#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года анализ выявил DEV#POPPER, Trojan удаленного доступа, связанный с северокорейской группой APT, нацеленной на криптовалютные кошельки и разработчиков через скомпрометированные репозитории GitHub. Вредоносное ПО исполняется через злонамеренный фасад электронной коммерции, используя сложные методы обфускации и анали-за, чтобы развернуть себя и другой крадун, OmniStealer, на macOS, Windows и Linux. Используя многоступенчатую атаку и динамическую инфраструктуру командования и управления, DEV#POPPER поддерживает постоянство, изменяя файлы JavaScript и эксфильтруя конфиденциальные данные через зашифрованные каналы.
-----

В феврале 2026 года анализ вредоносного ПО выявил наличие DEV#POPPER, сложного троянского вируса удаленного доступа (RAT), связанного с северокорейской группой APT. Эта угроза имеет финансовую мотивацию, в основном нацеливаясь на криптовалютные кошельки, а также направлена на разработчиков через скомпрометированные репозитории GitHub. Эти поддельные репозитории способствуют компрометации цепочки поставок, украдая конфиденциальные учетные данные исходного кода и токены доступа.

Атака начинается, когда жертва клонирует вредоносный репозиторий GitHub под названием "ShoeVista", который маскируется под платформу электронной коммерции. Запуск фронтенд-приложения выполняет скрытый скрипт, который запускает сложную цепь атак, в конечном итоге развертывая DEV#POPPER и информацию кражи OmniStealer. Примечательно, что эти варианты вредоносного ПО нацелены на системы на разных операционных системах, включая macOS, Windows и Linux, демонстрируя комплексную стратегию нацеливания.

Малварь использует многоуровневый подход. Первый этап включает выполнение сильно обфусцированного JavaScript в среде Node.js. Последующие этапы малвари используют различные техники обфускации и противодействия анализу для сокрытия своих операций. Например, функции для получения зашифрованных полезных нагрузок вызываются с помощью сложных методов дешифрования на основе XOR, и применяются различные проверки окружения, чтобы предотвратить выполнение в аналитических средах. Кроме того, DEV#POPPER использует ряд серверов управления и контроля (C2), которые меняются в зависимости от идентификатора кампании, хранящегося в глобальной переменной.

RAT устанавливает постоянную связь со своей C2 инфраструктурой, используя npm пакет socket.io-client, что позволяет ему выполнять команды, такие как загрузка файлов, аутентификация системы, кража буфера обмена и внедрение вредоносного кода в существующие приложения. DEV#POPPER также поддерживает постоянство, добавляя свой код в конец файлов JavaScript в приложениях Node.js, что гарантирует его выполнение при запуске этих приложений.

OmniStealer, еще один компонент, восхваляет злоумышленников с возможностями сбора данных из различных источников, включая пароли браузера, учетные данные криптовалютных кошельков и конфиденциальные файлы. Экстракция собранной информации происходит через зашифрованные архивы, отправляемые по протоколу HTTP или, если это не удается, через Telegram. Зловред также включает различные библиотеки Python для упрощения своей работы, такие как для обработки файлов и HTTP-запросов.

Глубокий анализ методов обфускации вредоносного ПО демонстрирует использование сложных техник JavaScript для затруднения работы по реверс-инжинирингу, таких как динамические вызовы прокси-функций и оценки во время выполнения. Для помощи в анализе исследователи безопасности разработали инструменты, такие как "DEV#STOPPER.js", которые автоматизируют деобфускацию сложных скриптов, используемых в DEV#POPPER и OmniStealer, что позволяет улучшить усилия по обнаружению угроз и их смягчению.

#ParsedReport #CompletenessLow
05-03-2026

GRIMBOLT C2 Infrastructure Recon: Pivoting From One IP to a Mapped Cluster

https://www.team-cymru.com/post/grimbolt-c2-infrastructure-mapping-and-reconnaisssance

Report completeness: Low

Actors/Campaigns:
Unc6201 (motivation: cyber_espionage)
Hafnium
Quietcrabs
Warp_panda

Threats:
Grimbolt
Brickstorm
Supply_chain_technique

CVEs:
CVE-2026-22769 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dell recoverpoint_for_virtual_machines (<6.0)


ChatGPT TTPs:
do not use without manual check
T1021.001, T1190, T1583.003, T1584, T1588.002

IOCs:
IP: 3
Domain: 1
File: 1
Hash: 1

Soft:
Outlook

Algorithms:
sha256

Win API:
NetBIOS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Статья описывает усилия по разведке, нацеленным на инфраструктуру командования и контроля вредоносного ПО GRIMBOLT, связанного с угрожающим кластером UNC6201, который, как полагают, связан с китайскими угрожающими акторами. Кампания использовала уязвимость нулевого дня в RecoverPoint для виртуальных машин компании Dell (CVE-2026-22769) и перешла от использования вредоносного ПО BRICKSTORM к GRIMBOLT, написанному на C#. Аналитики выявили общие отпечатки сертификатов X509 и совпадающие IP-адреса, что указывает на сплоченный операционный кластер, подчеркивая при этом проблемы, связанные с ограничениями анализа инфраструктуры.
-----

Статья обсуждает усилия по разведке, проведенные на инфраструктуре командного и управляющего (C2) центра, связанного с вредоносным ПО GRIMBOLT, особенно сосредоточенные на группе угроз, известной как UNC6201, которая была атрибутирована угроза акторам, подозреваемым в связях с Народной Республикой Китай. Этот анализ начинается с известного вредоносного IP-адреса, 149.248.11.71, идентифицированного как сервер C2 GRIMBOLT, управляемый этими акторами. Кампания использовала значительную уязвимость нулевого дня в RecoverPoint для виртуальных машин от Dell, отслеживаемую как CVE-2026-22769, и развертывает вредоносное ПО GRIMBOLT, которое примечательно тем, что написано на C#. Инициатива, по-видимому, представляет собой длительную операцию шпионажа, направленную на поддержание постоянного доступа.

Статья подчеркивает взаимодействия между кампанией UNC6201 и вредоносным ПО BRICKSTORM, отмечая, что акторы UNC6201 начали заменять старые бинарные файлы BRICKSTORM на вредоносное ПО GRIMBOLT. Несмотря на некоторые совпадения с другим кластером угроз, UNC5221 (также известным как Silk Typhoon), Google не считает эти две группы идентичными. Более того, операторы BRICKSTORM отслеживаются под псевдонимом WARP PANDA.

В терминах технической методологии статья описывает, как аналитики могут построить профиль IP-адреса, используя данные WHOIS, пассивные записи DNS и информацию о портах. Используя общие отпечатки X509-сертификатов, которые могут выявить клонированные развертывания виртуальных машин, аналитики обнаружили, что несколько IP-адресов, связанных с GRIMBOLT, вероятно, являются частью одного и того же кластера инфраструктуры. В частности, один и тот же X509-сертификат был найден на разных адресах, что предполагает, что злоумышленники использовали векторы, такие как статические имена NetBIOS, в автоматизированном развертывании виртуальных машин.

Анализ показывает, что эти IP-адреса были идентифицированы как имеющие совпадающие номера автономных систем и открытые конфигурации портов, что подтверждает вывод о том, что они принадлежат к одному и тому же оперативному кластеру. Однако было отмечено несоответствие относительно наличия конкретного домена, связанного с GRIMBOLT, что вызвало вопросы о полноте телеметрических данных, доступных во время разведки.

Резюме завершается предостережением о ограничения, присущие анализу внешней инфраструктуры, подчеркивая, что окончательные выводы о внутренних процессах или хранении вредоносного ПО на серверах требуют более сложных судебно-экспертных методов. Рекомендации включают добавление выявленного C2-сервера UNC6201 и связанных IP-адресов в списки блокировки и непрерывный мониторинг связи с этими адресами для обеспечения целостности сети.

#ParsedReport #CompletenessMedium
03-03-2026

Coruna: Inside the Nation-State-Grade iOS Exploit Kit We've Been Tracking

https://iverify.io/blog/coruna-inside-the-nation-state-grade-ios-exploit-kit-we-ve-been-tracking

Report completeness: Medium

Threats:
Coruna_tool

Victims:
Consumers, Mobile users

Industry:
Financial

Geo:
Ukraine, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1412, T1437, T1446, T1473.001, T1474, T1476, T1529, T1532, T1621, have more...

IOCs:
File: 23
Hash: 44
Domain: 3
Url: 1

Soft:
whatsapp.WhatsApp, WhatsApp, iMessage, Mac OS

Wallets:
bitkeep_wallet, coin98, exodus_wallet, metamask, mytonwallet, solflare, tonkeeper, tronlink

Crypto:
uniswap

Algorithms:
sha256

Platforms:
apple, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Эксплойт-кит Coruna нацелен на iPhone, работающие на версиях iOS с 13 по 17.2.1, используя 23 эксплойта, включая уязвимости выполнения удаленного кода (RCE) и повышения локальных привилегий (LPE). Он облегчает развертывание сложного шпионского ПО через атаки на водопой, нацеленные на криптовалютные кошельки, с заметной связью с российским угрозой в Украине. Методы комплекта отражают переход от тактики государств-наций к методологиям киберпреступников, позволяя осуществлять обширный сбор данных с компрометированных устройств через различные имплант-модули.
-----

Эксплойт-набор Coruna, проанализированный Группой угроз Google и подтвержденный исследователями iVerify, представляет собой значительный шаг в развитии киберугроз, специально нацеленных на iPhone с iOS версии 13 до 17.2.1. Этот набор инструментов включает 23 эксплойта, позволяющих осуществлять различные атаки на мобильные устройства. Основное внимание набора Coruna уделяется сложным возможностям шпионского ПО, которые перешли от коммерческих поставщиков наблюдения к акторам государств-наций и потенциально крупным преступным организациям.

Исследование выявило подозрительный домен, mxbc-v2.tjbjdod.cn, который хостил цепочку эксплойтов, включающую уязвимости для удаленного выполнения кода (RCE) в Safari и эксплойты для повышения локальных привилегий (LPE), позволяющие злоумышленникам получать контроль над целевыми устройствами. Эксплойт-ки́т, внутренне называемый CryptoWaters, использовался в основном через атаки на водоёмах против криптовалютных кошельков жертв, с конкретным российским угрозным актором, связанным с его развертыванием в Украине.

Методология данного анализа, включающая как статические, так и динамические форенсические подходы, показала, что цепочки эксплойтов не проявляли специфических эвристик целевого нацеливания. Вместо этого они имели возможность инфицировать любое устройство с уязвимой версией iOS, посещающее сайт, что указывает на сдвиг от традиционных тактик государств к методологиям, характерным для киберпреступной активности. Были захвачены несколько эксплойтов, включая различные JavaScript-файлы, способствующие различным этапам цепочки атаки, а также модули для связи и управления.

После успешной инфекции, эксплойт-кит развернул несколько модулей имплантации, которые захватывали приложения цели, такие как WhatsApp и SpringBoard, что позволяло осуществлять обширную экстракцию данных. Это включало мониторинг пользовательских коммуникаций и загрузку конфиденциальной информации, такой как фотографии и заметки. Связь с серверами командования и управления осуществлялась через различные строки User Agent, часто имитируя аутентичный трафик приложений, чтобы избежать обнаружения.

Обнаружение набора эксплоитов Coruna включает в себя мониторинг аномального поведения User Agent и судебных показателей, оставленных в результате инъекционных действий вредоносного ПО. IOC, собранные в ходе анализа, включают различные внутренние названия процессов, агенты пользователей и паттерны связи, которые отклоняются от ожидаемых норм.

Это расследование сигнализирует о первой признанной волне массовой эксплуатации, нацеленной на устройства iOS, и ожидается, что продолжающееся исследование поможет более подробно раскрыть развивающиеся возможности инструментария и его последствия для мобильной безопасности.

#ParsedReport #CompletenessLow
03-03-2026

PDF-Borne Living-off-the-Land Attacks with RMM Abuse

https://www.sonicwall.com/blog/pdf-borne-living-off-the-land-attacks-with-rmm-abuse

Report completeness: Low

Threats:
Lolbin_technique
Screenconnect_tool
Msp360_tool

Victims:
General users

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.001, T1105, T1218.007, T1566.002

IOCs:
File: 3
IP: 1
Hash: 8

Soft:
Dropbox

Algorithms:
zip

Languages:
swift, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки, наблюдаемые SonicWall Capture Labs, exploit файлы PDF для доставки несанкционированного программного обеспечения удаленного мониторинга и управления (RMM), такого как ScreenConnect и MSP360, с использованием тактик социальной инженерии. Пользователи обманом заставляются кликать по ссылкам, которые запускают загрузки MSI установщиков или ZIP архивов, содержащих вредоносные скрипты. Эти кампании используют техники "living-off-the-land", используя доверенные облачные сервисы для хостинга и полагаясь на цифровые подписи бинарных файлов, чтобы избежать обнаружения на платформах анализа вредоносных программ.
-----

Недавние наблюдения SonicWall Capture Labs выявили серию сложных кампаний, использующих PDF-файлы для доставки программного обеспечения для удаленного мониторинга и управления (RMM) с целью несанкционированного доступа к системам жертв. Эти кампании используют тактики социальной инженерии для создания убедительных сценариев, которые побуждают пользователей взаимодействовать с вредоносным контентом. PDF-документы в этих атаках зачастую выглядят легитимно, с встроенными гиперссылками, ведущими к дальнейшему компромету.

В первом сценарии, нажатие на казалось бы безобидную ссылку внутри PDF запускает загрузку файла установщика MSI для ScreenConnect, инструмента RMM, который обычно используется в ИТ-поддержке, но здесь злонамеренно развернут без согласия пользователя. Этот легитимный инструмент предпочитают злоумышленники из-за его цифровой подписи, которая позволяет обходить множество антивирусных защит и предоставляет всесторонние возможности удаленного доступа после установки, включая передачу файлов, выполнение команд и просмотр экрана.

Еще одна вариация атаки представляет собой PDF, имитирующий сообщение от Администрации социального обеспечения. Щелчок по ссылке в этом документе перенаправляет пользователя на вредоносный URL, который загружает ZIP-архив, якобы содержащий законное заявление. Внутри этого архива находится командный файл Windows, предназначенный для выполнения скрытого процесса PowerShell для установки ScreenConnect, снова используя доверенный статус инструмента.

Кроме того, одна кампания ложно представляет себя как финансовое соглашение от вымышленной организации "Swift Labs", что приводит к доставке установщика для MSP360 — легитимного решения для резервного копирования и удаленного управления. Хотя оно предназначено для законных ИТ-практик, несанкционированное использование MSP360 может привести к значительным угрозам безопасности для жертв, включая раскрытие конфигураций резервного копирования и учетных данных облачного хранилища.

Эти кампании демонстрируют сложное использование техник living-off-the-land, полагаясь на доверенные облачные сервисы, такие как Dropbox, для размещения вредоносных полезных нагрузок или используя коммерчески подписанные двоичные файлы, чтобы уклоняться от обнаружения на основе хешей файлов. Примечательно, что отсутствие этих вредоносных файлов на крупных платформах анализа вредоносного ПО, таких как VirusTotal, указывает на то, что они новые и на данный момент не широко помечены как угрозы, что требует повышенного внимания и тщательной проверки со стороны специалистов по кибербезопасности.

#ParsedReport #CompletenessLow
06-03-2026

InstallFix: How attackers are weaponizing malvertized install guides

https://pushsecurity.com/blog/installfix/

Report completeness: Low

Threats:
Installfix_technique
Clickfix_technique
Consentfix_technique
Amatera_stealer
Acr_stealer
Ghostsocks

Victims:
Developers, Ai tool users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1218.005, T1583.001

IOCs:
File: 3
Url: 4
Domain: 17
Path: 1

Soft:
Claude, curl, MacOS

Algorithms:
base64

Languages:
rust

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "InstallFix" использует процесс установки легитимного программного обеспечения, специально нацеливаясь на инструменты разработчиков через клонированные веб-сайты, которые вводят в заблуждение жертв, заставляя их выполнять вредоносные команды, часто напоминающие доверенные скрипты "curl to bash". Нападающие используют малвертизацию через Google Ads для распространения этих сайтов, увеличивая риск для нетехнических пользователей. Вовлеченное вредоносное ПО, Amatera, является продвинутым инфостилером, который эксфильтрует конфиденциальные данные, применяя техники уклонения, чтобы избежать обнаружения.
-----

Недавний анализ выявил киберугрозу, получившую название "InstallFix", в рамках которой злоумышленники используют процесс установки легитимных программных инструментов, таких как Claude Code, для распространения вредоносного ПО. В этой схеме угрозы акторы создают клонированные веб-сайты, которые имитируют внешний вид и ощущение подлинных страниц установки популярных инструментов разработчиков. Жертвы вводят в заблуждение и запускают вредоносные команды, поданные под видом легитимных инструкций по установке. Вредоносная команда, как правило, дублирует широко используемую однострочную команду "curl to bash", где пользователи доверяют источнику и выполняют команды без достаточной проверки.

Основной метод распространения этих вредоносных страниц — это малвертайзинг, в частности, использование Google Ads для появления в результатах поиска по терминам, связанным с целевыми инструментами, такими как "Claude Code install." Этот подход использует доверие пользователей; поскольку клонирование сайтов почти идентично, пользователи могут не заметить различий до выполнения вредоносных команд. Вредоносные установки используют отдельные домены для перенаправления пользователей на сервер, контролируемый злоумышленником, что негативно сказывается на их системах. Эта тенденция особенно обеспокоительна, учитывая, что многие нетехнические пользователи и менее осведомленные о безопасности лица начинают использовать эти инструменты разработчиков, что увеличивает вероятность успешных атак.

Зловредное ПО, задействованное в недавних атаках InstallFix, было идентифицировано как Amatera, инфостилер, появившийся примерно в 2025 году. Amatera разработан для эксфильтрации конфиденциальных данных, включая пароли браузеров и токены сессий. Его операционная структура сложна и использует методы уклонения, чтобы обойти антивирусные и решения для обнаружения на конечных точках, такие как использование жестко закодированных IP-адресов, принадлежащих легитимным сетям доставки контента, для связи командного и контрольного управления. Эта обфускация затрудняет обнаружение и предотвращение стандартными мерами безопасности.

В дополнение к угрозам, связанным с InstallFix, появились аналогичные кампании, использующие тактики, такие как выдача себя за другое программное обеспечение через захваченные веб-страницы, клонированные сайты и вредоносный код, встроенный в различные операционные контексты, такие как npm пакеты. Общая тенденция указывает на устойчивый паттерн, в котором злоумышленники используют схемы малвертайзинга для распространения различных инфостилеров или для выдачи себя за популярные инструменты разработчиков, подчеркивая, что бдительность необходима в любом инструменте, который позволяет публичные взаимодействия.

Поскольку эта кампания продолжает развиваться, мониторинг и обнаружение остаются решающими для усилий в области кибербезопасности. Недавние стратегии сосредоточились на анализе веб-страниц, отображаемых в браузерах пользователей, для выявления сигналов, связанных с малвари и клонированными сайтами. Проактивный подход к выявлению этих угроз в реальном времени необходим, особенно по мере того как атаки становятся более сложными и менее зависят от традиционных механизмов фишинга.

#ParsedReport #CompletenessLow
02-03-2026

Tracking CyberStrikeAI Usage

https://www.team-cymru.com/post/tracking-cyberstrikeai-usage

Report completeness: Low

Actors/Campaigns:
Ed1s0nz

Threats:
Cyberstrikeai_tool
Steganography_technique
Privhunterai_tool
Infiltratex_tool

Victims:
Fortinet fortigate devices, Edge devices

Industry:
Telco, Government

Geo:
Singapore, China, Chinese, Hong kong, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1583, T1584, T1588.002, T1588.006, T1595

IOCs:
IP: 20

Soft:
DeepSeek, Starlink, Outlook

Links:
https://github.com/Ed1s0nZ/CyberStrikeAI
https://github.com/Ed1s0nZ
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberStrikeAI, открытый инструмент для ведения наступательной безопасности, созданный "Ed1s0nZ," связан с кибероперациями, поддерживаемыми китайским государством, и был быстро развернут на 21 IP-адресе, в основном в регионах с значительным населением, говорящим на китайском языке. Этот инструмент активно используется для эксплуатации уязвимостей в устройствах Fortinet FortiGate и ассоциируется с известными группами, связанными с Министерством государственной безопасности Китая, что предполагает возможность эксплуатации нулевого дня. Появление CyberStrikeAI представляет собой тенденцию к милитаризации ИИ в кибероперациях, что создает повышенные риски для сетевой безопасности.
-----

CyberStrikeAI — это инструмент offensivной безопасности с открытым исходным кодом, разработанный лицом, идентифицированным как "Ed1s0nZ", который, похоже, имеет связи с государственными киберактивами Китая. Инструмент, написанный на Go, интегрирует более 100 средств безопасности, включает интеллектуальный движок оркестрации и возможности для тестирования на основе ролей и управления жизненным циклом. Его наблюдение началось после отчета команды Amazon CTI о инфраструктуре киберугроз, улучшенной с помощью ИИ, конкретно связанной с IP-адресом 212.11.64.250, идентифицированным как запускающим CyberStrikeAI.

Использование CyberStrikeAI быстро расширилось, и в исследовании команды отмечается, что после релиза в ноябре 2025 года инструмент был развернут на 21 уникальном IP-адресе к февралю 2026 года. Эти IP-адреса в основном происходят из регионов с большим количеством говорящих на китайском, включая Китай, Сингапур и Гонконг, что указывает на целевую демографию. Примечательно, что выводы анализа команды Cymru указывают на то, что инструмент активно используется против устройств Fortinet FortiGate, подчеркивая его применение в эксплуатации уязвимостей сети.

Профиль Ed1s0nZ на GitHub раскрывает портфолио, которое указывает на сосредоточение на эксплуатации; это включает инструменты для обнаружения уязвимостей повышения привилегий (PrivHunterAI) и автоматизированный инструмент для сканирования на предмет повышения привилегий (InfiltrateX). Более того, деятельность вокруг CyberStrikeAI включает сотрудничество с группами, которые имеют известные связи с Министерством государственной безопасности Китая (MSS), такими как Knownsec, и имеются доказательства, указывающие на то, что эти связи могут позволить потенциальную эксплуатацию нулевого дня. Такие связи были замаскированы, поскольку разработчик, как сообщается, удалил упоминания о инициативе уязвимости CNNVD из своего профиля, вероятно, чтобы уменьшить внимание к возможному сотрудничеству с государством.

Наблюдаемый рост использования CyberStrikeAI подчеркивает более широкую тенденцию к милитаризации ИИ в наступательных кибероперациях, позволяя злоумышленникам с постоянными угрозами (APTs) оптимизировать атаки на уязвимые устройства на краю сети. Ожидается, что CyberStrikeAI вместе с его связанными инструментами снизит барьер для входа для противников, пытающихся осуществить сложную эксплуатацию сети, что заставит команды кибербезопасности усилить своё мониторинг и защитные стратегии в ожидании все более сложных атак. Эта развивающаяся обстановка требует от защитников оставаться бдительными против растущего использования и возможностей, предоставляемых инструментами с улучшенной ИИ, путём отслеживания конкретных индикаторов и IP-адресов, связанных с такими операциями.

#ParsedReport #CompletenessLow
06-03-2026

Phishing Emails Push Fake ChatGPT and Gemini iOS Apps To Steal Logins

https://cybersecuritynews.com/phishing-emails-push-fake-chatgpt/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Iphone users, Facebook users

Industry:
E-commerce

Geo:
Australian

ChatGPT TTPs:
do not use without manual check
T1056.003, T1195, T1556.003, T1566, T1588.002

IOCs:
Url: 2

Soft:
ChatGPT, OpenAI

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целевая фишинговая кампания эксплуатирует доверие к AI-платформам, таким как ChatGPT от OpenAI и Gemini от Google, чтобы обманывать пользователей iPhone с помощью вредоносных приложений, которые выдают себя за эти бренды. Злоумышленники продвигают приложения, GeminiAI Advertising и Ads GPT, доступные в австралийском App Store, которые незаметно собирают учетные данные для входа в Facebook от пользователей. Этот подход обозначает сдвиг в тактиках сбора учетных данных, внедряя вредоносные операции внутри легитимных платформ, что усложняет обнаружение для потенциальных жертв.
-----

Целевая фишинговая кампания в настоящее время эксплуатирует доверие к популярным платформам искусственного интеллекта, в частности ChatGPT от OpenAI и Gemini от Google, чтобы обмануть пользователей iPhone. Нападающие разработали вредоносные приложения, которые выдают себя за эти доверенные бренды, используя их распознаваемость, чтобы заманить потенциальные жертвы. Вредоносные приложения не являются случайными утилитами; скорее, они представляются как законные инструменты, связанные с известными AI-сервисами, которые используют многие профессионалы.

Кампания начинается с фишинговых электронных писем, разработанных так, чтобы казаться законными сообщениями от ChatGPT или Gemini. Эти письма рекламируют два конкретных приложения, GeminiAI Advertising и Ads GPT, которые были доступны в австралийском App Store под идентификаторами приложений id6759005662 и id6759514534 соответственно. Проникнув на официальный рынок приложений, угроза не только добавляет слой обмана, но и значительно усложняет процесс проверки для пользователей и цифровых дистрибутивных платформ.

После загрузки вредоносных приложений жертвы оказываются пойманными в схему сбора учетных данных. Эти приложения тихо собирают информацию для входа пользователей в Facebook, предоставляя в дальнейшем злоумышленникам доступ к личным профилям Facebook, учетным записям бизнес-рекламы и страницам, связанным с скомпрометированными аккаунтами. Эти данные особенно ценны для финансово мотивированных угроз, так как они могут привести к более широкому использованию онлайн-присутствия жертвы.

Эта фишинговая кампания представляет собой заметный сдвиг в тактике со стороны угрожающих акторов, занимающихся сбором учетных данных. Вместо того чтобы полагаться на фальшивые веб-сайты или вредоносные вложения электронной почты, они теперь внедряют свои операции в легитимные цифровые платформы, тем самым осложняя обнаружение и повышая риски для потенциальных жертв. Пользователям рекомендуется оставаться бдительными, проверяя информацию о разработчиках, изучая отзывы пользователей и тщательно оценивая описания приложений на предмет несоответствий перед загрузкой приложений, поскольку эти шаги могут помочь выявить мошеннические схемы.