#ParsedReport #CompletenessHigh
05-03-2026

North Korea Tried to Hack Our CEO Through a Fake Job Interview on LinkedIn

https://allsecure.io/blog/lazarus-linkedin-attack/

Report completeness: High

Actors/Campaigns:
Lazarus
Contagious_interview

Threats:
Beavertail
Invisibleferret
Ottercookie
Xmrig_miner
Anydesk_tool

Victims:
Software development, Crypto and web3, Technology founders and executives

Industry:
Entertainment

Geo:
Dprk, Korean, North korea, North korean

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1036.005, T1056, T1059, T1059.007, T1070, T1071.001, T1082, have more...

IOCs:
File: 6
Url: 7
Email: 8
IP: 1
Domain: 1
Hash: 10

Soft:
curl, vscode, Node.js, Chrome, Opera

Wallets:
metamask

Algorithms:
base64

Functions:
setApiKey, validateApiKey, Function

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, государственный спонсируемый угрозы-актор из Северной Кореи, попыталась инфильтровать высокоценные цели через LinkedIn, начиная с незапрошенных сообщений о наборе, которые перерасходились в видеозвонки с использованием потенциальных дипфейков. Кампания включала в себя恶意 репозиторий, маскирующийся под платформу Web3 для игр, использующий вредоносное ПО, которое использовало легитимные npm-библиотеки для сокрытия своих операций и устанавливало C2-соединение каждые пять секунд. Цели вредоносного ПО включали кражу конфиденциальной информации, такой как криптовалютные кошельки и пароли, демонстрируя передовое сокрытие и операционную безопасность.
-----

Данный инцидент связан с попыткой кибер-вторжения со стороны государственных спонсируемых акторов из Северной Кореи, в частности группы Lazarus, использующих сложный метод для компрометации высокоценимых целей через профессиональные сети в LinkedIn. Атака началась с непрошенной вакансии и перешла в видеозвонок, в котором использовалась потенциально дипфейковая личность. Несоответствия в голосе звонящего вызвали подозрения, что побудило цель провести дальнейшее расследование.

При проверке вредоносного репозитория, замаскированного под законную игровую платформу Web3, исследователи обнаружили ряд хитро замаскированных компонентов вредоносного ПО. Атака использовала три независимых вектора заражения, которые выполняли вредоносные действия в тот момент, когда был доступен связанный с проектом каталог. Репозиторий имел более чем правдоподобный фасад, с функциями, типичными для современных игровых платформ, что делало его значительным инструментом угрозы.

Малварь состояла из нескольких этапов, начиная с компактного JavaScript-пейлоада, доставленного через окружение Node.js. Этот пейлоад, изначально безобидный на вид, инициировал серию операций, которые включали отпечатки машин и установление связи командного центра (C2), которая происходила каждые пять секунд. По мере прогрессирования инфекции дальнейшие вредоносные компоненты развертывались с C2, включая постоянный агент, который полностью работал в памяти, избегая хранения на диске и тем самым уклоняясь от распространенных методов обнаружения.

Значительной особенностью этой архитектуры вредоносного ПО было использование легитимных библиотек npm в качестве прикрытия. Это включало в себя внедрение вредоносного ПО в большой, на вид безобидный пакет, что усложняло анализ и усилия по его обнаружению. Начальные стадии вредоносного ПО были зафиксированы и проанализированы, но после обнаружения мониторинговой активности исследователей злоумышленники активировали аварийный выключатель, разрывая соединение и предотвращая доступ к дальнейшим компонентам, предназначенным для кражи.

Основные цели этой высок Sophisticated атаки заключались в компрометации чувствительной информации, включая криптовалютные кошельки, пароли, SSH-ключи и персональные данные с помощью современных модулей кражи. Это было подтверждено данными из репозитория GitHub — легитимного проекта, который был изменен для злонамеренных целей, демонстрируя высокий уровень операционной безопасности и мастерства со стороны Lazarus Group.

Индикаторы компрометации (IOC), связанные с этой кампанией, включают измененные файлы конфигурации, которые способствовали выполнению вредоносного ПО и его связям с C2. Преднамеренное использование техник обфускации и мониторинг в реальном времени указывают на целенаправленное усилие по атаке на высокопрофильных лиц в секторах технологий и криптовалют, подчеркивая продолжающуюся угрозу, исходящую от киберопераций Северной Кореи. Эти выводы подчеркивают необходимость повышенной бдительности среди профессионалов, работающих в сфере технологий и финансов, поскольку государственные акторы продолжают развивать свои тактики, чтобы использовать уязвимости в профессиональных средах.

#ParsedReport #CompletenessLow
05-03-2026

ClipXDaemon: Autonomous X11 Clipboard Hijacker Delivered via Bincrypter-Based Loader

https://cyble.com/blog/clipxdaemon-autonomous-x11-clipboard-hijacker/

Report completeness: Low

Threats:
Clipxdaemon
Bincrypter_tool
Shadowhs_tool
Hackshell_tool

Victims:
Linux users, Cryptocurrency users, Developers, Traders

TTPs:
Tactics: 6
Technics: 6

IOCs:
Coin: 5
Hash: 3

Soft:
Linux, OpenSSL, systemd

Wallets:
tron

Crypto:
bitcoin, ethereum, litecoin, monero, dogecoin, ripple

Algorithms:
aes-256-cbc, sha256, base64, gzip, chacha20, aes

Links:
https://github.com/hackerschoice/bincrypter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года был обнаружен Linux-вредонос ClipXDaemon, который использовался как хищник буфера обмена для криптовалют в средах X11, работая без функциональности командного управления. Он использует трехступенчатый процесс инфекции, применяя зашифрованный загрузчик, который избегает записи на диск и модифицирует профили пользователей для поддержания постоянства. Путем мониторинга буфера обмена на наличие криптовалютных адресов, вредоносное ПО заменяет их на адреса, контролируемые атакующими, максимизируя скрытность и усложняя усилия по обнаружению в системах Linux.
-----

ClipXDaemon — это недавно выявленное Linux-вредоносное ПО, функционирующее как хищник буфера обмена для криптовалют в средах X11. Вредоносное ПО доставляется через загрузчик, похожий на тот, который ассоциируется с группой угроз ShadowHS, но связь между ними не была установлена. ClipXDaemon работает локально без какой-либо функциональности командно-управляющего центра (C2), напрямую монетизируя взаимодействия, перехватывая скопированные адреса кошельков для криптовалют.

Он использует трехстадийный процесс заражения, начиная с зашифрованного загрузчика, который расшифровывает и загружает промежуточный дроппер в память, не записывая на диск. Загрузчик использует шифрование AES-256-CBC и сжатие gzip, чтобы скрыть свой полезный груз. Дроппер обеспечивает постоянство, изменяя конфигурации пользовательских профилей для выполнения полезного груза в будущих сеансах.

ClipXDaemon специально нацеливается на настройки настольных компьютеров Linux, особенно для пользователей криптовалют, и избегает сессий Wayland для повышения скрытности и уклонения от обнаружения. Вредоносное ПО мониторит буфер обмена каждые 200 миллисекунд, заменяя легитимные адреса криптовалют на те, что находятся под контролем злоумышленников.

Он использует родной протокол выбора X11 для мониторинга буфера обмена и применяет переименование процессов, чтобы скрыть свои операции. Избегая сетевой связи, ClipXDaemon усложняет традиционные стратегии обнаружения и предотвращения, отражая тенденцию к специализированному финансовому вредоносному ПО, использующему инструменты с открытым исходным кодом.

Рост систем Linux среди пользователей криптовалюты подчеркивает необходимость для организаций интегрировать угрозы манипуляции буфером обмена в меры безопасности, сосредоточив внимание на защите конечных точек и мониторинге поведения.

#ParsedReport #CompletenessHigh
05-03-2026

North Korean APT Malware Analysis: DEV#POPPER RAT and OmniStealer (Everyday I'm Shufflin')

https://www.esentire.com/blog/north-korean-apt-malware-analysis-dev-popper-rat-and-omnistealer-everyday-im-shufflin

Report completeness: High

Actors/Campaigns:
Dev_popper (motivation: financially_motivated)

Threats:
Omnistealer
Supply_chain_technique
Babel_tool
Megasync_tool

Victims:
Energy utilities and waste industry, Software developers

Industry:
Petroleum, E-commerce, Energy, Financial

Geo:
North korean

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1057, T1059.006, T1059.007, T1082, T1105, T1115, T1190, have more...

IOCs:
File: 24
IP: 7
Hash: 10
Command: 1
Coin: 13
Url: 1

Soft:
macOS, Linux, Node.js, Jenkins, Docker, Visual Studio Code, Discord, Firefox, Chrome, Telegram, have more...

Wallets:
tron, bitcoincore, electrum, exodus_wallet, keplr, rabby, metamask, tronlink, coinbase, coin98, have more...

Crypto:
ethereum, binance, solana, monero, dogecoin, casper, tezos, multiversx

Algorithms:
xor, rc4, md5, zip, base64, aes

Functions:
eval, generate, exec

Win API:
decompress, Arc

Languages:
javascript, python

Platforms:
cross-platform, x64

YARA: Found

Links:
have more...
https://github.com/eSentire/iocs/blob/main/DEV%23POPPER/DEV%23STOPPER.js

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 35, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года анализ выявил DEV#POPPER, Trojan удаленного доступа, связанный с северокорейской группой APT, нацеленной на криптовалютные кошельки и разработчиков через скомпрометированные репозитории GitHub. Вредоносное ПО исполняется через злонамеренный фасад электронной коммерции, используя сложные методы обфускации и анали-за, чтобы развернуть себя и другой крадун, OmniStealer, на macOS, Windows и Linux. Используя многоступенчатую атаку и динамическую инфраструктуру командования и управления, DEV#POPPER поддерживает постоянство, изменяя файлы JavaScript и эксфильтруя конфиденциальные данные через зашифрованные каналы.
-----

В феврале 2026 года анализ вредоносного ПО выявил наличие DEV#POPPER, сложного троянского вируса удаленного доступа (RAT), связанного с северокорейской группой APT. Эта угроза имеет финансовую мотивацию, в основном нацеливаясь на криптовалютные кошельки, а также направлена на разработчиков через скомпрометированные репозитории GitHub. Эти поддельные репозитории способствуют компрометации цепочки поставок, украдая конфиденциальные учетные данные исходного кода и токены доступа.

Атака начинается, когда жертва клонирует вредоносный репозиторий GitHub под названием "ShoeVista", который маскируется под платформу электронной коммерции. Запуск фронтенд-приложения выполняет скрытый скрипт, который запускает сложную цепь атак, в конечном итоге развертывая DEV#POPPER и информацию кражи OmniStealer. Примечательно, что эти варианты вредоносного ПО нацелены на системы на разных операционных системах, включая macOS, Windows и Linux, демонстрируя комплексную стратегию нацеливания.

Малварь использует многоуровневый подход. Первый этап включает выполнение сильно обфусцированного JavaScript в среде Node.js. Последующие этапы малвари используют различные техники обфускации и противодействия анализу для сокрытия своих операций. Например, функции для получения зашифрованных полезных нагрузок вызываются с помощью сложных методов дешифрования на основе XOR, и применяются различные проверки окружения, чтобы предотвратить выполнение в аналитических средах. Кроме того, DEV#POPPER использует ряд серверов управления и контроля (C2), которые меняются в зависимости от идентификатора кампании, хранящегося в глобальной переменной.

RAT устанавливает постоянную связь со своей C2 инфраструктурой, используя npm пакет socket.io-client, что позволяет ему выполнять команды, такие как загрузка файлов, аутентификация системы, кража буфера обмена и внедрение вредоносного кода в существующие приложения. DEV#POPPER также поддерживает постоянство, добавляя свой код в конец файлов JavaScript в приложениях Node.js, что гарантирует его выполнение при запуске этих приложений.

OmniStealer, еще один компонент, восхваляет злоумышленников с возможностями сбора данных из различных источников, включая пароли браузера, учетные данные криптовалютных кошельков и конфиденциальные файлы. Экстракция собранной информации происходит через зашифрованные архивы, отправляемые по протоколу HTTP или, если это не удается, через Telegram. Зловред также включает различные библиотеки Python для упрощения своей работы, такие как для обработки файлов и HTTP-запросов.

Глубокий анализ методов обфускации вредоносного ПО демонстрирует использование сложных техник JavaScript для затруднения работы по реверс-инжинирингу, таких как динамические вызовы прокси-функций и оценки во время выполнения. Для помощи в анализе исследователи безопасности разработали инструменты, такие как "DEV#STOPPER.js", которые автоматизируют деобфускацию сложных скриптов, используемых в DEV#POPPER и OmniStealer, что позволяет улучшить усилия по обнаружению угроз и их смягчению.

#ParsedReport #CompletenessLow
05-03-2026

GRIMBOLT C2 Infrastructure Recon: Pivoting From One IP to a Mapped Cluster

https://www.team-cymru.com/post/grimbolt-c2-infrastructure-mapping-and-reconnaisssance

Report completeness: Low

Actors/Campaigns:
Unc6201 (motivation: cyber_espionage)
Hafnium
Quietcrabs
Warp_panda

Threats:
Grimbolt
Brickstorm
Supply_chain_technique

CVEs:
CVE-2026-22769 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dell recoverpoint_for_virtual_machines (<6.0)


ChatGPT TTPs:
do not use without manual check
T1021.001, T1190, T1583.003, T1584, T1588.002

IOCs:
IP: 3
Domain: 1
File: 1
Hash: 1

Soft:
Outlook

Algorithms:
sha256

Win API:
NetBIOS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Статья описывает усилия по разведке, нацеленным на инфраструктуру командования и контроля вредоносного ПО GRIMBOLT, связанного с угрожающим кластером UNC6201, который, как полагают, связан с китайскими угрожающими акторами. Кампания использовала уязвимость нулевого дня в RecoverPoint для виртуальных машин компании Dell (CVE-2026-22769) и перешла от использования вредоносного ПО BRICKSTORM к GRIMBOLT, написанному на C#. Аналитики выявили общие отпечатки сертификатов X509 и совпадающие IP-адреса, что указывает на сплоченный операционный кластер, подчеркивая при этом проблемы, связанные с ограничениями анализа инфраструктуры.
-----

Статья обсуждает усилия по разведке, проведенные на инфраструктуре командного и управляющего (C2) центра, связанного с вредоносным ПО GRIMBOLT, особенно сосредоточенные на группе угроз, известной как UNC6201, которая была атрибутирована угроза акторам, подозреваемым в связях с Народной Республикой Китай. Этот анализ начинается с известного вредоносного IP-адреса, 149.248.11.71, идентифицированного как сервер C2 GRIMBOLT, управляемый этими акторами. Кампания использовала значительную уязвимость нулевого дня в RecoverPoint для виртуальных машин от Dell, отслеживаемую как CVE-2026-22769, и развертывает вредоносное ПО GRIMBOLT, которое примечательно тем, что написано на C#. Инициатива, по-видимому, представляет собой длительную операцию шпионажа, направленную на поддержание постоянного доступа.

Статья подчеркивает взаимодействия между кампанией UNC6201 и вредоносным ПО BRICKSTORM, отмечая, что акторы UNC6201 начали заменять старые бинарные файлы BRICKSTORM на вредоносное ПО GRIMBOLT. Несмотря на некоторые совпадения с другим кластером угроз, UNC5221 (также известным как Silk Typhoon), Google не считает эти две группы идентичными. Более того, операторы BRICKSTORM отслеживаются под псевдонимом WARP PANDA.

В терминах технической методологии статья описывает, как аналитики могут построить профиль IP-адреса, используя данные WHOIS, пассивные записи DNS и информацию о портах. Используя общие отпечатки X509-сертификатов, которые могут выявить клонированные развертывания виртуальных машин, аналитики обнаружили, что несколько IP-адресов, связанных с GRIMBOLT, вероятно, являются частью одного и того же кластера инфраструктуры. В частности, один и тот же X509-сертификат был найден на разных адресах, что предполагает, что злоумышленники использовали векторы, такие как статические имена NetBIOS, в автоматизированном развертывании виртуальных машин.

Анализ показывает, что эти IP-адреса были идентифицированы как имеющие совпадающие номера автономных систем и открытые конфигурации портов, что подтверждает вывод о том, что они принадлежат к одному и тому же оперативному кластеру. Однако было отмечено несоответствие относительно наличия конкретного домена, связанного с GRIMBOLT, что вызвало вопросы о полноте телеметрических данных, доступных во время разведки.

Резюме завершается предостережением о ограничения, присущие анализу внешней инфраструктуры, подчеркивая, что окончательные выводы о внутренних процессах или хранении вредоносного ПО на серверах требуют более сложных судебно-экспертных методов. Рекомендации включают добавление выявленного C2-сервера UNC6201 и связанных IP-адресов в списки блокировки и непрерывный мониторинг связи с этими адресами для обеспечения целостности сети.

#ParsedReport #CompletenessMedium
03-03-2026

Coruna: Inside the Nation-State-Grade iOS Exploit Kit We've Been Tracking

https://iverify.io/blog/coruna-inside-the-nation-state-grade-ios-exploit-kit-we-ve-been-tracking

Report completeness: Medium

Threats:
Coruna_tool

Victims:
Consumers, Mobile users

Industry:
Financial

Geo:
Ukraine, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1412, T1437, T1446, T1473.001, T1474, T1476, T1529, T1532, T1621, have more...

IOCs:
File: 23
Hash: 44
Domain: 3
Url: 1

Soft:
whatsapp.WhatsApp, WhatsApp, iMessage, Mac OS

Wallets:
bitkeep_wallet, coin98, exodus_wallet, metamask, mytonwallet, solflare, tonkeeper, tronlink

Crypto:
uniswap

Algorithms:
sha256

Platforms:
apple, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Эксплойт-кит Coruna нацелен на iPhone, работающие на версиях iOS с 13 по 17.2.1, используя 23 эксплойта, включая уязвимости выполнения удаленного кода (RCE) и повышения локальных привилегий (LPE). Он облегчает развертывание сложного шпионского ПО через атаки на водопой, нацеленные на криптовалютные кошельки, с заметной связью с российским угрозой в Украине. Методы комплекта отражают переход от тактики государств-наций к методологиям киберпреступников, позволяя осуществлять обширный сбор данных с компрометированных устройств через различные имплант-модули.
-----

Эксплойт-набор Coruna, проанализированный Группой угроз Google и подтвержденный исследователями iVerify, представляет собой значительный шаг в развитии киберугроз, специально нацеленных на iPhone с iOS версии 13 до 17.2.1. Этот набор инструментов включает 23 эксплойта, позволяющих осуществлять различные атаки на мобильные устройства. Основное внимание набора Coruna уделяется сложным возможностям шпионского ПО, которые перешли от коммерческих поставщиков наблюдения к акторам государств-наций и потенциально крупным преступным организациям.

Исследование выявило подозрительный домен, mxbc-v2.tjbjdod.cn, который хостил цепочку эксплойтов, включающую уязвимости для удаленного выполнения кода (RCE) в Safari и эксплойты для повышения локальных привилегий (LPE), позволяющие злоумышленникам получать контроль над целевыми устройствами. Эксплойт-ки́т, внутренне называемый CryptoWaters, использовался в основном через атаки на водоёмах против криптовалютных кошельков жертв, с конкретным российским угрозным актором, связанным с его развертыванием в Украине.

Методология данного анализа, включающая как статические, так и динамические форенсические подходы, показала, что цепочки эксплойтов не проявляли специфических эвристик целевого нацеливания. Вместо этого они имели возможность инфицировать любое устройство с уязвимой версией iOS, посещающее сайт, что указывает на сдвиг от традиционных тактик государств к методологиям, характерным для киберпреступной активности. Были захвачены несколько эксплойтов, включая различные JavaScript-файлы, способствующие различным этапам цепочки атаки, а также модули для связи и управления.

После успешной инфекции, эксплойт-кит развернул несколько модулей имплантации, которые захватывали приложения цели, такие как WhatsApp и SpringBoard, что позволяло осуществлять обширную экстракцию данных. Это включало мониторинг пользовательских коммуникаций и загрузку конфиденциальной информации, такой как фотографии и заметки. Связь с серверами командования и управления осуществлялась через различные строки User Agent, часто имитируя аутентичный трафик приложений, чтобы избежать обнаружения.

Обнаружение набора эксплоитов Coruna включает в себя мониторинг аномального поведения User Agent и судебных показателей, оставленных в результате инъекционных действий вредоносного ПО. IOC, собранные в ходе анализа, включают различные внутренние названия процессов, агенты пользователей и паттерны связи, которые отклоняются от ожидаемых норм.

Это расследование сигнализирует о первой признанной волне массовой эксплуатации, нацеленной на устройства iOS, и ожидается, что продолжающееся исследование поможет более подробно раскрыть развивающиеся возможности инструментария и его последствия для мобильной безопасности.

#ParsedReport #CompletenessLow
03-03-2026

PDF-Borne Living-off-the-Land Attacks with RMM Abuse

https://www.sonicwall.com/blog/pdf-borne-living-off-the-land-attacks-with-rmm-abuse

Report completeness: Low

Threats:
Lolbin_technique
Screenconnect_tool
Msp360_tool

Victims:
General users

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.001, T1105, T1218.007, T1566.002

IOCs:
File: 3
IP: 1
Hash: 8

Soft:
Dropbox

Algorithms:
zip

Languages:
swift, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки, наблюдаемые SonicWall Capture Labs, exploit файлы PDF для доставки несанкционированного программного обеспечения удаленного мониторинга и управления (RMM), такого как ScreenConnect и MSP360, с использованием тактик социальной инженерии. Пользователи обманом заставляются кликать по ссылкам, которые запускают загрузки MSI установщиков или ZIP архивов, содержащих вредоносные скрипты. Эти кампании используют техники "living-off-the-land", используя доверенные облачные сервисы для хостинга и полагаясь на цифровые подписи бинарных файлов, чтобы избежать обнаружения на платформах анализа вредоносных программ.
-----

Недавние наблюдения SonicWall Capture Labs выявили серию сложных кампаний, использующих PDF-файлы для доставки программного обеспечения для удаленного мониторинга и управления (RMM) с целью несанкционированного доступа к системам жертв. Эти кампании используют тактики социальной инженерии для создания убедительных сценариев, которые побуждают пользователей взаимодействовать с вредоносным контентом. PDF-документы в этих атаках зачастую выглядят легитимно, с встроенными гиперссылками, ведущими к дальнейшему компромету.

В первом сценарии, нажатие на казалось бы безобидную ссылку внутри PDF запускает загрузку файла установщика MSI для ScreenConnect, инструмента RMM, который обычно используется в ИТ-поддержке, но здесь злонамеренно развернут без согласия пользователя. Этот легитимный инструмент предпочитают злоумышленники из-за его цифровой подписи, которая позволяет обходить множество антивирусных защит и предоставляет всесторонние возможности удаленного доступа после установки, включая передачу файлов, выполнение команд и просмотр экрана.

Еще одна вариация атаки представляет собой PDF, имитирующий сообщение от Администрации социального обеспечения. Щелчок по ссылке в этом документе перенаправляет пользователя на вредоносный URL, который загружает ZIP-архив, якобы содержащий законное заявление. Внутри этого архива находится командный файл Windows, предназначенный для выполнения скрытого процесса PowerShell для установки ScreenConnect, снова используя доверенный статус инструмента.

Кроме того, одна кампания ложно представляет себя как финансовое соглашение от вымышленной организации "Swift Labs", что приводит к доставке установщика для MSP360 — легитимного решения для резервного копирования и удаленного управления. Хотя оно предназначено для законных ИТ-практик, несанкционированное использование MSP360 может привести к значительным угрозам безопасности для жертв, включая раскрытие конфигураций резервного копирования и учетных данных облачного хранилища.

Эти кампании демонстрируют сложное использование техник living-off-the-land, полагаясь на доверенные облачные сервисы, такие как Dropbox, для размещения вредоносных полезных нагрузок или используя коммерчески подписанные двоичные файлы, чтобы уклоняться от обнаружения на основе хешей файлов. Примечательно, что отсутствие этих вредоносных файлов на крупных платформах анализа вредоносного ПО, таких как VirusTotal, указывает на то, что они новые и на данный момент не широко помечены как угрозы, что требует повышенного внимания и тщательной проверки со стороны специалистов по кибербезопасности.

#ParsedReport #CompletenessLow
06-03-2026

InstallFix: How attackers are weaponizing malvertized install guides

https://pushsecurity.com/blog/installfix/

Report completeness: Low

Threats:
Installfix_technique
Clickfix_technique
Consentfix_technique
Amatera_stealer
Acr_stealer
Ghostsocks

Victims:
Developers, Ai tool users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1218.005, T1583.001

IOCs:
File: 3
Url: 4
Domain: 17
Path: 1

Soft:
Claude, curl, MacOS

Algorithms:
base64

Languages:
rust

Platforms:
intel