#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salat stealer - это программа для кражи информации на основе Go, использующая модель "Вредоносное ПОкак услуга", которая нацелена на конфиденциальные данные с конечных точек Windows, включая учетные данные браузера и информацию о кошельке криптовалюты. Он использует методы скрытности, такие как проверка виртуальных сред, упаковка UPX для запутывания кода и взаимодействие с интерфейсом сканирования вредоносных программ, чтобы избежать обнаружения. Вредоносное ПО создает временные файлы данных для хранения украденных учетные данные, сохраняется с помощью ключей запуска реестра и отправляет данные на серверы управление по протоколу HTTPS.
-----

Salat stealer - это быстро развивающийся похититель информации на базе Go, распространяемый с помощью модели "Вредоносное ПО как услуга" (MaaS), которая фокусируется на сборе конфиденциальной информации с конечных точек Windows. Вредоносное ПО нацелено на учетные данные браузера, сеансы Телеграм и информацию о криптовалютном кошельке, используя комбинацию методов скрытности и закрепление, чтобы избежать обнаружения.

Его поведение включает в себя выполнение проверок на наличие виртуальных сред, чтобы избежать обнаружения, использование упаковки UPX для скрытия своего кода и взаимодействие с интерфейсом сканирования вредоносных программ (AMSI) для обхода мер безопасности. Вредоносное ПО работает путем создания временных файлов данных в каталоге Windows %Temp%, чтобы обработать собранные учетные данные перед эксфильтрация. Он копирует себя в надежные каталоги, имитируя законные исполняемые файлы, и устанавливает закрепление путем создания ключей запуска реестра в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Когда он захватывает конфиденциальные данные, он отправляет эту информацию на свои серверы управление (C2) по протоколу HTTPS, часто используя резервные домены для поддержания подключения.

Для обнаружения Salat stealer с использованием платформы безопасности Wazuh были использованы специальные методы обнаружения, включая пользовательские правила обнаружения, специально направленные на выявление вредоносного поведения, связанного с вредоносное ПО. Эти правила используют Sysmon для улучшения видимости системных событий. Например, несколько идентификаторов правил нацелены на конкретные действия: идентификатор правила 100601 определяет, когда процесс SmartScreen загружает urlmon.библиотека dll, указывающая на разведка сети; Идентификатор правила 100602 сигнализирует, когда amsi.dll загружается, что указывает на попытку уклонения; Идентификатор правила 100603 идентифицирует выполнение скриптов PowerShell во временных каталогах; Идентификатор правила 100604 отслеживает изменения реестра на предмет возможных манипуляций с учетными данными; Идентификатор правила 100605 обнаруживает исходящие подключения к известным вредоносным IP-адресам, а идентификатор правила 100606 помечает подозрительные DNS-запросы.

Процесс обнаружения Wazuh еще более усиливается благодаря интеграции с VirusTotal, что позволяет платформе автоматически отправлять хэши вновь созданных или измененных файлов в VirusTotal для анализа угроз в режиме реального времени. Эта интеграция позволяет автоматически реагировать на угрозы, например удалять файлы, идентифицированные как вредоносные. Предупреждения, генерируемые Wazuh во время оперативной деятельности, можно просматривать через панель мониторинга, что позволяет специалистам по безопасности своевременно получать информацию о потенциальных угрозах.

Salat stealer представляет значительный риск для организаций и пользователей, и использование возможностей Wazuh в сочетании с VirusTotal предлагает упреждающий подход к выявлению и смягчению этой развивающейся угрозы. Постоянная адаптация стратегий обнаружения и активный мониторинг играют решающую роль в защите от таких изощренных атак вредоносное ПО.

#ParsedReport #CompletenessLow
01-03-2026

Yoroi Wallet Phishing Abuses GoTo Resolve and ScreenConnect for Device Takeover

https://malwr-analysis.com/2026/03/02/yoroi-wallet-phishing-abuses-goto-resolve-and-screenconnect-for-device-takeover/

Report completeness: Low

Threats:
Gotoresolve_tool
Screenconnect_tool
Logmein_tool

Victims:
Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1219, T1566

IOCs:
Url: 3
File: 2
Hash: 4
Domain: 3

Wallets:
yoroi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинг-кампания, нацеленная на пользователей криптовалют, выдает себя за настольный кошелек Yoroi, предлагая поддельное обновление, которое перенаправляет жертв на загрузку установщика. Вместо кошелька установщик развертывает инструмент удаленного доступа GoTo Resolve, предоставляя злоумышленникам скрытый доступ к компьютерам жертв. В этой кампании также используются легальные платформы, такие как gofile.ввод-вывод для размещения установщика, усложняющий обнаружение и демонстрирующий изощренное злоупотребление инструментами удаленного мониторинга и управления в киберугроза.
-----

Недавно появилась кампания по фишинг-атаке, которая выдает себя за настольный кошелек Yoroi, специально предназначенный для пользователей криптовалют под видом обновления программного обеспечения с улучшенной защитой и поддержкой кошелька Аппаратное обеспечение. В фишинг-письме был использован профессиональный тон и ссылка на хорошо оформленную целевую страницу, что создавало видимость законности, которая могла ввести пользователей в заблуждение.

Основной механизм этой атаки заключается в перенаправлении жертв на загрузку установщика, который вместо предоставления криптовалютного кошелька незаметно устанавливает инструмент удаленного доступа GoTo Resolve в автоматическом режиме. Это позволяет киберпреступникам получить скрытый доступ к компьютеру жертвы, подключив его к предварительно настроенному серверу удаленного доступа, связанному с клиентом злоумышленника GoTo Resolve. Примечательно, что этот вектор атаки не опирается на обычные эксплойты или вредоносное ПО, а вместо этого использует законное программное обеспечение, предназначенное для удаленного управления.

Более того, злоумышленник также использует ConnectWise ScreenConnect, другое законное приложение удаленного доступа, для развертывания своей полезной нагрузки. Во всех наблюдаемых случаях фишинг-кампании побуждают пользователей загружать полезную нагрузку с законного сервиса, такого как gofile.io , повышая сложность обнаружения и блокировки из-за зависимости от надежных платформ. Размещая установщик на авторитетном файлообменном сервисе, злоумышленники стремятся уменьшить подозрения и замаскировать свою деятельность.

Анализ показывает, что общей чертой этих атак является использование инструментов удаленного мониторинга и управления (RMM), интегрированных в фасад законных процессов распространения кошельков. Несмотря на то, что обманный характер этих кампаний кажется изощренным, при ближайшем рассмотрении обнаруживается значительная угроза, поскольку конечным результатом является полный удаленный доступ злоумышленников к устройствам жертв. Эта стратегия подчеркивает сохраняющиеся риски, связанные с Кибербезопасность, особенно в отношении использования законного программного обеспечения в злонамеренных целях, подчеркивая необходимость проявлять бдительность при работе с кажущимися подлинными сообщениями и загрузками в криптовалютном пространстве.

#ParsedReport #CompletenessLow
02-03-2026

Unauthorized AI Agent Execution Code Published to OpenVSX in Aqua Trivy VS Code Extension

https://socket.dev/blog/unauthorized-ai-agent-execution-code-published-to-openvsx-in-aqua-trivy-vs-code-extension

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Open source software ecosystem, Developers

Industry:
Government, Financial, Transport

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 7

Soft:
Claude, Slack

Functions:
pl

Languages:
javascript

Links:
https://github.com/aquasecurity/trivy-vscode-extension/security/advisories/GHSA-8mr6-gf9x-j8qg

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с расширением Aqua Trivy VS Code продемонстрировал нацелен-ную атаку на GitHub Actions, в которой вредоносные версии 1.8.12 и 1.8.13 допускали несанкционированное выполнение агентами искусственного интеллекта. В этих версиях использовалась внедренная вредоносная логика, которая облегчала проверку системы и эксфильтрация данных, при этом версия 1.8.12 распространяла конфиденциальную информацию по нескольким каналам, а версия 1.8.13 передавала учетные данные через сеанс GitHub CLI жертвы для создания хранилища. Атака подчеркивает растущую тенденцию использования искусственного интеллекта в supply chains программного обеспечения, поскольку внедренные вредоносные команды ускользали от обнаружения во время стандартных операций.
-----

Инцидент с использованием расширения Aqua Trivy VS Code на OpenVSX свидетельствует о сложной атаке, нацеленной на рабочие процессы GitHub Actions в различных проектах с открытым исходным кодом. Вредоносные версии расширения 1.8.12 и 1.8.13 способствовали несанкционированному запуску агента искусственного интеллекта, используя локальных помощников по программированию искусственного интеллекта, таких как Claude, Codex и GitHub Copilot. Вредоносная логика была внедрена в функцию активации рабочей области, которая выполняла запросы в наиболее разрешенных режимах, чтобы обойти человеческий надзор, что позволяло проводить тщательную проверку системы и сбор информации.

В версии 1.8.12 агенту искусственного интеллекта было поручено обнаружить все каналы связи в системе жертвы и отфильтровать собранные данные по широкому спектру исходящих путей, таких как почтовые клиенты и службы обмена сообщениями, что в конечном итоге создало хаос и рассеяло конфиденциальную информацию, вместо того чтобы извлекать ее контролируемым образом. Версия 1.8.13 усовершенствовала этот подход, указав четкий маршрут эксфильтрация: сбор токенов и учетные данные, запись их в файл и использование аутентифицированного сеанса GitHub CLI жертвы для создания нового репозитория для хранения отчетов. Риск здесь заключается в настройках доступа к хранилищу по умолчанию, которые могут непреднамеренно сделать конфиденциальные данные общедоступными, хотя в данном случае, похоже, такое хранилище в конечном счете создано не было.

Обе версии расширения демонстрировали механизм выполнения, при котором вредоносные команды были встроены в рутинные операции редактора, что затрудняло обнаружение. Команды использовали флаги инструментов искусственного интеллекта для неограниченного выполнения, что приводило к бесшумной работе, которая позволяла избежать обнаружения пользователем, позволяя встроенному коду выполняться независимо от стандартных операционных проверок. Это подчеркивает заметный сдвиг в сторону злоупотреблений supply chain с помощью искусственного интеллекта, поскольку злоумышленники теперь используют существующие инструменты разработки с расширенными возможностями для проведения разведка и потенциальной эксфильтрация конфиденциальных данных.

В связи с инцидентом разработчикам рекомендуется срочно удалить уязвимые версии и проверить историю использования их расширений. Кроме того, проверка активности GitHub на предмет несанкционированного создания репозитория и ротация доступных учетные данные, включая токены GitHub и ключи API, являются важными шагами по смягчению последствий. Этот инцидент подчеркивает необходимость бдительного мониторинга поведения расширений и упреждающего подхода к защите сред разработки от возникающих угроз, создаваемых с помощью искусственного интеллекта.

#ParsedReport #CompletenessHigh
28-02-2026

Archive.org Stego Delivers Remcos and AsyncRAT

https://www.derp.ca/research/archive-org-stego-campaign/

Report completeness: High

Threats:
Steganography_technique
Remcos_rat
Asyncrat
Mirai
Quasar_rat
Confuserex_tool
Uac_bypass_technique
Lolbin_technique
Process_hollowing_technique
Dcrat
Mandark_tool
Runpe_tool
Polymorphism_technique
Process_injection_technique
Snake_keylogger
Njrat

Geo:
Ecuador, Brazilian, Spanish, Colombian, Tibetan, Portuguese, Swedish, Colombia, Sweden

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1053.005, T1055.012, T1056.001, T1071.001, T1102, T1105, T1140, have more...

IOCs:
Hash: 10
File: 27
Email: 4
Domain: 4
Url: 6
Path: 3
IP: 2
Command: 2
Registry: 1

Soft:
NET Framework, Gmail, VirtualBox, qemu, Hyper-V, VirtualBox VirtualBox, QEMU QEMU

Algorithms:
aes-cbc, sha256, aes, des, base64, deflate, gzip, 3des, aes-256-cbc, rsa-1024, xor

Win API:
CreateProcess, ZwUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread, LoadLibraryA, GetProcAddress

Win Services:
WebClient, ebClient.Do

Languages:
php, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года кибер-актор использовал archive.org для доставки вредоносной полезной нагрузки, в частности Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT, для скрытия используется steganography .Библиотеки DLL NET injector в формате JPEG. Полезные файлы, встроенный маркер EOF post-JPEG, эмулируют законные библиотеки DLL, минуя обнаружение. Были выявлены две цепочки атак: одна использует PowerShell для получения изображений для Remcos, в то время как AsyncRAT использует отражающую загрузку сборки для безфайлового развертывания, демонстрируя постоянную инфраструктуру, отслеживаемую до колумбийского IP.
-----

В начале 2026 года киберугроза, связанная с использованием archive.org в качестве платформы доставки вредоносной полезной нагрузки была определена, в частности, развертывание Троянская программа удаленного доступа (RATs) Remcos и AsyncRAT. В этой кампании используются методы steganography для запутывания .Библиотеки DLL NET injector в виде обоев в формате 4K JPEG. Вредоносный код внедряется вслед за маркером JPEG EOF, что делает его незаметным для обычных средств просмотра изображений. Операторы, участвовавшие в этой деятельности, использовали ежедневный цикл перекомпиляции и загрузки этих изображений в несколько учетных записей, связанных с Gmail.

Перекрестная ссылка на данные о распространении URLhaus вредоносное ПО с помощью Tria.ge результаты песочницы дали 54 идентифицированных совпадения, выявив archive.org как значительное совпадение, хотя другие домены каталогизировали несвязанные угрозы, такие как ботнеты Mirai. Каждая извлеченная библиотека DLL маскируется под законную библиотеку Microsoft Windows, что побуждает программное обеспечение безопасности не замечать их вредоносную природу. Анализ размеров полезной нагрузки варьировался от 745 КБ до 1,6 МБ, при этом различные конфигурации обфускатора ConfuserEx использовались для улучшения тактики уклонения.

Были выявлены две различные цепочки атак. Первая цепочка уничтожения сосредоточена на Remcos версии 7.1.0 Pro, где скрипт PowerShell извлекает образ stego, который после обработки загружает и выполняет полезную нагрузку RAT в скрытой среде. Извлеченная конфигурация для Remcos указывает на то, что она взаимодействует с сервером C2 (systemcopilotdrivers.ydns.eu ) регистрировать нажатия клавиш даже в автономном режиме, сохраняя их в скрытой папке, предназначенной для операции RAT.

Напротив, AsyncRAT был реализован с помощью аналогичного механизма, но с такими вариациями, как загрузка отражающей сборки вместо process hollowing, что позволяет осуществлять развертывание без файлов. Обе крысы демонстрируют адаптивное поведение с их интервалами повторного выполнения и конфигурациями, которые включают отключение закрепление установки при поддержании высокого уровня активности с помощью циклических механизмов.

Инфраструктура, поддерживающая эти операции, была прослежена до постоянного IP-адреса в Колумбии, связанного с более чем десятимесячной непрерывной деятельностью, что демонстрирует постоянный и эволюционирующий подход к киберэксплуатации. Крысы использовали различные домены C2 наряду с фреймворк, нацеленный на process hollowing, повышающий их возможности скрытности. Их повсеместное присутствие через Облачные сервисы, такие как archive.org усиливает проблемы, с которыми сталкиваются при обнаружении вредоносное ПО и устранении неполадок, учитывая доверенный статус этого домена и отсутствие сканирования содержимого.

Эта атака подчеркивает сложное использование steganography, изощренные методы внедрения и полезность облачных платформ в операциях киберпреступников, что требует передовых стратегий обнаружения для эффективного противодействия возникающим угрозам.

#ParsedReport #CompletenessLow
02-03-2026

Purchase order attachment isnt a PDF. Its phishing for your password

https://www.malwarebytes.com/blog/threat-intel/2026/03/purchase-order-attachment-isnt-a-pdf-its-phishing-for-your-password

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1071.001, T1102.002, T1566.002, T1608.005

IOCs:
File: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинг-кампания включает в себя вводящее в заблуждение вложение с надписью "Новый PO 500PCS.pdf.hTM ," который маскируется под PDF, но на самом деле содержит HTML-код. Жертвы, открывающие файл, сталкиваются с запросом пароля, который фиксирует конфиденциальную информацию, такую как IP-адрес и геолокация, с помощью скрипта, передающего данные боту Телеграм, управляемому злоумышленником. Этот метод позволяет злоумышленникам собирать учетные данные для входа в систему для дальнейшего использования, что потенциально может привести к захвату учетных записей и продаже компрометация информации.
-----

Недавно была запущена кампания по фишинг-атаке с использованием искусно замаскированного приложения под названием "New PO 500PCS.pdf.hTM ". Файл, который должен был выглядеть как стандартный заказ на покупку в формате PDF, на самом деле содержит HTML-код. Двойное расширение у файла (.pdf.htm ) - хорошо известная тактика в схемах фишинг, когда Вредоносный файл маскируется под законные документы, но может выполнять вредоносные скрипты при открытии в веб-браузере.

При взаимодействии с вложением жертвам отображается запрос пароля, наложенный на размытый фон. Эта фишинг-страница автоматически вводит адрес электронной почты пользователя и в фоновом режиме запускает скрипт, который собирает конфиденциальную информацию, такую как IP-адрес жертвы, геолокация и пользовательский агент браузера. Затем эти данные отправляются непосредственно боту в Телеграм, управляемому злоумышленником. Выбор Телеграм в качестве канала командования и контроля (C2) является стратегическим, поскольку он обеспечивает шифрование, широкое использование и часто остается без контроля со стороны корпоративных мер безопасности.

Хотя замысел мошенничества может показаться бесхитростным, он эффективно собирает учетные данные для входа в систему у жертв. Как только эти учетные данные будут предоставлены, злоумышленник может использовать их для дальнейших вредоносных действий, включая захват учетных записей и продажу информации на незаконных рынках. Потенциальные последствия для жертв включают необходимость сброса паролей и снижения рисков, связанных с компрометация личной информации.

Учитывая характер этой угрозы, пользователям рекомендуется сохранять бдительность при получении подозрительных электронных писем и использовать такие инструменты, как Malwarebytes Scam Guard, для проверки законности потенциально вредоносного контента. Такие упреждающие меры могут помочь предотвратить попадание в число жертв этих фишинг-атак.

#ParsedReport #CompletenessHigh
24-02-2026

HYDRA SAIGA: COVERT ESPIONAGE AND INFILTRATION OF CRITICAL UTILITIES

https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/

Report completeness: High

Actors/Campaigns:
Hydra_saiga (motivation: cyber_criminal, cyber_espionage)
Cavalry_werewolf (motivation: cyber_espionage)
Shadowsilk (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)

Threats:
Havoc
Resocks_tool
Meterpreter_tool
Credential_harvesting_technique
Lolbin_technique
Fakelogonscreen_tool
Nltest_tool
Bitsadmin_tool
Chisel_tool
Acunetix_tool
Jlorat
Telemiris
Rsocx_tool
Credential_dumping_technique

Victims:
Government, Critical infrastructure, Energy sector, Healthcare, Legal sector, Water utilities, Hydroelectric power operators, Research institutions, Scada operators, Manufacturing equipment manufacturers, have more...

Industry:
Critical_infrastructure, Petroleum, Education, Energy, Ics, Healthcare, Government, Aerospace

Geo:
Colombia, Greece, Russian, Turkey, India, Singapore, Morocco, Netherlands, Slovakia, Georgia, Kyrgyzstan, Thailand, America, Peru, Bangladesh, Oman, Czechia, Armenia, Azerbaijan, Kazakhstan, Africa, Pakistan, Afghanistan, Asia, Chinese, Indonesia, Brazil, Iran, Uzbekistan, Middle east, Egypt, China, Bulgaria, South africa, Pol, Russia, Turkmenistan, Argentina, Mongolia, Afghan, Tajikistan, Belarus, Asian

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 8
IP: 28
Email: 1
Path: 17
Hash: 6
Url: 22
Domain: 14
Command: 1

Soft:
Telegram, Chrome, curl, PsExec, Microsoft Defender, PyInstaller, Firefox, Opera, Linux, s://www.vmray, have more...

Algorithms:
base64

Languages:
php, powershell, rust, golang, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hydra Saiga, базирующаяся в Казахстане преступная хакерская группировка, спонсируемая государством, действующая с 2021 года, в первую очередь нацелена на государственные структуры и сектора критической инфраструктуры в Центральной Азии, Европе и на Ближнем Востоке. Они используют различные методы атак, включая фишинг для первоначальный доступ, и используют операции управление с помощью API-интерфейса Телеграм-бота. Их деятельность после эксплуатации использует методы Living Off the Land, фокусируясь на сбор учетных записей и эксфильтрация данных с использованием как стандартных утилит Windows, так и пользовательских вредоносное ПО.
-----

Hydra Saiga - спонсируемая государством преступная хакерская группировка из Казахстана, действующая с 2021 года. Группа нацелен на государственные органы и важнейшие секторы инфраструктуры в первую очередь в Центральной Азии, Европе и на Ближнем Востоке. Они используют API-интерфейс Телеграм-ботов для операций управление и используют как стандартное, так и пользовательское вредоносное ПО, включая полезные приложения на Python, PowerShell, Golang и Rust. Их методы постэксплуатации включают в себя операции с клавиатурой и использование методов Living Off theLand со стандартными утилитами Windows. Механизмы закрепление включают запланированные задачи и изменения в реестре Windows. Методы получение учетных данных включают в себя дампы Память процесса LSASS и инструмент FakeLogonScreen с открытым исходным кодом. Обратная связь с сервером C2 осуществляется через Телеграм для эксфильтрация команд и данных. Первоначальный доступ достигается с помощью нацелен-ных фишинг-кампаний с вредоносными вложениями, часто замаскированными под документы или архивы RAR. Они проводят разведка с помощью таких инструментов, как Censys и Shodan. Hydra Saiga нацелен на критически важную инфраструктуру, связанную с водным и энергетическим секторами, и попытался внедриться в системы SCADA во многих странах. Криминалистический анализ связывает группу с Казахстаном на основе операционных схем и нацелен на секторы. Они подвергли компрометация по меньшей мере 34 организации в восьми странах, что свидетельствует об их широких оперативных возможностях.

#ParsedReport #CompletenessMedium
26-02-2026

Free Games, Costly Consequences

https://blog.gdatasoftware.com/2026/02/38373-pivigames-spreads-hijackloader

Report completeness: Medium

Threats:
Hijackloader
Process_injection_technique
Acr_stealer
Dll_sideloading_technique
Riseprostealer
Uac_bypass_technique
Rshell
Process_doppelganging_technique
Antivm_technique
Process_hollowing_technique
Heavens_gate_technique

Victims:
Pirated gaming users, Gaming community

Industry:
Entertainment

Geo:
Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1055.008, T1055.012, T1189, T1218, T1574.002, T1608.004

IOCs:
File: 25
Url: 1
Path: 2
Hash: 5

Algorithms:
zip, lznt1, xor, crc-32

Functions:
srand, rand

Win API:
decompress, GetComputerNameW

Languages:
javascript, php, python

Links:
https://github.com/struppigel/hedgehog-tools/blob/main/HijackLoader/python3\_hijackloader\_stage2\_decrypter.py
https://github.com/struppigel/hedgehog-tools/tree/main/HijackLoader
have more...

#ParsedReport #ExtractedSchema

Classified images:
code: 4, dump: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PiviGames перешла от платформы для пиратских игр к каналу распространения вредоносное ПО, в основном используя HijackLoader. Это вредоносное ПО использует сложный метод заражения, включающий Вредоносный файл, замаскированный под игровые настройки, выполняющийся с помощью DLL sideloading и использующий такие методы, как хэширование API и блокирование модулей. Вредоносное ПО демонстрирует расширенные возможности, включая проверку на защиту от виртуальных машин, закрепление и process INJECTION, что усложняет обнаружение и анализ.
-----

PiviGames, печально известная испанская платформа для скачивания пиратских компьютерных игр, превратилась в канал распространения вредоносное ПО, компрометирующий пользователей, которые ищут "бесплатных" развлечений. Первоначальный механизм заражения заключается в том, что невольные пользователи загружают Вредоносный файл, замаскированный под установку игры, что приводит к развертыванию HijackLoader — сложного вредоносное ПО, предназначенного для скрытности и закрепление.

В результате расследования было выявлено, что PiviGames маскирует свои вредоносные действия, используя сервисы Cloudflare, но его основной JavaScript, pgedshop.js , отвечает за перенаправление посетителей на неблаговидные сайты. Одним из примечательных примеров является файл с именем Setup.exe , который действует как чистый игровой лаунчер, но использует DLL sideloading для выполнения вредоносного кода через библиотеку под названием Conduit.Брокер.библиотека dll, принадлежащая к семейству HijackLoader.

Трубопровод.Брокер.сама библиотека dll содержит смесь доброкачественного и вредоносного кода и использует встроенное разрешение API для вызовов функций, что усложняет ее анализ. Вредоносное ПО использует уникальный механизм хэширования API, чтобы скрыть свою истинную природу. Кроме того, он расшифровывает файл (Groumcumgag.ic), который содержит шелл-код для облегчения дальнейшего развертывания полезной нагрузки. Эта полезная нагрузка загружается в законную системную библиотеку, evr.dll , используя технику, известную как топтание модуля.

Второй этап вредоносное ПО фокусируется на расшифровке и обработке конфигурационного файла (Zootkumbak.uhp), который определяет последующие действия. Содержащийся в нем шелл-код содержит фрагментированную конфигурацию, распределенную по 90 фрагментам, и использует шаблон поиска для определения местоположения этих фрагментов. В частности, он поддерживает различные функциональные возможности, включая параметры команд для process injection и настройки конфигурации.

На третьем этапе модуль ti64, который составляет ядро HijackLoader, реализует множество расширенных возможностей, включая проверки на защиту от виртуальной машины (Anti-VM), механизмы закрепление и методы множественного process Injection. Он предоставляет набор инструментов для загрузки полезных данных с помощью методов Внедрение в пустой процесс и Process Doppelgnging — используя безвредный внешний вид законных файлов, таких как MicrosoftEdgeUpdate.exe в качестве прикрытия для злонамеренных действий.

Межпроцессное взаимодействие облегчается с помощью переменных среды в скрытой форме, что позволяет HijackLoader обмениваться важной информацией, не вызывая тревоги. Весь фреймворк обладает высокой сложностью, что затрудняет распаковку из-за разбросанных путей выполнения кода и широкого использования структурированных данных.

Поскольку этот анализ HijackLoader продолжает раскрываться, в нем освещаются сложные методы, которые используют киберпреступники для использования, казалось бы, безобидных сервисов во вредоносных целях, и ожидается, что в следующей статье будет рассмотрена полезная нагрузка ACRStealer.

#ParsedReport #CompletenessLow
26-02-2026

Moonrise remote access trojan analysis: live surveillance and crypto theft capabilities

https://evalian.co.uk/inside-a-new-malware-trojan-moonrise/

Report completeness: Low

Threats:
Moonrise_rat
Cobalt_strike_tool

Victims:
Windows users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1059.003, T1071.001, T1082, T1115

IOCs:
Hash: 1
File: 5
IP: 1

Soft:
Linux

Algorithms:
base64, sha256

Functions:
Dial, SetReadDeadline, WriteJSON

Languages:
golang