#ParsedReport #CompletenessHigh
10-03-2026

FakeGit: LuaJIT malware distributed via GitHub at scale

https://www.derp.ca/research/fakegit-luajit-github-campaign/

Report completeness: High

Threats:
Fakegit_tool
Dead_drop_technique
Stealc
Process_injection_technique
Etherhiding_technique
Ocrfix_technique
Luca_stealer
Aurora_stealer
Andromeda
Wallstealer
Lumma_stealer
Spear-phishing_technique
Process_hollowing_technique

Victims:
Saas users, Gamers, Software developers, Adult content seekers, Crypto traders

Industry:
Financial, Entertainment

Geo:
Vietnamese, Pol

CVEs:
CVE-2025-0411 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- netapp active_iq_unified_manager (-)


TTPs:
Tactics: 1
Technics: 19

IOCs:
File: 39
Hash: 17
Coin: 7
IP: 50

Soft:
Chrome, Dropbox, Slack, Zoom, Roblox, Fortnite, Valorant, Node.js, Ubuntu, Pydantic, have more...

Wallets:
mainnet

Algorithms:
xor, rc4, base64, aes, aes-256, aes-ecb, zip, aes-256-ecb, sha256

Functions:
GetConsoleWindow, getDomain, updateDomain, destroyContract, getData, updateData

Win API:
Polygon, GetDC, CreateCompatibleDC, CreateDIBSection, SelectObject, BitBlt, VirtualAlloc, GetComputerNameW, IsWow64Process, VerifyVersionInfoW, have more...

Win Services:
WebClient

Languages:
php, powershell, lua, python

Platforms:
x64, intel

Links:
https://github.com/kirkderp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания FakeGit, возглавляемая угрожающим актером, говорящим на вьетнамском языке, распространяет вредоносное ПО на основе LuaJIT через обманчивые репозитории GitHub с марта 2025 года. Вредоносное ПО, известное как StealC, извлекает информацию о C2 сервере из контракта Binance Smart Chain и использует продвинутые процессы декодирования для извлечения конфиденциальных пользовательских данных из браузеров, таких как Chrome и Edge. Ключевые техники включают инъекцию процессов и загрузку DLL, в то время как кампания адаптируется, чтобы избежать обнаружения, и использует как легитимные, так и скомпрометированные аккаунты GitHub для распространения.
-----

Кампания FakeGit, организованная говорящим на вьетнамском языке злоумышленником, с марта 2025 года распространяет вредоносное ПО на основе LuaJIT через GitHub, используя различные обманчивые репозитории, которые имитируют взломанные расширения браузера для популярных программных сервисов, игровых читов, утилит для разработчиков и контента для взрослых. Вредоносное ПО упаковано в ZIP-файлы, более 600 уникальных злонамеренных архивов были выявлены в более чем 47 аккаунтах GitHub. Кампания, продолжающаяся по состоянию на март 2026 года, развивалась через несколько поколений запутывания и методов доставки.

Загрузчик вредоносного ПО получает данные своего сервера управления и контроля (C2) через функцию получения от контракта Binance Smart Chain, который динамически обновляется без изменения развернутого двоичного кода. Эта техника позволяет поддерживать постоянное взаимодействие с инфраструктурой вредоносного ПО, сохраняя операционную анонимность. При выполнении вредоносное ПО использует сложный процесс декодирования, включающий несколько слоев (hex кодирование, XOR, base64url, AES-ECB), чтобы выявить финальную полезную нагрузку, известную как StealC, которая функционирует как крадитель информации.

Инфраструктура кампании основана на сочетании специализированных и скомпрометированных аккаунтов GitHub, некоторые из которых выглядят законными, но содержат единственные репозитории, распространяющие вредоносное ПО. Это атрибуция подтверждается наличием автоматизационных скриптов Node.js, написанных на вьетнамском языке, которые предполагают централизованную координацию. Среди заметных техник, используемых в вредоносном ПО, есть инъекция процессов и загрузка DLL, использующие общие структуры, такие как IMAGE_NT_HEADERS и VirtualAlloc, чтобы имитировать законное поведение во время выполнения вредоносных задач.

Замечательные особенности загрузки StealC включают ее способность извлекать конфиденциальные данные из браузеров, таких как Chrome, Brave и Edge, эффективно обходя современные методы шифрования. Это вредоносное ПО нацелено на хранилище учетных данных, куки и различные системные настройки, накапливая широкий спектр конфиденциальной информации пользователей. Экстракция этих данных происходит через JSON POST-запросы к назначенным конечным точкам PHP. Идентифицированная архитектура C2 укрепляется за счет использования услуг bulletproof hosting, многие из связанных IP-адресов принадлежат одному ASN (номеру автономной системы), что еще больше усложняет усилия по ликвидации.

Кампания постоянно адаптировалась, чтобы избежать обнаружения, с заметным снижением подписей вредоносного ПО с течением времени и значительным увеличением объема распространения, что иллюстрирует сдвиг к более усовершенствованному оперативному подходу. Эти тактики соответствуют нескольким методам MITRE ATT&CK, особенно в отношении фишинга, пользовательского выполнения и стратегий обфускации. В целом, кампания FakeGit олицетворяет собой сложную угрозу, демонстрируя как продвинутые методы распространения, так и высокоорганизованную оперативную структуру.

#technique

Static Kitten APT Adversary Simulation

https://github.com/S3N4T0R-0X0/APTs-Adversary-Simulation/tree/main/Iranian%20APT/Static%20Kitten

#ParsedReport #CompletenessHigh
11-03-2026

Sednit reloaded: Back in the trenches

https://www.welivesecurity.com/en/eset-research/sednit-reloaded-back-trenches/

Report completeness: High

Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage)

Threats:
Slimagent_tool
Beardshell_tool
Covenant_c2_tool
Xagent
Xtunnel
Usbstealer
Graphite
Grunt
C2bridge_tool
Spear-phishing_technique
Empire_loader

Victims:
Ukrainian military, Government sector, Media sector, Parliament

Industry:
Military

Geo:
Ukrainian, Russia, Russian, German, French, Ukraine, Russian federation

CVEs:
CVE-2026-21509 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)


TTPs:
Tactics: 8
Technics: 19

IOCs:
File: 5
Hash: 4

Soft:
Linux, Icedrive, Component Object Model

Algorithms:
exhibit, sha1

Languages:
powershell

Links:
https://github.com/cobbr/Covenant
https://github.com/cobbr/Covenant/blob/5decc3ccfab04e6e881ed00c9de649740dac8ad1/Covenant/Data/Grunt/GruntBridge/GruntBridgeStager.cs#L128
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sednit, также известный как APT28 или Fancy Bear, вновь появился с передовыми наборами инструментов, включая BeardShell и Covenant, предназначенных в первую очередь для украинских военнослужащих. BeardShell, использующий сложные методы обфускации, выполняет команды PowerShell через Icedrive для C&C, в то время как SlimAgent, кейлоггер, созданный на основе исторического Xagent backdoor, Captures нажатия клавиш и Данные из буфера обмена. Covenant функционирует как постэксплуатационный фреймворк с улучшенными облачными протоколами связи, демонстрируя адаптацию Sednit's для поддержания операционной эффективности в условиях растущей геополитической напряженности.
-----

Sednit, также известный как APT28 или Fancy Bear, добился заметного успеха благодаря сложному инструментарию, включающему двойные имплантаты, BeardShell и Covenant, предназначенному в первую очередь для украинских военнослужащих. Возобновленные операции демонстрируют тесную связь с прошлыми методами и кодовыми базами группы, особенно подчеркивая возрождение их передовой команды по имплантации с апреля 2024 года.

BeardShell — это современный имплантат, способный выполнять команды PowerShell в рамках .NET фреймворка и использующий Icedrive — законного поставщика облачных хранилищ - для управления (C&C). Его дизайн включает в себя сложные методы запутывания, включая уникальную стратегию непрозрачных предикатов для процедуры расшифровки токенов, которая препятствует статическому анализу. Примечательно, что внедрение частного API Icedrive демонстрирует гибкое реагирование разработчиков на сбои в их канале связи. Способность Sednit's быстро адаптировать и улучшать BeardShell нашла отражение в его постоянном использовании до 2025 и 2026 годов.

SlimAgent, еще один важный инструмент, связанный с возрождением Sednit's, - это кейлоггер, код которого заимствован из Xagent, The group's исторического бэкдора. Он эффективно регистрирует нажатия клавиш, делает снимки экрана и извлекает Данные из буфера обмена, подтверждая свою роль в шпионских операциях. Данные свидетельствуют о том, что код SlimAgent имеет глубокое сходство с образцами, выявленными еще в 2018 году, что подтверждает длительные и последовательные усилия по разработке.

Covenant служит усовершенствованным фреймворком для постэксплуатации, который претерпел различные модификации для повышения его долгосрочных эксплуатационных возможностей. Разработчики Sednit пересмотрели свои коммуникационные протоколы, чтобы включить облачные инфраструктуры, обеспечивающие устойчивый доступ во всех развертываниях. Недавние изменения включают детерминированную генерацию имени имплантата и измененный процесс выполнения, чтобы свести к минимуму риски обнаружения.

На протяжении всей этой деятельности очевидно, что команда продвинутых разработчиков Sednit's не только активна, но и усовершенствовала свои тайные операции, чтобы поддерживать устойчивость к контрмерам. Как BeardShell, так и Covenant используют различные Облачные сервисы, позволяя Sednit быстро восстанавливать и поддерживать проникновение в случае компрометации одного канала. Эта стратегия двойного внедрения указывает на возврат к использованию более сложного вредоносного ПО после фазы, в которой преобладали более простые операции, основанные на фишинге, вероятно, вызванные усилением геополитической напряженности после вторжения России в Украину.

Непрерывность и эволюция инструментов Sednit для разработки вредоносного ПО иллюстрируют постоянные возможности и приверженность группы шпионажу, в то время как артефакты общего кода и стратегии разработки повторяют их предыдущие методологии, усиливая опасения по поводу меняющегося ландшафта угроз группы.

#ParsedReport #CompletenessLow
10-03-2026

5 Malicious Rust Crates Posed as Time Utilities to Exfiltrate .env Files

https://socket.dev/blog/5-malicious-rust-crates-posed-as-time-utilities-to-exfiltrate-env-files

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique

Victims:
Software supply chain, Developers

TTPs:
Tactics: 3
Technics: 6

IOCs:
Domain: 1
Email: 2
Url: 3

Soft:
Outlook, curl

Functions:
check_params

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В экосистеме программирования Rust была выявлена атака на supply chain, включающая пять вредоносных пакетов, предназначенных для скрытой эксфильтрации данных, наиболее значимым из которых является chrono_anchor crate. Он использует ошибку в коде проверки для утечки конфиденциальной информации из файлов .env через HTTP POST-запросы в похожие домены. Кроме того, dnp3times crate использует методы typosquatting, чтобы ввести пользователей в заблуждение при установке, помогая злоумышленнику интегрироваться в экосистему.
-----

Недавний анализ, проведенный исследовательской группой Socket по исследованию угроз, выявил атаку по системе supply chain в экосистеме программирования Rust, которая включала распространение пяти вредоносных пакетов: chrono_anchor, dnp3times, time_calibrator, time_calibrators и time-sync. Четыре из этих упаковок были быстро извлечены из ящиков.ио после их открытия. Основное вредоносное поведение было обнаружено в ящике chrono_anchor, который был помечен для скрытой эксфильтрации данных. Этот ящик содержит код, который создает имена хостов из константы и использует ложный HTTPS-запрос к законному time API. Впоследствии он пытается отфильтровать данные через HTTP POST—запрос к домену-двойнику, одновременно раскрывая конфиденциальную информацию из файлов .env - общего хранилища конфиденциальных ключей API и секретов конфигурации.

Механизм использования основан на ошибке в коде проверки AnchorParams, когда безусловный триггер приводит к утечке секретной информации всякий раз, когда параметры проверяются, в том числе во время выполнения тестов. Целью являются все файлы, на которые ссылается предопределенная переменная ENV_FILE_PATH, как правило, env-файлы, и атака выполняется в фоновом режиме, что затрудняет обнаружение.

Другой crate, dnp3times, использует тот же метод эксфильтрации, но выдает себя за вариант законного пакета dnp3time, используя typosquatting для увеличения вероятности случайной установки. Стратегия злоумышленника, заключающаяся в принятии узнаваемых соглашений об именовании, помогает легко интегрировать вредоносные ящики в экосистему. Другие пакеты в этом кластере имитируют безопасные утилиты калибровки, еще больше скрывая их вредоносную активность при случайном просмотре.

У недолговечных ящиков, опубликованных пользователем "dictorudin", было низкое количество загрузок и активность последних обновлений, что указывает на то, что они были частью временной угрозы, а не стабильного сопровождающего. Это согласуется с поведением, типичным для атак supply chain, которые направлены на использование уязвимостей в зависимостях библиотек для доступа к конфиденциальным учетным данным. Угроза, исходящая от этих env-файлов, значительна, поскольку успешная эксфильтрация данных может обеспечить доступ к многочисленным конфиденциальным ресурсам, начиная от Облачных сервисов и заканчивая внутренними системами.

Этот инцидент отражает несколько тактик MITRE ATT&CK, в частности, направленных на Компрометацию цепочки поставок и незащищенные учетные данные, подчеркивая настоятельную необходимость бдительности в экосистеме Rust и постоянного контроля сторонних библиотек.

#ParsedReport #CompletenessLow
11-03-2026

Kernel in the Crosshairs: The BlackSanta Threat Campaign Targeting Recruitment Workflows

https://www.aryaka.com/blog/kernel-in-the-crosshairs-blacksanta-edr-killer-recruitment-workflows/

Report completeness: Low

Threats:
Blacksanta_tool
Edr-killer
Process_hollowing_technique
Credential_harvesting_technique
Byovd_technique
Lolbin_technique
Steganography_technique

Victims:
Recruitment workflows, Human resources

Industry:
Financial, Education

TTPs:
Tactics: 4
Technics: 0

Soft:
Microsoft Defender

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlackSanta - преступная хакерская кампания, нацеленная на процессы подбора персонала, использующая предсказуемое поведение людей для проникновения в системы, обрабатывающие конфиденциальные персональные данные. Первоначальные атаки используют вредоносные ISO-файлы, замаскированные под резюме, что приводит к выполнению команд PowerShell, которые извлекают полезную нагрузку и загружают вредоносные библиотеки DLL. Вредоносное ПО использует передовые методы уклонения, динамическое выполнение команд и подход BYOVD для отключения мер безопасности, что позволяет осуществлять кражу учетных данных и эксфильтрацию данных, оставаясь незамеченным.
-----

BlackSanta - преступная хакерская кампания, направленная на борьбу с рабочими процессами подбора персонала, использующая предсказуемое поведение людей в кадровых командах и их зачастую менее безопасную среду. Используя срочность и доверие, присущие этим ролям, злоумышленники создают возможности для проникновения в системы, которые обрабатывают конфиденциальную личную информацию (PII).

Начальная фаза атаки включает в себя доставку вредоносного ISO-файла, замаскированного под резюме, по каналам подбора персонала. Когда ничего не подозревающая жертва монтирует ISO-файл, она запускает вредоносный ярлык (LNK-файл), который запускает следующий этап без немедленного обнаружения. Это приводит к выполнению запутанных команд PowerShell, которые извлекают скрытые полезные данные из стеганографически скрытого изображения. Затем вредоносная библиотека DLL загружается с помощью законного подписанного приложения, что позволяет коду злоумышленника работать под видом авторизованного программного обеспечения.

Как только вредоносное ПО проникает в систему, оно устанавливает зашифрованные каналы управления на основе HTTPS (C2), передавая данные системных отпечатков пальцев в инфраструктуру злоумышленника. Вредоносное ПО динамически расшифровывает и выполняет команды в памяти, избегая обнаружения и обеспечивая при этом дополнительную полезную нагрузку с помощью передовых методов, таких как process hollowing и выполнение без файлов.

В рамках своей стратегии обхода защиты вредоносное ПО проводит тщательную проверку среды, чтобы убедиться, что оно не было развернуто в изолированной среде или контролируемой среде, проверяя наличие определенных имен хостов, шаблонов имен пользователей и артефактов виртуализации. После подтверждения благоприятной среды он вводит дополнительные полезные нагрузки, включая критический компонент, известный как BlackSanta. Этот вредоносный модуль использует технологию "Принеси свой собственный уязвимый драйвер" (BYOVD) для получения низкоуровневого доступа и систематического отключения различных мер безопасности, таких как антивирусное программное обеспечение, агенты обнаружения конечных точек и реагирования (EDR) и даже средства защиты Microsoft Defender.

Компонент BlackSanta предназначен для удаления видимости из инструментов мониторинга безопасности, эффективно расчищая путь для кражи учетных данных и эксфильтрации данных. Кампания характеризует структурированный оперативный потенциал, способный манипулировать социальной инженерией, использовать законные инструменты и применять передовые методы сокрытия для поддержания закрепления и совершения краж.

Эта угроза иллюстрирует стратегическую уязвимость рабочих процессов подбора персонала в организациях, которым часто не хватает такого же уровня контроля безопасности, как в более важных секторах, таких как финансы или ИТ. Меры Кибербезопасности должны развиваться, чтобы противостоять этой растущей тенденции нейтрализации EDR на основе BYOVD, что указывает на изменение в том, как предприятиям необходимо отслеживать не только фишинг, но и включать телеметрию на уровне поведения и драйверов в свои протоколы защиты.

#ParsedReport #CompletenessLow
11-03-2026

Germany & Israel Under DDoS Attacks: Weekly DDoS Threat Intelligence Analysis

https://socradar.io/blog/germany-israel-under-ddos-10-mar26/

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)

Threats:
Ddosia_botnet
Httpflood_technique
Synflood_technique
Ackflood_technique
Udpflood_technique
Icmpflood_technique
Tcpsynflood_technique

Victims:
Government procurement portals, Government municipal portals, Government federal and state portals, Government tax and revenue portals, B2b trade and procurement platforms, Finance and capital markets, Defense and aerospace, Critical infrastructure transport, Telecom, Energy and water, have more...

Industry:
Energy, Telco, Aerospace, Military, Ngo, Financial, Petroleum, Government, Critical_infrastructure, Transport, Retail, Media

Geo:
Poland, Spain, Russia, Italy, Israeli, Israel, Berlin, Russian, Greenland, Germany, Ukraine, Middle east, Denmark, German, Deutsche, Czechia, Japan

ChatGPT TTPs:
do not use without manual check
T1090, T1102, T1498.001, T1499, T1583.006, T1585.001

Soft:
Telegram

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период со 2 по 8 марта 2026 года пророссийский злоумышленник NoName057(16) провел крупную DDoS-кампанию с использованием инструмента DDoSia, нацелившись на 169 доменов и 153 IP-адреса, в основном в Германии и Израиле. Кампания использовала многовекторный подход, включая GET floods и SYN floods, уделяя особое внимание зашифрованным сервисам HTTPS, и продемонстрировала систематические атаки на системы государственных закупок Германии и различные сектора Израиля. Это упражнение подчеркивает соответствие актора геополитическим целям России, адаптируя цели на основе текущих событий.
-----

В период со 2 по 8 марта 2026 года NoName057(16), пророссийский злоумышленник, провел DDoS-кампанию с использованием инструмента атаки DDoSia. Кампания была нацелена на 169 уникальных доменов и 153 уникальных IP-адреса, при этом 65,6% атак были направлены на Германию и 19,7% - на Израиль. Атаки систематически нацеливались на системы государственных закупок Германии, затронув по меньшей мере 17 порталов с общим количеством записей 974. Типы атак включали GET floods (23,3%), SYN floods (22,2%) и POST floods (12,4%), а также механизм nginx_loris, который использует медленные соединения и нацелен на зашифрованные HTTPS-сервисы (72,9%). Оперативный темп включал 27 обновлений списка целей, в среднем по 3,9 обновления в день, причем пик пришелся на 3 марта, на долю которого пришлось 27,4% от общего числа атак. Целями в Германии были ключевые муниципальные порталы и порталы закупок, в то время как в Израиле кампания была нацелена на фирмы-подрядчики оборонных предприятий и финансовые учреждения. Действия группировки соответствуют геополитическим интересам России, подчеркивая их адаптивность и закрепление в кибероперациях против поддерживающих их стран.

#ParsedReport #CompletenessLow
11-03-2026

Evil evolution: ClickFix and macOS infostealers

https://www.sophos.com/en-us/blog/evil-evolution-clickfix-and-macos-infostealers

Report completeness: Low

Threats:
Clickfix_technique
Macc_stealer
Amos_stealer

Victims:
Macos users

Geo:
Usa, Belgium, India, Russian, America

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.001, T1041, T1056.002, T1059, T1059.002, T1059.004, T1070.004, T1071.001, have more...

IOCs:
File: 3
Domain: 12

Soft:
macOS, OpenAI, chatgpt, Gatekeeper, Telegram, curl, Chromium, Firefox, Ledger Live, Electron, have more...

Algorithms:
zip, gzip, base64

Languages:
javascript, php, applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В недавних кампаниях наблюдалась эволюция методов ClickFix, нацеленных на пользователей macOS, при этом стиллеры, такие как MacSync, используют тактику социальной инженерии для обхода системы безопасности. Аутентификация, устойчивая к фишингу, такая как FIDO2, не смогла противостоять этим атакам, которые включали в себя направление пользователей на вредоносные сайты под видом законных ссылок. Этот новый вариант MacSync использует многоступенчатую модель загрузки, использующую сценарии оболочки и динамический AppleScript для более незаметного выполнения, облегчая сбор обширных данных и избегая обнаружения.
-----

Недавние кампании высветили заметную эволюцию киберугроз, нацеленных на пользователей macOS, особенно в том, что касается использования методов ClickFix, связанных с стиллерами информации. Изначально предназначенный в первую очередь для Windows, ClickFix адаптировался для привлечения пользователей macOS, используя тактику социальной инженерии, которая использует взаимодействие с пользователем для обхода традиционных средств защиты. Примечательно, что устойчивые к фишингу методы аутентификации, такие как FIDO2, оказались неэффективными против этих атак.

В ходе кампании, выявленной в ноябре 2025 года, злоумышленники использовали вредоносные сайты, Маскировку под законные ссылки, связанные с OpenAI Atlas, направляя пользователей загружать стиллер MacSync. В этой атаке использовался классический подход ClickFix, при котором пользователям предлагается выполнить команды терминала после того, как их обманом заставили ввести свои пароли. Последующая кампания в декабре 2025 года использовала более обманчивую стратегию, приводя пользователей к законным разговорам в ChatGPT, которые перенаправляли их на вредоносные целевые страницы на тему GitHub. Эти страницы имитировали процессы безопасной установки при инициировании цепочки атак ClickFix и позволяли злоумышленнику отслеживать жертвы в режиме реального времени с помощью показателей, отправляемых боту в Телеграм.

К февралю 2026 года вредоносное ПО MacSync значительно эволюционировало, используя многоступенчатую модель загрузки как услуги. В отличие от предыдущих итераций, которые работали в основном с помощью собственных двоичных файлов MachO, этот новый вариант использует для выполнения сценарии на основе оболочки. Такой сложный подход не только повышает скрытность вредоносного ПО, но и усложняет усилия по обнаружению и реагированию на инциденты. Полезные нагрузки теперь используют динамические команды AppleScript и управляемую ключом API связь с инфраструктурой управления (C2). Это позволяет точно отслеживать зараженных пользователей, сохраняя при этом низкий уровень защиты от поведенческих обнаружений.

Обновленный вариант MacSync выполняет обширный сбор данных, включая извлечение профилей браузера, сохраненных логинов и конфиденциальных файлов из системы пользователя. Он использует вводящие в заблуждение подсказки для сбора паролей пользователя, одновременно незаметно выполняя команды в фоновом режиме, чтобы избежать обнаружения. Кроме того, он может модифицировать законные приложения, такие как те, которые используются для управления криптовалютой, интегрируя вредоносное поведение в программное обеспечение, которому в остальном доверяют.

Эволюция этих угроз ClickFix иллюстрирует, как злоумышленники адаптируют свою тактику для использования социально-технологических тенденций и мер безопасности операционной системы. Зависимость от хорошо известных платформ, таких как ChatGPT, для заманивания жертв означает изменение стратегий социальной инженерии, потенциально увеличивающее риски для пользователей macOS, которые традиционно воспринимали более низкие риски вредоносного ПО по сравнению с их аналогами Windows. Поскольку эти угрозы продолжают развиваться, последствия для безопасности macOS являются серьезными, что подчеркивает необходимость повышения осведомленности и проактивной защиты от появляющихся стиллеров информации и другого сложного вредоносного ПО.

#ParsedReport #CompletenessMedium
11-03-2026

GIBCRYPTO: The Destructive Ransomware with a Snake Keylogger Connection

https://labs.k7computing.com/index.php/gibcrypto-the-destructive-ransomware-with-a-snake-keylogger-connection/

Report completeness: Medium

Threats:
Snake_keylogger
Gibcrypto
Shadow_copies_delete_technique

Victims:
General users, Enterprises

Geo:
Germany

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 1
Hash: 1

Soft:
Windows Defender, Windows security, telegram, Twitter

Algorithms:
salsa20

Win API:
AMSIScanBuffer

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4