#ParsedReport #CompletenessMedium
13-03-2026

Unmasking SilverFoxs New Trends: Decoding Evasion Tactics, Domain Impersonation, and Mass-Generated Fake Software

https://medium.com/@knownsec404team/unmasking-silverfoxs-new-trends-decoding-evasion-tactics-domain-impersonation-and-8a7f03571186

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft)

Threats:
Gh0st_rat
Typosquatting_technique
Winos
Todesk_tool
Dns_tunneling_technique

Victims:
Government, Universities, Large enterprises, Financial institutions

Industry:
Government, Education, Financial

Geo:
China, Hong kong

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1041, T1056.001, T1059.007, T1105, T1113, T1204.001, T1562.001, T1566.002, have more...

IOCs:
Domain: 13
Url: 13

Soft:
WeChat, WhatsApp, DingTalk, Feishu, Telegram

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SilverFox - это киберугроза, нацеленная на государственный и финансовый секторы, использующая такие методы, как WeChat, QQ и электронные письма с фишингом, для распространения троянского вредоносного ПО для удаленного управления и кражи данных. Они эксплуатируют поведение пользователей с помощью методов фишинга, которые принудительно загружают файлы через измененные веб-элементы, и используют тактику Имперсонации домена, такую как typo-squatting и манипулирование DNS, для создания поддельного программного обеспечения, ориентированного на конкретные отрасли. Их модульная библиотека вредоносного ПО позволяет проводить кастомные атаки, включая Регистрацию нажатий клавиш и эксфильтрацию данных, что значительно повышает масштабируемость и эффективность их кампаний.
-----

SilverFox ориентирован на управленческий и финансовый персонал государственных учреждений, университетов и крупных организаций. Группа использует WeChat, QQ, электронные письма с фишингом и сайты с контрафактным программным обеспечением для доставки троянского вредоносного ПО для удаленного управления, кражи данных и финансового мошенничества. Их деятельность эволюционировала из-за утечки исходного кода Gh0st. Стратегии фишинга используют поведение пользователей с помощью передовых методов уклонения, используя JavaScript на страницах, чтобы замаскировать триггеры загрузки и избежать обнаружения. Группа изменяет кнопки действий для инициирования загрузки, требуя от пользователей непреднамеренного взаимодействия с вредоносными пакетами. SilverFox использует методы Имперсонации домена, включая typo-squatting, захват домена и манипулирование DNS, для имитации законных сайтов, особенно уделяя особое внимание таким регионам, как Хэйлунцзян, Гонконг и Шанхай. Автоматизированные методы массовой генерации позволяют создавать специально разработанное поддельное программное обеспечение, значительно расширяя масштабы своих атакующих кампаний. Их модульная библиотека вредоносного ПО позволяет использовать кастомные полезные программы для Регистрации нажатий клавиш и эксфильтрации данных, нацеленных на финансовые учреждения и правительственные учреждения. Защитные меры против SilverFox должны включать в себя анализ угроз на основе Искусственного интеллекта, поведенческую аналитику для мониторинга доступа пользователей и фильтрацию DNS для снижения рисков. Расширенное обучение пользователей и межведомственное сотрудничество имеют важное значение для обороны. Для ограничения угрозы SilverFox's и повышения устойчивости необходимы постоянный мониторинг, блокирование, пересмотр и повторение мер безопасности.

#ParsedReport #CompletenessHigh
12-03-2026

China-nexus Threat Actor Targets Persian Gulf Region With PlugX

https://www.zscaler.com/blogs/security-research/china-nexus-threat-actor-targets-persian-gulf-region-plugx

Report completeness: High

Actors/Campaigns:
Red_delta

Threats:
Plugx_rat
Dll_sideloading_technique
Dll_injection_technique
Doplugs
Lotuslite
Uac_bypass_technique
Fodhelper_technique
Junk_code_technique

Victims:
Government users in persian gulf region

Geo:
Middle east, Iranian, Bahrain, China

TTPs:
Tactics: 7
Technics: 32

IOCs:
Url: 2
File: 11
Path: 3
IP: 1
Hash: 9

Soft:
cURL, Windows service

Algorithms:
xor, prng, rc4, lznt1, zip

Functions:
DLL

Win API:
RegSetValueExA, GetCommandLineW, CreateProcessAsUserW, VirtualAlloc, RtlDecompressBuffer, decompress

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2026 года злоумышленник из Китая, потенциально связанный с Mustang Panda, провел киберкампанию, нацеленную на Персидский залив, используя социальную инженерию с вводящим в заблуждение документом на арабском языке. Атака использовала многоступенчатый подход, инициируясь с помощью ZIP-файла, содержащего вредоносный ярлык Windows, который загружал скомпилированный HTML-файл справки с запутыванием, развертывая бэкдор PlugX, оснащенный передовыми методами обфускации для скрытности и закрепления. Вредоносное ПО позволяло проводить обширную разведку и коммуникацию, используя при этом такие методы, как DLL sideloading и DNS-over-HTTPS для операций управления.
-----

В начале марта 2026 года злоумышленник, связанный с Китаем, потенциально связанный с Mustang Panda, запустил киберкампанию, нацеленную на страны региона Персидского залива в условиях эскалации конфликта на Ближнем Востоке. Кампания использовала сложную тактику социальной инженерии, используя документ на арабском языке, в котором ложно изображались ракетные удары, чтобы заманить жертв к запуску вредоносного ПО.

Атака осуществлялась по многоэтапному принципу, начиная с ZIP-архива, содержащего файл ярлыка Windows (LNK), который при выполнении инициировал загрузку вредоносного скомпилированного файла HTML-справки (CHM) с сервера компрометации. Этот CHM-файл содержал запутанный шелл-код, который привел к развертыванию бэкдора PlugX, демонстрирующего передовые методы запутывания, включая сглаживание потока управления (CFF) и смешанную булеву арифметику (MBA).

Во время первого этапа атаки пользователи взаимодействовали с вредоносным файлом LNK с именем "photo_2026-03-01_01-20-48 .pdf.lnk", который выполнил команду cURL для извлечения файла CHM. Этот файл, в свою очередь, содержал множество компонентов, включая поддельный PDF-файл, предназначенный для имитации законных сообщений. На втором этапе был обнаружен вредоносный загрузчик ShellFolderDepend.библиотека dll, вводимая через DLL sideloading, что указывает на сосредоточенность на поддержании закрепления в зараженных системах.

Шелл-код был тщательно разработан, чтобы скрыть его операции. Он использовал расшифровку во время выполнения с помощью пользовательского алгоритма XOR и установил закрепление путем создания записей реестра, чтобы гарантировать повторное появление вредоносного ПО при загрузке системы. Бэкдор PlugX не только укрепил свои каналы связи с использованием HTTPS, но и интегрировал возможность DNS-over-HTTPS (DOH) для повышения скрытности во время операций управления.

Анализ этого варианта PlugX выявил сложности, характерные для предыдущих атак, связанных с акторами China-nexus. Вредоносное ПО продемонстрировало широкое использование обфускации, что усложнило аналитикам процесс обратного проектирования. Бэкдор позволял проводить разведку, облегчая выполнение таких команд, как сбор системной информации, обновление конфигураций и прокси-связь между несколькими экземплярами PlugX.

#ParsedReport #CompletenessHigh
12-03-2026

Suspected China-Based Espionage Operation Against Military Targets in Southeast Asia

https://unit42.paloaltonetworks.com/espionage-campaign-against-military-targets/

Report completeness: High

Actors/Campaigns:
Cl-sta-1087 (motivation: cyber_espionage)

Threats:
Applechris
Memfun
Getpass_tool
Mimikatz_tool
Dll_hijacking_technique
Shadow_copies_delete_technique
Dead_drop_technique
Tunneler
Timestomp_technique
Process_hollowing_technique
Credential_harvesting_technique

Victims:
Military organizations, Military infrastructure

Industry:
Military

Geo:
China, Asian, Asia, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1005, T1021.002, T1027, T1036, T1036.005, T1041, T1047, T1055.012, T1057, have more...

IOCs:
IP: 9
File: 8
Hash: 7

Soft:
Dropbox, Windows authentication

Algorithms:
aes, rsa-1024, sha256, xor

Win API:
SeDebugPrivilege

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Шпионская операция CL-STA-1087 нацелена на военные организации в Юго-Восточной Азии, атрибутируемые с 2020 года китайским акторам, спонсируемым государством. В нем используется сложное вредоносное ПО, включая универсальный бэкдор AppleChris с несколькими вариантами скрытного выполнения команд и сбора учетных записей через Getpass, а также бэкдор MemFun, работающий только с памятью, использующий process Hollowing. Инфраструктура операции допускает разделение на части и согласована с графиком работы злоумышленников, что указывает на преднамеренную тактику шпионажа.
-----

Подозреваемая шпионская операция, получившая обозначение CL-STA-1087, была идентифицирована как нацеленная на военные организации в Юго-Восточной Азии, вероятно, проводимая спонсируемыми государством акторами из Китая. Эта кампания продолжается по меньшей мере с 2020 года и характеризуется высоконаправленным подходом, направленным на сбор конкретной военной разведывательной информации, а не на массовую кражу данных. Основные инструменты, используемые в этой операции, включают бэкдоры AppleChris и MemFun, а также средство сбора учетных данных, известное как Getpass.

Операционная методология CL-STA-1087 раскрывает сложную стратегию, включающую долгосрочное закрепление и изощренное поведение вредоносного ПО. Изначально бездействующая точка доступа позволяла злоумышленникам выполнять вредоносные скрипты PowerShell, которые устанавливали обратные оболочки для серверов command and control (C2). Разместившись на неуправляемой конечной точке, они расширили свое присутствие по всей сети, используя Инструментарий управления Windows(WMI) и команды .NET, внедряя варианты вредоносного ПО, сохраняя при этом стабильность работы.

Бэкдор AppleChris демонстрирует значительную универсальность благодаря множеству вариантов, таких как Dropbox и Tunneler. В каждом варианте используются различные методы Закладки с данными (DDR) для доступа к IP-адресам сервера C2 через общую учетную запись Pastebin, что позволяет злоумышленникам обойти традиционные методы обнаружения. Вредоносное ПО AppleChris может выполнять различные команды, связанные с управлением системой, эксфильтрацией файлов и сетевым туннелированием, и все это при использовании скрытых методов, таких как DLL hijacking и модуляция процессов. Тактика уклонения, включая таймеры ожидания, используется для того, чтобы избежать обнаружения системами безопасности, гарантируя, что вредоносное ПО остается необнаруженным в течение длительного времени.

Параллельно MemFun действует как модульный бэкдор, который работает полностью в памяти, используя process hollowing для внедрения вредоносного кода в законные процессы, не оставляя следов на диске. Этот метод расширяет возможности скрытности и облегчает динамическую связь с серверами C2 с помощью пользовательских HTTP-запросов и механизмов шифрования, зависящих от сеанса.

Кроме того, инструмент Getpass функционирует как адаптированная версия Mimikatz, предназначенная для скрытого сбора учетных записей. Используя тактику защиты от криминалистического анализа, такую как timestomping и повышение привилегий, он нацелен на процессы проверки подлинности Windows для извлечения конфиденциальных данных непосредственно из памяти, сохраняя их в файл, который выглядит как законная системная база данных.

Злоумышленники поддерживают сложную инфраструктуру, включающую несколько IP-адресов C2 через Облачные сервисы, чтобы обеспечить разделение операций и устойчивость к обнаружению. Кампания демонстрирует четкую временную схему активности, согласованную с рабочим временем в таких регионах, как Китай, что указывает на методичный подход к шпионажу.

#ParsedReport #CompletenessMedium
13-03-2026

Dark Web Profile: Handala Hack

https://socradar.io/blog/dark-web-profile-handala-hack/

Report completeness: Medium

Actors/Campaigns:
Handala-hacking-team (motivation: propaganda, hacktivism)
Void_manticore
Cyberav3nger
Scarred_manticore
Oilrig

Threats:
Karma
Lolbin_technique
Process_hollowing_technique
Byovd_technique
Bibi-wiper
Handala_wiper
Hatef
Hamsa
Elrawdisk_driver_tool
Coolwipe
Chillwipe
Spear-phishing_technique

Victims:
Technology sector, Information technology sector, Government and defense sector, Critical infrastructure, Energy sector, Education sector, Financial sector, Medical devices sector, Payment processing sector, Israeli organizations, have more...

Industry:
Critical_infrastructure, Petroleum, Financial, Healthcare, Government, Aerospace, Energy, Education

Geo:
Iran, Iranian, Albania, United kingdom, Jordan, Israel, Palestinian, Israeli, Riyadh

CVEs:
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2010, 2019)


TTPs:
Tactics: 9
Technics: 22

IOCs:
File: 2

Soft:
Telegram, Microsoft SharePoint, NSIS installer, Twitter, Linux, AutoHotKey

Languages:
autoit, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Handala Hack идентифицируется как преступная хакерская группировка, связанная с Министерством разведки Ирана, которая появилась в декабре 2023 года и нацелена на израильские и западные организации, в частности американские корпорации. Они используют агрессивную тактику, такую как пользовательское вредоносное ПО wiper, примером чего является их операция Epic Fury, в результате которой было уничтожено более 200 000 устройств Stryker Corporation. Используя уязвимости, подобные CVE-2019-0604, с помощью Целевого фишинга, Handala использует сложную социальную инженерию и многоэтапное выполнение, чтобы нанести широкомасштабный ущерб, и собирает разведданные перед выполнением разрушительной полезной нагрузки.
-----

Handala Hack - преступная хакерская группировка, связанная с Министерством разведки и безопасности Ирана (MOIS), действующая с декабря 2023 года. Группировка нацелена на израильские и западные организации, уделяя повышенное внимание американским корпорациям после нападения ХАМАСА 7 октября 2023 года. Его операции включают в себя развертывание пользовательского вредоносного ПО wiper, которое наносит значительный ущерб гражданской инфраструктуре, примером чего является операция Epic Fury в марте 2026 года, в результате которой пострадало более 200 000 устройств Stryker Corporation. Исследования связывают Handala с иранскими кибер-подразделениями и сотрудничеством с такими группами, как Scarred Manticore и Void Manticore. Группа использует уязвимости, такие как CVE-2019-0604, с помощью кампаний Целевого фишинга для получения первоначального доступа с последующим сбором разведывательной информации и выполнением деструктивных полезных нагрузок. С начала 2024 по начало 2025 года Handala заявила по меньшей мере о 85 атаках, сосредоточив внимание на технологиях, обороне и критически важных секторах инфраструктуры. Методы атаки включают социальную инженерию, деструктивное вредоносное ПО, такое как BiBi Wiper и Hamsa, а также многоэтапные процессы выполнения с использованием законных инструментов Windows и запутанных скриптов. Рекомендуемые защитные меры включают устойчивую к фишингу Многофакторную аутентификацию, обучение персонала распознаванию фишинга, мониторинг сети на предмет необычных действий и расширенную защиту конечных точек для противодействия деструктивному вредоносному ПО.

#ParsedReport #CompletenessLow
13-03-2026

Investigations into the MIMICRAT ClickFix campaign

https://www.stormshield.com/news/investigations-into-the-mimicrat-clickfix-campaign/

Report completeness: Low

Threats:
Mimicrat
Clickfix_technique

Victims:
Multiple sectors

ChatGPT TTPs:
do not use without manual check
T1059.001, T1105

IOCs:
Hash: 35
IP: 8
Domain: 145
File: 1
Path: 1

Algorithms:
sha256, zip

Languages:
lua, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix использует метод самоэксплуатации для распространения Троянской программы удаленного доступа MIMICRAT (RAT) через законные веб-сайты, подвергшиеся компрометации, побуждая жертв выполнять команды со своих устройств. Ключевые показатели компрометации (IOCs) включают хэши SHA-256 для различных компонентов вредоносного ПО, при этом доставка, командование и контроль осуществляются через сеть определенных IP-адресов, связанных с неправильно сконфигурированными доменами. Примечательно, что был идентифицирован сервер C2 с IP-адресом 23.227.202.114, что раскрывает дополнительный потенциал отслеживания сообщений после заражения.
-----

Кампания ClickFix, расследуемая Elastic Security Labs, использует метод самоэксплуатации для распространения Троянской программы удаленного доступа MIMICRAT (RAT) через законные веб-сайты, подвергшиеся компрометации. Этот метод основан на побуждении жертв выполнять команды со своих собственных устройств, что облегчает атаку, не требуя прямых манипуляций со стороны злоумышленников.

Ключевые показатели компрометации (IOCs), связанные с MIMICRAT, включают несколько хэшей SHA-256, идентифицирующих различные компоненты вредоносного ПО и способы его доставки. Хэш SHA-256 bcc7a0e53ebc62c77b7b6e3585166bfd7164f65a8115e7c8bda568279ab4f6f1 соответствует начальной полезной нагрузке PowerShell, в то время как 5e0a30d8d91d5fd46da73f3e6555936233d870ac789ca7dd64c9d3cc74719f51 относится к загрузчику Lua. Другой соответствующий хэш, a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b, отмечает маяк MIMICRAT. Кампания использует сеть IP-адресов для доставки полезной нагрузки и возможностей управления после эксплуатации (C2), которые были прослежены до таких доменов, как msservice.network и plugins-manager.network.

Примечательно, что инфраструктура выявила различные неправильно настроенные домены, в том числе один, предоставляющий сертификат, который был неправильно связан с предполагаемым веб-сайтом. Эта неправильная конфигурация была замечена на mispolishal.com , который неправильно выдал сертификат, предназначенный для avprog.cc . Примечательно, что папки в этих доменах содержали такие каталоги, как /cmd и /update, со сценариями, потенциально связанными с более широкой инициативой ClickFix. Сценарий PowerShell, идентифицированный в домене msservice.network, загружает файл MSI в каталог Windows ProgramData, хотя сам файл не был доступен для извлечения во время анализа.

Сервер C2, связанный с кампанией, идентифицированный как 23.227.202.114, отображает страницу с надписью "CryptoBet Arena". Это изменение домена выявило дополнительные потенциальные IOC, которые могли бы помочь в отслеживании сообщений C2 после заражения.

В ответ на полученные результаты рекомендуется уделять особое внимание осведомленности и практике в области Кибербезопасности. Проведение кампаний, ориентированных на методы фишинга, в частности ClickFix, наряду с внедрением мер сетевой безопасности, таких как сегментация, контроль доступа и регулярные обновления, имеет решающее значение для снижения рисков, связанных с этой и подобными угрозами.

#ParsedReport #CompletenessLow
13-03-2026

Fake Temu Coin airdrop uses ClickFix trick to install stealthy malware

https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-temu-coin-airdrop-uses-clickfix-trick-to-install-stealthy-malware

Report completeness: Low

Threats:
Clickfix_technique
Coruna_tool

Victims:
Consumers, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1016, T1056.001, T1059.001, T1059.006, T1071.001, T1102, T1105, T1113, T1204.002, T1539, have more...

IOCs:
File: 1
Path: 1
Domain: 1

Soft:
Telegram, Android

Languages:
powershell, python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix использует мошеннический криптовалютный airdrop для распространения скрытого вредоносного ПО, которое устанавливает постоянный бэкдор в зараженных системах. Вредоносное ПО, использующее встроенную среду выполнения Python, чтобы избежать обнаружения, собирает системную информацию и связывается с командным сервером для получения динамических инструкций, избегая традиционного обнаружения сигнатур файлов. Его ключевые возможности включают кражу конфиденциальных данных, регистрацию нажатий клавиш и создание скриншотов, в то время как его инфраструктура предполагает постоянный мониторинг жертв.
-----

Недавняя кампания ClickFix предполагает использование поддельной криптовалюты airdrop для скрытого распространения вредоносного ПО, которое создает постоянный бэкдор в зараженных системах. Атака начинается с мошеннического веб-сайта, рекламирующего бессмысленный airdrop в размере $TEMU, связанный с законной торговой платформой. Пользователей обманывают, заставляя выполнять вредоносные команды, предположительно связанные с проверками безопасности, что в конечном итоге инициирует установку вредоносного ПО.

Вредоносное ПО начинает свою цепочку заражения со сбора базовой системной информации и передачи ее на командный сервер. Затем этот сервер отвечает уникальной полезной нагрузкой, включающей идентификатор компьютера, что усложняет усилия по обнаружению за счет создания вариантов вредоносного ПО, которые не соответствуют типичным сигнатурам, хранящимся в антивирусных базах данных. Вместо использования обычного установленного приложения полезная нагрузка развертывается с помощью встроенной среды выполнения на Python, помеченной как pythonw.exe , который работает без видимой консоли, еще больше скрывая свое присутствие от пользователей и программного обеспечения безопасности.

Примечательно, что это вредоносное ПО не хранит свой скрипт локально на компьютере, вместо этого динамически извлекая инструкции с командного сервера при каждой регистрации. Такое выполнение кода "в дикой природе" ограничивает механизмы обнаружения на основе сигнатур файлов и позволяет злоумышленникам изменять свою тактику или функции, не оставляя постоянного следа в файле. Учитывая распространенность Python в корпоративной среде, его деятельность может казаться законной, что требует мониторинга на основе поведения для эффективного обнаружения.

Возможности бэкдора включают в себя кражу конфиденциальных данных, таких как учетные данные браузера и сеансовые файлы cookie, а также ведение журнала нажатий клавиш и создание скриншотов. Кроме того, инфраструктура, позволяющая получать уведомления через Телеграм, указывает на постоянный мониторинг жертв, хотя флаг отладки указывает либо на этапы разработки, либо на осторожные методы эксплуатации.

Поскольку тактика ClickFix продолжает развиваться, эта конкретная кампания иллюстрирует смещение акцента с способа доставки вредоносного ПО на обеспечение того, чтобы не оставалось согласованных файлов для анализа. Такой адаптивный подход усложняет меры защиты и подчеркивает необходимость для пользователей проявлять осторожность при обработке онлайн-запросов, особенно тех, которые связаны с исполняемыми командами или сценариями. Рекомендации для пользователей включают ручную проверку инструкций, ограничение копирования-вставки из непроверенных источников и поддержание обновленных решений для защиты от вредоносного ПО для борьбы с такими все более изощренными киберугрозами.

#ParsedReport #CompletenessLow
13-03-2026

Watch out for fake Malwarebytes renewal notices in your calendar

https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-malwarebytes-renewal-notices-in-your-calendar

Report completeness: Low

Threats:
Teamviewer_tool
Clickfix_technique
Coruna_tool

Victims:
Consumers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1219, T1565.003, T1566.003, T1566.004, T1589

Soft:
Outlook, Gmail, Android, Chrome

Platforms:
apple