#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена вредоносная кАмпания под названием OCRFix, включавшая typosquatting, которая имитировала инструмент распознавания Tesseract, чтобы заманить жертв к загрузке многоэтапной полезной нагрузки. В атаке использовались передовые методы, такие как EtherHiding, для сокрытия доменов управление в смарт-контрактах на Ethereum, что позволяло динамически изменять адреса, чтобы избежать обнаружения. Первая полезная нагрузка, Update1.exe , действовал как загрузчик, который извлекал дополнительные исполняемые файлы для закрепление и манипулирования системой, что в конечном итоге привело к развертыванию прослушивателя ботов, CfgHelper.exe , чтобы поддерживать контроль над зараженными устройствами.
-----

CYJAX выявил сложную вредоносная кАмпания, получившую название OCRFix, которая возникла в результате typosquatting- фишинг-атаки, выдававшей себя за инструмент распознавания текста Tesseract. Первоначально считавшаяся атакой с ClickFix, она включала в себя продвинутую тактику, такую как EtherHiding, использующую сложные методы запутывания и обход защиты. В схеме фишинг использовался поддельный домен, очень похожий на домен законного инструмента, с целью ввести пользователей в заблуждение и заставить их загружать вредоносное ПО.

Жертвы столкнулись с фишинг-страницей, которая использовала CAPTCHA для маскировки вредоносного контента. Затем команда PowerShell была скопирована в буфер обмена пользователей без их предупреждения, которая после выполнения инициировала загрузку с URL-адреса компрометация. Это привело к доставке многоэтапной полезной нагрузки вредоносное ПО, начинающейся с исполняемого файла MSI, который каскадировался в три дополнительных исполняемых файла, каждый из которых отвечал за развертывание дополнительных вредоносных элементов.

В атаке использовались смарт-контракты на блокчейнах, таких как Ethereum, для сокрытия доменов управление (C2), называемых EtherHiding. Этот процесс значительно повышает способность злоумышленников поддерживать закрепление и уклоняться от статического обнаружения за счет динамического изменения адресов C2. Вредоносное ПО запрашивало обновления из этих смарт-контрактов для получения URL-адресов C2 на различных этапах.

Первая полезная нагрузка, озаглавленная Update1.exe , служил загрузчиком, который извлекал следующие шаги выполнения вредоносное ПО. Он распаковал zip-файл, содержащий следующий исполняемый файл, setup_helper.exe , который манипулировал запланированными задачами, чтобы обеспечить закрепление, и выполнял сценарии, которые отключали различные средства защиты системы. Изменяя исключения Защитника Windows, на этом этапе создавались пути для последующих вредоносных действий.

Конечная полезная нагрузка, CfgHelper.exe , работающий в качестве прослушивателя ботов в рамках более крупной схемы ботнет. Он регулярно связывался со своим сервером C2 для сбора системной информации и отправки ее обратно. Анализ показал, что злоумышленники стремились управлять и поддерживать в рабочем состоянии сеть устройств, состоящую из компрометация, через структурированную Панель управления, доступную в домене сервера ботов.

Тактика кампании подчеркивает эффективность методов первоначальный доступ, таких как typosquatting и ClickFix, в сочетании с изощренными методами доставки вредоносное ПО и закрепление. Сложный характер этой многоэтапной атаки подчеркивает важность тщательной подготовки по вопросам безопасности и защиты от таких развивающихся киберугроза. Организациям рекомендуется ограничить ненужный доступ к PowerShell и принять упреждающие меры для блокирования известных источников фишинг-атак.

#ParsedReport #CompletenessHigh
24-02-2026

Diesel Vortex: Inside the Russian cybercrime group targeting US & EU freight

https://haveibeensquatted.com/blog/diesel-vortex-inside-the-russian-cybercrime-group-targeting-us-eu-freight

Report completeness: High

Actors/Campaigns:
Diesel_vortex (motivation: financially_motivated)

Threats:
Spear-phishing_technique
Git-dumper_tool
Supply_chain_technique
Cloaking_technique
Credential_harvesting_technique
Typosquatting_technique

Victims:
Freight and logistics companies, Trucking companies, Supply chain operators, Users of logistics platforms

Industry:
Petroleum, Logistic, Telco

Geo:
American, Moscow, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1071.001, T1102.003, T1111, T1204.001, T1564.003, T1566.002, T1583.001, T1584, have more...

IOCs:
File: 22
Domain: 78
Url: 2
IP: 26
Hash: 38

Soft:
Telegram, curl, Linux, Gmail, Microsoft Office 365, Unix, Photoshop

Algorithms:
hmac, base64

Functions:
postMessage, escapeHtml

Languages:
javascript, php, python

Links:
https://github.com/arthaud/git-dumper

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российская преступная хакерская группировка Diesel Vortex провела нацелен на фишинг-кампанию против грузовых и логистических компаний в США и Европе, успешно похитив более 1600 учетные данные для входа в систему, используя методы Целевой фишинг и голосовой фишинг. Они использовали двухдоменную архитектуру для фишинг, используя стек LAMP и продвинутые механизмы cloaking, и поддерживали контроль через Телеграм. Деятельность группы свидетельствует о долгосрочной стратегии, направленной на коммерциализацию фишинг-как-услуги, сигнализируя о переходе к более широкому вовлечению криминального рынка.
-----

Российская преступная хакерская группировка, известная как Diesel Vortex, организовала нацелен на фишинг-кампанию против грузовых и логистических компаний как в Соединенных Штатах, так и в Европе. За пять месяцев группа успешно получила более 1600 уникальных учетные данные для входа в систему от пользователей ключевых логистических платформ, используя передовые тактики, такие как Целевой фишинг и голосовой фишинг. Примечательно, что они использовали методы Имперсонация на таких платформах, как DAT Truckstop, Penske Logistics, Electronic Funds Source (EFS) и других, демонстрируя хорошо структурированную и финансово мотивированную операционную модель.

Операция Diesel Vortex включала в себя систематическое развитие инфраструктуры фишинг-атак, адаптированной для платформ логистических услуг, которые часто игнорируются обычными мерами Кибербезопасность из-за транзакционного характера их операций. Группа использовала зависимость этих платформ от ежедневного общения и транзакций, позволяя им выполнять такие действия, как перенаправление счетов-фактур и двойное посредничество, для перехвата важной информации об отправке и финансовых ресурсах.

Тщательный анализ тактики группы выявил сложную архитектуру с двумя доменами. При таком подходе фишинг-письма направляли жертв на, казалось бы, законный "рекламный" домен, который содержал полноэкранный iframe, связанный с вредоносным "системным" доменом, где размещался фактический фишинг-контент. Этот дизайн не только скрывал вредоносный домен с помощью чистого URL-адреса в адресной строке жертвы, но и обходил различные средства защиты от блокировок на основе браузера. Кроме того, операторы контролировали процесс фишинг в режиме реального времени с помощью команд, отправляемых через Телеграм, что облегчало динамическое взаимодействие с жертвами, когда они вводили свои учетные данные.

Техническая реализация их фишинг-инфраструктуры в значительной степени опиралась на стек LAMP и использовала сложный механизм cloaking, включающий в себя многогранные фильтры, такие как проверка интернет-провайдера, блокировка пользовательским агентом и проверка пользовательского пути URL. Эти меры увеличили сложность для потенциальных детекторов и позволили операторам отфильтровывать нежелательных посетителей, включая ботов безопасности и исследователей. Примечательно, что перехваченные учетные данные приведут жертв на вторичные страницы фишинг-рассылки, нацеленные на их поставщиков электронной почты, оптимизируя сбор жизненно важной информации, включая коды двухфакторной аутентификации.

Внутренний репозиторий, открытый через неправильно сконфигурированный каталог Git, пролил свет на операционные процедуры группы, выявив шаблоны для выполнения фишинг-атак, нацеленных на основные логистические платформы. Это хранилище включало потенциальные каналы связи, методы мошенничества и даже отслеживание доходов от их операций, что указывало на высокоорганизованность предприятия.

Вся операция указывает на долгосрочную стратегию: Diesel Vortex, похоже, строит коммерческую модель фишинг как услуга (PhaaS), ориентированную на русскоязычные криминальные рынки. В сочетании с финансовыми схемами, основанными на криптовалютах, данные свидетельствуют о хорошо финансируемой преступной операции, направленной на более широкую коммерциализацию их незаконных услуг.

#ParsedReport #CompletenessLow
26-02-2026

Exploring Aeternum C2: a new botnet that lives on the blockchain

https://qrator.net/blog/details/Exploring-Aeternum-C2/

Report completeness: Low

Threats:
Aeternum
Emotet
Trickbot
Qakbot
Glupteba
Kleenscan_tool

Victims:
Botnet victims, General internet users, Enterprises

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1497.001

IOCs:
File: 1

Crypto:
bitcoin

Win API:
Polygon

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Aeternum C2 - это децентрализованный ботнет, использующий блокчейн Polygon для управление, что создает новые проблемы для усилий по уничтожению. Он оснащен загрузчиком C++, который облегчает быстрое распространение команд с помощью смарт-контрактов, обеспечивая неизменяемость команд и быстрое выполнение действий. Aeternum использует методы антианализа, чтобы избежать обнаружения, и работает по недорогой модели, повышая свою устойчивость и позволяя проводить целый ряд мероприятий по борьбе с киберпреступность, одновременно усложняя традиционные методы взлома.
-----

Aeternum C2 - это ботнет, который использует общедоступный блокчейн Polygon для функциональности управление. Он обладает децентрализованной и устойчивой инфраструктурой, что затрудняет его демонтаж традиционными методами. Ботнет содержит загрузчик C++, доступный в версиях x32 и x64, который взаимодействует со смарт-контрактами на блокчейне. Команды записываются в виде блокчейн-транзакций, что делает их доступными для зараженных машин через общедоступные конечные точки RPC. Команды быстро распространяются среди ботов, значительно быстрее, чем одноранговые методы. Однажды выданные команды являются неизменяемыми и не могут быть изменены. Оперативный контроль осуществляется с помощью веб-панели, которая позволяет одновременно управлять несколькими смарт-контрактами. Контракты могут способствовать различным вредоносным действиям, включая кражу учетных данных, удаленный доступ и майнинг криптовалют. Ботнет может отслеживать активные заражения, используя механизм пинга, основанный на идентификаторах Аппаратное обеспечение. Зависимость Aeternum's от блокчейна препятствует традиционным стратегиям демонтажа, поскольку в нем отсутствует центральная точка отказа. Эксплуатационные расходы на обслуживание ботнет невелики, для транзакций требуется лишь небольшое количество MATIC. Он включает функции антианализа, позволяющие избежать обнаружения в виртуализированных средах, и использует службы AV-сканирования для проверки вредоносное ПО перед развертыванием. Появление моделей C2 на основе блокчейна указывает на сдвиг в методах борьбы с киберпреступность, требующий усиления мер Кибербезопасность, сосредоточенных на фильтрации трафика и обнаружении конечных точек.

#ParsedReport #CompletenessLow
27-02-2026

Microsoft Defender Discovers Trojanized Gaming Utility Campaign Stealing Data with RATs

https://gbhackers.com/gaming-utility-campaign/

Report completeness: Low

Threats:
Lolbin_technique

Victims:
Gamers

Industry:
Entertainment

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1112, T1204.002, T1218.003, T1562.001

IOCs:
File: 6
IP: 1

Soft:
Microsoft Defender, Twitter, WhatsApp, Microsoft Defender for Endpoint

Languages:
java, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Microsoft Defender раскрыли вредоносную кампанию, использующую троянские игровые утилиты, маскирующиеся под такие приложения, как Xeno.exe и RobloxPlayerBeta.exe , ориентированный на геймеров. Вредоносное ПО включает загрузчик, который создает архив Java, запускает PowerShell для дальнейших действий, используя двоичные файлы living-off-the-land, чтобы избежать обнаружения, и устанавливает закрепление с помощью запланированной задачи и сценария запуска. Конечная полезная нагрузка - это Троянская программа удаленного доступа (RAT), которая взаимодействует с сервером управление, обеспечивая эксфильтрация данных и развертывание дополнительного вредоносное ПО.
-----

Была выявлена вредоносная кампания, использующая троянские игровые утилиты, такие как Xeno.exe и RobloxPlayerBeta.exe чтобы обмануть пользователей. Кампания распространяет вредоносные загрузки в основном через веб-браузеры и чат-платформы, нацелен на геймеров. Выполнение троянских утилит активирует загрузчик, который запускает переносимую среду выполнения Java (JRE) и запускает Java-архив с именем jd-gui.jar , замаскированный под законный Java-декомпилятор. Этот JAR-файл действует как загрузчик для выполнения кода, контролируемого злоумышленником, и устанавливает механизмы закрепление. В кампании используется PowerShell со Скрытое окно и временными задержками, чтобы избежать обнаружения. Он использует двоичные файлы living-off-the-land (LOLBins), такие как cmstp.exe , для выполнения прокси-команды, минуя обнаружение на основе сигнатур. Загрузчик удаляет себя после выполнения, чтобы свести к минимуму следы криминалистический анализ. Для закрепление создается запланированная задача и сценарий запуска с именем world.vbs, которые перезапускают вредоносное ПО после перезагрузки. Вредоносное ПО включает в себя многоцелевую полезную нагрузку, устанавливающую Троянская программа удаленного доступа (RAT), которая взаимодействует с IP-адресом C2 79.110.49.15, что приводит к эксфильтрация данных и дальнейшему развертыванию вредоносное ПО. Возможности обнаружения доступны для мониторинга использования PowerShell, LOLBins, несанкционированных исключений Defender и сетевой активности, связанной с RAT. Рекомендации по безопасности включают блокировку или мониторинг подключений к IP-адресу C2, проверку списков исключений на наличие аномалий и выполнение изоляции конечных точек и сброса учетных данных в случае заражения.

#ParsedReport #CompletenessLow
24-02-2026

ResidentBat: Belarusian KGB Android Spyware at Internet Scale

https://censys.com/blog/residentbat-belarusian-kgb-android-spyware/

Report completeness: Low

Threats:
Residentbat
Supply_chain_technique

Victims:
Journalists, Civil society, Activists

Geo:
Russian, Belarus, Netherlands, Belarusian, Switzerland, Germany, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1113, T1123, T1401, T1412, T1453, T1474, T1553, T1562, have more...

IOCs:
File: 1
IP: 1

Soft:
Android, Google Play

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ResidentBat - это сложная шпионская программа для Android, связанная с белорусским КГБ и предназначенная для нацелен-ной слежки за журналистами и активистами. Для установки требуется физический доступ через ADB, связывающийся со своим C2 в первую очередь для эксфильтрация данных по протоколу HTTPS. Вредоносное ПО обладает широкими возможностями, включая доступ к конфиденциальным данным и поддержку удаленных команд, что делает его заметной угрозой, особенно для лиц, выступающих против белорусских властей.
-----

ResidentBat - это продвинутый шпионский имплантат для Android, атрибутирован с белорусским КГБ, специально созданный для слежки за журналистами и активистами гражданского общества. Вредоносное ПО требует физического доступа к целевому устройству, установки с помощью боковой загрузки Android Debug Bridge (ADB) и предоставления злоумышленником разрешений вручную. Примечательно, что он работает без модели распределения команд и контроля (C2), полагаясь на C2 исключительно для фильтрации данных и получения команд. Возможности шпионского ПО включают доступ к SMS, журналам вызовов, зашифрованным данным мессенджера, записям с микрофона, Захват экрана и локальным файлам.

Инфраструктура C2 для ResidentBat в основном расположена в Европе, с определенной концентрацией в Нидерландах, Германии, Швейцарии и единственным хостингом, определенным в России. Механизмы связи с C2 работают по протоколу HTTPS и используют уникальные атрибуты отпечатков пальцев, включая самозаверяющие сертификаты с согласованными соглашениями об именовании. Обнаруженные серверы выдают общий ответ 200 OK для всех HTTP-путей, что усложняет процесс идентификации для защитников. Кроме того, они работают в узком диапазоне портов 7000-7257, что обеспечивает более тщательный мониторинг.

В оперативном плане шпионское программное обеспечение предназначено для нацелен на слежку, а не для массовой компрометация, поскольку зависимость от физического доступа требует тщательного обращения с устройствами, часто во время пересечения границы или арестов. Вредоносное ПО поддерживает удаленные команды, эксфильтрация файлов, запросы о состоянии устройства и возможность удаленной очистки данных с помощью DevicePolicyManager. Эти особенности способствуют его классификации как серьезной угрозы для лиц, находящихся в группе риска, особенно для тех, кто выступает против белорусских властей.

Стратегии обнаружения для ResidentBat сосредоточены на поведении сети, в частности на мониторинге TLS-подключений к серверам, предоставляющим самозаверяющие сертификаты, наряду с отслеживанием конкретных портов, используемых вредоносное ПО. Мониторинг на уровне устройства должен включать оповещение об использовании ADB и мониторинг загруженных со стороны пакетов, особенно тех, которые получили несанкционированные разрешения. Платформа Censys для поиска угроз служит ресурсом для отслеживания и идентификации инфраструктуры ResidentBat с помощью специализированных запросов, основанных на известных характеристиках серверов C2 вредоносное ПО.

#ParsedReport #CompletenessLow
02-03-2026

A fake FileZilla site hosts a malicious download

https://www.malwarebytes.com/blog/threat-intel/2026/03/a-fake-filezilla-site-hosts-a-malicious-download

Report completeness: Low

Threats:
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Credential_harvesting_technique
Process_injection_technique

Victims:
Filezilla users, Home users, Web hosting accounts

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1071.001, T1071.004, T1195.001, T1497.002, T1568, T1574.001, T1583.001, T1622, have more...

IOCs:
Domain: 2
File: 9
Path: 1
IP: 2
Hash: 2

Soft:
VirtualBox, Windows DNS

Algorithms:
zip, sha256

Win API:
LoadLibrary

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Версия для компрометация FTP-клиента FileZilla (3.69.5) содержит вредоносную библиотеку DLL, позволяющую красть учетные данные и обмениваться данными с сервером управление. Распространяемая через домен-двойник filezilla-project.live, вредоносное ПО использует перехват DLL Search order, чтобы избежать обнаружения, получить доступ к сохраненным FTP-учетные данные и поддерживать закрепление. Его методы антианализа включают идентификацию виртуальных машин и использование DNS-over-HTTPS, чтобы избежать традиционных мер безопасности, что указывает на характер рисков атак в supply chain.
-----

Появилась компрометация версии FTP-клиента FileZilla с открытым исходным кодом, в частности версии 3.69.5, содержащей вредоносную библиотеку DLL, которая облегчает кражу учетных данных и взаимодействует с сервером управление (C2). Этот вредоносный вариант распространяется через похожий домен filezilla-project.live, на котором размещен подделанный архив. Вредоносное ПО использует перехват DLL search order - поведение Windows, при котором приложения загружают DLL-файлы из своего собственного каталога, прежде чем проверять системный путь. В этом случае, когда пользователи выполняют компрометация FileZilla, загружается вредоносная библиотека DLL, и с этого момента она работает без проблем в рамках того, что кажется обычным сеансом FileZilla, что затрудняет обнаружение ничего не подозревающими пользователями.

Сложное поведение вредоносное ПО включает в себя возможность доступа к сохраненным FTP-учетные данные и инициирование подключений к его серверу C2 без немедленного срабатывания сигнализации. В дополнение к локальному сбор учетных записей, наличие этих учетные данные могут представлять более широкий риск, позволяя злоумышленникам получать доступ к веб-серверам или учетным записям хостинга, связанным со скомпрометированными FTP-учетные данные для компрометация. Кампания является частью тревожной тенденции, когда установки доверенного программного обеспечения подвергаются злоупотреблениям путем внедрения вредоносных компонентов, что ранее было продемонстрировано на примере компрометация других утилит, таких как 7-Zip и Notepad++.

Дальнейший анализ показал, что вредоносная библиотека DLL использует различные методы антианализа, чтобы избежать обнаружения, включая проверки на наличие виртуальных машин и изолированных систем. Он запрашивает версию BIOS, идентифицирует производителя системы и проверяет наличие определенных разделов реестра, связанных со средами виртуализации. Если среда выглядит как изолированная, вредоносное ПО остается бездействующим; однако, если оно обнаруживает реальную пользовательскую систему, оно активируется, разрешая свой домен C2 через DNS-over-HTTPS (DoH). Этот метод позволяет ит-службе обходить традиционный мониторинг DNS и меры безопасности. Примечательно, что он также пытается подключиться к дополнительному серверу C2 через TCP-порт 31415, Нестандартный порт, часто используемый для уклонения от проверки брандмауэром.

Поведенческий анализ выявил дополнительные функциональные возможности вредоносное ПО, указывающие на то, что оно способно осуществлять process Injection и закрепление наряду с основной операцией кражи учетных данных. Пользователям настоятельно рекомендуется сохранять бдительность, загружать программное обеспечение только из официальных источников и проверять хэши файлов. Любое наличие конкретной версии.dll-файл в каталоге FileZilla является сильным показателем компрометация, и системы, демонстрирующие аномальный трафик DNS-over-HTTPS или соединения с известными распознавателями DoH из неавторизованных приложений, должны быть тщательно исследованы. Этот инцидент иллюстрирует риски, связанные с атаками на supply chain программного обеспечения, и подчеркивает важность бдительности при выборе программного обеспечения и методах обеспечения безопасности.

#ParsedReport #CompletenessHigh
03-03-2026

SloppyLemming Deploys BurrowShell and Rust-Based RAT to Target Pakistan and Bangladesh

https://arcticwolf.com/resources/blog/sloppylemming-deploys-burrowshell-and-rust-based-rat-to-target-pakistan-and-bangladesh/

Report completeness: High

Actors/Campaigns:
Sloppylemming (motivation: cyber_espionage)
Sidewinder

Threats:
Burrowshell
Clickonce_tool
Dll_sideloading_technique
Havoc
Cobalt_strike_tool
Nekrowire
Typosquatting_technique
Dllsearchorder_hijacking_technique
Spear-phishing_technique
Portscan_tool
Polymorphism_technique
Credential_harvesting_technique

Victims:
Government, Critical infrastructure, Defense organizations, Energy utilities, Telecommunications providers, Nuclear regulatory bodies, Financial institutions

Industry:
Education, Telco, Financial, Critical_infrastructure, Energy, Logistic, Government

Geo:
Bangladesh, Pakistan, Asian, Sri lanka, Pakistani, India, Asia

TTPs:
Tactics: 11
Technics: 18

IOCs:
File: 15
Hash: 20
Url: 3
Path: 7
Domain: 13
Registry: 1

Soft:
Windows Update service, NET Framework, Microsoft Excel

Algorithms:
sha256, base64, rc4

Functions:
SystemFunction033, GetCurrentDirectoryA, SetCurrentDirectoryA

Win API:
CreateFileA, WinHttpConnect, GetUserNameW, BitBlt, GetFileAttributesA, FindFirstFileA, FindNextFileA, ReadFile, WriteFile, RemoveDirectoryA, have more...

Languages:
visual_basic, rust

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/Hopding/pdf-lib
have more...

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 9, dump: 2, schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4