствии с инструкциями злоумышленник. Вариант вредоносного ПО BeaverTail, использованный в этой кампании, продемонстрировал адаптивность и закрепление, поскольку он продолжает совершенствовать свои методы кражи конфиденциальных данных и средств, связанных с криптовалютой, у жертв.
#ParsedReport #CompletenessLow
18-02-2026
Pwning Malware with Ninjas and Unicorns
https://www.levelblue.com/blogs/spiderlabs-blog/pwning-malware-with-ninjas-and-unicorns
Report completeness: Low
Threats:
Sysupdate
Victims:
Unspecified organizations
ChatGPT TTPs:
T1027, T1573, T1608
IOCs:
File: 5
Soft:
Linux, unicorn
Algorithms:
xor
Functions:
main, setup_memory_mappings, write_memory_mappings, generate_key_internal, generate_key, xor_and_UNK_1, setup_registers, setup_xor_unk_decrypt
Languages:
rust
Platforms:
x86
Links:
18-02-2026
Pwning Malware with Ninjas and Unicorns
https://www.levelblue.com/blogs/spiderlabs-blog/pwning-malware-with-ninjas-and-unicorns
Report completeness: Low
Threats:
Sysupdate
Victims:
Unspecified organizations
ChatGPT TTPs:
do not use without manual checkT1027, T1573, T1608
IOCs:
File: 5
Soft:
Linux, unicorn
Algorithms:
xor
Functions:
main, setup_memory_mappings, write_memory_mappings, generate_key_internal, generate_key, xor_and_UNK_1, setup_registers, setup_xor_unk_decrypt
Languages:
rust
Platforms:
x86
Links:
https://github.com/unicorn-engine/unicorn/tree/master/bindings/rustLevelblue
Pwning Malware with Ninjas and Unicorns
During a DFIR engagement, LevelBlue assisted with reverse-engineering a Linux malware. Then, a tool to decrypt its C2 traffic was developed.
CTT Report Hub
#ParsedReport #CompletenessLow 18-02-2026 Pwning Malware with Ninjas and Unicorns https://www.levelblue.com/blogs/spiderlabs-blog/pwning-malware-with-ninjas-and-unicorns Report completeness: Low Threats: Sysupdate Victims: Unspecified organizations ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье подробно описывается обратный инженерный анализ предполагаемого варианта вредоносное ПО для Linux, аналогичного SysUpdate, с акцентом на разработку инструмента для расшифровки трафика управление-командами путем изучения его процедур шифрования. В нем описывается создание эмулятора для модульной обработки ассемблерного кода, который помогает понять алгоритм шифрования вредоносное ПО, в частности процедуры генерации ключей и их воздействие на состояние стека во время выполнения. Такой структурированный подход упрощает процесс анализа различных образец вредоносное ПО.
-----
В статье обсуждается попытка обратного инжиниринга образец вредоносное ПО для Linux, предположительно являющийся новой версией SysUpdate. Основное внимание уделяется разработке инструмента для расшифровки трафика системы управление (C2), в частности, путем анализа процедур шифрования в вредоносное ПО. Автор описывает процесс создания эмулятора для эффективной обработки ассемблерного кода и генерации необходимых инструментов, подчеркивая модульность, позволяющую повторно использовать логику для различных образец вредоносное ПО.
Подход к расшифровке вредоносное ПО основан на понимании алгоритма шифрования, используемого для связи C2. Автор отмечает важность чистого и модульного дизайна в эмуляторе для поддержания организованной логики при сохранении целевых функциональных возможностей. Эта структурированная методология облегчает разработку кода, который может взаимодействовать с различными образец-ми вредоносное ПО, тем самым повышая эффективность будущего анализа.
В статье также подробно описывается создание сопоставления кода, согласованного с адресом критически важных процедур генерации ключей в вредоносное ПО. Важность этого сопоставления заключается в сосредоточении внимания на конкретных функциях в рамках более широкого набора процедур, что помогает понять инкапсулированные процессы шифрования и дешифрования. Представляющие интерес процедуры подробно описаны, в частности, как они влияют на состояние стека во время выполнения; это понимание необходимо для успешного выполнения расшифровки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье подробно описывается обратный инженерный анализ предполагаемого варианта вредоносное ПО для Linux, аналогичного SysUpdate, с акцентом на разработку инструмента для расшифровки трафика управление-командами путем изучения его процедур шифрования. В нем описывается создание эмулятора для модульной обработки ассемблерного кода, который помогает понять алгоритм шифрования вредоносное ПО, в частности процедуры генерации ключей и их воздействие на состояние стека во время выполнения. Такой структурированный подход упрощает процесс анализа различных образец вредоносное ПО.
-----
В статье обсуждается попытка обратного инжиниринга образец вредоносное ПО для Linux, предположительно являющийся новой версией SysUpdate. Основное внимание уделяется разработке инструмента для расшифровки трафика системы управление (C2), в частности, путем анализа процедур шифрования в вредоносное ПО. Автор описывает процесс создания эмулятора для эффективной обработки ассемблерного кода и генерации необходимых инструментов, подчеркивая модульность, позволяющую повторно использовать логику для различных образец вредоносное ПО.
Подход к расшифровке вредоносное ПО основан на понимании алгоритма шифрования, используемого для связи C2. Автор отмечает важность чистого и модульного дизайна в эмуляторе для поддержания организованной логики при сохранении целевых функциональных возможностей. Эта структурированная методология облегчает разработку кода, который может взаимодействовать с различными образец-ми вредоносное ПО, тем самым повышая эффективность будущего анализа.
В статье также подробно описывается создание сопоставления кода, согласованного с адресом критически важных процедур генерации ключей в вредоносное ПО. Важность этого сопоставления заключается в сосредоточении внимания на конкретных функциях в рамках более широкого набора процедур, что помогает понять инкапсулированные процессы шифрования и дешифрования. Представляющие интерес процедуры подробно описаны, в частности, как они влияют на состояние стека во время выполнения; это понимание необходимо для успешного выполнения расшифровки.
#technique
Emoji Smuggling: Hiding Malicious Code in Plain Sight
https://sosintel.co.uk/emoji-smuggling-hiding-malicious-code-in-plain-sight/
Emoji Smuggling: Hiding Malicious Code in Plain Sight
https://sosintel.co.uk/emoji-smuggling-hiding-malicious-code-in-plain-sight/
SOS Intelligence
Emoji Smuggling: Hiding Malicious Code in Plain Sight - SOS Intelligence
Emoji smuggling represents an emerging technique where attackers exploit Unicode encoding and emoji characters to conceal malicious code.
#technique #ai #llm
AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks
https://research.checkpoint.com/2026/ai-in-the-middle-turning-web-based-ai-services-into-c2-proxies-the-future-of-ai-driven-attacks/
AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks
https://research.checkpoint.com/2026/ai-in-the-middle-turning-web-based-ai-services-into-c2-proxies-the-future-of-ai-driven-attacks/
Check Point Research
AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks - Check Point Research
Key Points Introduction AI is rapidly becoming embedded in day-to-day enterprise workflows, inside browsers, collaboration suites, and developer tooling. As a result, AI service domains increasingly blend into normal corporate traffic, often allowed by default…
#ParsedReport #CompletenessHigh
19-02-2026
XWorm Malware Delivered via Fake Financial Receipts Targeting Windows Systems to Steal Logins and Sessions
https://cybersecuritynews.com/xworm-malware-fake-financial-receipts/
Report completeness: High
Threats:
Xworm_rat
Steganography_technique
Lolbin_technique
Stego_loader
Victims:
Windows users
Industry:
Financial
Geo:
Latin american, Brazilian, Brazil, Latam
ChatGPT TTPs:
T1027, T1027.003, T1036, T1059.001, T1105, T1566.001
IOCs:
File: 2
Url: 3
Command: 3
Path: 2
Domain: 1
IP: 1
Hash: 1
Soft:
Windows Task Scheduler, NET framework
Algorithms:
aes-ecb, base64, sha256, md5
Functions:
TaskService, TaskDefinition
Win API:
ShowWindow
Languages:
powershell, javascript
19-02-2026
XWorm Malware Delivered via Fake Financial Receipts Targeting Windows Systems to Steal Logins and Sessions
https://cybersecuritynews.com/xworm-malware-fake-financial-receipts/
Report completeness: High
Threats:
Xworm_rat
Steganography_technique
Lolbin_technique
Stego_loader
Victims:
Windows users
Industry:
Financial
Geo:
Latin american, Brazilian, Brazil, Latam
ChatGPT TTPs:
do not use without manual checkT1027, T1027.003, T1036, T1059.001, T1105, T1566.001
IOCs:
File: 2
Url: 3
Command: 3
Path: 2
Domain: 1
IP: 1
Hash: 1
Soft:
Windows Task Scheduler, NET framework
Algorithms:
aes-ecb, base64, sha256, md5
Functions:
TaskService, TaskDefinition
Win API:
ShowWindow
Languages:
powershell, javascript
Cyber Security News
XWorm Malware Delivered via Fake Financial Receipts Targeting Windows Systems to Steal Logins and Sessions
A multi-stage XWorm malware campaign uses fake bank receipts and a fileless execution technique to steal logins and hijack sessions on Windows systems. Learn how the attack unfolds.
CTT Report Hub
#ParsedReport #CompletenessHigh 19-02-2026 XWorm Malware Delivered via Fake Financial Receipts Targeting Windows Systems to Steal Logins and Sessions https://cybersecuritynews.com/xworm-malware-fake-financial-receipts/ Report completeness: High Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
XWorm - это усовершенствованное вредоносное ПО, нацеленное на системы Windows, использующее тактику обмана, такую как поддельные финансовые квитанции, для облегчения сбор учетных записей. Он использует команды steganography и PowerShell для загрузки замаскированного Вредоносный файл с жестко закодированного URL-адреса Cloudinary. Полезная нагрузка, отображаемая в виде файла .txt, но на самом деле имеющая обратную кодировку Base64 .СЕТЕВОЙ исполняемый файл означает, что вредоносное ПО продолжает развиваться и усиливает его способность обходить меры безопасности.
-----
XWorm - это изощренный вариант вредоносное ПО, который в первую очередь нацелен на системы Windows, используя тактику обмана, такую как поддельные финансовые квитанции, чтобы обманом заставить пользователей загрузить его. Это вредоносное ПО предназначено для кражи логинов и информации о сеансах с зараженных устройств, что указывает на ориентацию на сбор учетных записей. Атака начинается с распространения, казалось бы, безобидной финансовой квитанции, которая при ближайшем рассмотрении становится вектором распространения вредоносное ПО.
Процесс заражения включает расширенное использование steganography, где вредоносное ПО использует команду PowerShell, которая подключается к жестко закодированному URL-адресу, размещенному Cloudinary, легальным сервисом размещения изображений. Эта команда извлекает файл, который маскируется под стандартное изображение в формате JPEG, что затрудняет традиционным мерам безопасности обнаружение вредоносной активности по периметру сети.
При выполнении обнаруживается, что полезная нагрузка, которая обманчиво имеет расширение .txt, имеет обратную кодировку Base64.ЧИСТЫЙ исполняемый файл. Этот компонент XWorm помечен как версия 5.6, что указывает на продолжающуюся разработку и усовершенствование вредоносное ПО. Использование таких методов кодирования позволяет вредоносное ПО скрывать свою истинную природу, что еще больше усложняет усилия по обнаружению.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
XWorm - это усовершенствованное вредоносное ПО, нацеленное на системы Windows, использующее тактику обмана, такую как поддельные финансовые квитанции, для облегчения сбор учетных записей. Он использует команды steganography и PowerShell для загрузки замаскированного Вредоносный файл с жестко закодированного URL-адреса Cloudinary. Полезная нагрузка, отображаемая в виде файла .txt, но на самом деле имеющая обратную кодировку Base64 .СЕТЕВОЙ исполняемый файл означает, что вредоносное ПО продолжает развиваться и усиливает его способность обходить меры безопасности.
-----
XWorm - это изощренный вариант вредоносное ПО, который в первую очередь нацелен на системы Windows, используя тактику обмана, такую как поддельные финансовые квитанции, чтобы обманом заставить пользователей загрузить его. Это вредоносное ПО предназначено для кражи логинов и информации о сеансах с зараженных устройств, что указывает на ориентацию на сбор учетных записей. Атака начинается с распространения, казалось бы, безобидной финансовой квитанции, которая при ближайшем рассмотрении становится вектором распространения вредоносное ПО.
Процесс заражения включает расширенное использование steganography, где вредоносное ПО использует команду PowerShell, которая подключается к жестко закодированному URL-адресу, размещенному Cloudinary, легальным сервисом размещения изображений. Эта команда извлекает файл, который маскируется под стандартное изображение в формате JPEG, что затрудняет традиционным мерам безопасности обнаружение вредоносной активности по периметру сети.
При выполнении обнаруживается, что полезная нагрузка, которая обманчиво имеет расширение .txt, имеет обратную кодировку Base64.ЧИСТЫЙ исполняемый файл. Этот компонент XWorm помечен как версия 5.6, что указывает на продолжающуюся разработку и усовершенствование вредоносное ПО. Использование таких методов кодирования позволяет вредоносное ПО скрывать свою истинную природу, что еще больше усложняет усилия по обнаружению.
#ParsedReport #CompletenessHigh
19-02-2026
Beyond Tax Returns: How Shared Malware Infrastructure Scales Brand Abuse In Indonesia
https://www.group-ib.com/blog/indonesia-tax-impersonation-goldfactory-malware
Report completeness: High
Actors/Campaigns:
Goldfactory
Threats:
Gigabud_rat
Mmrat
Taotie
Smishing_technique
Credential_harvesting_technique
Victims:
Tax services, Financial services, Government services, Mobile banking users
Industry:
Foodtech, Energy, Transport, Petroleum, Government, Aerospace, Financial
Geo:
Thailand, South africa, Peru, Vietnam, Indonesia, Indonesian, Philippines
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1059.008, T1078, T1105, T1113, T1204.002, T1219, T1566.002, T1566.004, T1583, have more...
IOCs:
File: 2
Domain: 53
Hash: 27
IP: 7
Soft:
Coretax, WhatsApp, Android
Algorithms:
exhibit, sha1
19-02-2026
Beyond Tax Returns: How Shared Malware Infrastructure Scales Brand Abuse In Indonesia
https://www.group-ib.com/blog/indonesia-tax-impersonation-goldfactory-malware
Report completeness: High
Actors/Campaigns:
Goldfactory
Threats:
Gigabud_rat
Mmrat
Taotie
Smishing_technique
Credential_harvesting_technique
Victims:
Tax services, Financial services, Government services, Mobile banking users
Industry:
Foodtech, Energy, Transport, Petroleum, Government, Aerospace, Financial
Geo:
Thailand, South africa, Peru, Vietnam, Indonesia, Indonesian, Philippines
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1059.008, T1078, T1105, T1113, T1204.002, T1219, T1566.002, T1566.004, T1583, have more...
IOCs:
File: 2
Domain: 53
Hash: 27
IP: 7
Soft:
Coretax, WhatsApp, Android
Algorithms:
exhibit, sha1
Group-IB
Beyond Tax Returns: How Shared Malware Infrastructure Scales Brand Abuse In Indonesia
It’s tax season in Indonesia and fraudsters are observed to be ramping up the fraud campaign involving fake Coretax apps, but behind it lies an industrialized MaaS infrastructure ready to strike anywhere.
CTT Report Hub
#ParsedReport #CompletenessHigh 19-02-2026 Beyond Tax Returns: How Shared Malware Infrastructure Scales Brand Abuse In Indonesia https://www.group-ib.com/blog/indonesia-tax-impersonation-goldfactory-malware Report completeness: High Actors/Campaigns: Goldfactory…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа угроз GoldFactory инициировала мошенническую кампанию в Индонезии с использованием поддельных приложений Coretax, нацеленную примерно на 67 миллионов граждан во время налогового сезона и причинившую, по оценкам, финансовый ущерб в размере от 1,5 до 2 миллионов долларов США. В операции используется инфраструктура "Вредоносное ПОкак услуга", использующая вредоносное ПО, такое как Gigabud.RAT и MMRat для Имперсонация и банковских операций. Злоумышленники собирают персональные данные путем разведка и используют URL-адреса фишинг, ведущие к вредоносное ПО, кульминацией которых являются голосовые фишинг-атаки для срочных платежей и захвата учетных записей, подчеркивая риски для общественной инфраструктуры, связанные с такой передовой тактикой киберпреступность.
-----
Мошенническая кампания, использующая поддельные приложения Coretax в Индонезии, представляет собой значительную киберугроза, организованную кластером угроз GoldFactory. Появившись одновременно с национальным налоговым сезоном, эта сложная схема началась в июле 2025 года и резко обострилась в январе 2026 года. В первую очередь он использует Имперсонация законной платформы Coretax с целью обмана примерно 67 миллионов граждан, что привело, по оценкам, к финансовому ущербу в размере от 1,5 до 2 миллионов долларов США.
Центральное место в операции занимает использование общей инфраструктуры "Вредоносное ПО как услуга" (MaaS), которая облегчает злоупотребление брендом в нескольких надежных сервисах - по сообщениям, в ходе этой кампании манипулировали более чем 16 брендами. Вредоносное ПО, идентифицированное в рамках фреймворк, включает в себя известные семейства, такие как Gigabud.RAT и MMRat, при этом обнаружено 228 новых вредоносных образец. Гигабайт.RAT предназначен для выдачи себя за правительственные и финансовые организации, в то время как MMRat фокусируется на банковских операциях Android с помощью пользовательских протоколов Управление для эффективной эксфильтрация.
Оперативный фреймворк атаки включает в себя несколько этапов, начиная с разведка с целью сбора личной информации (PII) о потенциальных жертвах. Злоумышленники создают фишинг-URL-адреса, побуждающие жертв загружать вредоносные приложения Coretax. После установки эти приложения замораживают устройство жертвы, чтобы облегчить кражу конфиденциальных данных, за чем следует голосовой фишинг, когда мошенники маскируются под налоговых чиновников, требуя от физических лиц срочных платежей. Эта многоуровневая атака завершается захватом учетных записей и крупными несанкционированными транзакциями, часто проводимыми через сложные сети отмывания денег.
Показатели компрометация показывают, что в атаке использовались недолговечные URL-адреса фишинг, которые трудно отследить, а также применялись поведенческие стратегии обнаружения для выявления аномалий, указывающих на мошенничество. По имеющимся сообщениям, применяемые методологии прогнозного моделирования снизили вероятность успешного мошенничества среди защищенных клиентов до чрезвычайно низкого уровня в 0,027%.
Последствия таких атак выходят за рамки непосредственного Кража денежных средств, демонстрируя, как унифицированная инфраструктура вредоносное ПО может нарушить целостность цифрового ландшафта целой страны. Кампания иллюстрирует продвинутое состояние современной киберпреступность, когда злоумышленник использует комплексную тактику, включающую внедрение вредоносное ПО и методы социальной инженерии, создавая системные риски для национальной общественной инфраструктуры и финансовых экосистем. Этот случай подчеркивает настоятельную необходимость усиления мер по Кибербезопасность среди предприятий, потребителей и регулирующих фреймворк для эффективной борьбы с такими сложными киберугроза.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа угроз GoldFactory инициировала мошенническую кампанию в Индонезии с использованием поддельных приложений Coretax, нацеленную примерно на 67 миллионов граждан во время налогового сезона и причинившую, по оценкам, финансовый ущерб в размере от 1,5 до 2 миллионов долларов США. В операции используется инфраструктура "Вредоносное ПОкак услуга", использующая вредоносное ПО, такое как Gigabud.RAT и MMRat для Имперсонация и банковских операций. Злоумышленники собирают персональные данные путем разведка и используют URL-адреса фишинг, ведущие к вредоносное ПО, кульминацией которых являются голосовые фишинг-атаки для срочных платежей и захвата учетных записей, подчеркивая риски для общественной инфраструктуры, связанные с такой передовой тактикой киберпреступность.
-----
Мошенническая кампания, использующая поддельные приложения Coretax в Индонезии, представляет собой значительную киберугроза, организованную кластером угроз GoldFactory. Появившись одновременно с национальным налоговым сезоном, эта сложная схема началась в июле 2025 года и резко обострилась в январе 2026 года. В первую очередь он использует Имперсонация законной платформы Coretax с целью обмана примерно 67 миллионов граждан, что привело, по оценкам, к финансовому ущербу в размере от 1,5 до 2 миллионов долларов США.
Центральное место в операции занимает использование общей инфраструктуры "Вредоносное ПО как услуга" (MaaS), которая облегчает злоупотребление брендом в нескольких надежных сервисах - по сообщениям, в ходе этой кампании манипулировали более чем 16 брендами. Вредоносное ПО, идентифицированное в рамках фреймворк, включает в себя известные семейства, такие как Gigabud.RAT и MMRat, при этом обнаружено 228 новых вредоносных образец. Гигабайт.RAT предназначен для выдачи себя за правительственные и финансовые организации, в то время как MMRat фокусируется на банковских операциях Android с помощью пользовательских протоколов Управление для эффективной эксфильтрация.
Оперативный фреймворк атаки включает в себя несколько этапов, начиная с разведка с целью сбора личной информации (PII) о потенциальных жертвах. Злоумышленники создают фишинг-URL-адреса, побуждающие жертв загружать вредоносные приложения Coretax. После установки эти приложения замораживают устройство жертвы, чтобы облегчить кражу конфиденциальных данных, за чем следует голосовой фишинг, когда мошенники маскируются под налоговых чиновников, требуя от физических лиц срочных платежей. Эта многоуровневая атака завершается захватом учетных записей и крупными несанкционированными транзакциями, часто проводимыми через сложные сети отмывания денег.
Показатели компрометация показывают, что в атаке использовались недолговечные URL-адреса фишинг, которые трудно отследить, а также применялись поведенческие стратегии обнаружения для выявления аномалий, указывающих на мошенничество. По имеющимся сообщениям, применяемые методологии прогнозного моделирования снизили вероятность успешного мошенничества среди защищенных клиентов до чрезвычайно низкого уровня в 0,027%.
Последствия таких атак выходят за рамки непосредственного Кража денежных средств, демонстрируя, как унифицированная инфраструктура вредоносное ПО может нарушить целостность цифрового ландшафта целой страны. Кампания иллюстрирует продвинутое состояние современной киберпреступность, когда злоумышленник использует комплексную тактику, включающую внедрение вредоносное ПО и методы социальной инженерии, создавая системные риски для национальной общественной инфраструктуры и финансовых экосистем. Этот случай подчеркивает настоятельную необходимость усиления мер по Кибербезопасность среди предприятий, потребителей и регулирующих фреймворк для эффективной борьбы с такими сложными киберугроза.
#ParsedReport #CompletenessHigh
19-02-2026
(Don't) TrustConnect: It's a RAT in an RMM hat
https://www.proofpoint.com/us/blog/threat-insight/dont-trustconnect-its-a-rat
Report completeness: High
Threats:
Trustconnect
Redline_stealer
Docconnect
Simplehelp_tool
Superops_tool
N-able_tool
Logmein_tool
Screenconnect_tool
Uac_bypass_technique
Clickfix_technique
Lumma_stealer
Rhadamanthys
Victims:
Rmm users, Organizations targeted via email campaigns
Industry:
Financial, Government
Geo:
French, Dutch, South africa
ChatGPT TTPs:
T1036, T1071.001, T1102, T1553.002, T1566.002, T1583.001, T1608.003
IOCs:
Domain: 8
File: 10
IP: 1
Hash: 3
Url: 6
Soft:
Zoom, Microsoft Teams, NET Core, Telegram, Supabase, SignalR
Crypto:
bitcoin
Algorithms:
sha256
Languages:
javascript, powershell
19-02-2026
(Don't) TrustConnect: It's a RAT in an RMM hat
https://www.proofpoint.com/us/blog/threat-insight/dont-trustconnect-its-a-rat
Report completeness: High
Threats:
Trustconnect
Redline_stealer
Docconnect
Simplehelp_tool
Superops_tool
N-able_tool
Logmein_tool
Screenconnect_tool
Uac_bypass_technique
Clickfix_technique
Lumma_stealer
Rhadamanthys
Victims:
Rmm users, Organizations targeted via email campaigns
Industry:
Financial, Government
Geo:
French, Dutch, South africa
ChatGPT TTPs:
do not use without manual checkT1036, T1071.001, T1102, T1553.002, T1566.002, T1583.001, T1608.003
IOCs:
Domain: 8
File: 10
IP: 1
Hash: 3
Url: 6
Soft:
Zoom, Microsoft Teams, NET Core, Telegram, Supabase, SignalR
Crypto:
bitcoin
Algorithms:
sha256
Languages:
javascript, powershell
Proofpoint
(Don't) TrustConnect: It's a RAT in an RMM hat | Proofpoint US
Key findings Proofpoint observed a new malware-as-a-service (MaaS) masquerading as a legitimate remote monitoring and management (RMM) tool. It calls itself TrustConnect.
CTT Report Hub
#ParsedReport #CompletenessHigh 19-02-2026 (Don't) TrustConnect: It's a RAT in an RMM hat https://www.proofpoint.com/us/blog/threat-insight/dont-trustconnect-its-a-rat Report completeness: High Threats: Trustconnect Redline_stealer Docconnect Simplehelp_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Proofpoint идентифицировала TrustConnect, вредоносное ПО как сервис, Маскировка которого осуществляется под законный инструмент удаленного мониторинга и управления. Он распространяется через обманчивый веб-сайт и предлагает веб-панель управление (C2) для автоматической генерации полезной нагрузки, продается по подписке за 300 долларов в месяц и принимает платежи в криптовалюте. Вредоносное ПО работает через API-коммуникации и было связано с различными кампаниями, что указывает на циклический характер действий злоумышленник, использующих законные приложения RMM для первоначального доступа к системе.
-----
Proofpoint выявила новое вредоносное ПО как услугу (MaaS) под названием TrustConnect, которое маскируется под законный инструмент удаленного мониторинга и управления (RMM). Это вредоносное ПО продается через веб-сайт, который был создан для имитации страницы входа в реальное приложение RMM. В настоящее время доступ к TrustConnect стоит 300 долларов в месяц, и есть признаки того, что актор, стоящий за этим, также может быть известным пользователем Redline Stealer. Сотрудничество между партнерами по разведке привело к сбоям в инфраструктуре TrustConnect's; однако актор продемонстрировал устойчивость, запустив новый вариант вредоносное ПО под названием DocConnect через альтернативный веб-сайт RMM вскоре после этого.
Инструменты удаленного мониторинга и управления часто нацелен киберпреступниками на первоначальный доступ к системам. Законные приложения RMM, такие как SimpleHelp, SuperOps, Datto и N-able, обычно используются, часто с помощью тактики электронной почты или в качестве вторичной полезной нагрузки после первоначального взлома. Домен, на котором размещено вредоносное ПО, trustconnectsoftware.com , был зарегистрирован 12 января 2026 года и представляет себя как инструмент RMM под названием TrustConnectAgent. Сайт предназначен для введения в заблуждение пользователей и поставщиков сертификатов, размещая сфабрикованную статистику клиентов и документацию по программному обеспечению. Считается, что актор, возможно, использовал большую языковую модель для создания этого убедительного фасада.
TrustConnect наблюдается в экосистеме, где злоумышленник часто переключается между полезными нагрузками, позволяя одному URL-адресу ссылаться на различные формы вредоносное ПО на протяжении всей кампании. Вредоносное ПО было подтверждено как распространяемое 27 января, что совпадает с датой, когда продавец начал использовать цифровую Подпись исполняемого кода программного обеспечения. Было отмечено множество кампаний с участием различных злоумышленник, распространяющих это вредоносное ПО.
Вредоносное ПО предлагает веб-панель управление (C2), которая позволяет автоматически генерировать полезную нагрузку и поддерживает модель подписки, также стоимостью 300 долларов в месяц, при этом транзакции облегчаются с помощью криптовалюты. Этот централизованный сервер C2 управляет операциями для многочисленных клиентов, а связь осуществляется через простой API без какого-либо шифрования, кроме стандартного SSL/TLS. Панель C2 для TrustConnect также содержит контактную информацию для дескриптора Телеграм, который используется для поддержки и продаж.
Появление и функционирование TrustConnect иллюстрируют существенные закономерности в текущей ситуации с угрозами, особенно в том, что касается неправомерного использования и коммерциализации законных инструментов удаленного мониторинга киберпреступниками.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Proofpoint идентифицировала TrustConnect, вредоносное ПО как сервис, Маскировка которого осуществляется под законный инструмент удаленного мониторинга и управления. Он распространяется через обманчивый веб-сайт и предлагает веб-панель управление (C2) для автоматической генерации полезной нагрузки, продается по подписке за 300 долларов в месяц и принимает платежи в криптовалюте. Вредоносное ПО работает через API-коммуникации и было связано с различными кампаниями, что указывает на циклический характер действий злоумышленник, использующих законные приложения RMM для первоначального доступа к системе.
-----
Proofpoint выявила новое вредоносное ПО как услугу (MaaS) под названием TrustConnect, которое маскируется под законный инструмент удаленного мониторинга и управления (RMM). Это вредоносное ПО продается через веб-сайт, который был создан для имитации страницы входа в реальное приложение RMM. В настоящее время доступ к TrustConnect стоит 300 долларов в месяц, и есть признаки того, что актор, стоящий за этим, также может быть известным пользователем Redline Stealer. Сотрудничество между партнерами по разведке привело к сбоям в инфраструктуре TrustConnect's; однако актор продемонстрировал устойчивость, запустив новый вариант вредоносное ПО под названием DocConnect через альтернативный веб-сайт RMM вскоре после этого.
Инструменты удаленного мониторинга и управления часто нацелен киберпреступниками на первоначальный доступ к системам. Законные приложения RMM, такие как SimpleHelp, SuperOps, Datto и N-able, обычно используются, часто с помощью тактики электронной почты или в качестве вторичной полезной нагрузки после первоначального взлома. Домен, на котором размещено вредоносное ПО, trustconnectsoftware.com , был зарегистрирован 12 января 2026 года и представляет себя как инструмент RMM под названием TrustConnectAgent. Сайт предназначен для введения в заблуждение пользователей и поставщиков сертификатов, размещая сфабрикованную статистику клиентов и документацию по программному обеспечению. Считается, что актор, возможно, использовал большую языковую модель для создания этого убедительного фасада.
TrustConnect наблюдается в экосистеме, где злоумышленник часто переключается между полезными нагрузками, позволяя одному URL-адресу ссылаться на различные формы вредоносное ПО на протяжении всей кампании. Вредоносное ПО было подтверждено как распространяемое 27 января, что совпадает с датой, когда продавец начал использовать цифровую Подпись исполняемого кода программного обеспечения. Было отмечено множество кампаний с участием различных злоумышленник, распространяющих это вредоносное ПО.
Вредоносное ПО предлагает веб-панель управление (C2), которая позволяет автоматически генерировать полезную нагрузку и поддерживает модель подписки, также стоимостью 300 долларов в месяц, при этом транзакции облегчаются с помощью криптовалюты. Этот централизованный сервер C2 управляет операциями для многочисленных клиентов, а связь осуществляется через простой API без какого-либо шифрования, кроме стандартного SSL/TLS. Панель C2 для TrustConnect также содержит контактную информацию для дескриптора Телеграм, который используется для поддержки и продаж.
Появление и функционирование TrustConnect иллюстрируют существенные закономерности в текущей ситуации с угрозами, особенно в том, что касается неправомерного использования и коммерциализации законных инструментов удаленного мониторинга киберпреступниками.
#ParsedReport #CompletenessMedium
19-02-2026
Technical Deep Dive: The Monero Mining Campaign
https://www.trellix.com/blogs/research/technical-deep-dive-the-monero-mining-campaign/
Report completeness: Medium
Threats:
Coinhive_miner
Xmrig_miner
Timebomb_technique
Typosquatting_technique
Byovd_technique
Hydra
Dll_sideloading_technique
Victims:
Consumers, Enterprises, General users
Industry:
Healthcare
CVEs:
CVE-2020-14979 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- evga precision_x1 (le1.0.6)
- winring0_project winring0 (1.2.0)
TTPs:
Tactics: 7
Technics: 17
IOCs:
Hash: 9
File: 9
Path: 6
Coin: 1
Registry: 1
Soft:
Microsoft Edge, Windows Explorer, Windows kernel, BinDiff, Windows Defender Application Control, Windows Service
Crypto:
monero, bitcoin
Algorithms:
sha256, md5, exhibit, randomx
Functions:
It, Loop
Win API:
TerminateProcess, DeleteFileW, GetModuleFileNameW, CopyFileW, FindResourceW, LoadResource, LockResource, SetFileAttributesW, GetTickCount64, Process32First, have more...
Platforms:
intel
19-02-2026
Technical Deep Dive: The Monero Mining Campaign
https://www.trellix.com/blogs/research/technical-deep-dive-the-monero-mining-campaign/
Report completeness: Medium
Threats:
Coinhive_miner
Xmrig_miner
Timebomb_technique
Typosquatting_technique
Byovd_technique
Hydra
Dll_sideloading_technique
Victims:
Consumers, Enterprises, General users
Industry:
Healthcare
CVEs:
CVE-2020-14979 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- evga precision_x1 (le1.0.6)
- winring0_project winring0 (1.2.0)
TTPs:
Tactics: 7
Technics: 17
IOCs:
Hash: 9
File: 9
Path: 6
Coin: 1
Registry: 1
Soft:
Microsoft Edge, Windows Explorer, Windows kernel, BinDiff, Windows Defender Application Control, Windows Service
Crypto:
monero, bitcoin
Algorithms:
sha256, md5, exhibit, randomx
Functions:
It, Loop
Win API:
TerminateProcess, DeleteFileW, GetModuleFileNameW, CopyFileW, FindResourceW, LoadResource, LockResource, SetFileAttributesW, GetTickCount64, Process32First, have more...
Platforms:
intel
Trellix
Technical Deep Dive: The Monero Mining Campaign
In the contemporary threat landscape, while ransomware grabs headlines with high-impact disruptions, cryptojacking operations have quietly evolved into sophisticated, persistent threats.
CTT Report Hub
#ParsedReport #CompletenessMedium 19-02-2026 Technical Deep Dive: The Monero Mining Campaign https://www.trellix.com/blogs/research/technical-deep-dive-the-monero-mining-campaign/ Report completeness: Medium Threats: Coinhive_miner Xmrig_miner Timebomb_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по криптоджекинг демонстрирует продвинутую тактику вредоносное ПО, в основном основанную на "Explorer.exe ," который организует заражение как постоянный конечный автомат. Он использует "Совместимость с Microsoft Telemetry.exe " в качестве оболочки для программного обеспечения для майнинга XMRig, использующего такие методы, как typosquatting и DLL sideloading, чтобы избежать обнаружения. Примечательно, что он использует WinRing0x64.sys драйвер для получения доступа на уровне ядра, расширяющий его необнаруживаемую функциональность при максимальном повышении эффективности майнинга, и имеет агрессивные методы распространения, включая использование съемных носителей для распространения.
-----
Подробный криминалистический анализ кампании криптоджекинг демонстрирует растущую изощренность таких угроз, особенно в том, как они обеспечивают закрепление и максимизируют эффективность майнинга для злоумышленников. Эта кампания сосредоточена вокруг основного компонента, получившего название "вредоносное ПО".Explorer.exe ," функционирующий как механизм контроля инфекции. В отличие от традиционного вредоносное ПО, этот вариант работает как постоянный конечный автомат, адаптируя свою роль на основе входных данных командной строки. Это позволяет ит-отделу управлять установкой, мониторингом и выполнением полезной нагрузки интеллектуального анализа данных, которая выполняется под видом законной операции Windows.
По своей сути, эта кампания опирается на два основных компонента: "Explorer.exe " управляет общей оркестровкой, в то время как "Совместимость с Microsoft Telemetry.exe " служит замаскированной оболочкой для программного обеспечения для майнинга XMRig. Вредоносное ПО использует такие стратегии, как typosquatting, чтобы внедриться в законные системные процессы, тем самым избегая обнаружения. Кроме того, он использует DLL sideloading для выполнения интеллектуального кода, сохраняя разделение между загрузчиком и полезной нагрузкой для удобства обновления или внесения изменений.
Примечательной особенностью является интеграция в вредоносное ПО технологии "Принесите свой собственный уязвимый драйвер" (BYOVD), в частности, использующей WinRing0x64.sys драйвер. Эта эксплуатация позволяет вредоносное ПО получать доступ к привилегиям на уровне ядра, что повышает его способность работать незамеченным при оптимизации процесса интеллектуального анализа данных. Вредоносное ПО отключает определенные функции процессора для повышения эффективности майнинга, демонстрируя стратегический подход к использованию ресурсов.
В дополнение к своей основной функции майнинга, вредоносное ПО обладает агрессивными возможностями распространения, функционируя не только как троян, но и как Worm. Он активно стремится распространиться на другие системы через съемные носители, используя пассивный прослушиватель для обнаружения изменений в устройстве, не создавая высокой активности процессора, которая могла бы насторожить пользователей или системы безопасности. Используя обманчивую процедуру очистки и временный "переключатель уничтожения", вредоносное ПО обеспечивает жесткий контроль своего жизненного цикла и может удалять следы своего присутствия, чтобы избежать расследования после заражения.
Наконец, стратегическое резервирование с помощью нескольких сторожевых процессов помогает закрепление вредоносное ПО даже после попыток прекратить его работу, поскольку эти сторожевые программы могут перезапустить основной механизм управления. Сложный дизайн и многогранное функционирование этой кампании по криптоджекинг подчеркивают продолжающуюся эволюцию и изощренность угроз, нацеленных на вычислительные ресурсы организации, подчеркивая необходимость надежных мер безопасности, способных идентифицировать и нейтрализовать такое продвинутое вредоносное ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по криптоджекинг демонстрирует продвинутую тактику вредоносное ПО, в основном основанную на "Explorer.exe ," который организует заражение как постоянный конечный автомат. Он использует "Совместимость с Microsoft Telemetry.exe " в качестве оболочки для программного обеспечения для майнинга XMRig, использующего такие методы, как typosquatting и DLL sideloading, чтобы избежать обнаружения. Примечательно, что он использует WinRing0x64.sys драйвер для получения доступа на уровне ядра, расширяющий его необнаруживаемую функциональность при максимальном повышении эффективности майнинга, и имеет агрессивные методы распространения, включая использование съемных носителей для распространения.
-----
Подробный криминалистический анализ кампании криптоджекинг демонстрирует растущую изощренность таких угроз, особенно в том, как они обеспечивают закрепление и максимизируют эффективность майнинга для злоумышленников. Эта кампания сосредоточена вокруг основного компонента, получившего название "вредоносное ПО".Explorer.exe ," функционирующий как механизм контроля инфекции. В отличие от традиционного вредоносное ПО, этот вариант работает как постоянный конечный автомат, адаптируя свою роль на основе входных данных командной строки. Это позволяет ит-отделу управлять установкой, мониторингом и выполнением полезной нагрузки интеллектуального анализа данных, которая выполняется под видом законной операции Windows.
По своей сути, эта кампания опирается на два основных компонента: "Explorer.exe " управляет общей оркестровкой, в то время как "Совместимость с Microsoft Telemetry.exe " служит замаскированной оболочкой для программного обеспечения для майнинга XMRig. Вредоносное ПО использует такие стратегии, как typosquatting, чтобы внедриться в законные системные процессы, тем самым избегая обнаружения. Кроме того, он использует DLL sideloading для выполнения интеллектуального кода, сохраняя разделение между загрузчиком и полезной нагрузкой для удобства обновления или внесения изменений.
Примечательной особенностью является интеграция в вредоносное ПО технологии "Принесите свой собственный уязвимый драйвер" (BYOVD), в частности, использующей WinRing0x64.sys драйвер. Эта эксплуатация позволяет вредоносное ПО получать доступ к привилегиям на уровне ядра, что повышает его способность работать незамеченным при оптимизации процесса интеллектуального анализа данных. Вредоносное ПО отключает определенные функции процессора для повышения эффективности майнинга, демонстрируя стратегический подход к использованию ресурсов.
В дополнение к своей основной функции майнинга, вредоносное ПО обладает агрессивными возможностями распространения, функционируя не только как троян, но и как Worm. Он активно стремится распространиться на другие системы через съемные носители, используя пассивный прослушиватель для обнаружения изменений в устройстве, не создавая высокой активности процессора, которая могла бы насторожить пользователей или системы безопасности. Используя обманчивую процедуру очистки и временный "переключатель уничтожения", вредоносное ПО обеспечивает жесткий контроль своего жизненного цикла и может удалять следы своего присутствия, чтобы избежать расследования после заражения.
Наконец, стратегическое резервирование с помощью нескольких сторожевых процессов помогает закрепление вредоносное ПО даже после попыток прекратить его работу, поскольку эти сторожевые программы могут перезапустить основной механизм управления. Сложный дизайн и многогранное функционирование этой кампании по криптоджекинг подчеркивают продолжающуюся эволюцию и изощренность угроз, нацеленных на вычислительные ресурсы организации, подчеркивая необходимость надежных мер безопасности, способных идентифицировать и нейтрализовать такое продвинутое вредоносное ПО.
#ParsedReport #CompletenessLow
19-02-2026
Massiv: When your IPTV app terminates your savings
https://www.threatfabric.com/blogs/massiv-when-your-iptv-app-terminates-your-savings
Report completeness: Low
Threats:
Massiv
Victims:
Mobile users
Industry:
Media, Government, Financial
Geo:
Portugal, France, Spain, Portuguese, Turkey
ChatGPT TTPs:
T1036, T1476
IOCs:
Hash: 2
Soft:
Android, Google Play, Telegram
Algorithms:
sha256, zip
19-02-2026
Massiv: When your IPTV app terminates your savings
https://www.threatfabric.com/blogs/massiv-when-your-iptv-app-terminates-your-savings
Report completeness: Low
Threats:
Massiv
Victims:
Mobile users
Industry:
Media, Government, Financial
Geo:
Portugal, France, Spain, Portuguese, Turkey
ChatGPT TTPs:
do not use without manual checkT1036, T1476
IOCs:
Hash: 2
Soft:
Android, Google Play, Telegram
Algorithms:
sha256, zip
ThreatFabric
Massiv: When your IPTV app terminates your savings
Massiv is a new Device Takeover (DTO) malware family without direct links to other known threats, masquerading as an IPTV app.