#ParsedReport #CompletenessLow
19-02-2026

Brand Trust as a Weapon: Multi-Brand Impersonation Campaigns Deliver JWrapper Malware

https://cofense.com/blog/brand-trust-as-a-weapon-multi-brand-impersonation-campaigns-deliver-jwrapper-malware

Report completeness: Low

Threats:
Simplehelp_tool

Victims:
Docusign users, Simplehelp users

CVEs:
CVE-2024-57727 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1566.001, T1566.002

IOCs:
Url: 9
IP: 10
Hash: 3

Soft:
JWrapper, Zoom

Algorithms:
sha256, md5

Languages:
java

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании используют доверие к таким брендам, как DocuSign и SimpleHelp, чтобы распространять вредоносное ПО JWrapper с помощью мошеннических сообщений, которые обманом заставляют пользователей запускать вредоносное программное обеспечение. Злоумышленники используют JWrapper для упаковки вредоносных исполняемых файлов, который работает в паре с инструментом SimpleHelp RMM для обеспечения удаленного доступа при сохранении скрытности. Такая комбинация позволяет злоумышленник-злоумышленницам управлять системами компрометация дискретно, подчеркивая необходимость улучшенного обнаружения связанных с этим аномалий и необычных действий удаленного доступа.
-----

Недавние преступная хакерская кАмпания использовала доверие, связанное с известными брендами, в частности, нацелившись на DocuSign и SimpleHelp для распространения вредоносное ПО JWrapper. Злоумышленники создают мошеннические сообщения, которые кажутся законными, чтобы обманом заставить пользователей запускать вредоносное программное обеспечение. Эти кампании включают вредоносные исполняемые файлы, замаскированные под документы или ссылки на скачивание, которые выдают себя за надежные бренды.

Механизм доставки вредоносное ПО в значительной степени опирается на JWrapper, фреймворк для установки на основе Java, который упаковывает необходимую виртуальную машину Java (JVM) вместе с файлами приложений, создавая единый исполняемый файл, который функционирует в разных операционных системах. Хотя JWrapper помогает доставлять и устанавливать вредоносное ПО, фактические возможности удаленного доступа в основном предоставляются инструментом удаленного мониторинга и управления SimpleHelp (RMM). Этот подход с двойным Аппаратное обеспечение, сочетающий JWrapper и SimpleHelp, позволяет злоумышленникам сохранять скрытность и закрепление во время своих вторжений. SimpleHelp, изначально законный инструмент, используемый ИТ-подразделениями, стал предпочтительным выбором среди злоумышленник-исполнителей из-за его способности незаметно облегчать контроль над системами компрометация.

Анализ Центра защиты от фишинг-атак Cofense подчеркивает важность выявления признаков таких вторжений. Организациям следует расширить свои возможности обнаружения, чтобы распознавать аномалии, связанные с установками SimpleHelp, и отслеживать необычную активность удаленного доступа. Понимая тактику, используемую при этих атаках, защитники могут усовершенствовать свои стратегии реагирования, чтобы снизить риски, связанные с этим меняющимся ландшафтом угроз.

#ParsedReport #CompletenessMedium
19-02-2026

PromptSpy ushers in the era of Android threats using GenAI

https://www.welivesecurity.com/en/eset-research/promptspy-ushers-in-era-android-threats-using-genai/

Report completeness: Medium

Threats:
Promptspy
Promptlock
Vncspy

Industry:
Financial

Geo:
Spanish, Chinese, Ukraine, Argentina, Hong kong

TTPs:
Tactics: 7
Technics: 10

IOCs:
File: 1
Domain: 2
IP: 3
Hash: 9

Soft:
Android, Google Play

Algorithms:
sha1, aes

Win API:
rectangle

Links:
https://github.com/eset/malware-ioc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET обнаружили PromptSpy, усовершенствованное вредоносное ПО для Android, которое использует генеративный искусственный интеллект для расширения своей функциональности. Он действует как дроппер, обманом заставляя пользователей устанавливать вредоносный APK-файл, Маскировка которого выдается за обновление приложения, и обладает возможностями динамического взаимодействия с пользовательским интерфейсом устройства на основе скриншотов в реальном времени. PromptSpy использует различные методы закрепление и обхода, такие как инициализация при запуске и использование служб специальных возможностей для предотвращения деинсталляции, а также обеспечивает удаленный доступ и безопасную эксфильтрация данных с помощью шифрования AES.
-----

Исследователи ESET выявили новое вредоносное ПО для Android, известное как PromptSpy, что знаменует собой значительную эволюцию возможностей вредоносное ПО с внедрением технологии генеративного искусственного интеллекта. Это вредоносное ПО работает как дроппер, встраивая основной вредоносный APK-файл в свой каталог ресурсов. После выполнения дроппер предлагает пользователю установить то, что представлено как обновленная версия приложения, которая, по сути, является полезной нагрузкой PromptSpy.

Анализ PromptSpy раскрывает его расширенные возможности, использующие генеративный искусственный интеллект для облегчения динамического взаимодействия с пользовательскими интерфейсами устройств. Вместо того чтобы полагаться на заранее определенные сценарии взаимодействия с пользователем, PromptSpy может сделать снимок экрана устройства и сгенерировать подробные инструкции по взаимодействию, адаптированные к конкретному пользовательскому интерфейсу. Эта адаптационная способность позволяет ему поддерживать функциональность в различных конфигурациях устройств и при изменениях в расположении экранов, повышая его закрепление и методы уклонения.

Вредоносное ПО демонстрирует несколько методов MITRE ATT&CK, что указывает на его всестороннюю функциональность. Чтобы обеспечить закрепление, он инициализируется при запуске устройства с помощью широковещательного намерения BOOT_COMPLETED и использует службы переднего плана для поддержания текущего процесса. Чтобы избежать обнаружения и удаления, PromptSpy использует службу специальных возможностей Android для предотвращения деинсталляции. Он также включает в себя возможности для захвата конфиденциальных пользовательских данных, таких как PIN-коды экрана блокировки и пароли, с помощью методов Перехват данных с помощью подмены пользовательского интерфейса и может собирать системную информацию, такую как название устройства, модель и версия операционной системы.

PromptSpy может дополнительно сканировать установленные приложения, записывать активность на экране и использовать VNC для удаленного доступа к устройству компрометация, что способствует его функциональности command and control (C2). Связь с серверами C2 защищена с помощью шифрования AES, и вредоносное ПО имеет возможность отфильтровывать собранные данные по этому каналу. Наблюдаемое поведение PromptSpy подчеркивает тревожную тенденцию в разработке вредоносное ПО, использующее искусственный интеллект для повышения оперативной скрытности и эффективности по сравнению с традиционными мерами безопасности.

#ParsedReport #CompletenessLow
19-02-2026

Cloud Atlas phishing campaign analysis

https://rt-solar.ru/solar-4rays/blog/6397/

Report completeness: Low

Actors/Campaigns:
Cloudatlas (motivation: cyber_espionage)
Head_mare
Webworm

Threats:
Vbshower_tool
Phantomdl
Phantomcore
Phantomremote
Pinocchio
Hermes
Vbcloud_tool
Powershower_tool
Ngrok_tool

Industry:
Government, Chemical

Geo:
Russia

CVEs:
CVE-2018-0802 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft office_compatibility_pack (-)
- microsoft word (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1566, T1566.001

IOCs:
File: 16
Path: 6
Hash: 9

Soft:
Telegram, VKontakte, Microsoft Office, Microsoft Word

Algorithms:
md5, rc4, sha256, sha1

Win Services:
PcaSvc, WerSvc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг-кампания Cloud Atlas иллюстрирует тактику киберугроза, при которой злоумышленник использует тщательно обработанные электронные письма с вредоносными вложениями для получения доступа к сетям. Эффективность этой кампании проистекает из ее способности обманом заставить цели взаимодействовать с этими приложениями. Фишинг остается распространенным методом атак среди различных преступная хакерская группировка, подчеркивая сохраняющийся риск, который он представляет для организаций.
-----

Фишинг-кампания Cloud Atlas является примером значительного направления киберугроза, используемого злоумышленник-ми для того, чтобы получить первоначальный доступ к сетям жертв. В этой кампании широко используются хорошо подготовленные электронные письма, которые часто содержат вредоносные вложения, такие как архивы или документы. Эффективность этого подхода заключается в его способности обманывать цели, повышая их вероятность взаимодействия с вложениями, тем самым облегчая злоумышленникам проникновение в инфраструктуру организации.

Фишинг остается одним из наиболее распространенных методов атаки из-за его простого исполнения и связанных с ним психологических манипуляций. Электронные письма, созданные в рамках кампании Cloud Atlas, отличаются дизайном и содержанием, которые подобраны таким образом, чтобы выглядеть законными, что повышает вероятность того, что получатели откроют вложения. Эта тактика характерна не только для Cloud Atlas, но и широко распространена среди различных преступная хакерская группировка, что указывает на более широкую тенденцию в том, как фишинг используется в качестве основного метода доступа.

Постоянное использование фишинг Cloud Atlas подчеркивает постоянный риск, который этот метод представляет для организаций. Таким образом, это подчеркивает необходимость надежной осведомленности о безопасности и обучения, чтобы подготовить потенциальных жертв к эффективному распознаванию таких угроз и реагированию на них. Понимание этой тактики имеет решающее значение для разработки эффективных защитных мер против подобных кампаний фишинг-рассылки.

#ParsedReport #CompletenessHigh
19-02-2026

"Charity" phishing: What we know about attacks using the Solana blockchain

https://habr.com/ru/companies/pt/articles/1001196/

Report completeness: High

Actors/Campaigns:
Heartlesssoul

Threats:
Clickfix_technique

Victims:
Multiple sectors

Industry:
Financial, E-commerce

Geo:
Moldova, Russian, Germany, Russia, Mexico, Ukraine

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1041, T1059.001, T1071.001, T1082, T1083, T1105, T1113, T1114, have more...

IOCs:
File: 8
Path: 1
Url: 1
IP: 1
Domain: 14
Hash: 9

Soft:
Node.js, Outlook

Crypto:
solana

Algorithms:
zip, md5, base64

Functions:
createMutex

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2026 года была обнаружена серия атак с использованием блокчейна Solana, инициированных с помощью фишинг-писем, содержащих ZIP-архивы с вредоносными XLL-файлами, которые выполняют запутанный JavaScript. Это приводит к развертыванию Троянская программа удаленного доступа (RAT), способная собирать конфиденциальную информацию и выполнять различные действия в зараженных системах, включая файловые операции и выполнение команд PowerShell. RAT подключается к службе имен Solana, чтобы скрыть сервер злоумышленника, и использует сетевую связь через прокси-сервер WebSocket, чтобы скрыть свой трафик.
-----

В январе 2026 года команда киберразведки Экспертного центра безопасности выявила серию атак, использующих блокчейн Solana с помощью вредоносных XLL-файлов, содержащих запутанный JavaScript, которые были развернуты с помощью фишинг-писем. Атака была инициирована с помощью ZIP-архива, который содержал вредоносную полезную нагрузку, замаскированную под законный документ. Вредоносный XLL-файл при выполнении декодирует команду PowerShell в кодировке Base64, позволяя злоумышленникам загружать различные вредоносные компоненты в систему жертвы.

Центральное место в атаке занимает Троянская программа удаленного доступа (RAT), которая может похвастаться множеством команд для сбора конфиденциальной информации и выполнения действий на зараженном компьютере. Вредоносный код использует подключения к службе имен Solana (SNS) для сокрытия адреса сервера злоумышленников. Детальный анализ показывает, что хронология атак простирается с середины октября 2025 года по настоящее время, что указывает на продолжающуюся вредоносную активность.

Основная полезная нагрузка состоит из значительно увеличенного, запутанного кода JavaScript, содержащего Node.js модули, интегрированные в загрузчик. Эта полезная нагрузка выполняет ряд операций, включая сетевое взаимодействие через WebSocket с использованием прокси-объекта для сокрытия трафика с атакующего сервера. Системы жертв подвергаются воздействию множества команд, включая такие возможности, как загрузка файлов, извлечение данных Outlook, извлечение системной информации и выполнение команд PowerShell с помощью предопределенных шаблонов.

Одной из примечательных особенностей этого RAT является его обширный набор команд, который позволяет злоумышленникам анализировать файловые системы, получать системные метаданные и выполнять файловые операции. Различные команды предлагают такие функциональные возможности, как загрузка файлов, сбор информации и запуск исполняемых файлов. Эта активность, по-видимому, отражает аналогичные прошлые инциденты, описанные другими экспертами по Кибербезопасность, хотя были отмечены различия в методах, особенно в способах выполнения команд.

#ParsedReport #CompletenessMedium
20-02-2026

Facebook ads spread fake Windows 11 downloads that steal passwords and crypto wallets

https://www.malwarebytes.com/blog/scams/2026/02/facebook-ads-spread-fake-windows-11-downloads-that-steal-passwords-and-crypto-wallets

Report completeness: Medium

Threats:
Process_injection_technique

Victims:
Consumers

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1112, T1204.002, T1583.001, T1585.001, T1587.003, T1608.006

IOCs:
Domain: 4
File: 1
Path: 3
Command: 2
Registry: 1
Hash: 1
Url: 1

Soft:
Windows installer, Electron, Slack, Visual Studio Code, Node.js, Windows registry

Algorithms:
hc-128, xor, sha256, rc4, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя киберугроза связана с вредоносной рекламой на Facebook, которая продвигает поддельные загрузки Windows 11, предназначенные для кражи конфиденциальной информации, включая пароли и криптовалютные кошельки. Вредоносное ПО использует геозонирование для нацеливания на конкретных пользователей, доставляя замаскированный файл с именем ms-update32.exe , который устанавливает приложение на базе Electron, которое остается постоянным, скрываясь в реестре Windows. Этот метод атаки повышает доверие к Социальные сети, облегчая доставку наряду с законным контентом.
-----

Недавно появилась киберугроза, когда вредоносная реклама на Facebook продвигает поддельные загрузки Windows 11, которые в конечном итоге крадут конфиденциальную информацию, такую как пароли и криптовалютные кошельки. Атака использует методы геозонирования, чтобы гарантировать, что вредоносное ПО доставляется только определенным целям. Если подключение осуществляется с IP—адреса центра обработки данных, часто связанного с исследователями безопасности или автоматическими средствами сканирования, пользователь перенаправляется на безопасный сайт, такой как google.com , эффективно маскируя цель вредоносной операции.

Как только пользователь подключается из соответствующего места, ему предлагается загрузить файл с именем ms-update32.exe , размер которого составляет 75 МБ и имитирует законный установщик Windows. После запуска вредоносное ПО устанавливает комплексное приложение на базе Electron, которое хранится в пользовательском каталоге Windows в разделе C:\Users\USER\AppData\Roaming\LunarApplication \. Фреймворк Electron позволяет вредоносное ПО выдавать себя за известную и заслуживающую доверия программную среду, тем самым повышая его шансы на выполнение в системе жертвы.

Чтобы обеспечить закрепление и избежать обнаружения, вредоносное ПО сохраняет обширный двоичный объект в реестре Windows, в частности, в разделе HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults. Этот метод скрытия в реестре позволяет вредоносное ПО переживать перезагрузки системы и сохранять работоспособность в течение долгого времени.

Метод распространения атаки через платную рекламу в Facebook вызывает особые опасения, поскольку он обходит типичную тактику фишинг по электронной почте и появляется рядом с законными публикациями в лентах пользователей, используя доверенную среду Социальные сети для получения злонамеренной выгоды.

Жертвам этого вредоносное ПО настоятельно рекомендуется не входить в какие-либо учетные записи с зараженного устройства до тех пор, пока оно не будет тщательно отсканировано и очищено. Рекомендуется менять пароли для критически важных учетных записей, таких как электронная почта, банковские услуги и Социальные сети, с защищенного устройства. В случае, когда криптовалютные кошельки используются на машине для компрометация, пользователи должны перевести средства на недавно созданный кошелек, отличный от зараженного устройства, чтобы уменьшить потери. Мониторинг мошеннических действий с финансовыми учреждениями также рекомендуется проводить тем, у кого, возможно, была доступная конфиденциальная информация в зараженной системе.

#ParsedReport #CompletenessHigh
20-02-2026

VShell and SparkRAT Observed in Exploitation of BeyondTrust Critical Vulnerability (CVE-2026-1731)

https://unit42.paloaltonetworks.com/beyondtrust-cve-2026-1731/

Report completeness: High

Actors/Campaigns:
Hafnium
Emissary_panda
Quietcrabs

Threats:
Vshell
Spark_rat
Beyondtrust_tool
Simplehelp_tool
Anydesk_tool
Chinachopper
Antsword
Nezha_tool
Metasploit_tool
Meterpreter_tool
Bomgar_tool
Ncat_tool
Netcat_tool
Socat_tool

Victims:
Identity and access management, Remote support software users

Industry:
Iot, Education, Healthcare, Retail

Geo:
Asia, Canada, Korea, Germany, Japan, Middle east, India, France, Australia, China

CVEs:
CVE-2024-12356 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- beyondtrust privileged_remote_access (le24.3.1)
- beyondtrust remote_support (le24.3.1)

CVE-2026-1731 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- beyondtrust privileged_remote_access (<25.1)
- beyondtrust remote_support (<25.3.2)


TTPs:
Tactics: 4
Technics: 1

IOCs:
File: 23
Domain: 3
IP: 16
Url: 16
Hash: 9

Soft:
Unix, Linux, curl, busybox, Burp Suite, PostgreSQL, crontab

Algorithms:
base64

Functions:
eval

Languages:
powershell, python, php, java, lua

Platforms:
cross-platform

Links:
https://github.com/XZB-1248/Spark

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-1731 - это критическая уязвимость в программном обеспечении удаленной поддержки Удаленное Выполнение Кода BeyondTrust's, возникающая из-за сбоя очистки WebSocket, который позволяет злоумышленникам выполнять команды операционной системы. Злоумышленник использует это, подключаясь к определенным конечным точкам с помощью специально созданной полезной нагрузки, чтобы получить несанкционированный доступ к учетным записям администратора и развернуть Веб-шелл для действий после эксплуатации. Кроме того, с этими атаками был связан бэкдор SparkRAT, при этом злоумышленники использовали DNS tunneling для эксфильтрация данных, что указывает на значительные риски для непатентованных систем.
-----

CVE-2026-1731 - это критическая уязвимость Удаленное Выполнение Кода (RCE), выявленная в программном обеспечении удаленной поддержки BeyondTrust's, в частности, затрагивающая компонент тонкой scc-оболочки. Обнаруженная 6 февраля 2026 года, эта уязвимость позволяет злоумышленникам выполнять команды операционной системы в контексте пользователя уязвимого сайта, что потенциально приводит к значительным системным компрометация, таким как несанкционированный доступ, эксфильтрация данных и сбои в обслуживании.

Использование CVE-2026-1731 происходит из-за сбоя очистки во время установления соединения с WebSocket. Злоумышленники инициируют подключение WebSocket к определенным конечным точкам, предоставляя созданное значение "remoteVersion", которое содержит введенную полезную нагрузку. Эта полезная нагрузка предназначена для запуска выполнения команды оболочки из-за неправильной обработки входных данных сценарием thin-scc-wrapper.

Активные расследования, проведенные подразделением 42, показали, что злоумышленник эффективно использует эту уязвимость для получения несанкционированного доступа к административным учетным записям в затронутых системах. Злоумышленники используют пользовательский скрипт на Python для временного доступа к учетной записи администратора (идентификатор пользователя 1) на шестьдесят секунд, что позволяет им манипулировать хэшами паролей в базе данных. Кроме того, в системах компрометация были установлены несколько Веб-шелл, в том числе Веб-шелл на PHP, который позволяет злоумышленникам выполнять команды и выполнять различные действия после эксплуатации, не оставляя значительных следов.

Более того, был обнаружен бэкдор SparkRAT, связанный с этими атаками. Первоначально обнаруженный в 2023 году, SparkRAT представляет собой кроссплатформенную Троянская программа для удаленного доступа (RAT), которая используется с 2022 года. Его кроссплатформенные возможности позволяют злоумышленник поддерживать постоянный доступ в различных средах.

Чтобы избежать обнаружения и предотвратить реакцию средств защиты сети, злоумышленники использовали DNS tunneling с помощью внеполосных методов. Этот метод эффективно обеспечивает эксфильтрация конфиденциальной информации, включая системные базы данных и файлы конфигурации, на серверы компрометация управления (C2) в обход традиционных сетевых брандмауэров.

Проблема проверки входных данных, которая занимает центральное место в CVE-2026-1731, имеет историческое значение по сравнению с CVE-2024-12356, подчеркивая повторяющуюся проблему обеспечения безопасности путей выполнения в продуктах BeyondTrust. Это продолжающееся использование подчеркивает необходимость для организаций оперативно исправлять уязвимости, чтобы снизить риск подобных атак. Действия, выявленные в связи с CVE-2026-1731, представляют серьезную угрозу для организаций, использующих непатченные версии технологии BeyondTrust's.

#ParsedReport #CompletenessMedium
21-02-2026

CharlieKirk GRABBER : A PYTHON-BASED INFOSTEALER

https://www.cyfirma.com/research/charliekirk-grabber-a-python-based-infostealer/

Report completeness: Medium

Threats:
Charliekirk_grabber
Credential_harvesting_technique
Lolbin_technique

Victims:
General users, Enterprises

Industry:
E-commerce, Telco

Geo:
Usa

TTPs:
Tactics: 9
Technics: 11

IOCs:
File: 6
Command: 1
Hash: 1

Soft:
PyInstaller, Discord, Telegram, Microsoft Defender, Firefox, Chromium, Steam

Algorithms:
aes-gcm, zip, md5

Functions:
IsUserAnAdmin

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CharlieKirk Grabber - это стиллер на базе Python, ориентированный на системы Windows, ориентированный на быстрый сбор учетных записей и эксфильтрация данных без закрепление. Он использует законные утилиты Windows для сбора конфиденциальных данных, таких как имена пользователей, пароли и история браузера, завершая процессы браузера для доступа к сохраненным учетные данные. Данные быстро сжимаются и загружаются в сторонние сервисы, такие как GoFile, с уведомлениями, отправляемыми злоумышленникам через Discord или Телеграм, что подчеркивает их зависимость от законных инфраструктур для управление.
-----

CharlieKirk Grabber - это стиллер на базе Python, ориентированный на системы Windows, который делает упор на быстрый сбор учетных записей и эксфильтрация данных без установления долгосрочного контроля или закрепление на компрометация машин. Упакованное с использованием PyInstaller, вредоносное ПО работает в контексте вошедшего в систему пользователя, позволяя ему выполнять разведка системы и собирать идентификаторы, такие как имя пользователя, имя хоста, UUID Аппаратное обеспечение и внешний IP-адрес. Он использует стандартные утилиты командной строки Windows, такие как TASKKILL, NETSH и PowerShell, для выполнения своих вредоносных действий, смешивая их с законными системными операциями.

Вредоносное ПО для доступа к сохраненным учетные данные принудительно завершает процессы веб-браузера, чтобы разблокировать базы данных, содержащие конфиденциальную информацию. Он собирает данные из различных браузеров, включая Chromium и Firefox, расшифровывая сохраненные учетные данные и извлекая сохраненные пароли, файлы cookie и историю посещенных страниц. Кроме того, он может собирать учетные данные Wi-Fi с помощью сетевых утилит Windows. Вредоносное ПО также нацелено на Discord, проверяя украденные токены аутентификации через Discord API и делая снимки экрана рабочего стола жертвы для дальнейшего сбора данных.

Процесс эксфильтрация включает в себя сжатие собранных данных в архив, который загружается на сторонний файлообменный сервис, в частности GoFile. Затем вредоносное ПО отправляет уведомление со ссылкой для скачивания в инфраструктуру, контролируемую злоумышленником, через Discord или Телеграм по протоколу HTTPS. Этот сбор данных выполняется быстро и бесшумно, с использованием многопоточной системы для ускорения поиска учетных данных при минимизации риска обнаружения.

В то время как CharlieKirk Grabber демонстрирует минималистичный подход, избегая продвинутых методов антианализа, его зависимость от законных инфраструктур для управление системой увеличивает сложность усилий по обнаружению. Хотя вредоносное ПО изначально пытается установить закрепление с помощью запланированных задач и повышение привилегий, такие механизмы не были подтверждены в анализируемом варианте, что усиливает его основную цель - немедленную кражу данных, а не текущую эксплуатацию системы.

Этот стиллер информации является частью более широкой тенденции в области киберугроза, использующей надежные сервисы для управление и нацеленной на кражу учетные данные пользователей, что позволяет захватывать учетные записи, мошенничать с идентификационными данными и последующей перепродажей на криминальных рынках. Наблюдаемая архитектура указывает на потенциал для дальнейшего развития, предполагая, что это вредоносное ПО может эволюционировать и включать более сложные возможности в будущих версиях.