#ParsedReport #CompletenessLow
11-03-2026

Germany & Israel Under DDoS Attacks: Weekly DDoS Threat Intelligence Analysis

https://socradar.io/blog/germany-israel-under-ddos-10-mar26/

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism)

Threats:
Ddosia_botnet
Httpflood_technique
Synflood_technique
Ackflood_technique
Udpflood_technique
Icmpflood_technique
Tcpsynflood_technique

Victims:
Government procurement portals, Government municipal portals, Government federal and state portals, Government tax and revenue portals, B2b trade and procurement platforms, Finance and capital markets, Defense and aerospace, Critical infrastructure transport, Telecom, Energy and water, have more...

Industry:
Energy, Telco, Aerospace, Military, Ngo, Financial, Petroleum, Government, Critical_infrastructure, Transport, Retail, Media

Geo:
Poland, Spain, Russia, Italy, Israeli, Israel, Berlin, Russian, Greenland, Germany, Ukraine, Middle east, Denmark, German, Deutsche, Czechia, Japan

ChatGPT TTPs:
do not use without manual check
T1090, T1102, T1498.001, T1499, T1583.006, T1585.001

Soft:
Telegram

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период со 2 по 8 марта 2026 года пророссийский злоумышленник NoName057(16) провел крупную DDoS-кампанию с использованием инструмента DDoSia, нацелившись на 169 доменов и 153 IP-адреса, в основном в Германии и Израиле. Кампания использовала многовекторный подход, включая GET floods и SYN floods, уделяя особое внимание зашифрованным сервисам HTTPS, и продемонстрировала систематические атаки на системы государственных закупок Германии и различные сектора Израиля. Это упражнение подчеркивает соответствие актора геополитическим целям России, адаптируя цели на основе текущих событий.
-----

В период со 2 по 8 марта 2026 года NoName057(16), пророссийский злоумышленник, провел DDoS-кампанию с использованием инструмента атаки DDoSia. Кампания была нацелена на 169 уникальных доменов и 153 уникальных IP-адреса, при этом 65,6% атак были направлены на Германию и 19,7% - на Израиль. Атаки систематически нацеливались на системы государственных закупок Германии, затронув по меньшей мере 17 порталов с общим количеством записей 974. Типы атак включали GET floods (23,3%), SYN floods (22,2%) и POST floods (12,4%), а также механизм nginx_loris, который использует медленные соединения и нацелен на зашифрованные HTTPS-сервисы (72,9%). Оперативный темп включал 27 обновлений списка целей, в среднем по 3,9 обновления в день, причем пик пришелся на 3 марта, на долю которого пришлось 27,4% от общего числа атак. Целями в Германии были ключевые муниципальные порталы и порталы закупок, в то время как в Израиле кампания была нацелена на фирмы-подрядчики оборонных предприятий и финансовые учреждения. Действия группировки соответствуют геополитическим интересам России, подчеркивая их адаптивность и закрепление в кибероперациях против поддерживающих их стран.

#ParsedReport #CompletenessLow
11-03-2026

Evil evolution: ClickFix and macOS infostealers

https://www.sophos.com/en-us/blog/evil-evolution-clickfix-and-macos-infostealers

Report completeness: Low

Threats:
Clickfix_technique
Macc_stealer
Amos_stealer

Victims:
Macos users

Geo:
Usa, Belgium, India, Russian, America

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.001, T1041, T1056.002, T1059, T1059.002, T1059.004, T1070.004, T1071.001, have more...

IOCs:
File: 3
Domain: 12

Soft:
macOS, OpenAI, chatgpt, Gatekeeper, Telegram, curl, Chromium, Firefox, Ledger Live, Electron, have more...

Algorithms:
zip, gzip, base64

Languages:
javascript, php, applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В недавних кампаниях наблюдалась эволюция методов ClickFix, нацеленных на пользователей macOS, при этом стиллеры, такие как MacSync, используют тактику социальной инженерии для обхода системы безопасности. Аутентификация, устойчивая к фишингу, такая как FIDO2, не смогла противостоять этим атакам, которые включали в себя направление пользователей на вредоносные сайты под видом законных ссылок. Этот новый вариант MacSync использует многоступенчатую модель загрузки, использующую сценарии оболочки и динамический AppleScript для более незаметного выполнения, облегчая сбор обширных данных и избегая обнаружения.
-----

Недавние кампании высветили заметную эволюцию киберугроз, нацеленных на пользователей macOS, особенно в том, что касается использования методов ClickFix, связанных с стиллерами информации. Изначально предназначенный в первую очередь для Windows, ClickFix адаптировался для привлечения пользователей macOS, используя тактику социальной инженерии, которая использует взаимодействие с пользователем для обхода традиционных средств защиты. Примечательно, что устойчивые к фишингу методы аутентификации, такие как FIDO2, оказались неэффективными против этих атак.

В ходе кампании, выявленной в ноябре 2025 года, злоумышленники использовали вредоносные сайты, Маскировку под законные ссылки, связанные с OpenAI Atlas, направляя пользователей загружать стиллер MacSync. В этой атаке использовался классический подход ClickFix, при котором пользователям предлагается выполнить команды терминала после того, как их обманом заставили ввести свои пароли. Последующая кампания в декабре 2025 года использовала более обманчивую стратегию, приводя пользователей к законным разговорам в ChatGPT, которые перенаправляли их на вредоносные целевые страницы на тему GitHub. Эти страницы имитировали процессы безопасной установки при инициировании цепочки атак ClickFix и позволяли злоумышленнику отслеживать жертвы в режиме реального времени с помощью показателей, отправляемых боту в Телеграм.

К февралю 2026 года вредоносное ПО MacSync значительно эволюционировало, используя многоступенчатую модель загрузки как услуги. В отличие от предыдущих итераций, которые работали в основном с помощью собственных двоичных файлов MachO, этот новый вариант использует для выполнения сценарии на основе оболочки. Такой сложный подход не только повышает скрытность вредоносного ПО, но и усложняет усилия по обнаружению и реагированию на инциденты. Полезные нагрузки теперь используют динамические команды AppleScript и управляемую ключом API связь с инфраструктурой управления (C2). Это позволяет точно отслеживать зараженных пользователей, сохраняя при этом низкий уровень защиты от поведенческих обнаружений.

Обновленный вариант MacSync выполняет обширный сбор данных, включая извлечение профилей браузера, сохраненных логинов и конфиденциальных файлов из системы пользователя. Он использует вводящие в заблуждение подсказки для сбора паролей пользователя, одновременно незаметно выполняя команды в фоновом режиме, чтобы избежать обнаружения. Кроме того, он может модифицировать законные приложения, такие как те, которые используются для управления криптовалютой, интегрируя вредоносное поведение в программное обеспечение, которому в остальном доверяют.

Эволюция этих угроз ClickFix иллюстрирует, как злоумышленники адаптируют свою тактику для использования социально-технологических тенденций и мер безопасности операционной системы. Зависимость от хорошо известных платформ, таких как ChatGPT, для заманивания жертв означает изменение стратегий социальной инженерии, потенциально увеличивающее риски для пользователей macOS, которые традиционно воспринимали более низкие риски вредоносного ПО по сравнению с их аналогами Windows. Поскольку эти угрозы продолжают развиваться, последствия для безопасности macOS являются серьезными, что подчеркивает необходимость повышения осведомленности и проактивной защиты от появляющихся стиллеров информации и другого сложного вредоносного ПО.

#ParsedReport #CompletenessMedium
11-03-2026

GIBCRYPTO: The Destructive Ransomware with a Snake Keylogger Connection

https://labs.k7computing.com/index.php/gibcrypto-the-destructive-ransomware-with-a-snake-keylogger-connection/

Report completeness: Medium

Threats:
Snake_keylogger
Gibcrypto
Shadow_copies_delete_technique

Victims:
General users, Enterprises

Geo:
Germany

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 1
Hash: 1

Soft:
Windows Defender, Windows security, telegram, Twitter

Algorithms:
salsa20

Win API:
AMSIScanBuffer

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GIBCRYPTO - это сложная программа-вымогатель, обнаруженная в Германии в феврале 2026 года, способная блокировать системы и перехватывать нажатия клавиш, блокируя доступ к критически важным системным функциям. Он использует PowerShell для отключения защитника Windows, изменяет буферы AMSI, чтобы избежать обнаружения, и использует алгоритм шифрования Salsa20 для шифрования файлов, добавляя расширения ".GIBCRYPTO". Шпионские возможности GIBCRYPTO включают в себя отправку данных жертвы и скриншота боту в Телеграм, предполагая подключение к исполнителю угроз Snake Keylogger.
-----

GIBCRYPTO - это недавно идентифицированная программа-вымогатель со значительными разрушительными возможностями, впервые обнаруженная в Германии 22 февраля 2026 года, а затем обнаруженная в других странах. После выполнения GIBCRYPTO блокирует систему жертвы и отображает уведомление о выкупе, одновременно фиксируя нажатия клавиш. Он блокирует множество клавиш, таких как Alt, F4 и клавиши Windows, не позволяя пользователям получить доступ к диспетчеру задач или выйти из экрана блокировки. Этот захват нажатий клавиш сопоставляет программу-вымогателя с функциями кейлоггера, намекая на связь с кампанией Snake Keylogger.

Вредоносное ПО отключает мониторинг защитника Windows в режиме реального времени с помощью команд PowerShell и изменяет буферы AMSI (Anti-Malware Scan Interface), чтобы избежать обнаружения. Это встроенное исправление эффективно предотвращает сканирование службами безопасности Windows своих операций, позволяя программе-вымогателю запускаться без запуска протоколов безопасности. Кроме того, GIBCRYPTO устраняет shadow copies файлов с помощью cmd.exe , препятствуя любым потенциальным попыткам восстановления со стороны жертвы.

Что касается шифрования файлов, GIBCRYPTO использует алгоритм Salsa20, перебирая каталоги и добавляя расширение ".GIBCRYPTO" к зашифрованным файлам. Это позволяет избежать дублирования шифрования, пропуская уже зашифрованные файлы или каталоги с "windows" в названиях. Программа-вымогатель не только шифрует файлы, но и удаляет оригиналы после записи зашифрованных версий, что увеличивает вероятность невозможности восстановления файлов.

GIBCRYPTO также включает в себя шпионские функции, позволяющие злоумышленникам проверить успешную компрометацию системы жертвы. Он делает это путем создания зашифрованного файла, содержащего имя пользователя жертвы и имя компьютера, который отправляется с помощью бота в Телеграм вместе со скриншотом экрана. Токен бота и идентификатор чата, используемые для этой передачи, совпадают с теми, которые связаны с инфраструктурой управления Snake Keylogger.

Технический анализ показывает, что схемы работы GIBCRYPTO демонстрируют заметное сходство с Snake Keylogger, что позволяет предположить, что за обоими вредоносными инструментами стоят одни и те же злоумышленники. Общий дизайн программы-вымогателя предполагает высокий уровень сложности, а ее интегрированные функции как для шифрования, так и для сбора информации делают восстановление практически невозможным для жертв, даже после выплаты выкупа. Это подчеркивает продолжающуюся эволюцию угроз со стороны программ-вымогателей и сохраняющуюся потребность в надежной защите от Кибербезопасности.

#ParsedReport #CompletenessLow
11-03-2026

Weaponizing Telegram Bots: How Threat Actors Exfiltrate Credentials

https://cofense.com/blog/weaponizing-telegram-bots-how-threat-actors-exfiltrate-credentials

Report completeness: Low

Actors/Campaigns:
Lone_none

Threats:
Agent_tesla

Victims:
Information stealers, Keyloggers, Remote access trojans, Credential phishing victims

ChatGPT TTPs:
do not use without manual check
T1016, T1041, T1056.001, T1056.003, T1082, T1102, T1102.002, T1102.003, T1105, T1113, have more...

IOCs:
File: 2
Url: 4
Domain: 1

Soft:
Telegram

Functions:
Bot, getMe, getUpdates

Win API:
sendMessage

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют ботов Телеграм для эксфильтрации данных и операций командования и контроля (C2), используя его Bot API для автоматизированных функций. Известные семейства вредоносных ПО, такие как Троянские программы для удаленного доступа и кейлоггеры, используют Телеграм для отправки команд или эксфильтрации данных, причем Agent Tesla является важным вариантом, на долю которого приходится 77,7% сообщений об активных угрозах, связанных с вредоносным ПО, связанных с Телеграм. Кроме того, WSH RAT передает информацию о хосте в Телеграм C2, в то время как Pure Logs Stealer использует Телеграм для доставки команд, связанных с вредоносными URL-адресами.
-----

Злоумышленники все чаще используют ботов в Телеграм для содействия вредоносным действиям, особенно для эксфильтрации данных и операций командования и контроля (C2). Бот-API Телеграм используется для автоматизированных функций, позволяя злоумышленникам отправлять сообщения или загружать файлы, такие как скриншоты и текстовые файлы, содержащие украденные учетные данные. Примечательно, что в отчете указано, что 3,8% отчетов об активных угрозах, основанных на вредоносном ПО (ATR), с 1 квартала 2024 по 2 квартал 2025 года использовали Телеграм в качестве C2, наряду с 2,3% случаев фишинга с использованием учетных данных.

В практических сценариях боты Телеграм функционируют как каналы эксфильтрации данных в рамках различных семейств вредоносных ПО, преимущественно Троянских программ удаленного доступа (RATs), кейлоггеров и стиллеров информации. Например, эти боты могут использоваться для отправки команд на хост, подвергшийся компрометации, или для пассивной фильтрации данных с помощью простой передачи сообщений. Фишинг с использованием учетных данных часто облегчается с помощью вызова API "SendMessage", при котором входные данные от жертв передаются непосредственно боту Телеграм злоумышленника, эффективно создавая простой механизм кражи данных.

Кейлоггер The Agent Tesla является примером варианта вредоносного ПО, использующего Телеграм для эксфильтрации данных. Несмотря на то, что он может работать через традиционные HTTP-запросы или электронную почту, он также включает API Телеграм для передачи файлов, таких как текстовые документы, содержащие украденные учетные данные. Исследователи обнаружили, что на долю Agent Tesla приходится значительный процент (77,7%) вредоносных ПО ATR, связанных с Телеграм в 2024 году.

Другой вариант, WSH RAT, использует другой подход, передавая информацию о хосте непосредственно в Телеграм C2 в рамках процесса загрузки полезной нагрузки. Этот метод позволяет злоумышленникам получать уведомления о том, когда жертва загружает вредоносное программное обеспечение. Кроме того, Pure Logs Stealer, связанный с злоумышленником Lone None, объединяет Телеграм с вредоносными URL-адресами, используя профили ботов в качестве среды для размещения скриптов.

Для анализа угроз и расследований аналитики могут использовать бот-API Телеграм для извлечения информации из каналов компрометации. Получив токен авторизации и идентификатор чата, исследователи могут запросить API Телеграм для доступа и потенциальной пересылки исторических сообщений от бота злоумышленника в свою собственную контролируемую среду. Этот метод расширяет возможности отнесения злоумышленников к конкретным операциям за счет предоставления высокоточных индикаторов компрометации.

#ParsedReport #CompletenessHigh
11-03-2026

Iran conflict drives heightened espionage activity against Middle East targets

https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity-against-middle-east-targets

Report completeness: High

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)
Apt42
Molerats
Winter_vivern

Threats:
Dll_sideloading_technique
Cobalt_strike_tool
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Government organizations, Diplomatic entities, Thinktank

Industry:
Military, Petroleum, Government

Geo:
Israel, Iraq, Iran, Pakistan, India, Israeli, Middle east, Iranian, Syria, Belarus, China

ChatGPT TTPs:
do not use without manual check
T1036.007, T1056.003, T1071.001, T1078, T1082, T1102, T1204.001, T1204.002, T1566.001, T1566.002, have more...

IOCs:
Email: 8
File: 5
Domain: 9
Url: 8
Hash: 13
IP: 1

Soft:
Microsoft Outlook, Outlook, Microsoft OneDrive

Algorithms:
sha256, zip

Functions:
Proofpoint, Research

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность кибершпионажа резко возросла на фоне конфликта с участием Ирана, когда несколько иранских хактивистских и спонсируемых государством групп, таких как TA453 (Charming Kitten), начали кампании по сбору разведданных. Известные методы включают фишинг с использованием учетных данных с использованием компрометации учетных записей, примером чего является TA402's, использующий веб-приложение, похожее на Microsoft Outlook, для сбора учетных данных, и распространение UNK_InnerAmbush Вредоносных файлов под Маскировкой новостей, связанных с конфликтом. Другие акторы, в том числе связанные с Китаем и Пакистаном, аналогичным образом использовали геополитическую ситуацию для усиления своих нападок на ближневосточные правительственные учреждения.
-----

Недавний конфликт с участием Ирана значительно активизировал деятельность по кибершпионажу, особенно с акцентом на цели на Ближнем Востоке. После начала операции "Эпическая ярость" США и Израилем 28 февраля 2026 года многочисленные иранские хактивистские группы и спонсируемые государством злоумышленники провели различные кампании, направленные на сбор разведданных и дезорганизацию. Примечательно, что иранский актор TA453 (Charming Kitten) был замечен за попыткой фишинга учетных данных в отношении аналитического центра США вскоре после начала конфликта, демонстрируя их неизменное внимание к сбору разведданных, несмотря на войну.

Несколько других злоумышленников, включая тех, кто подозревается в связях с Китаем, Беларусью и Пакистаном, также активизировали свои операции, нацелившись на правительственные учреждения Ближнего Востока. Эти кампании используют продолжающийся конфликт в своих интересах, используя актуальные подсказки, при этом злоумышленники часто используют аккаунты с компрометацией для распространения электронных писем с фишингом. Например, группа UNK_InnerAmbush применила схему фишинга, начиная с 1 марта, используя электронное письмо с адреса компрометации для доставки Вредоносных файлов, замаскированных под новости, связанные с конфликтом, в конечном итоге выполнив загрузку Cobalt Strike через DLL Sideloading.

Кроме того, актор TA402 использовал электронную почту Министерства иностранных дел Ирака с компрометацией для распространения кампании фишинга учетных данных, направляя цели к веб-приложению, похожему на Microsoft Outlook, для сбора учетных записей, используя темы, связанные с конфликтом, в качестве приманки. Аналогичным образом, другой актор, UNK_RobotDreams, атаковал дипломатические организации с помощью электронных писем, Маскировки под официальные сообщения, что привело к загрузке вредоносного ПО, которое включало бэкдор Rust, передаваемый через домен, размещенный в компрометации Azure.

Дополнительные кампании от акторов, таких как UNK_NightOwl и TA473, также подчеркивают тенденцию к тому, что акторы, связанные с государством, используют сохраняющуюся геополитическую напряженность для проведения кампаний по сбору разведданных и фишингу, адаптированных к текущим ситуациям. Эти операции подчеркивают тенденцию, когда различные государственные акторы, в том числе те, которые традиционно не связаны с иранскими интересами, динамично используют конфликт для выполнения шпионских задач.

#ParsedReport #CompletenessMedium
10-03-2026

TENGU RANSOMWARE

https://theravenfile.com/2026/03/10/tengu-ransomware/

Report completeness: Medium

Threats:
Tengu_ransomware
Stealtengu_tool
Residential_proxy_technique
React2shell_vuln
Lockbit
Blacksuit_ransomware
Akira_ransomware
Fortirdp_tool
Cobalt_strike_tool
Qakbot
Asyncrat
Lolbin_technique
Zerologon_vuln
Stealtg_tool
Devman

Victims:
Technology sector, Manufacturing sector, Qatargas, Japanese religious entity

Industry:
Petroleum

Geo:
Bulgaria, Monaco, Japanese, Poland, Panama, Dprk, Spain, France, Asia, Morocco, Iranian, India, Qatar, Middle east, Iran, Brazil

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1041, T1047, T1068, T1071.001, T1078, T1090, T1105, T1110, T1133, have more...

IOCs:
IP: 35
File: 1

Soft:
TWITTER, ESXi, Linux, PixelDrain, PsExec, Telegram, Active Directory, Tor Browser

Languages:
php

Platforms:
intel

Links:
https://github.com/TheRavenFile/Daily-Hunt/blob/main/Tengu%20Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Tengu, действующая с октября 2025 года, в первую очередь нацелена на технологический и производственный секторы, первоначально сосредоточившись на исламских странах. В их атаках используется ряд IP-адресов, в том числе связанных с брутфорсом SMB/RDP, и используются уязвимости, такие как "Zerologon" (CVE-2020-1472) для первоначального доступа. Группа использует двоичные файлы living-off-the-land, методы прерывистого шифрования и удаленное выполнение команд, чтобы свести к минимуму следы криминалистического анализа во время развертывания, а недавно переименовалась в "Shisa Ransomware" и запустила партнерскую программу.
-----

Группа программ-вымогателей Tengu появилась 9 октября 2025 года, в первую очередь нацеленная на технологический и производственный секторы, с первоначальным акцентом на исламские страны. Их первой идентифицированной жертвой были Qatargas и Tar Company; однако утечка документов в результате атаки предполагала случайную ошибочную идентификацию, связанную с иранскими связями. С 10 марта 2026 года группа провела ребрендинг, приняв название "Shisa Ransomware", и запустила партнерскую программу, в рамках которой партнеры могли получать 80%-ную скидку на выплаты выкупа. Сборки программ-вымогателей для Windows, ESXi и Linux имеют размер от 90 до 100 КБ, что указывает на универсальность работы группы.

В атаках используется широкий диапазон IP-адресов, идентифицировано по меньшей мере 52, и заметное перекрытие 12 IP-адресов связано с атаками с помощью брутфорса SMB/RDP. Примечательно, что этим операциям способствовала комбинация residential proxies и VPS-сервисов, включая MEVSPACE и Flyservers S.A., которые часто ассоциируются с киберпреступной деятельностью. Группа использует двоичные файлы living-off-the-land для скрытного перемещения внутри компании и использует методы прерывистого шифрования, нацеливаясь на заголовки, чтобы сделать файлы бесполезными без ключа дешифрования.

Первоначальный доступ часто получают путем использования уязвимостей, таких как печально известный "Zerologon" (CVE-2020-1472) на контроллерах домена Windows, который доказал свою эффективность в облегчении последующего перемещения внутри компании и полного контроля над сетью. Их способ работы предполагает удаленное выполнение команд через Service Control Manager, что сводит к минимуму следы криминалистического анализа во время развертывания программ-вымогателей. Заметная ошибка, допущенная Tengu, заключалась в преждевременном шифровании только контроллера домена, что привело к тому, что незашифрованные ресурсы остались доступными для жертвы; позже они исправили это, используя права администратора домена для всестороннего развертывания своей программы-вымогателя.

Дополнительные тактические приемы включают в себя нацеливание на ранее скомпрометированные объекты компрометации и предложение пользовательской службы загрузки файлов под названием "StealTENGU". Группа выразила намерения усовершенствовать свои операции, но оценила случайные всплески успеха атак из-за их способности использовать незащищенные уязвимости. Их присутствие на таких платформах, как Twitter, указывает на уровень вовлеченности в более широкую экосистему программ-вымогателей, но их анонимность подтверждает гипотезу о том, что у них есть квалифицированные участники, способные использовать уязвимости и применять тактику грубой силы.

#ParsedReport #CompletenessLow
11-03-2026

The Install Command Was the Attack: How InstallFix Is Weaponizing Claude Codes Popularity

https://www.codeaintel.com/p/the-install-command-was-the-attack

Report completeness: Low

Threats:
Installfix_technique
Clickfix_technique
Acr_stealer
Amatera_stealer
Credential_harvesting_technique

Victims:
Software developers, Enterprise users of ai developer tools, Claude code users

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.004, T1102, T1105, T1204.002, T1218.005, T1550.004, T1555.003, T1566.002, have more...

IOCs:
Domain: 2
File: 2

Soft:
Claude, macOS, curl

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания социальной инженерии InstallFix нацелена на разработчиков с помощью имитационных страниц установки Claude Code, используя тенденцию к копированию команд терминала без тщательного изучения. В рамках кампании предоставляется стиллер Amatera, который воздействует на системы Windows и macOS, изменяя команды установки, чтобы перенаправлять пользователей на вредоносные домены. Возможности Amatera's включают в себя кражу токенов сеанса, предоставление несанкционированного доступа к Облачным сервисам и конфиденциальным инструментам без необходимости использования паролей или Многофакторной аутентификации, и аналогичная тактика была отмечена в других схемах фишинга.
-----

Кампания социальной инженерии InstallFix нацелена на разработчиков путем создания поддельных страниц установки для инструмента командной строки Claude Code. Эти поддельные страницы продвигаются с помощью рекламы Google, заставляя пользователей выполнять вредоносные команды установки. Поставляемым вредоносным ПО является Amatera, стиллер на основе подписки, предназначенный для систем Windows и macOS. Команды установки изменяются таким образом, чтобы направлять пользователей в домен, контролируемый злоумышленником. Для macOS он извлекает полезную нагрузку второго этапа, используя сценарий в кодировке base64; для Windows он использует mshta.exe для выполнения HTML-приложений. Amatera может красть токены сеанса, предоставляя злоумышленникам доступ к Облачным сервисам и конфиденциальным инструментам без необходимости использования паролей или Многофакторной аутентификации. Аналогичные попытки фишинга были замечены на поддельных страницах установки Homebrew и вредоносных пакетах npm. В операции используются надежные услуги хостинга и документация, выглядящая законно, что затрудняет ее обнаружение. Пользователям рекомендуется избегать рекламы Google для команд установки, получать прямой доступ к официальной документации и проверять активные сеансы после использования подозрительных команд. Мониторинг безопасности должен быть сосредоточен на необычных mshta.exe поведение и помечать подключения к вредоносным доменам.