#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В недавних кампаниях наблюдалась эволюция методов ClickFix, нацеленных на пользователей macOS, при этом стиллеры, такие как MacSync, используют тактику социальной инженерии для обхода системы безопасности. Аутентификация, устойчивая к фишингу, такая как FIDO2, не смогла противостоять этим атакам, которые включали в себя направление пользователей на вредоносные сайты под видом законных ссылок. Этот новый вариант MacSync использует многоступенчатую модель загрузки, использующую сценарии оболочки и динамический AppleScript для более незаметного выполнения, облегчая сбор обширных данных и избегая обнаружения.
-----

Недавние кампании высветили заметную эволюцию киберугроз, нацеленных на пользователей macOS, особенно в том, что касается использования методов ClickFix, связанных с стиллерами информации. Изначально предназначенный в первую очередь для Windows, ClickFix адаптировался для привлечения пользователей macOS, используя тактику социальной инженерии, которая использует взаимодействие с пользователем для обхода традиционных средств защиты. Примечательно, что устойчивые к фишингу методы аутентификации, такие как FIDO2, оказались неэффективными против этих атак.

В ходе кампании, выявленной в ноябре 2025 года, злоумышленники использовали вредоносные сайты, Маскировку под законные ссылки, связанные с OpenAI Atlas, направляя пользователей загружать стиллер MacSync. В этой атаке использовался классический подход ClickFix, при котором пользователям предлагается выполнить команды терминала после того, как их обманом заставили ввести свои пароли. Последующая кампания в декабре 2025 года использовала более обманчивую стратегию, приводя пользователей к законным разговорам в ChatGPT, которые перенаправляли их на вредоносные целевые страницы на тему GitHub. Эти страницы имитировали процессы безопасной установки при инициировании цепочки атак ClickFix и позволяли злоумышленнику отслеживать жертвы в режиме реального времени с помощью показателей, отправляемых боту в Телеграм.

К февралю 2026 года вредоносное ПО MacSync значительно эволюционировало, используя многоступенчатую модель загрузки как услуги. В отличие от предыдущих итераций, которые работали в основном с помощью собственных двоичных файлов MachO, этот новый вариант использует для выполнения сценарии на основе оболочки. Такой сложный подход не только повышает скрытность вредоносного ПО, но и усложняет усилия по обнаружению и реагированию на инциденты. Полезные нагрузки теперь используют динамические команды AppleScript и управляемую ключом API связь с инфраструктурой управления (C2). Это позволяет точно отслеживать зараженных пользователей, сохраняя при этом низкий уровень защиты от поведенческих обнаружений.

Обновленный вариант MacSync выполняет обширный сбор данных, включая извлечение профилей браузера, сохраненных логинов и конфиденциальных файлов из системы пользователя. Он использует вводящие в заблуждение подсказки для сбора паролей пользователя, одновременно незаметно выполняя команды в фоновом режиме, чтобы избежать обнаружения. Кроме того, он может модифицировать законные приложения, такие как те, которые используются для управления криптовалютой, интегрируя вредоносное поведение в программное обеспечение, которому в остальном доверяют.

Эволюция этих угроз ClickFix иллюстрирует, как злоумышленники адаптируют свою тактику для использования социально-технологических тенденций и мер безопасности операционной системы. Зависимость от хорошо известных платформ, таких как ChatGPT, для заманивания жертв означает изменение стратегий социальной инженерии, потенциально увеличивающее риски для пользователей macOS, которые традиционно воспринимали более низкие риски вредоносного ПО по сравнению с их аналогами Windows. Поскольку эти угрозы продолжают развиваться, последствия для безопасности macOS являются серьезными, что подчеркивает необходимость повышения осведомленности и проактивной защиты от появляющихся стиллеров информации и другого сложного вредоносного ПО.

#ParsedReport #CompletenessMedium
11-03-2026

GIBCRYPTO: The Destructive Ransomware with a Snake Keylogger Connection

https://labs.k7computing.com/index.php/gibcrypto-the-destructive-ransomware-with-a-snake-keylogger-connection/

Report completeness: Medium

Threats:
Snake_keylogger
Gibcrypto
Shadow_copies_delete_technique

Victims:
General users, Enterprises

Geo:
Germany

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 1
Hash: 1

Soft:
Windows Defender, Windows security, telegram, Twitter

Algorithms:
salsa20

Win API:
AMSIScanBuffer

Languages:
jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GIBCRYPTO - это сложная программа-вымогатель, обнаруженная в Германии в феврале 2026 года, способная блокировать системы и перехватывать нажатия клавиш, блокируя доступ к критически важным системным функциям. Он использует PowerShell для отключения защитника Windows, изменяет буферы AMSI, чтобы избежать обнаружения, и использует алгоритм шифрования Salsa20 для шифрования файлов, добавляя расширения ".GIBCRYPTO". Шпионские возможности GIBCRYPTO включают в себя отправку данных жертвы и скриншота боту в Телеграм, предполагая подключение к исполнителю угроз Snake Keylogger.
-----

GIBCRYPTO - это недавно идентифицированная программа-вымогатель со значительными разрушительными возможностями, впервые обнаруженная в Германии 22 февраля 2026 года, а затем обнаруженная в других странах. После выполнения GIBCRYPTO блокирует систему жертвы и отображает уведомление о выкупе, одновременно фиксируя нажатия клавиш. Он блокирует множество клавиш, таких как Alt, F4 и клавиши Windows, не позволяя пользователям получить доступ к диспетчеру задач или выйти из экрана блокировки. Этот захват нажатий клавиш сопоставляет программу-вымогателя с функциями кейлоггера, намекая на связь с кампанией Snake Keylogger.

Вредоносное ПО отключает мониторинг защитника Windows в режиме реального времени с помощью команд PowerShell и изменяет буферы AMSI (Anti-Malware Scan Interface), чтобы избежать обнаружения. Это встроенное исправление эффективно предотвращает сканирование службами безопасности Windows своих операций, позволяя программе-вымогателю запускаться без запуска протоколов безопасности. Кроме того, GIBCRYPTO устраняет shadow copies файлов с помощью cmd.exe , препятствуя любым потенциальным попыткам восстановления со стороны жертвы.

Что касается шифрования файлов, GIBCRYPTO использует алгоритм Salsa20, перебирая каталоги и добавляя расширение ".GIBCRYPTO" к зашифрованным файлам. Это позволяет избежать дублирования шифрования, пропуская уже зашифрованные файлы или каталоги с "windows" в названиях. Программа-вымогатель не только шифрует файлы, но и удаляет оригиналы после записи зашифрованных версий, что увеличивает вероятность невозможности восстановления файлов.

GIBCRYPTO также включает в себя шпионские функции, позволяющие злоумышленникам проверить успешную компрометацию системы жертвы. Он делает это путем создания зашифрованного файла, содержащего имя пользователя жертвы и имя компьютера, который отправляется с помощью бота в Телеграм вместе со скриншотом экрана. Токен бота и идентификатор чата, используемые для этой передачи, совпадают с теми, которые связаны с инфраструктурой управления Snake Keylogger.

Технический анализ показывает, что схемы работы GIBCRYPTO демонстрируют заметное сходство с Snake Keylogger, что позволяет предположить, что за обоими вредоносными инструментами стоят одни и те же злоумышленники. Общий дизайн программы-вымогателя предполагает высокий уровень сложности, а ее интегрированные функции как для шифрования, так и для сбора информации делают восстановление практически невозможным для жертв, даже после выплаты выкупа. Это подчеркивает продолжающуюся эволюцию угроз со стороны программ-вымогателей и сохраняющуюся потребность в надежной защите от Кибербезопасности.

#ParsedReport #CompletenessLow
11-03-2026

Weaponizing Telegram Bots: How Threat Actors Exfiltrate Credentials

https://cofense.com/blog/weaponizing-telegram-bots-how-threat-actors-exfiltrate-credentials

Report completeness: Low

Actors/Campaigns:
Lone_none

Threats:
Agent_tesla

Victims:
Information stealers, Keyloggers, Remote access trojans, Credential phishing victims

ChatGPT TTPs:
do not use without manual check
T1016, T1041, T1056.001, T1056.003, T1082, T1102, T1102.002, T1102.003, T1105, T1113, have more...

IOCs:
File: 2
Url: 4
Domain: 1

Soft:
Telegram

Functions:
Bot, getMe, getUpdates

Win API:
sendMessage

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют ботов Телеграм для эксфильтрации данных и операций командования и контроля (C2), используя его Bot API для автоматизированных функций. Известные семейства вредоносных ПО, такие как Троянские программы для удаленного доступа и кейлоггеры, используют Телеграм для отправки команд или эксфильтрации данных, причем Agent Tesla является важным вариантом, на долю которого приходится 77,7% сообщений об активных угрозах, связанных с вредоносным ПО, связанных с Телеграм. Кроме того, WSH RAT передает информацию о хосте в Телеграм C2, в то время как Pure Logs Stealer использует Телеграм для доставки команд, связанных с вредоносными URL-адресами.
-----

Злоумышленники все чаще используют ботов в Телеграм для содействия вредоносным действиям, особенно для эксфильтрации данных и операций командования и контроля (C2). Бот-API Телеграм используется для автоматизированных функций, позволяя злоумышленникам отправлять сообщения или загружать файлы, такие как скриншоты и текстовые файлы, содержащие украденные учетные данные. Примечательно, что в отчете указано, что 3,8% отчетов об активных угрозах, основанных на вредоносном ПО (ATR), с 1 квартала 2024 по 2 квартал 2025 года использовали Телеграм в качестве C2, наряду с 2,3% случаев фишинга с использованием учетных данных.

В практических сценариях боты Телеграм функционируют как каналы эксфильтрации данных в рамках различных семейств вредоносных ПО, преимущественно Троянских программ удаленного доступа (RATs), кейлоггеров и стиллеров информации. Например, эти боты могут использоваться для отправки команд на хост, подвергшийся компрометации, или для пассивной фильтрации данных с помощью простой передачи сообщений. Фишинг с использованием учетных данных часто облегчается с помощью вызова API "SendMessage", при котором входные данные от жертв передаются непосредственно боту Телеграм злоумышленника, эффективно создавая простой механизм кражи данных.

Кейлоггер The Agent Tesla является примером варианта вредоносного ПО, использующего Телеграм для эксфильтрации данных. Несмотря на то, что он может работать через традиционные HTTP-запросы или электронную почту, он также включает API Телеграм для передачи файлов, таких как текстовые документы, содержащие украденные учетные данные. Исследователи обнаружили, что на долю Agent Tesla приходится значительный процент (77,7%) вредоносных ПО ATR, связанных с Телеграм в 2024 году.

Другой вариант, WSH RAT, использует другой подход, передавая информацию о хосте непосредственно в Телеграм C2 в рамках процесса загрузки полезной нагрузки. Этот метод позволяет злоумышленникам получать уведомления о том, когда жертва загружает вредоносное программное обеспечение. Кроме того, Pure Logs Stealer, связанный с злоумышленником Lone None, объединяет Телеграм с вредоносными URL-адресами, используя профили ботов в качестве среды для размещения скриптов.

Для анализа угроз и расследований аналитики могут использовать бот-API Телеграм для извлечения информации из каналов компрометации. Получив токен авторизации и идентификатор чата, исследователи могут запросить API Телеграм для доступа и потенциальной пересылки исторических сообщений от бота злоумышленника в свою собственную контролируемую среду. Этот метод расширяет возможности отнесения злоумышленников к конкретным операциям за счет предоставления высокоточных индикаторов компрометации.

#ParsedReport #CompletenessHigh
11-03-2026

Iran conflict drives heightened espionage activity against Middle East targets

https://www.proofpoint.com/us/blog/threat-insight/iran-conflict-drives-heightened-espionage-activity-against-middle-east-targets

Report completeness: High

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)
Apt42
Molerats
Winter_vivern

Threats:
Dll_sideloading_technique
Cobalt_strike_tool
Credential_harvesting_technique
Spear-phishing_technique

Victims:
Government organizations, Diplomatic entities, Thinktank

Industry:
Military, Petroleum, Government

Geo:
Israel, Iraq, Iran, Pakistan, India, Israeli, Middle east, Iranian, Syria, Belarus, China

ChatGPT TTPs:
do not use without manual check
T1036.007, T1056.003, T1071.001, T1078, T1082, T1102, T1204.001, T1204.002, T1566.001, T1566.002, have more...

IOCs:
Email: 8
File: 5
Domain: 9
Url: 8
Hash: 13
IP: 1

Soft:
Microsoft Outlook, Outlook, Microsoft OneDrive

Algorithms:
sha256, zip

Functions:
Proofpoint, Research

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность кибершпионажа резко возросла на фоне конфликта с участием Ирана, когда несколько иранских хактивистских и спонсируемых государством групп, таких как TA453 (Charming Kitten), начали кампании по сбору разведданных. Известные методы включают фишинг с использованием учетных данных с использованием компрометации учетных записей, примером чего является TA402's, использующий веб-приложение, похожее на Microsoft Outlook, для сбора учетных данных, и распространение UNK_InnerAmbush Вредоносных файлов под Маскировкой новостей, связанных с конфликтом. Другие акторы, в том числе связанные с Китаем и Пакистаном, аналогичным образом использовали геополитическую ситуацию для усиления своих нападок на ближневосточные правительственные учреждения.
-----

Недавний конфликт с участием Ирана значительно активизировал деятельность по кибершпионажу, особенно с акцентом на цели на Ближнем Востоке. После начала операции "Эпическая ярость" США и Израилем 28 февраля 2026 года многочисленные иранские хактивистские группы и спонсируемые государством злоумышленники провели различные кампании, направленные на сбор разведданных и дезорганизацию. Примечательно, что иранский актор TA453 (Charming Kitten) был замечен за попыткой фишинга учетных данных в отношении аналитического центра США вскоре после начала конфликта, демонстрируя их неизменное внимание к сбору разведданных, несмотря на войну.

Несколько других злоумышленников, включая тех, кто подозревается в связях с Китаем, Беларусью и Пакистаном, также активизировали свои операции, нацелившись на правительственные учреждения Ближнего Востока. Эти кампании используют продолжающийся конфликт в своих интересах, используя актуальные подсказки, при этом злоумышленники часто используют аккаунты с компрометацией для распространения электронных писем с фишингом. Например, группа UNK_InnerAmbush применила схему фишинга, начиная с 1 марта, используя электронное письмо с адреса компрометации для доставки Вредоносных файлов, замаскированных под новости, связанные с конфликтом, в конечном итоге выполнив загрузку Cobalt Strike через DLL Sideloading.

Кроме того, актор TA402 использовал электронную почту Министерства иностранных дел Ирака с компрометацией для распространения кампании фишинга учетных данных, направляя цели к веб-приложению, похожему на Microsoft Outlook, для сбора учетных записей, используя темы, связанные с конфликтом, в качестве приманки. Аналогичным образом, другой актор, UNK_RobotDreams, атаковал дипломатические организации с помощью электронных писем, Маскировки под официальные сообщения, что привело к загрузке вредоносного ПО, которое включало бэкдор Rust, передаваемый через домен, размещенный в компрометации Azure.

Дополнительные кампании от акторов, таких как UNK_NightOwl и TA473, также подчеркивают тенденцию к тому, что акторы, связанные с государством, используют сохраняющуюся геополитическую напряженность для проведения кампаний по сбору разведданных и фишингу, адаптированных к текущим ситуациям. Эти операции подчеркивают тенденцию, когда различные государственные акторы, в том числе те, которые традиционно не связаны с иранскими интересами, динамично используют конфликт для выполнения шпионских задач.

#ParsedReport #CompletenessMedium
10-03-2026

TENGU RANSOMWARE

https://theravenfile.com/2026/03/10/tengu-ransomware/

Report completeness: Medium

Threats:
Tengu_ransomware
Stealtengu_tool
Residential_proxy_technique
React2shell_vuln
Lockbit
Blacksuit_ransomware
Akira_ransomware
Fortirdp_tool
Cobalt_strike_tool
Qakbot
Asyncrat
Lolbin_technique
Zerologon_vuln
Stealtg_tool
Devman

Victims:
Technology sector, Manufacturing sector, Qatargas, Japanese religious entity

Industry:
Petroleum

Geo:
Bulgaria, Monaco, Japanese, Poland, Panama, Dprk, Spain, France, Asia, Morocco, Iranian, India, Qatar, Middle east, Iran, Brazil

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1041, T1047, T1068, T1071.001, T1078, T1090, T1105, T1110, T1133, have more...

IOCs:
IP: 35
File: 1

Soft:
TWITTER, ESXi, Linux, PixelDrain, PsExec, Telegram, Active Directory, Tor Browser

Languages:
php

Platforms:
intel

Links:
https://github.com/TheRavenFile/Daily-Hunt/blob/main/Tengu%20Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Tengu, действующая с октября 2025 года, в первую очередь нацелена на технологический и производственный секторы, первоначально сосредоточившись на исламских странах. В их атаках используется ряд IP-адресов, в том числе связанных с брутфорсом SMB/RDP, и используются уязвимости, такие как "Zerologon" (CVE-2020-1472) для первоначального доступа. Группа использует двоичные файлы living-off-the-land, методы прерывистого шифрования и удаленное выполнение команд, чтобы свести к минимуму следы криминалистического анализа во время развертывания, а недавно переименовалась в "Shisa Ransomware" и запустила партнерскую программу.
-----

Группа программ-вымогателей Tengu появилась 9 октября 2025 года, в первую очередь нацеленная на технологический и производственный секторы, с первоначальным акцентом на исламские страны. Их первой идентифицированной жертвой были Qatargas и Tar Company; однако утечка документов в результате атаки предполагала случайную ошибочную идентификацию, связанную с иранскими связями. С 10 марта 2026 года группа провела ребрендинг, приняв название "Shisa Ransomware", и запустила партнерскую программу, в рамках которой партнеры могли получать 80%-ную скидку на выплаты выкупа. Сборки программ-вымогателей для Windows, ESXi и Linux имеют размер от 90 до 100 КБ, что указывает на универсальность работы группы.

В атаках используется широкий диапазон IP-адресов, идентифицировано по меньшей мере 52, и заметное перекрытие 12 IP-адресов связано с атаками с помощью брутфорса SMB/RDP. Примечательно, что этим операциям способствовала комбинация residential proxies и VPS-сервисов, включая MEVSPACE и Flyservers S.A., которые часто ассоциируются с киберпреступной деятельностью. Группа использует двоичные файлы living-off-the-land для скрытного перемещения внутри компании и использует методы прерывистого шифрования, нацеливаясь на заголовки, чтобы сделать файлы бесполезными без ключа дешифрования.

Первоначальный доступ часто получают путем использования уязвимостей, таких как печально известный "Zerologon" (CVE-2020-1472) на контроллерах домена Windows, который доказал свою эффективность в облегчении последующего перемещения внутри компании и полного контроля над сетью. Их способ работы предполагает удаленное выполнение команд через Service Control Manager, что сводит к минимуму следы криминалистического анализа во время развертывания программ-вымогателей. Заметная ошибка, допущенная Tengu, заключалась в преждевременном шифровании только контроллера домена, что привело к тому, что незашифрованные ресурсы остались доступными для жертвы; позже они исправили это, используя права администратора домена для всестороннего развертывания своей программы-вымогателя.

Дополнительные тактические приемы включают в себя нацеливание на ранее скомпрометированные объекты компрометации и предложение пользовательской службы загрузки файлов под названием "StealTENGU". Группа выразила намерения усовершенствовать свои операции, но оценила случайные всплески успеха атак из-за их способности использовать незащищенные уязвимости. Их присутствие на таких платформах, как Twitter, указывает на уровень вовлеченности в более широкую экосистему программ-вымогателей, но их анонимность подтверждает гипотезу о том, что у них есть квалифицированные участники, способные использовать уязвимости и применять тактику грубой силы.

#ParsedReport #CompletenessLow
11-03-2026

The Install Command Was the Attack: How InstallFix Is Weaponizing Claude Codes Popularity

https://www.codeaintel.com/p/the-install-command-was-the-attack

Report completeness: Low

Threats:
Installfix_technique
Clickfix_technique
Acr_stealer
Amatera_stealer
Credential_harvesting_technique

Victims:
Software developers, Enterprise users of ai developer tools, Claude code users

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.004, T1102, T1105, T1204.002, T1218.005, T1550.004, T1555.003, T1566.002, have more...

IOCs:
Domain: 2
File: 2

Soft:
Claude, macOS, curl

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания социальной инженерии InstallFix нацелена на разработчиков с помощью имитационных страниц установки Claude Code, используя тенденцию к копированию команд терминала без тщательного изучения. В рамках кампании предоставляется стиллер Amatera, который воздействует на системы Windows и macOS, изменяя команды установки, чтобы перенаправлять пользователей на вредоносные домены. Возможности Amatera's включают в себя кражу токенов сеанса, предоставление несанкционированного доступа к Облачным сервисам и конфиденциальным инструментам без необходимости использования паролей или Многофакторной аутентификации, и аналогичная тактика была отмечена в других схемах фишинга.
-----

Кампания социальной инженерии InstallFix нацелена на разработчиков путем создания поддельных страниц установки для инструмента командной строки Claude Code. Эти поддельные страницы продвигаются с помощью рекламы Google, заставляя пользователей выполнять вредоносные команды установки. Поставляемым вредоносным ПО является Amatera, стиллер на основе подписки, предназначенный для систем Windows и macOS. Команды установки изменяются таким образом, чтобы направлять пользователей в домен, контролируемый злоумышленником. Для macOS он извлекает полезную нагрузку второго этапа, используя сценарий в кодировке base64; для Windows он использует mshta.exe для выполнения HTML-приложений. Amatera может красть токены сеанса, предоставляя злоумышленникам доступ к Облачным сервисам и конфиденциальным инструментам без необходимости использования паролей или Многофакторной аутентификации. Аналогичные попытки фишинга были замечены на поддельных страницах установки Homebrew и вредоносных пакетах npm. В операции используются надежные услуги хостинга и документация, выглядящая законно, что затрудняет ее обнаружение. Пользователям рекомендуется избегать рекламы Google для команд установки, получать прямой доступ к официальной документации и проверять активные сеансы после использования подозрительных команд. Мониторинг безопасности должен быть сосредоточен на необычных mshta.exe поведение и помечать подключения к вредоносным доменам.

#ParsedReport #CompletenessMedium
11-03-2026

Cracker of secrets: F6 investigated a new version of the Android Trojan Falcon

https://www.f6.ru/blog/falcon-rat/

Report completeness: Medium

Threats:
Falconrat
Killbot
Anubis
Mamont_spy
Nfcgate_tool

Victims:
Banking, Investment funds, Government services, Mobile operators, Marketplaces, Social networks, Messengers, App stores, Free classifieds services, Contactless payments, have more...

Industry:
Financial, E-commerce, Government

Geo:
Russia, Russian, Chinese, Australia

ChatGPT TTPs:
do not use without manual check
T1409, T1412, T1417, T1418, T1422, T1444, T1454, T1476, T1516

IOCs:
Url: 5
Hash: 12
File: 2

Soft:
Android, Telegram, RuStore, Google Play, VKontakte, Viber, WhatsApp

Algorithms:
sha256, sha1, rc4, md5

Functions:
USSD, removeApp, SelfDefense, UpdateData, Insert_Or_Update_Bot_Info, getJSONArrayOfUIElems

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец Falcon, особенно его последняя версия FalconRAT, стал серьезной угрозой для пользователей Android в России, воздействие на более чем 10 000 устройств по состоянию на начало 2026 года. Этот банковский троян маскируется под легальные приложения, использует методы веб-инъекций для кражи учетных данных и использует дроппер для установки с помощью тактики фишинга. Он собирает конфиденциальные данные, включая SMS-сообщения для двухфакторной аутентификации, и обладает функциями самосохранения, позволяющими избежать удаления, при этом намеренно избегая целей в определенных регионах, таких как США и Австралия.
-----

Троянец Falcon, в частности его последняя версия, известная как FalconRAT, стал серьезной угрозой для пользователей Android, особенно в России. Обнаруженный в конце 2025 года, этот банковский троянец был подключен к более чем 10 000 устройствам для компрометации к началу 2026 года. Аналитики сообщают, что в этой версии представлены улучшения по сравнению с предыдущими версиями, такие как включение модуля VNC для удаленного управления и механизмов эксфильтрации данных через Телеграм.

FalconRAT работает путем Маскировки под законные приложения различных банков, государственных служб и платежных платформ, способствуя краже данных в более чем 30 целевых приложениях, включая крупнейшие российские финансовые учреждения и платформы Социальных сетей. Чтобы получить учетные данные пользователя, Falcon использует технологию веб-внедрения, которая имитирует интерфейс легальных сервисов, побуждая пользователей неосознанно вводить свои регистрационные данные и коды двухфакторной аутентификации непосредственно в формы, контролируемые вредоносным ПО.

После установки Falcon использует приложение-дроппер, которое инициирует загрузку вредоносного ПО, часто распространяемого с помощью тактики фишинга. Процесс установки включает в себя запрос пользователям разрешений, которые затем используются для операционных нужд троянца. Анализ кода вредоносного ПО показывает, что оно автоматизирует этот процесс предоставления разрешений, используя элементы пользовательского интерфейса для выполнения кликов, которые кажутся пользователю безобидными.

FalconRAT собирает конфиденциальную информацию, включая SMS-сообщения для двухфакторной аутентификации, протоколирует звонки и входящие сообщения для дальнейшего использования. Примечательно, что при обнаружении определенных системных действий, таких как попытки удалить приложение или проверить установленные приложения, вредоносное ПО использует различные стратегии, чтобы помешать вмешательству пользователя, включая скрытие интерфейсов и перенаправление действий пользователя обратно на главный экран.

Кроме того, вредоносное ПО может отправлять индивидуальные или массовые SMS-сообщения с устройств компрометации, позволяя своим операторам распространять угрозу дальше. Приложение обладает механизмами самосохранения, что делает его устойчивым к удалению и встроенному антивирусному обнаружению на устройствах Android. Важно отметить, что его поведение предполагает намеренный обход, чтобы избежать нацеливания на пользователей из определенных регионов, таких как США и Австралия, что указывает на уровень оперативной секретности злоумышленников.

Чтобы снизить риски, связанные с FalconRAT, эксперты по безопасности рекомендуют соблюдать осторожность, например, избегать неизвестных контактов, загружать приложения только из признанных официальных магазинов и тщательно проверять разрешения, запрашиваемые установленными приложениями. Пользователям следует проявлять бдительность в отношении ненормального поведения устройств, которое может указывать на наличие такого вредоносного ПО. Эти выводы подчеркивают меняющийся ландшафт киберугроз и изощренные методы, используемые злоумышленниками для использования уязвимостей в поведении пользователей и безопасности устройств.

#ParsedReport #CompletenessLow
11-03-2026

RondoDox Botnet: From Zero to 174 Exploited Vulnerabilities

https://www.bitsight.com/blog/rondodox-botnet-infrastructure-analysis

Report completeness: Low

Threats:
Rondodox
Rapperbot
Mirai
Xmrig_miner
React2shell_vuln

Victims:
Iot devices, Internet exposed services, Residential isp customers

Industry:
Ics, Telco, Iot, Media

Geo:
Sweden, America, Tunisia, Canada, Brazil, Netherlands, Germany, Iran, China, Congo, Russia

CVEs:
CVE-2025-37164 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- hpe oneview (le10.20.00)

CVE-2025-32756 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortimail (<7.0.9, <7.2.8, <7.4.5, <7.6.3)
- fortinet fortindr (<7.0.7, <7.2.5, <7.4.8, 1.1.0, 1.2.0)
- fortinet fortirecorder (<6.4.6, <7.0.6, <7.2.4)
- fortinet fortivoice (<6.4.11, <7.0.7, 7.2.0)

CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2025-52089 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- totolink n300rb_firmware (8.54)

CVE-2025-24016 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wazuh (<4.9.1)

CVE-2025-24893 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- xwiki (<15.10.11, <16.4.1, 5.3)

CVE-2025-57296 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tenda ac6_firmware (15.03.05.19)

CVE-2025-47812 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- wftpserver wing_ftp_server (<7.4.4)

CVE-2025-62593 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-48827 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vbulletin (le5.7.5, le6.0.3)

CVE-2025-20281 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco identity_services_engine (3.3.0, 3.4.0)
- cisco identity_services_engine_passive_identity_connector (3.3.0, 3.4.0)


ChatGPT TTPs:
do not use without manual check
T1037, T1059.004, T1105, T1190, T1496, T1595

IOCs:
File: 1
Domain: 2
IP: 37
Hash: 1

Soft:
Twitter, Android

Platforms:
m68k, mips

Links:
https://github.com/ray-project/ray/security/advisories/GHSA-q279-jhrf-cc6v
https://github.com/bitsight-research/threat\_research/tree/main/rondodox
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4