#ParsedReport #CompletenessHigh
19-02-2026

XWorm Malware Delivered via Fake Financial Receipts Targeting Windows Systems to Steal Logins and Sessions

https://cybersecuritynews.com/xworm-malware-fake-financial-receipts/

Report completeness: High

Threats:
Xworm_rat
Steganography_technique
Lolbin_technique
Stego_loader

Victims:
Windows users

Industry:
Financial

Geo:
Latin american, Brazilian, Brazil, Latam

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1059.001, T1105, T1566.001

IOCs:
File: 2
Url: 3
Command: 3
Path: 2
Domain: 1
IP: 1
Hash: 1

Soft:
Windows Task Scheduler, NET framework

Algorithms:
aes-ecb, base64, sha256, md5

Functions:
TaskService, TaskDefinition

Win API:
ShowWindow

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm - это усовершенствованное вредоносное ПО, нацеленное на системы Windows, использующее тактику обмана, такую как поддельные финансовые квитанции, для облегчения сбор учетных записей. Он использует команды steganography и PowerShell для загрузки замаскированного Вредоносный файл с жестко закодированного URL-адреса Cloudinary. Полезная нагрузка, отображаемая в виде файла .txt, но на самом деле имеющая обратную кодировку Base64 .СЕТЕВОЙ исполняемый файл означает, что вредоносное ПО продолжает развиваться и усиливает его способность обходить меры безопасности.
-----

XWorm - это изощренный вариант вредоносное ПО, который в первую очередь нацелен на системы Windows, используя тактику обмана, такую как поддельные финансовые квитанции, чтобы обманом заставить пользователей загрузить его. Это вредоносное ПО предназначено для кражи логинов и информации о сеансах с зараженных устройств, что указывает на ориентацию на сбор учетных записей. Атака начинается с распространения, казалось бы, безобидной финансовой квитанции, которая при ближайшем рассмотрении становится вектором распространения вредоносное ПО.

Процесс заражения включает расширенное использование steganography, где вредоносное ПО использует команду PowerShell, которая подключается к жестко закодированному URL-адресу, размещенному Cloudinary, легальным сервисом размещения изображений. Эта команда извлекает файл, который маскируется под стандартное изображение в формате JPEG, что затрудняет традиционным мерам безопасности обнаружение вредоносной активности по периметру сети.

При выполнении обнаруживается, что полезная нагрузка, которая обманчиво имеет расширение .txt, имеет обратную кодировку Base64.ЧИСТЫЙ исполняемый файл. Этот компонент XWorm помечен как версия 5.6, что указывает на продолжающуюся разработку и усовершенствование вредоносное ПО. Использование таких методов кодирования позволяет вредоносное ПО скрывать свою истинную природу, что еще больше усложняет усилия по обнаружению.

#ParsedReport #CompletenessHigh
19-02-2026

Beyond Tax Returns: How Shared Malware Infrastructure Scales Brand Abuse In Indonesia

https://www.group-ib.com/blog/indonesia-tax-impersonation-goldfactory-malware

Report completeness: High

Actors/Campaigns:
Goldfactory

Threats:
Gigabud_rat
Mmrat
Taotie
Smishing_technique
Credential_harvesting_technique

Victims:
Tax services, Financial services, Government services, Mobile banking users

Industry:
Foodtech, Energy, Transport, Petroleum, Government, Aerospace, Financial

Geo:
Thailand, South africa, Peru, Vietnam, Indonesia, Indonesian, Philippines

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1059.008, T1078, T1105, T1113, T1204.002, T1219, T1566.002, T1566.004, T1583, have more...

IOCs:
File: 2
Domain: 53
Hash: 27
IP: 7

Soft:
Coretax, WhatsApp, Android

Algorithms:
exhibit, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа угроз GoldFactory инициировала мошенническую кампанию в Индонезии с использованием поддельных приложений Coretax, нацеленную примерно на 67 миллионов граждан во время налогового сезона и причинившую, по оценкам, финансовый ущерб в размере от 1,5 до 2 миллионов долларов США. В операции используется инфраструктура "Вредоносное ПОкак услуга", использующая вредоносное ПО, такое как Gigabud.RAT и MMRat для Имперсонация и банковских операций. Злоумышленники собирают персональные данные путем разведка и используют URL-адреса фишинг, ведущие к вредоносное ПО, кульминацией которых являются голосовые фишинг-атаки для срочных платежей и захвата учетных записей, подчеркивая риски для общественной инфраструктуры, связанные с такой передовой тактикой киберпреступность.
-----

Мошенническая кампания, использующая поддельные приложения Coretax в Индонезии, представляет собой значительную киберугроза, организованную кластером угроз GoldFactory. Появившись одновременно с национальным налоговым сезоном, эта сложная схема началась в июле 2025 года и резко обострилась в январе 2026 года. В первую очередь он использует Имперсонация законной платформы Coretax с целью обмана примерно 67 миллионов граждан, что привело, по оценкам, к финансовому ущербу в размере от 1,5 до 2 миллионов долларов США.

Центральное место в операции занимает использование общей инфраструктуры "Вредоносное ПО как услуга" (MaaS), которая облегчает злоупотребление брендом в нескольких надежных сервисах - по сообщениям, в ходе этой кампании манипулировали более чем 16 брендами. Вредоносное ПО, идентифицированное в рамках фреймворк, включает в себя известные семейства, такие как Gigabud.RAT и MMRat, при этом обнаружено 228 новых вредоносных образец. Гигабайт.RAT предназначен для выдачи себя за правительственные и финансовые организации, в то время как MMRat фокусируется на банковских операциях Android с помощью пользовательских протоколов Управление для эффективной эксфильтрация.

Оперативный фреймворк атаки включает в себя несколько этапов, начиная с разведка с целью сбора личной информации (PII) о потенциальных жертвах. Злоумышленники создают фишинг-URL-адреса, побуждающие жертв загружать вредоносные приложения Coretax. После установки эти приложения замораживают устройство жертвы, чтобы облегчить кражу конфиденциальных данных, за чем следует голосовой фишинг, когда мошенники маскируются под налоговых чиновников, требуя от физических лиц срочных платежей. Эта многоуровневая атака завершается захватом учетных записей и крупными несанкционированными транзакциями, часто проводимыми через сложные сети отмывания денег.

Показатели компрометация показывают, что в атаке использовались недолговечные URL-адреса фишинг, которые трудно отследить, а также применялись поведенческие стратегии обнаружения для выявления аномалий, указывающих на мошенничество. По имеющимся сообщениям, применяемые методологии прогнозного моделирования снизили вероятность успешного мошенничества среди защищенных клиентов до чрезвычайно низкого уровня в 0,027%.

Последствия таких атак выходят за рамки непосредственного Кража денежных средств, демонстрируя, как унифицированная инфраструктура вредоносное ПО может нарушить целостность цифрового ландшафта целой страны. Кампания иллюстрирует продвинутое состояние современной киберпреступность, когда злоумышленник использует комплексную тактику, включающую внедрение вредоносное ПО и методы социальной инженерии, создавая системные риски для национальной общественной инфраструктуры и финансовых экосистем. Этот случай подчеркивает настоятельную необходимость усиления мер по Кибербезопасность среди предприятий, потребителей и регулирующих фреймворк для эффективной борьбы с такими сложными киберугроза.

#ParsedReport #CompletenessHigh
19-02-2026

(Don't) TrustConnect: It's a RAT in an RMM hat

https://www.proofpoint.com/us/blog/threat-insight/dont-trustconnect-its-a-rat

Report completeness: High

Threats:
Trustconnect
Redline_stealer
Docconnect
Simplehelp_tool
Superops_tool
N-able_tool
Logmein_tool
Screenconnect_tool
Uac_bypass_technique
Clickfix_technique
Lumma_stealer
Rhadamanthys

Victims:
Rmm users, Organizations targeted via email campaigns

Industry:
Financial, Government

Geo:
French, Dutch, South africa

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1102, T1553.002, T1566.002, T1583.001, T1608.003

IOCs:
Domain: 8
File: 10
IP: 1
Hash: 3
Url: 6

Soft:
Zoom, Microsoft Teams, NET Core, Telegram, Supabase, SignalR

Crypto:
bitcoin

Algorithms:
sha256

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Proofpoint идентифицировала TrustConnect, вредоносное ПО как сервис, Маскировка которого осуществляется под законный инструмент удаленного мониторинга и управления. Он распространяется через обманчивый веб-сайт и предлагает веб-панель управление (C2) для автоматической генерации полезной нагрузки, продается по подписке за 300 долларов в месяц и принимает платежи в криптовалюте. Вредоносное ПО работает через API-коммуникации и было связано с различными кампаниями, что указывает на циклический характер действий злоумышленник, использующих законные приложения RMM для первоначального доступа к системе.
-----

Proofpoint выявила новое вредоносное ПО как услугу (MaaS) под названием TrustConnect, которое маскируется под законный инструмент удаленного мониторинга и управления (RMM). Это вредоносное ПО продается через веб-сайт, который был создан для имитации страницы входа в реальное приложение RMM. В настоящее время доступ к TrustConnect стоит 300 долларов в месяц, и есть признаки того, что актор, стоящий за этим, также может быть известным пользователем Redline Stealer. Сотрудничество между партнерами по разведке привело к сбоям в инфраструктуре TrustConnect's; однако актор продемонстрировал устойчивость, запустив новый вариант вредоносное ПО под названием DocConnect через альтернативный веб-сайт RMM вскоре после этого.

Инструменты удаленного мониторинга и управления часто нацелен киберпреступниками на первоначальный доступ к системам. Законные приложения RMM, такие как SimpleHelp, SuperOps, Datto и N-able, обычно используются, часто с помощью тактики электронной почты или в качестве вторичной полезной нагрузки после первоначального взлома. Домен, на котором размещено вредоносное ПО, trustconnectsoftware.com , был зарегистрирован 12 января 2026 года и представляет себя как инструмент RMM под названием TrustConnectAgent. Сайт предназначен для введения в заблуждение пользователей и поставщиков сертификатов, размещая сфабрикованную статистику клиентов и документацию по программному обеспечению. Считается, что актор, возможно, использовал большую языковую модель для создания этого убедительного фасада.

TrustConnect наблюдается в экосистеме, где злоумышленник часто переключается между полезными нагрузками, позволяя одному URL-адресу ссылаться на различные формы вредоносное ПО на протяжении всей кампании. Вредоносное ПО было подтверждено как распространяемое 27 января, что совпадает с датой, когда продавец начал использовать цифровую Подпись исполняемого кода программного обеспечения. Было отмечено множество кампаний с участием различных злоумышленник, распространяющих это вредоносное ПО.

Вредоносное ПО предлагает веб-панель управление (C2), которая позволяет автоматически генерировать полезную нагрузку и поддерживает модель подписки, также стоимостью 300 долларов в месяц, при этом транзакции облегчаются с помощью криптовалюты. Этот централизованный сервер C2 управляет операциями для многочисленных клиентов, а связь осуществляется через простой API без какого-либо шифрования, кроме стандартного SSL/TLS. Панель C2 для TrustConnect также содержит контактную информацию для дескриптора Телеграм, который используется для поддержки и продаж.

Появление и функционирование TrustConnect иллюстрируют существенные закономерности в текущей ситуации с угрозами, особенно в том, что касается неправомерного использования и коммерциализации законных инструментов удаленного мониторинга киберпреступниками.

#ParsedReport #CompletenessMedium
19-02-2026

Technical Deep Dive: The Monero Mining Campaign

https://www.trellix.com/blogs/research/technical-deep-dive-the-monero-mining-campaign/

Report completeness: Medium

Threats:
Coinhive_miner
Xmrig_miner
Timebomb_technique
Typosquatting_technique
Byovd_technique
Hydra
Dll_sideloading_technique

Victims:
Consumers, Enterprises, General users

Industry:
Healthcare

CVEs:
CVE-2020-14979 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- evga precision_x1 (le1.0.6)
- winring0_project winring0 (1.2.0)


TTPs:
Tactics: 7
Technics: 17

IOCs:
Hash: 9
File: 9
Path: 6
Coin: 1
Registry: 1

Soft:
Microsoft Edge, Windows Explorer, Windows kernel, BinDiff, Windows Defender Application Control, Windows Service

Crypto:
monero, bitcoin

Algorithms:
sha256, md5, exhibit, randomx

Functions:
It, Loop

Win API:
TerminateProcess, DeleteFileW, GetModuleFileNameW, CopyFileW, FindResourceW, LoadResource, LockResource, SetFileAttributesW, GetTickCount64, Process32First, have more...

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по криптоджекинг демонстрирует продвинутую тактику вредоносное ПО, в основном основанную на "Explorer.exe ," который организует заражение как постоянный конечный автомат. Он использует "Совместимость с Microsoft Telemetry.exe " в качестве оболочки для программного обеспечения для майнинга XMRig, использующего такие методы, как typosquatting и DLL sideloading, чтобы избежать обнаружения. Примечательно, что он использует WinRing0x64.sys драйвер для получения доступа на уровне ядра, расширяющий его необнаруживаемую функциональность при максимальном повышении эффективности майнинга, и имеет агрессивные методы распространения, включая использование съемных носителей для распространения.
-----

Подробный криминалистический анализ кампании криптоджекинг демонстрирует растущую изощренность таких угроз, особенно в том, как они обеспечивают закрепление и максимизируют эффективность майнинга для злоумышленников. Эта кампания сосредоточена вокруг основного компонента, получившего название "вредоносное ПО".Explorer.exe ," функционирующий как механизм контроля инфекции. В отличие от традиционного вредоносное ПО, этот вариант работает как постоянный конечный автомат, адаптируя свою роль на основе входных данных командной строки. Это позволяет ит-отделу управлять установкой, мониторингом и выполнением полезной нагрузки интеллектуального анализа данных, которая выполняется под видом законной операции Windows.

По своей сути, эта кампания опирается на два основных компонента: "Explorer.exe " управляет общей оркестровкой, в то время как "Совместимость с Microsoft Telemetry.exe " служит замаскированной оболочкой для программного обеспечения для майнинга XMRig. Вредоносное ПО использует такие стратегии, как typosquatting, чтобы внедриться в законные системные процессы, тем самым избегая обнаружения. Кроме того, он использует DLL sideloading для выполнения интеллектуального кода, сохраняя разделение между загрузчиком и полезной нагрузкой для удобства обновления или внесения изменений.

Примечательной особенностью является интеграция в вредоносное ПО технологии "Принесите свой собственный уязвимый драйвер" (BYOVD), в частности, использующей WinRing0x64.sys драйвер. Эта эксплуатация позволяет вредоносное ПО получать доступ к привилегиям на уровне ядра, что повышает его способность работать незамеченным при оптимизации процесса интеллектуального анализа данных. Вредоносное ПО отключает определенные функции процессора для повышения эффективности майнинга, демонстрируя стратегический подход к использованию ресурсов.

В дополнение к своей основной функции майнинга, вредоносное ПО обладает агрессивными возможностями распространения, функционируя не только как троян, но и как Worm. Он активно стремится распространиться на другие системы через съемные носители, используя пассивный прослушиватель для обнаружения изменений в устройстве, не создавая высокой активности процессора, которая могла бы насторожить пользователей или системы безопасности. Используя обманчивую процедуру очистки и временный "переключатель уничтожения", вредоносное ПО обеспечивает жесткий контроль своего жизненного цикла и может удалять следы своего присутствия, чтобы избежать расследования после заражения.

Наконец, стратегическое резервирование с помощью нескольких сторожевых процессов помогает закрепление вредоносное ПО даже после попыток прекратить его работу, поскольку эти сторожевые программы могут перезапустить основной механизм управления. Сложный дизайн и многогранное функционирование этой кампании по криптоджекинг подчеркивают продолжающуюся эволюцию и изощренность угроз, нацеленных на вычислительные ресурсы организации, подчеркивая необходимость надежных мер безопасности, способных идентифицировать и нейтрализовать такое продвинутое вредоносное ПО.

#ParsedReport #CompletenessLow
19-02-2026

Massiv: When your IPTV app terminates your savings

https://www.threatfabric.com/blogs/massiv-when-your-iptv-app-terminates-your-savings

Report completeness: Low

Threats:
Massiv

Victims:
Mobile users

Industry:
Media, Government, Financial

Geo:
Portugal, France, Spain, Portuguese, Turkey

ChatGPT TTPs:
do not use without manual check
T1036, T1476

IOCs:
Hash: 2

Soft:
Android, Google Play, Telegram

Algorithms:
sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На сферу мобильных угроз все чаще воздействует вредоносное ПО, такое как сложный банковский троян для Android "Massiv", который распространяется посредством боковой загрузки. Разработанный для имитации законных приложений, Massiv использует тактику социальной инженерии, чтобы побудить жертв установить его, тем самым избегая обнаружения и компрометируя их финансовую и личную информацию. Это подчеркивает эволюционирующие стратегии, используемые киберпреступниками для использования уязвимостей в мобильных устройствах.
-----

В современном ландшафте мобильных угроз все чаще доминируют различные семейства вредоносное ПО, используемые как отдельными злоумышленник, так и организованными преступными группами. Значительное внимание уделяется распространению троянских программ способом, который кажется жертвам естественным и ненавязчивым. Одним из заметных достижений в этой области является появление сложного банковского трояна для Android, известного как "Massiv". Это вредоносное ПО обычно распространяется посредством боковой загрузки - метода, который позволяет пользователям устанавливать приложения из источников за пределами официальных магазинов приложений.

Чтобы избежать обнаружения и не вызвать подозрений, Massiv разработан таким образом, чтобы убедительно маскироваться под законное приложение. Эта тактика социальной инженерии имеет решающее значение, поскольку она побуждает жертв приступить к установке, не подвергая сомнению подлинность приложения. Используя такие обманные методы, злоумышленник может проникать на устройства пользователей, создавая значительные риски для их финансовой безопасности и личной информации. В целом, Massiv иллюстрирует эволюционирующие стратегии, используемые киберпреступниками для использования уязвимостей в мобильных устройствах, подчеркивая важность бдительности перед лицом мобильных угроз.

#ParsedReport #CompletenessHigh
19-02-2026

Arkanix Stealer: a C++ & Python infostealer

https://securelist.com/arkanix-stealer/119006/

Report completeness: High

Threats:
Arkanix
Disco
Hvnc_tool
Vmprotect_tool

Victims:
Cryptocurrency users, Gamers, Online banking users, General users

Industry:
Financial, Entertainment

Geo:
French

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1055, T1059.006, T1071.001, T1102.002, T1105, T1113, T1204.002, T1552.001, have more...

IOCs:
File: 4
Hash: 17
Url: 3
Path: 1
Domain: 2
IP: 2

Soft:
Discord, PyInstaller, Nuitka, Google Chrome, Tor Browser, Chrome, Telegram, Steam, Visual Studio

Wallets:
metamask, exodus_wallet

Crypto:
binance

Algorithms:
aes-gcm, hmac, sha256, pbkdf2, zip, aes, md5

Win API:
AmsiScanBuffer, EtwEventWrite, capCreateCaptureWindowA, CreateProcess

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Arkanix Stealer - это недавно идентифицированный стиллер информации, работающий по модели "вредоносное ПОкак услуга", нацеленный на конфиденциальные данные в различных браузерах и приложениях, особенно на криптовалютные кошельки и учетные данные пользователей. Он использует сложную технику заражения с использованием сценариев загрузки на Python, которые загружают и выполняют основную полезную нагрузку, одновременно запутывая ее операции. Вредоносное ПО захватывает обширную системную информацию, собирает данные из VPN-приложений и использует усовершенствованное шифрование для связи со своим сервером управления, хотя его операционная инфраструктура, по-видимому, была демонтирована вскоре после его появления.
-----

Arkanix Stealer - это стиллер информации, работающий по модели "вредоносное ПОкак услуга", впервые обнаруженный в октябре 2025 года. В нем имеется удобная Панель управления для настраиваемых полезных нагрузок и статистики в режиме реального времени. Набор инструментов включает версию на C++ для сбора подробной системной информации и извлечения данных из криптовалютного кошелька, а также версию на Python для динамического изменения конфигурации. Механизмы распространения включают фишинг с использованием загрузочных скриптов, замаскированных под законные сервисы, такие как "steam_account_checker_pro_v1.py " и "TikTokAccountBotter.exe ." Загрузчик Python загружает основную полезную нагрузку, которую можно запутать и упаковать с помощью PyInstaller или Nuitka. Вредоносное ПО может извлекать данные из 22 браузеров, включая Google Chrome и Tor, и собирать учетные данные из таких приложений, как Телеграм и Discord. Он сканирует предопределенные пути к пользовательским папкам на наличие конфиденциальных файлов, сжимая их в ZIP-архивы для эксфильтрация на свой сервер управления. Похититель, скорее всего, нацелен на франкоязычных пользователей, на что указывают ссылки на французскую лексику. Он также собирает данные из VPN-приложений и идентифицирует RDP-соединения путем анализа rdp-файлов. Версия C++ захватывает скриншоты и данные браузера, используя "ChromElevator" для прямого внедрения системного вызова для удаления файлов cookie и учетные данные.

Для связи с сервером C2 используется шифрование AES-GCM и PBKDF2. Кампания опиралась на два домена, маршрутизируемых через Cloudflare, и включала выделенный сервер Discord для взаимодействия автора и пользователя. К декабрю 2025 года сервер и канал Discord были отключены, что указывает на то, что операция, возможно, была краткосрочной схемой без планов дальнейшего развития.

#ParsedReport #CompletenessLow
19-02-2026

macOS Malware Analysis: Music Plugin DMG Loader

https://the-sequence.com/macos-malware-loader-music-plugin-dmg

Report completeness: Low

Threats:
Odyssey_stealer
Macc_stealer
Clickfix_technique
Ozone

Victims:
Macos users, Consumers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1059.002, T1059.004, T1070.004, T1071.001, T1105, T1140, T1204.002, have more...

IOCs:
File: 1
Domain: 4

Soft:
macOS, Gatekeeper, Curl

Algorithms:
base64, zip

Platforms:
apple, intel, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была раскрыта Вредоносная Кампания для macOS, использующая загрузчики, замаскированные под DMG-файлы взломанного музыкального плагина, для распространения различного вредоносное ПО, включая Odyssey и MacSyncStealer, в основном с помощью социальной инженерии. Вредоносное ПО содержит файл Installer.plist, который взаимодействует с удаленным сервером для получения дополнительной полезной нагрузки; оно использует скрытый двоичный файл Mach-O, “Meta Installer”, предназначенный для компьютеров Intel Mac и требующий Rosetta для систем ARM. Процесс заражения включает в себя незафиксированный сценарий Bash, который подключается к домену управление, в конечном итоге развертывая MacSync stealer, который загружает данные на серверы злоумышленников.
-----

Исследователи безопасности выявили широко распространенную Вредоносная Кампания для macOS, которая использует загрузчик, замаскированный под DMG-файлы взломанного музыкального плагина, для доставки серии вредоносное ПО, включая такие известные варианты, как Odyssey и MacSyncStealer. Эти файлы DMG в основном распространяются с помощью тактики социальной инженерии, убеждая пользователей устанавливать их, несмотря на то, что они неподписаны.

В этих вредоносных DMG-файлах был обнаружен определенный конфигурационный файл Installer.plist, внедренный более чем в 100 экземплярах. Этот список свойств служит скрытым скриптом, который облегчает связь между вредоносное ПО и удаленным сервером по адресу mac.fleebottom-33.xyz. Он запрограммирован на отправку идентификаторов отслеживания, специфичных для кампании, и получение дополнительных вредоносных полезных инструкций без предупреждения пользователя.

В основе заражения лежит двоичный файл Mach-O, называемый "Meta Installer”, расположенный в скрытом каталоге в DMG. Этот двоичный файл предназначен для систем macOS на базе Intel, что создает проблему совместимости с новыми устройствами на базе ARM, если они не используют уровень трансляции Rosetta. После выполнения программа установки считывает файл Installer.plist, чтобы определить единый идентификатор ресурса (URI), который он будет использовать для получения дополнительных вредоносных данных с указанного удаленного сервера.

На начальном этапе вредоносное ПО использует незафиксированный сценарий Bash для дальнейшего процесса заражения, запрашивая версию операционной системы и создавая нацелен-ный запрос к домену command and control (C2), com.airportsock.xyz. Это прокладывает путь к следующему этапу, на котором вторичная полезная нагрузка извлекается с помощью перенаправления через robincompany.xyz. Это включает параметр "affId=1000", указывающий на его участие в кампании с оплатой за установку (PPI), при этом финансовые стимулы стимулируют распространение инфекций.

На заключительном этапе создается запутанный вариант MacSync stealer, который после деобфускации извлекает дополнительные полезные данные из kuturu.com . Скрипт выполняет их локально через osascript, ориентируясь на временный файл (/tmp/osalogging.zip ) и пытается загрузить содержимое на сервер злоумышленника с помощью HTTP POST-запросов, одновременно удаляя локальные следы вредоносное ПО.

Эта кампания подчеркивает тенденцию в области угроз для macOS, демонстрируя переход к более сложным моделям "Загрузчик как услуга". Используя тактику социальной инженерии, чтобы замаскировать вредоносное ПО под привлекательное программное обеспечение, злоумышленники эффективно обходят традиционные меры безопасности, заставляя пользователей самостоятельно выполнять вредоносный код.