#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет NPM, имитирующий законный "buildrunner", служит загрузчиком для продвинутых вредоносное ПО, включая Pulsar RAT. Вредоносное ПО, доставляемое с помощью пакетного файла из репозитория Codeberg, устанавливается в каталог автозагрузки Windows со случайным именем для обеспечения закрепление и использует сильную маскировку, чтобы избежать обнаружения. В нем используются методы UAC bypass Windows и сложные команды PowerShell, специально разработанные для обхода антивирусных мер, включая методы AMSI bypass и тройное шифрование критически важных данных.
-----

Вредоносный пакет NPM, typosquat законного пакета "buildrunner", служит загрузчиком для сложной вредоносная кАмпания. Вредоносное ПО встроено в стеганографические изображения в формате PNG и включает в себя Pulsar, Троянская программа удаленного доступа (RAT) и загрузчик process hollowing. Этот подход, использующий недавно опубликованные, но кажущиеся законными пакеты, направлен на то, чтобы обманом заставить разработчиков загрузить Backdoor.

Процесс установки показывает, что фактический вредоносный код отсутствует в самом пакете; пакетный файл, ответственный за удаление вредоносное ПО, извлекается из репозитория Codeberg во время установки. Этот пакетный файл записывается в каталог автозагрузки Windows со случайным именем файла, обеспечивая закрепление без предупреждения пользователя, поскольку он выполняется автоматически при входе в Windows. Выполняемые команды сильно запутаны, причем значительные части разделены между многочисленными переменными, чтобы избежать обнаружения программным обеспечением безопасности. Стратегия запутывания включает в себя использование комментариев-заполнителей, которые увеличивают размер файла и вводят аналитиков в заблуждение.

Ключевым используемым методом является использование обхода контроля учетных записей пользователей Windows (UAC) с помощью fodhelper.exe , позволяя вредоносное ПО получать административные привилегии без запроса пользователя. Этот метод дополняется методами вредоносное ПО, позволяющими вызывать PowerShell безголовым способом, что делает обнаружение еще более сложным.

Полезная нагрузка PowerShell работает с определенными командами, адаптированными для различных антивирусных программ, что указывает на уровень сложности и целенаправленности. Он использует различные методы для извлечения своей конечной полезной нагрузки из стеганографически закодированных изображений, причем одно изображение содержит скрипт PowerShell, предназначенный для обхода интерфейса проверки на вредоносное ПО (AMSI), демонстрирующий расширенные возможности обхода мер безопасности.

Последующая полезная нагрузка, сборка .NET, подтверждает свои злонамеренные намерения посредством process hollowing, внедряя код в законные процессы. Это выполняется с помощью серии закодированных вызовов API и Динамическое разрешение функций, что позволяет избежать жестко закодированных зависимостей, которые могут быть легко отмечены системами безопасности. Более того, конечная полезная нагрузка обладает множеством механизмов закрепление, специально разработанных для того, чтобы избежать обнаружения популярными антивирусными решениями.

В вредоносное ПО встроены три различных метода AMSI bypass, включающих низкоуровневые методы отладки, которые обходят традиционные меры обнаружения. Включение метода тройного шифрования для критически важных данных полезной нагрузки еще больше усложняет анализ и обнаружение.

#ParsedReport #CompletenessMedium
24-02-2026

How Tycoon 2FA Is Rewriting the Rules of Identity Theft: Not Just a Phishing Kit A Business Model

https://www.pointwild.com/threat-intelligence/how-tycoon-2fa-is-rewriting-the-rules-of-identity-theft-not-just-a-phishing-kit-a-business-model/

Report completeness: Medium

Threats:
Tycoon_2fa
Aitm_technique
Credential_harvesting_technique
Spear-phishing_technique
Dadsec_tool

Victims:
Enterprises, Government agencies, Cloud-first businesses, Financial services, Technology, Healthcare, Professional services

Industry:
Government, Financial, Healthcare, E-commerce

Geo:
India, Canada

TTPs:
Tactics: 8
Technics: 10

IOCs:
IP: 1

Soft:
Telegram, Gmail, Microsoft Teams, Burp Suite, cPanel, Azure AD, Laravel, Cloudflare Turnstile

Algorithms:
base64, aes

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tycoon 2FA - это усовершенствованный метод фишинг-атаки, использующий модель Фишинг как услуга (PhaaS) для обхода Многофакторная аутентификация (MFA) с помощью подхода Adversary-in-the-Middle (AiTM). Эта архитектура фиксирует сеансовые файлы cookie во время процесса аутентификации, позволяя злоумышленникам перехватывать активные сеансы без непосредственного компрометации учетные данные. Обнаруженный в августе 2023 года, Tycoon 2FA нацелен на такие платформы, как Microsoft 365 и Gmail, используя методы запутывания и антианализа, чтобы избежать обнаружения и усложнить атрибуцию.
-----

Tycoon 2FA представляет собой значительную эволюцию в методах фишинг-тестирования, в частности, благодаря своей модели Фишинг как услуга (PhaaS), которая позволяет актор с низкой квалификацией беспрепятственно обходить Многофакторная аутентификация (MFA). Вместо использования традиционных подходов Tycoon 2FA использует архитектуру Adversary-in-the-Middle (AiTM), облегчающую перехват сеанса, а не прямую компрометацию учетные данные. Служба фиксирует сеансовые файлы cookie в режиме реального времени, действуя в качестве ретранслятора во время процесса аутентификации, эффективно позволяя злоумышленникам перехватывать активные сеансы без необходимости Взлом пароля или развертывания вредоносное ПО.

Впервые обнаруженный в августе 2023 года, Tycoon 2FA стал доминирующим инструментом, ориентированным на такие платформы, как Microsoft 365 и Gmail, используя ошибочное представление о том, что включение MFA само по себе обеспечивает достаточную безопасность. Злоумышленники используют фишинг-страницы, размещенные на доменах с компрометация, где жертвам передаются законные запросы MFA. Когда пользователи одобряют эти уведомления, Tycoon 2FA фиксирует сеансовые файлы cookie, делая традиционные меры безопасности неэффективными. Такой подход привел к тысячам инцидентов с credential-harvesting в различных секторах, особенно в сфере финансов, технологий и здравоохранения.

В операции используются передовые методы запутывания и механизмы антианализа, позволяющие избежать обнаружения средствами безопасности. Это включает в себя агрессивную блокировку проверок с помощью динамического JavaScript, который предотвращает использование инструментов разработчика и выполняет дактилоскопию браузера для фильтрации трафика ботов. Кроме того, сервис включает в себя такие механизмы, как поддельные капчи и многодоменные архитектуры для обеспечения постоянного доступа и избыточности, что усложняет усилия по установлению авторства и затрудняет предприятиям точное определение источника нарушений.

Техническая основа Tycoon 2FA включает в себя настройку обратного прокси, позволяющую злоумышленникам размещать несколько фишинг-страниц одновременно, осуществляя эксфильтрация учетных данных с помощью запутанных POST-запросов. Эта сложная инфраструктура не только увеличивает масштаб атак, но и быстро адаптируется к методологиям защиты, делая обычные контрмеры неэффективными. Службы безопасности сталкиваются с проблемами из-за недостаточного обнаружения атак в стиле AiTM и привычной чрезмерной зависимости от MFA как автономного решения.

#ParsedReport #CompletenessMedium
25-02-2026

Developer-targeting campaign using malicious Next.js repositories

http://microsoft.com/en-us/security/blog/2026/02/24/c2-developer-targeting-campaign/

Report completeness: Medium

Threats:
Lolbin_technique

Victims:
Software developers

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 9
Domain: 13
IP: 4
Url: 21
Hash: 6

Soft:
Microsoft Defender, Node.js, Visual Studio Code, Microsoft Defender for Endpoint, chrome

Algorithms:
sha256, sha1, base64

Functions:
Function, count

Win API:
readFile

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания, нацеленная на разработчиков, использующая вредоносные репозитории, замаскированные под законные Next.js проекты для выполнения вредоносного кода. Атака начинается с репозиториев на таких платформах, как Bitbucket, которые заманивают разработчиков с помощью контента на тему работы, встраивая вредоносный JavaScript, который позволяет осуществлять связь по управление (C2). Ключевые методы выполнения включают манипулирование рабочими пространствами кода Visual Studio, использование процессов сборки во время разработки приложений и внедрение вредоносной логики во внутренние приложения, все это приводит к постоянным подключениям C2 с помощью облегченных полезных нагрузок 1-го и 2-го этапов в памяти, которые избегают традиционного обнаружения.
-----

Была выявлена скоординированная кампания, нацеленная на разработчиков, в которой использовались вредоносные репозитории, замаскированные под законные Next.js проекты. Эксперты Microsoft Defender обнаружили, что в этих репозиториях используются приманки, связанные с работой, чтобы завоевать популярность в среде разработчиков, увеличивая вероятность выполнения вредоносного кода. Кампания запускается с помощью вредоносных репозиториев, в частности, одного из них, размещенного на Bitbucket, которые имитируют технические оценки, позволяя злоумышленникам внедрять вредоносный JavaScript в код, которому разработчики часто доверяют.

Расследование выявило ряд вредоносных репозиториев, использующих различные механизмы выполнения, все из которых приводят к извлечению во время выполнения и выполнению управляемого злоумышленником JavaScript, функционально прокладывая путь для обмена данными по управление-командам (C2). В ходе анализа были определены три важных пути выполнения: выполнение в рабочей области Visual Studio Code, выполнение во время сборки во время разработки приложения и выполнение при запуске сервера, которое использует эксфильтрация переменных среды и динамический Удаленное Выполнение Кода (RCE).

В первом пути вредоносная конфигурация рабочей области Visual Studio Code запускает немедленное выполнение задачи при открытии проекта. Этому способствует конфигурационный файл JSON, который позволяет запускать вредоносный загрузчик JavaScript. Второй путь активируется, когда разработчик выполняет команды типа "npm run dev", где троянские ресурсы, часто выступающие в качестве законных библиотек JavaScript, извлекают вредоносный код из удаленных источников, таких как Vercel. Последний метод включает запуск серверной части приложения, где вредоносная логика встроена в модули или маршруты, выполнение кода, который извлекает данные переменной окружения и запускает JavaScript, полученный от злоумышленника.

В конечном счете, все три пути ведут к полезной нагрузке этапа 1, которая устанавливает постоянное соединение с сервером C2, регулярно запрашивая команды и предоставляя злоумышленникам ценную информацию о хосте. Эта полезная нагрузка спроектирована таким образом, чтобы быть легкой и работать за счет выполнения в памяти, избегая необходимости записи файлов на диск, тем самым обходя традиционные механизмы обнаружения. После начальной точки опоры полезная нагрузка этапа 2 позволяет продолжать взаимодействие с сервером C2, получать задания и облегчать дальнейшую эксплуатацию.

Microsoft Defender настроил множество мер обнаружения для выявления и смягчения последствий таких угроз, уделяя особое внимание координации между различными компонентами, включая конечные точки, облачные приложения и службы идентификации. Возможности обнаружения сосредоточены на выявлении аномального поведения, такого как повторное подключение к серверам C2, выполнение потенциально запутанных сценариев и несанкционированный доступ к конфиденциальным артефактам разработчика. Эти выводы подчеркивают важность тщательного мониторинга и адаптивных стратегий безопасности в меняющемся ландшафте киберугроза, нацеленных на разработчиков.

#ParsedReport #CompletenessHigh
25-02-2026

Violet RAT v4.7: The Most Dangerous Payload in a 9-RAT Toolkit

https://www.derp.ca/violet-rat-analysis/

Report completeness: High

Actors/Campaigns:
Serpentine_cloud
Purecoder

Threats:
Violet_rat
Purelogs
Purecryptor
Ninerat
Donut
Hvnc_tool
Process_injection_technique
Ngrok_tool
Asyncrat
Venomrat
Wdkillernew_tool
Xworm_rat
Dcrat
Remcos_rat
Purehvnc_tool
Pureminer
Purerat
Heracles
Xenocode_tool

Victims:
Multiple sectors

Industry:
Financial

Geo:
Budapest

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 25
Hash: 4
Registry: 3
IP: 3

Soft:
NET Framework, Discord, Windows Defender, Chrome, macOS, Linux, Firefox, iPadOS, TryCloudflare

Algorithms:
base64, md5, sha256, rc4, 7zip, aes, aes-128-ecb, aes-ecb, aes-128, aes-256-cbc, xor

Functions:
closeKL, ENC, Close, CreateInstance

Win API:
CompareString

Languages:
python, autoit

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Violet RAT версии 4.7 - это сложная Троянская программа удаленного доступа, которая работает через структурированный диспетчер команд и использует для развертывания дропперы на основе Python. Он обладает обширными функциональными возможностями, полученными от плагинов среды выполнения, включая возможности программ-вымогателей, Регистрация нажатий клавиш и удаленный доступ к рабочему столу, управляемый через фреймворк .NET. Ключевые характеристики включают выполнение в памяти, Обфускация команд и манипулирование процессами для закрепление, что делает его критически важным компонентом при многоэтапных вторжениях и потенциальной угрозой при скоординированных атаках вредоносное ПО.
-----

Violet RAT версии 4.7 является частью многоступенчатого фреймворк для внедрения с nine RAT семействами. Он работает на архитектуре командного диспетчера с использованием плагинов среды выполнения. RAT развертывается с помощью дропперов на базе Python, которые используют AES-256-CBC или RC4 для шифрования полезной нагрузки. Он запускается в памяти посредством отражающей загрузки сборки для выполнения команд со своего сервера управление (C2). Основной двоичный файл содержит около 8000 строк кода на промежуточном языке и 120 ветвей команд для различных функций, включая программы-вымогатели, удаленный доступ к рабочему столу, Регистрация нажатий клавиш и кражу учетных данных.

Диспетчер команд использует .СЕТЕВОЙ фреймворк и VB.NET поздние методы привязки для выполнения методов. Violet RAT использует в своих командах вращающуюся разделительную строку, что оказывает воздействие на поведение во время выполнения и шифрование. Он использует кодировку base64 с трехуровневой схемой для запутывания конфиденциальных данных и обменивается данными через HTTP POST-запросы без TLS. Домены C2 включают в себя vijdklet.duckdns.org и vigroup2125.duckdns.org , работающий на портах 7575 и 2125.

У RAT есть механизмы закрепление, которые отключают антивирусные продукты, манипулируют процессами, чтобы скрыть файлы, и использует технологию распространения по USB с помощью обманчивых файлов быстрого доступа. Он поддерживает сетевую разведка и может участвовать в DDoS-атаках. Violet RAT родственна XWorm, но имеет модификации для улучшения команд и запутывания. История его развертывания показывает, что он часто поставляется вместе с другим вредоносное ПО при скоординированных атаках, что усложняет анализ из-за его подключаемого подхода, зависящего от инфраструктуры C2 для выполнения важнейших функций.

#ParsedReport #CompletenessLow
25-02-2026

Librarian Likho scales attacks: analyze the group's new campaign

https://securelist.ru/librarian-likho-ongoing-campaign/114879/

Report completeness: Low

Actors/Campaigns:
Librarian_ghouls (motivation: information_theft)

Threats:
Anydesk_tool
Passview_tool
Defendercontrol_tool

Victims:
Public sector, Construction, Industrial production, Russian organizations

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1048, T1059.003, T1070.004, T1071.001, T1105, T1204.002, T1543.003, have more...

IOCs:
File: 19
Path: 1
Hash: 41
Domain: 6
Email: 3

Soft:
curl, Windows Defender, Microsoft Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года группа Librarian Likho запустила вредоносная кАмпания, нацеленная на российские организации, используя автоматизированную тактику фишинг и рассылая вложения электронной почты, которые должны выглядеть законными. Вредоносное ПО, созданное с помощью Smart Install Maker, загружает архивы .cab для извлечения файлов для выполнения команд, эксфильтрация данных и закрепление, используя динамически генерируемые URL-адреса C2. Кампания по-прежнему сосредоточена на удаленном доступе через AnyDesk и краже конфиденциальных учетные данные, используя как новую тактику, так и знакомые инструменты предыдущих атак.
-----

В начале ноября 2025 года была выявлена масштабная вредоносная кАмпания, атрибутирован с группой Librarian Likho, специально нацеленная на российские организации в различных секторах. Продолжающиеся атаки используют автоматизированные стратегии фишинг-рассылки, доставляя более тысячи электронных писем с вредоносными вложениями, имитирующими предложения о сотрудничестве или завершенные контракты. Примечательно, что векторы атак и набор инструментов в значительной степени соответствуют предыдущим кампаниям, хотя и с некоторыми изменениями в командах сценариев для повышения операционной эффективности.

Вредоносные электронные письма содержат исполняемые вложения, названия которых вводят в заблуждение, чтобы они напоминали законные документы. Примечательно, что вложения создаются с помощью Smart Install Maker и предназначены для того, чтобы использовать невнимательность пользователя. После выполнения они загружают архивы .cab в определенный временный каталог зараженной системы, впоследствии извлекая несколько файлов, критически важных для функциональности атаки. Среди этих файлов есть скрипты и утилиты, которые облегчают выполнение команд, эксфильтрация данных и закрепление системы.

Одним из важнейших обновлений в этой кампании является динамическая генерация URL-адресов сервера command and control (C2), которая достигается за счет замены переменных, а не жестко закодированных путей. Скрипт find.cmd, играющий важную роль в кампании, не только облегчает загрузку вредоносное ПО, но также создает виртуальную среду и настраивает переменные для конкретных адресов, извлеченных из url.txt файл. Затем загруженные полезные файлы выполняются, в то время как предыдущий способ хранения исполняемых файлов был изменен на каталог %APPDATA%\Windows.

Ключевые компоненты этой кампании включают установку AnyDesk для удаленного доступа наряду с выполнением различных служебных функций, направленных на обход механизмов безопасности, включая отключение Microsoft Defender и удаление признаков компрометация. Последовательность выполнения включает в себя несколько сценариев, предназначенных для обмена конфиденциальными данными по электронной почте, в частности, для паролей от браузеров и почтовых клиентов с использованием таких инструментов, как blat.exe .

Несмотря на обновления в технической реализации, многие инструменты и определенные скрипты из предыдущих кампаний остаются неизменными, что дает веские основания утверждать, что эта волна атак организована одной и той же группой. Злоумышленник перешел к более широкому нацелен на взаимодействие с возросшим объемом попыток неизбирательного фишинг, а не нацелен на усилия с высокой степенью целенаправленности. Такая эволюция стратегии усиливает необходимость принятия мер по Кибербезопасность в затронутых отраслях, особенно в государственном секторе и промышленных сферах. Основные цели сохраняются: обеспечение удаленного доступа к компьютеру через AnyDesk и сбор конфиденциальных учетные данные пользователя.

#ParsedReport #CompletenessLow
25-02-2026

PureCrypter: Reverse Engineering a .NET Loader From the PureCoder Ecosystem

https://www.derp.ca/purecrypter-loader-analysis/

Report completeness: Low

Actors/Campaigns:
Purecoder (motivation: information_theft)

Threats:
Purecryptor
Confuserex_tool
Purelogs
Credential_harvesting_technique
Purehvnc_tool
Asyncrat
Venomrat
Dcrat
Xworm_rat

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1105, T1140, T1555, T1620, T1622

IOCs:
File: 43
Hash: 3

Algorithms:
base64, xor, gzip, sha256, 3des

Functions:
Main, Orchestrator, ArgumentException, CopyTo, SetDecider

Win API:
decompress

Languages:
autoit, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ детализирует два .NET исполняемых файла, связанных с PureCrypter вредоносное ПО как услуга, идентифицируемые по их хэшам SHA256 и использующие ConfuserEx для запутывания. Они функционируют как загрузчики, расшифровывая и распаковывая встроенные ресурсы для выполнения .NET сборки, используя при этом агрессивные, но тривиальные методы запутывания, включая подавление ошибок. Эти загрузчики распространяют различные полезные приложения PureLogs для сбора конфиденциальной информации, включая кражу кошельков и сбор учетных записей, в рамках кампании SERPENTINE#CLOUD.
-----

Анализ сосредоточен на двух .NET исполняемые файлах, восстановленных во время многоэтапного вторжения, оба сгенерированы коммерческим шифровальщиком, известным как PureCrypter, который является частью экосистемы вредоносное ПО PureCoder "как услуга". Было обнаружено, что эти загрузчики были запутаны с помощью ConfuserEx и работали в условиях обнаружения общего вредоносное ПО без указания конкретного семейства. Их основная функция заключается в расшифровке и распаковке встроенного ресурса перед загрузкой его в виде сборки .NET посредством отражения.

Проанализированные исполняемые файлы содержали хэши SHA256 dcd22d338a0bc4cf615d126b84dfcda149a34cf18bc43b85f16142dfb019e608 и имели размер приблизительно 590 848 байт каждый, ориентированный на формат PE32 .NET и использующий CLR v4.0.30319. Оба загрузчика работают бесшумно, применяя меры обработки ошибок, которые подавляют любую обратную связь о сбоях.

Используемая обфускация описывается как агрессивная, но, по сути, тривиальная, как только будут поняты шаблоны. Это включает в себя внедрение "мертвого кода", когда проверки, которые не добавляют функциональной ценности, распределяются по всем методам, эффективно создавая помехи. Архитектура загрузчика поддерживает конвейер, управляемый событиями, для которого характерны тихие сбои из-за блоков "перехвата".

После выполнения загрузчики расшифровывают встроенную сборку .NET, используя схему шифрования 3DES-CBC, распаковывая данные с помощью схемы GZip, которая включает заголовок size. Процесс динамической загрузки требует выполнения определенных целевых методов путем разрешения имен классов и методов сборки.

Загрузчики распределяют различные варианты полезной нагрузки PureLogs, которые обладают различными эксплуатационными возможностями. Внутренняя полезная нагрузка Qdjlj.dll функционирует как комплексный клиент для сбора конфиденциальной информации, включая кражу криптографических кошельков и сбор учетных записей, в то время как Mvfsxog.библиотека dll служит в качестве промежуточного модуля, способного получать новые сборки .NET, загружаемые из инфраструктур command and control (C2).

Оба загрузчика связаны с более широкой операционной темой кампании SERPENTINE#CLOUD, описанной Securonix, и представляют более широкий набор возможностей в наборе инструментов PureCoder, который также включает инструменты для удаленного доступа и различные улучшения функциональности. Примечательно, что уровень закрепление, ответственный за обеспечение непрерывной работы загрузчиков после перезагрузки, рассматривается отдельно в более широком анализе.

#ParsedReport #CompletenessHigh
25-02-2026

Remcos Banking Fraud via Three AutoIt Persistence Chains

https://www.derp.ca/remcos-autoit-persistence/

Report completeness: High

Actors/Campaigns:
Serpentine_cloud
Purecoder

Threats:
Remcos_rat
Purehvnc_tool
Violet_rat
Purelogs
Purecryptor
Process_hollowing_technique
Dcrat
Asyncrat
Venomrat
Screen_shotting_technique
Hvnc_tool
Donut

Victims:
Banking customers, Financial sector

Industry:
Financial, Foodtech

Geo:
American, Canadian, Budapest

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.004, T1053.005, T1055.012, T1056.001, T1059.003, T1059.006, T1071.001, T1113, have more...

IOCs:
File: 11
Hash: 10
Path: 1
IP: 1

Soft:
EcoOptimize, WealthWise, NET Framework, ledger live, EcoOptimize WealthWise

Wallets:
bitpay, exodus_wallet, atomicwallet, metamask

Algorithms:
aes-256-cbc, aes-256, lznt1, sha256, ecc, gzip, base64, aes, rsa-4096, rc4

Functions:
TestFunction

Win API:
ecompress

Languages:
autoit, python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил три цепочки закрепление, использующие AutoIt, нацеленные на канадские банки через Remcos RAT. Эти цепочки, EcoOptimize, WealthWise и UrbanEco, устанавливают запланированные задачи для обеспечения устойчивости к вредоносное ПО, при этом Remcos делает снимки экрана банковского портала с использованием определенных ключевых слов, используя шифрование и взаимный протокол TLS для командной и контрольной аутентификации. Каждая цепочка работает с различными двоичными файлами и конфигурациями для повышения избыточности и скрытности операций, что создает значительную угрозу финансовым системам.
-----

Недавний анализ детализирует работу трех цепочек закрепление, использующих AutoIt, в первую очередь ориентированных на канадские банки с помощью инструмента удаленного доступа Remcos (RAT). Каждая цепочка имитирует законные бизнес-приложения и устанавливается в ненавязчивый каталог в пределах пути %LocalAppData%, настраивая запланированные задачи, которые гарантируют, что вредоносное ПО возобновляется через короткие промежутки времени, потенциально каждые пять минут. Примечательно, что две сети поставляют Remcos версии 7.0.1 Pro, настроенную для получения скриншотов банковских порталов каждые пять секунд, в то время как третья поставляет PureHVNC.

Выявленные цепочки закрепление включают EcoOptimize, WealthWise и UrbanEco. В каждом из них используются различные запланированные задачи с безобидными дескрипторами, чтобы избежать обнаружения, такие как “Отмена” и “Задействовано” для EcoOptimize и “QuantifyPro” для WealthWise, которые настойчиво пытаются запустить процесс вредоносное ПО, о чем свидетельствует обнаружение скрипта WealthWise более 3500 раз в течение двух дней на зараженном компьютере. машина.

С точки зрения функциональности, полезная нагрузка Remcos использует законные двоичные файлы Windows для выполнения своих команд. Цепочка EcoOptimize получает доступ к TapiUnattend.exe , в то время как сеть PureHVNC UrbanEco взаимодействует с RegAsm.exe двоичный код. Используемая версия Remcos использует механизм шифрования, использующий RC4, со встроенным ключом, позволяющим красть конфиденциальные данные, когда в заголовках окон появляются определенные ключевые слова, связанные с банковской деятельностью.

Инфраструктура командования и контроля (C2) диверсифицирована по нескольким доменам и поставщикам для обеспечения устойчивости к попыткам взлома, используя общий IP-адрес, на котором также размещаются другие RAT, что указывает на комплексную операционную инфраструктуру. Кроме того, вредоносное ПО использует взаимный протокол TLS со встроенными самозаверяющими сертификатами ECC, что позволяет ему легко проходить аутентификацию на сервере C2.

Конфигурации демонстрируют четкую ориентацию на канадские банковские системы, примером чего может служить список из 62 ключевых слов, нацелен на создание скриншотов, с особым акцентом на названия конкретных банковских порталов. В анализе отмечается, что, хотя конфигурация WealthWise сокращает количество ключевых слов с 62 до 50, она сохраняет ключевые нацелен, такие как EasyWeb из TD Bank, что указывает на изменение тактики, направленное на сужение нацелен на активное мошенничество.

Наконец, сеть UrbanEco указала на отдельную операцию по доставке PureHVNC, повторно использующую аналогичные конфигурации C2. Эта независимая цепочка служит для повышения операционной избыточности, гарантируя, что даже если один способ доставки нейтрализован, другие продолжают функционировать.