#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была раскрыта Вредоносная Кампания для macOS, использующая загрузчики, замаскированные под DMG-файлы взломанного музыкального плагина, для распространения различного вредоносное ПО, включая Odyssey и MacSyncStealer, в основном с помощью социальной инженерии. Вредоносное ПО содержит файл Installer.plist, который взаимодействует с удаленным сервером для получения дополнительной полезной нагрузки; оно использует скрытый двоичный файл Mach-O, “Meta Installer”, предназначенный для компьютеров Intel Mac и требующий Rosetta для систем ARM. Процесс заражения включает в себя незафиксированный сценарий Bash, который подключается к домену управление, в конечном итоге развертывая MacSync stealer, который загружает данные на серверы злоумышленников.
-----

Исследователи безопасности выявили широко распространенную Вредоносная Кампания для macOS, которая использует загрузчик, замаскированный под DMG-файлы взломанного музыкального плагина, для доставки серии вредоносное ПО, включая такие известные варианты, как Odyssey и MacSyncStealer. Эти файлы DMG в основном распространяются с помощью тактики социальной инженерии, убеждая пользователей устанавливать их, несмотря на то, что они неподписаны.

В этих вредоносных DMG-файлах был обнаружен определенный конфигурационный файл Installer.plist, внедренный более чем в 100 экземплярах. Этот список свойств служит скрытым скриптом, который облегчает связь между вредоносное ПО и удаленным сервером по адресу mac.fleebottom-33.xyz. Он запрограммирован на отправку идентификаторов отслеживания, специфичных для кампании, и получение дополнительных вредоносных полезных инструкций без предупреждения пользователя.

В основе заражения лежит двоичный файл Mach-O, называемый "Meta Installer”, расположенный в скрытом каталоге в DMG. Этот двоичный файл предназначен для систем macOS на базе Intel, что создает проблему совместимости с новыми устройствами на базе ARM, если они не используют уровень трансляции Rosetta. После выполнения программа установки считывает файл Installer.plist, чтобы определить единый идентификатор ресурса (URI), который он будет использовать для получения дополнительных вредоносных данных с указанного удаленного сервера.

На начальном этапе вредоносное ПО использует незафиксированный сценарий Bash для дальнейшего процесса заражения, запрашивая версию операционной системы и создавая нацелен-ный запрос к домену command and control (C2), com.airportsock.xyz. Это прокладывает путь к следующему этапу, на котором вторичная полезная нагрузка извлекается с помощью перенаправления через robincompany.xyz. Это включает параметр "affId=1000", указывающий на его участие в кампании с оплатой за установку (PPI), при этом финансовые стимулы стимулируют распространение инфекций.

На заключительном этапе создается запутанный вариант MacSync stealer, который после деобфускации извлекает дополнительные полезные данные из kuturu.com . Скрипт выполняет их локально через osascript, ориентируясь на временный файл (/tmp/osalogging.zip ) и пытается загрузить содержимое на сервер злоумышленника с помощью HTTP POST-запросов, одновременно удаляя локальные следы вредоносное ПО.

Эта кампания подчеркивает тенденцию в области угроз для macOS, демонстрируя переход к более сложным моделям "Загрузчик как услуга". Используя тактику социальной инженерии, чтобы замаскировать вредоносное ПО под привлекательное программное обеспечение, злоумышленники эффективно обходят традиционные меры безопасности, заставляя пользователей самостоятельно выполнять вредоносный код.

#ParsedReport #CompletenessHigh
19-02-2026

Remcos Revisited: Inside the RATs Evolving Command-and-Control Techniques

https://www.pointwild.com/threat-intelligence/remcos-revisited-inside-the-rats-evolving-command-and-control-techniques/

Report completeness: High

Threats:
Remcos_rat
Credential_harvesting_technique
Trojan.w32.111125.remcos
Process_injection_technique

Industry:
Government

TTPs:
Tactics: 3
Technics: 8

IOCs:
IP: 1
File: 4
Hash: 1
Path: 1

Soft:
Chrome, Firefox, Internet Explorer

Algorithms:
xor, md5

Win API:
CreateFileA, LoadLibrary, GetProcAddress

Languages:
visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 5, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Remcos RAT представляет значительную киберугроза, известная своей способностью обходить меры безопасности и красть конфиденциальные данные с помощью таких средств заражения, как фишинг-рассылки по электронной почте и веб-сайты с компрометация. Вредоносное ПО предоставляет злоумышленникам широкие возможности удаленного управления, включая Регистрация нажатий клавиш, Захват экрана и доступ к веб-камере, одновременно выполняя атаки без файлов, чтобы избежать обнаружения. Последние варианты используют связь управление в режиме реального времени для наблюдения в реальном времени, динамически разрешающие API для скрытности и используют методы эксфильтрация данных, которые включают шифрование и запутывание трафика для имитации законного поведения в Сети, что усложняет усилия по обнаружению.
-----

Remcos RAT превратилась в ведущую глобальную киберугроза, известную своей изощренной способностью обходить меры безопасности и красть конфиденциальную информацию, что позиционирует ее как серьезную проблему для специалистов по Кибербезопасность. Основными источниками заражения являются фишинг-письма, часто содержащие вредоносные вложения, замаскированные под законные документы, и веб-сайты с компрометация, которые служат хост-сайтами для загрузки и установки вредоносного ПО Remcos.

Remcos RAT предоставляет злоумышленникам обширный удаленный контроль над зараженной системой, позволяя получать доступ к файлам, процессам и изменениям реестра. Известные возможности наблюдения включают в себя Регистрация нажатий клавиш, Захват экрана и возможность записи с помощью веб-камеры и микрофона объекта. Его механизмы закрепление включают изменения в реестре Windows и различные методы запуска, чтобы гарантировать, что он остается работоспособным после перезагрузки системы или входа пользователя в систему. Тревожной тенденцией в последних версиях является выполнение атак без файлов, когда вредоносный код вводится непосредственно в память, чтобы обойти средства обнаружения конечных точек и реагирования (EDR).

Одним из важнейших нововведений в последней версии Remcos является переход от локального хранения данных к прямой связи управление в режиме реального времени (C2) с серверами атаки. Это позволяет злоумышленникам вести мониторинг в режиме реального времени с помощью веб-камер, тем самым повышая уровень угрозы, связанный с постоянным наблюдением и шпионажем. Remcos использует Динамическое разрешение API для повышения скрытности, разрешая требуемые функции Windows API во время выполнения, что усложняет усилия по обнаружению.

Операции по краже данных вредоносное ПО направлено на сбор учетных записей, в частности, на имена пользователей и пароли, хранящиеся в веб-браузерах, таких как Chrome и Firefox. Чтобы избежать обнаружения, Remcos шифрует свои сообщения C2 и запутывает свой трафик, имитируя обычное поведение в Интернете, что затрудняет средствам безопасности выявление вредоносной активности. После успешной эксфильтрация конфиденциальных данных Remcos выполняет процедуру очистки, которая удаляет данные о просмотре и файлы cookie, продолжая свои усилия по стиранию следов и срыву судебно-медицинских расследований.

Remcos взаимодействует со своими серверами C2 посредством обычных исходящих подключений, либо жестко закодированных, либо расшифрованных во время выполнения, для отправки маяков, запрашивающих дальнейшие инструкции, или отправки обратно отфильтрованных данных. Вредоносное ПО способно красть Данные из буфера обмена, выполнять автоматические скриншоты и внедряться в другие процессы, чтобы избежать обнаружения.

Для удаления Remcos требуется войти в безопасный режим и использовать антивирусные решения, такие как UltraAV, которые идентифицируют его как Trojan.W32.111125.Remcos.YR. Растущая изощренность вредоносное ПО, особенно в его методах обфускации и операционной гибкости, указывает на серьезную и продолжающуюся угрозу, отражающую отчетливую эволюцию тактики, используемой современными Троянская программа удаленного доступа.

#ParsedReport #CompletenessHigh
19-02-2026

MIMICRAT: ClickFix Campaign Delivers Custom RAT via Compromised LegitimateWebsites

https://www.elastic.co/security-labs/mimicrat-custom-rat-mimics-c2-frameworks

Report completeness: High

Threats:
Mimicrat
Clickfix_technique
Amsi_bypass_technique
Trurat
Meterpreter_tool
Process_injection_technique

Victims:
General internet users

Industry:
Financial, Education

Geo:
Chinese, German, French, Indian, Korean, Indonesian, Portuguese, Russian, Turkish, Italian, Vietnamese, Usa, Dutch, Polish, Spanish, Japanese

TTPs:
Tactics: 8
Technics: 0

IOCs:
Url: 2
Domain: 3
File: 12
Command: 1
IP: 3
Hash: 4

Soft:
Windows token, Event Tracing for Windows, Microsoft Visual Studio

Algorithms:
sha256, rsa-1024, xor, base64, rc4, zip, aes

Languages:
javascript, php, powershell, lua

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/execution\_execution\_via\_obfuscated\_powershell\_script.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/execution\_suspicious\_command\_shell\_execution\_via\_windows\_run.toml
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/command\_and\_control\_dns\_query\_to\_suspicious\_top\_level\_domain.toml
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix использует законные веб-сайты, подвергшиеся компрометация, для доставки MIMICRAT, пользовательской Троянская программа удаленного доступа (RAT), посредством многоэтапной цепочки атак, инициированной на bincheck.io . Атака использует запутанные скрипты PowerShell, которые обходят такие меры безопасности, как ETW и AMSI, затем использует загрузчик на основе Lua для расшифровки и выполнения дальнейших вредоносных полезных нагрузок. MIMICRAT обеспечивает обширные действия после эксплуатации и взаимодействует со своими серверами командования и контроля через запутанные HTTP-профили, что усложняет усилия по обнаружению.
-----

Кампания ClickFix, недавно исследованная Elastic Security Labs, использует законные веб-сайты, подвергшиеся компрометация, для доставки сложной полезной нагрузки вредоносное ПО, классифицируемой как MIMICRAT, пользовательская Троянская программа для удаленного доступа на языке C (RAT). Эта многоэтапная цепочка атак начинается с первоначального переносчика инфекции на bincheck.io , законная служба проверки BIN, в которую был внедрен вредоносный JavaScript. Этот скрипт динамически загружает второй внешний скрипт с другого сайта компрометация, https://www.investonline.in/js/jq.php .

Кампания проходит в пять различных этапов. Первоначально из буфера обмена выполняется запутанный однострочный PowerShell, что приводит к загрузке сложного сценария PowerShell второго этапа. Этот скрипт реализует различные методы обхода, включая обход трассировки событий для Windows (ETW) и интерфейса проверки на вредоносное ПО (AMSI). Это достигается путем изменения внутренних свойств этих систем, чтобы подавить возможности ведения журнала и сканирования. В частности, скрипт PowerShell отключает ETW, изменяя поле `m_enabled` на ноль, и манипулирует основной функцией AMSI, чтобы полностью избежать обнаружения с помощью отражения и исправления метода выполнения.

После этого выполняется загрузчик на основе Lua, который расшифровывает и запускает Lua-скрипт, используя процедуру расшифровки XOR. Этот загрузчик представляет собой уникальную реализацию, которая встраивает свой собственный интерпретатор для облегчения дальнейших вредоносных операций. Этап шелл-кода, согласованный с сигнатурами Meterpreter, впоследствии загружает MIMICRAT в память, позволяя вредоносное ПО установить постоянный доступ. Окончательная скомпилированная полезная нагрузка содержит пользовательские протоколы связи с такими функциями, как гибкие профили C2, Кража токена Windows и туннелирование через прокси-сервер SOCKS5.

Сам MIMICRAT реализует надежную таблицу отправки команд, содержащую 22 различные команды, которые позволяют выполнять ряд действий после эксплуатации, таких как управление технологическим процессом, интерактивные оболочки и манипулирование токенами. Вредоносное ПО взаимодействует со своей инфраструктурой C2 через тщательно замаскированные HTTP-профили, гарантируя, что его команды и обмен данными остаются скрытыми.

Для связи командования и контроля были определены два отдельных кластера. Первый кластер, связанный с доставкой полезной нагрузки, работает в диапазоне IP-адресов 45.13.212.250 и 45.13.212.251, который обслуживает сценарий PowerShell второго этапа и начальную полезную нагрузку. Последующий кластер, связанный с действиями после эксплуатации, использует IP-адрес 23.227.202.114. Чтобы облегчить идентификацию и отслеживание этой кампании, Elastic Security разработала специальные правила YARA, нацеленные на сигнатуры и поведенческие паттерны, демонстрируемые полезной нагрузкой MIMICRAT.

Последствия такой изощренной кампании подчеркивают растущую сложность действий злоумышленник, подчеркивая необходимость создания надежных механизмов защиты от таких скоординированных атак с использованием законных инфраструктур для доставки вредоносных программ.

#ParsedReport #CompletenessLow
19-02-2026

Brand Trust as a Weapon: Multi-Brand Impersonation Campaigns Deliver JWrapper Malware

https://cofense.com/blog/brand-trust-as-a-weapon-multi-brand-impersonation-campaigns-deliver-jwrapper-malware

Report completeness: Low

Threats:
Simplehelp_tool

Victims:
Docusign users, Simplehelp users

CVEs:
CVE-2024-57727 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1566.001, T1566.002

IOCs:
Url: 9
IP: 10
Hash: 3

Soft:
JWrapper, Zoom

Algorithms:
sha256, md5

Languages:
java

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании используют доверие к таким брендам, как DocuSign и SimpleHelp, чтобы распространять вредоносное ПО JWrapper с помощью мошеннических сообщений, которые обманом заставляют пользователей запускать вредоносное программное обеспечение. Злоумышленники используют JWrapper для упаковки вредоносных исполняемых файлов, который работает в паре с инструментом SimpleHelp RMM для обеспечения удаленного доступа при сохранении скрытности. Такая комбинация позволяет злоумышленник-злоумышленницам управлять системами компрометация дискретно, подчеркивая необходимость улучшенного обнаружения связанных с этим аномалий и необычных действий удаленного доступа.
-----

Недавние преступная хакерская кАмпания использовала доверие, связанное с известными брендами, в частности, нацелившись на DocuSign и SimpleHelp для распространения вредоносное ПО JWrapper. Злоумышленники создают мошеннические сообщения, которые кажутся законными, чтобы обманом заставить пользователей запускать вредоносное программное обеспечение. Эти кампании включают вредоносные исполняемые файлы, замаскированные под документы или ссылки на скачивание, которые выдают себя за надежные бренды.

Механизм доставки вредоносное ПО в значительной степени опирается на JWrapper, фреймворк для установки на основе Java, который упаковывает необходимую виртуальную машину Java (JVM) вместе с файлами приложений, создавая единый исполняемый файл, который функционирует в разных операционных системах. Хотя JWrapper помогает доставлять и устанавливать вредоносное ПО, фактические возможности удаленного доступа в основном предоставляются инструментом удаленного мониторинга и управления SimpleHelp (RMM). Этот подход с двойным Аппаратное обеспечение, сочетающий JWrapper и SimpleHelp, позволяет злоумышленникам сохранять скрытность и закрепление во время своих вторжений. SimpleHelp, изначально законный инструмент, используемый ИТ-подразделениями, стал предпочтительным выбором среди злоумышленник-исполнителей из-за его способности незаметно облегчать контроль над системами компрометация.

Анализ Центра защиты от фишинг-атак Cofense подчеркивает важность выявления признаков таких вторжений. Организациям следует расширить свои возможности обнаружения, чтобы распознавать аномалии, связанные с установками SimpleHelp, и отслеживать необычную активность удаленного доступа. Понимая тактику, используемую при этих атаках, защитники могут усовершенствовать свои стратегии реагирования, чтобы снизить риски, связанные с этим меняющимся ландшафтом угроз.

#ParsedReport #CompletenessMedium
19-02-2026

PromptSpy ushers in the era of Android threats using GenAI

https://www.welivesecurity.com/en/eset-research/promptspy-ushers-in-era-android-threats-using-genai/

Report completeness: Medium

Threats:
Promptspy
Promptlock
Vncspy

Industry:
Financial

Geo:
Spanish, Chinese, Ukraine, Argentina, Hong kong

TTPs:
Tactics: 7
Technics: 10

IOCs:
File: 1
Domain: 2
IP: 3
Hash: 9

Soft:
Android, Google Play

Algorithms:
sha1, aes

Win API:
rectangle

Links:
https://github.com/eset/malware-ioc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили PromptSpy, усовершенствованное вредоносное ПО для Android, которое использует генеративный искусственный интеллект для расширения своей функциональности. Он действует как дроппер, обманом заставляя пользователей устанавливать вредоносный APK-файл, Маскировка которого выдается за обновление приложения, и обладает возможностями динамического взаимодействия с пользовательским интерфейсом устройства на основе скриншотов в реальном времени. PromptSpy использует различные методы закрепление и обхода, такие как инициализация при запуске и использование служб специальных возможностей для предотвращения деинсталляции, а также обеспечивает удаленный доступ и безопасную эксфильтрация данных с помощью шифрования AES.
-----

Исследователи ESET выявили новое вредоносное ПО для Android, известное как PromptSpy, что знаменует собой значительную эволюцию возможностей вредоносное ПО с внедрением технологии генеративного искусственного интеллекта. Это вредоносное ПО работает как дроппер, встраивая основной вредоносный APK-файл в свой каталог ресурсов. После выполнения дроппер предлагает пользователю установить то, что представлено как обновленная версия приложения, которая, по сути, является полезной нагрузкой PromptSpy.

Анализ PromptSpy раскрывает его расширенные возможности, использующие генеративный искусственный интеллект для облегчения динамического взаимодействия с пользовательскими интерфейсами устройств. Вместо того чтобы полагаться на заранее определенные сценарии взаимодействия с пользователем, PromptSpy может сделать снимок экрана устройства и сгенерировать подробные инструкции по взаимодействию, адаптированные к конкретному пользовательскому интерфейсу. Эта адаптационная способность позволяет ему поддерживать функциональность в различных конфигурациях устройств и при изменениях в расположении экранов, повышая его закрепление и методы уклонения.

Вредоносное ПО демонстрирует несколько методов MITRE ATT&CK, что указывает на его всестороннюю функциональность. Чтобы обеспечить закрепление, он инициализируется при запуске устройства с помощью широковещательного намерения BOOT_COMPLETED и использует службы переднего плана для поддержания текущего процесса. Чтобы избежать обнаружения и удаления, PromptSpy использует службу специальных возможностей Android для предотвращения деинсталляции. Он также включает в себя возможности для захвата конфиденциальных пользовательских данных, таких как PIN-коды экрана блокировки и пароли, с помощью методов Перехват данных с помощью подмены пользовательского интерфейса и может собирать системную информацию, такую как название устройства, модель и версия операционной системы.

PromptSpy может дополнительно сканировать установленные приложения, записывать активность на экране и использовать VNC для удаленного доступа к устройству компрометация, что способствует его функциональности command and control (C2). Связь с серверами C2 защищена с помощью шифрования AES, и вредоносное ПО имеет возможность отфильтровывать собранные данные по этому каналу. Наблюдаемое поведение PromptSpy подчеркивает тревожную тенденцию в разработке вредоносное ПО, использующее искусственный интеллект для повышения оперативной скрытности и эффективности по сравнению с традиционными мерами безопасности.

#ParsedReport #CompletenessLow
19-02-2026

Cloud Atlas phishing campaign analysis

https://rt-solar.ru/solar-4rays/blog/6397/

Report completeness: Low

Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)
Head_mare
Webworm

Threats:
Vbshower_tool
Phantomdl
Phantomcore
Phantomremote
Pinocchio
Hermes
Vbcloud_tool
Powershower_tool
Ngrok_tool

Industry:
Government, Chemical

Geo:
Russia

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1566, T1566.001

IOCs:
File: 16
Path: 6
Hash: 9

Soft:
Telegram, VKontakte, Microsoft Office, Microsoft Word

Algorithms:
md5, rc4, sha256, sha1

Win Services:
PcaSvc, WerSvc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг-кампания Cloud Atlas иллюстрирует тактику киберугроза, при которой злоумышленник использует тщательно обработанные электронные письма с вредоносными вложениями для получения доступа к сетям. Эффективность этой кампании проистекает из ее способности обманом заставить цели взаимодействовать с этими приложениями. Фишинг остается распространенным методом атак среди различных преступная хакерская группировка, подчеркивая сохраняющийся риск, который он представляет для организаций.
-----

Фишинг-кампания Cloud Atlas является примером значительного направления киберугроза, используемого злоумышленник-ми для того, чтобы получить первоначальный доступ к сетям жертв. В этой кампании широко используются хорошо подготовленные электронные письма, которые часто содержат вредоносные вложения, такие как архивы или документы. Эффективность этого подхода заключается в его способности обманывать цели, повышая их вероятность взаимодействия с вложениями, тем самым облегчая злоумышленникам проникновение в инфраструктуру организации.

Фишинг остается одним из наиболее распространенных методов атаки из-за его простого исполнения и связанных с ним психологических манипуляций. Электронные письма, созданные в рамках кампании Cloud Atlas, отличаются дизайном и содержанием, которые подобраны таким образом, чтобы выглядеть законными, что повышает вероятность того, что получатели откроют вложения. Эта тактика характерна не только для Cloud Atlas, но и широко распространена среди различных преступная хакерская группировка, что указывает на более широкую тенденцию в том, как фишинг используется в качестве основного метода доступа.

Постоянное использование фишинг Cloud Atlas подчеркивает постоянный риск, который этот метод представляет для организаций. Таким образом, это подчеркивает необходимость надежной осведомленности о безопасности и обучения, чтобы подготовить потенциальных жертв к эффективному распознаванию таких угроз и реагированию на них. Понимание этой тактики имеет решающее значение для разработки эффективных защитных мер против подобных кампаний фишинг-рассылки.

#ParsedReport #CompletenessHigh
19-02-2026

"Charity" phishing: What we know about attacks using the Solana blockchain

https://habr.com/ru/companies/pt/articles/1001196/

Report completeness: High

Actors/Campaigns:
Heartlesssoul

Threats:
Clickfix_technique

Victims:
Multiple sectors

Industry:
Financial, E-commerce

Geo:
Moldova, Russian, Germany, Russia, Mexico, Ukraine

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1041, T1059.001, T1071.001, T1082, T1083, T1105, T1113, T1114, have more...

IOCs:
File: 8
Path: 1
Url: 1
IP: 1
Domain: 14
Hash: 9

Soft:
Node.js, Outlook

Crypto:
solana

Algorithms:
zip, md5, base64

Functions:
createMutex

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года была обнаружена серия атак с использованием блокчейна Solana, инициированных с помощью фишинг-писем, содержащих ZIP-архивы с вредоносными XLL-файлами, которые выполняют запутанный JavaScript. Это приводит к развертыванию Троянская программа удаленного доступа (RAT), способная собирать конфиденциальную информацию и выполнять различные действия в зараженных системах, включая файловые операции и выполнение команд PowerShell. RAT подключается к службе имен Solana, чтобы скрыть сервер злоумышленника, и использует сетевую связь через прокси-сервер WebSocket, чтобы скрыть свой трафик.
-----

В январе 2026 года команда киберразведки Экспертного центра безопасности выявила серию атак, использующих блокчейн Solana с помощью вредоносных XLL-файлов, содержащих запутанный JavaScript, которые были развернуты с помощью фишинг-писем. Атака была инициирована с помощью ZIP-архива, который содержал вредоносную полезную нагрузку, замаскированную под законный документ. Вредоносный XLL-файл при выполнении декодирует команду PowerShell в кодировке Base64, позволяя злоумышленникам загружать различные вредоносные компоненты в систему жертвы.

Центральное место в атаке занимает Троянская программа удаленного доступа (RAT), которая может похвастаться множеством команд для сбора конфиденциальной информации и выполнения действий на зараженном компьютере. Вредоносный код использует подключения к службе имен Solana (SNS) для сокрытия адреса сервера злоумышленников. Детальный анализ показывает, что хронология атак простирается с середины октября 2025 года по настоящее время, что указывает на продолжающуюся вредоносную активность.

Основная полезная нагрузка состоит из значительно увеличенного, запутанного кода JavaScript, содержащего Node.js модули, интегрированные в загрузчик. Эта полезная нагрузка выполняет ряд операций, включая сетевое взаимодействие через WebSocket с использованием прокси-объекта для сокрытия трафика с атакующего сервера. Системы жертв подвергаются воздействию множества команд, включая такие возможности, как загрузка файлов, извлечение данных Outlook, извлечение системной информации и выполнение команд PowerShell с помощью предопределенных шаблонов.

Одной из примечательных особенностей этого RAT является его обширный набор команд, который позволяет злоумышленникам анализировать файловые системы, получать системные метаданные и выполнять файловые операции. Различные команды предлагают такие функциональные возможности, как загрузка файлов, сбор информации и запуск исполняемых файлов. Эта активность, по-видимому, отражает аналогичные прошлые инциденты, описанные другими экспертами по Кибербезопасность, хотя были отмечены различия в методах, особенно в способах выполнения команд.