#ParsedReport #CompletenessLow
13-03-2026

Investigations into the MIMICRAT ClickFix campaign

https://www.stormshield.com/news/investigations-into-the-mimicrat-clickfix-campaign/

Report completeness: Low

Threats:
Mimicrat
Clickfix_technique

Victims:
Multiple sectors

ChatGPT TTPs:
do not use without manual check
T1059.001, T1105

IOCs:
Hash: 35
IP: 8
Domain: 145
File: 1
Path: 1

Algorithms:
sha256, zip

Languages:
lua, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix использует метод самоэксплуатации для распространения Троянской программы удаленного доступа MIMICRAT (RAT) через законные веб-сайты, подвергшиеся компрометации, побуждая жертв выполнять команды со своих устройств. Ключевые показатели компрометации (IOCs) включают хэши SHA-256 для различных компонентов вредоносного ПО, при этом доставка, командование и контроль осуществляются через сеть определенных IP-адресов, связанных с неправильно сконфигурированными доменами. Примечательно, что был идентифицирован сервер C2 с IP-адресом 23.227.202.114, что раскрывает дополнительный потенциал отслеживания сообщений после заражения.
-----

Кампания ClickFix, расследуемая Elastic Security Labs, использует метод самоэксплуатации для распространения Троянской программы удаленного доступа MIMICRAT (RAT) через законные веб-сайты, подвергшиеся компрометации. Этот метод основан на побуждении жертв выполнять команды со своих собственных устройств, что облегчает атаку, не требуя прямых манипуляций со стороны злоумышленников.

Ключевые показатели компрометации (IOCs), связанные с MIMICRAT, включают несколько хэшей SHA-256, идентифицирующих различные компоненты вредоносного ПО и способы его доставки. Хэш SHA-256 bcc7a0e53ebc62c77b7b6e3585166bfd7164f65a8115e7c8bda568279ab4f6f1 соответствует начальной полезной нагрузке PowerShell, в то время как 5e0a30d8d91d5fd46da73f3e6555936233d870ac789ca7dd64c9d3cc74719f51 относится к загрузчику Lua. Другой соответствующий хэш, a508d0bb583dc6e5f97b6094f8f910b5b6f2b9d5528c04e4dee62c343fce6f4b, отмечает маяк MIMICRAT. Кампания использует сеть IP-адресов для доставки полезной нагрузки и возможностей управления после эксплуатации (C2), которые были прослежены до таких доменов, как msservice.network и plugins-manager.network.

Примечательно, что инфраструктура выявила различные неправильно настроенные домены, в том числе один, предоставляющий сертификат, который был неправильно связан с предполагаемым веб-сайтом. Эта неправильная конфигурация была замечена на mispolishal.com , который неправильно выдал сертификат, предназначенный для avprog.cc . Примечательно, что папки в этих доменах содержали такие каталоги, как /cmd и /update, со сценариями, потенциально связанными с более широкой инициативой ClickFix. Сценарий PowerShell, идентифицированный в домене msservice.network, загружает файл MSI в каталог Windows ProgramData, хотя сам файл не был доступен для извлечения во время анализа.

Сервер C2, связанный с кампанией, идентифицированный как 23.227.202.114, отображает страницу с надписью "CryptoBet Arena". Это изменение домена выявило дополнительные потенциальные IOC, которые могли бы помочь в отслеживании сообщений C2 после заражения.

В ответ на полученные результаты рекомендуется уделять особое внимание осведомленности и практике в области Кибербезопасности. Проведение кампаний, ориентированных на методы фишинга, в частности ClickFix, наряду с внедрением мер сетевой безопасности, таких как сегментация, контроль доступа и регулярные обновления, имеет решающее значение для снижения рисков, связанных с этой и подобными угрозами.

#ParsedReport #CompletenessLow
13-03-2026

Fake Temu Coin airdrop uses ClickFix trick to install stealthy malware

https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-temu-coin-airdrop-uses-clickfix-trick-to-install-stealthy-malware

Report completeness: Low

Threats:
Clickfix_technique
Coruna_tool

Victims:
Consumers, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1016, T1056.001, T1059.001, T1059.006, T1071.001, T1102, T1105, T1113, T1204.002, T1539, have more...

IOCs:
File: 1
Path: 1
Domain: 1

Soft:
Telegram, Android

Languages:
powershell, python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix использует мошеннический криптовалютный airdrop для распространения скрытого вредоносного ПО, которое устанавливает постоянный бэкдор в зараженных системах. Вредоносное ПО, использующее встроенную среду выполнения Python, чтобы избежать обнаружения, собирает системную информацию и связывается с командным сервером для получения динамических инструкций, избегая традиционного обнаружения сигнатур файлов. Его ключевые возможности включают кражу конфиденциальных данных, регистрацию нажатий клавиш и создание скриншотов, в то время как его инфраструктура предполагает постоянный мониторинг жертв.
-----

Недавняя кампания ClickFix предполагает использование поддельной криптовалюты airdrop для скрытого распространения вредоносного ПО, которое создает постоянный бэкдор в зараженных системах. Атака начинается с мошеннического веб-сайта, рекламирующего бессмысленный airdrop в размере $TEMU, связанный с законной торговой платформой. Пользователей обманывают, заставляя выполнять вредоносные команды, предположительно связанные с проверками безопасности, что в конечном итоге инициирует установку вредоносного ПО.

Вредоносное ПО начинает свою цепочку заражения со сбора базовой системной информации и передачи ее на командный сервер. Затем этот сервер отвечает уникальной полезной нагрузкой, включающей идентификатор компьютера, что усложняет усилия по обнаружению за счет создания вариантов вредоносного ПО, которые не соответствуют типичным сигнатурам, хранящимся в антивирусных базах данных. Вместо использования обычного установленного приложения полезная нагрузка развертывается с помощью встроенной среды выполнения на Python, помеченной как pythonw.exe , который работает без видимой консоли, еще больше скрывая свое присутствие от пользователей и программного обеспечения безопасности.

Примечательно, что это вредоносное ПО не хранит свой скрипт локально на компьютере, вместо этого динамически извлекая инструкции с командного сервера при каждой регистрации. Такое выполнение кода "в дикой природе" ограничивает механизмы обнаружения на основе сигнатур файлов и позволяет злоумышленникам изменять свою тактику или функции, не оставляя постоянного следа в файле. Учитывая распространенность Python в корпоративной среде, его деятельность может казаться законной, что требует мониторинга на основе поведения для эффективного обнаружения.

Возможности бэкдора включают в себя кражу конфиденциальных данных, таких как учетные данные браузера и сеансовые файлы cookie, а также ведение журнала нажатий клавиш и создание скриншотов. Кроме того, инфраструктура, позволяющая получать уведомления через Телеграм, указывает на постоянный мониторинг жертв, хотя флаг отладки указывает либо на этапы разработки, либо на осторожные методы эксплуатации.

Поскольку тактика ClickFix продолжает развиваться, эта конкретная кампания иллюстрирует смещение акцента с способа доставки вредоносного ПО на обеспечение того, чтобы не оставалось согласованных файлов для анализа. Такой адаптивный подход усложняет меры защиты и подчеркивает необходимость для пользователей проявлять осторожность при обработке онлайн-запросов, особенно тех, которые связаны с исполняемыми командами или сценариями. Рекомендации для пользователей включают ручную проверку инструкций, ограничение копирования-вставки из непроверенных источников и поддержание обновленных решений для защиты от вредоносного ПО для борьбы с такими все более изощренными киберугрозами.

#ParsedReport #CompletenessLow
13-03-2026

Watch out for fake Malwarebytes renewal notices in your calendar

https://www.malwarebytes.com/blog/threat-intel/2026/03/fake-malwarebytes-renewal-notices-in-your-calendar

Report completeness: Low

Threats:
Teamviewer_tool
Clickfix_technique
Coruna_tool

Victims:
Consumers

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1219, T1565.003, T1566.003, T1566.004, T1589

Soft:
Outlook, Gmail, Android, Chrome

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая мошенническая кампания использует поддельные приглашения в календарь, имитирующие Malwarebytes, чтобы обманом заставить пользователей обратиться в службу поддержки мошеннических платежей с целью сбора конфиденциальной личной и финансовой информации. Эта схема может включать в себя указание жертвам войти в свои учетные записи онлайн-банкинга по телефону или с помощью программного обеспечения удаленного доступа, что позволяет мошенникам манипулировать учетными записями и потенциально устанавливать вредоносное ПО. Использование срочных, незапрашиваемых уведомлений увеличивает вероятность того, что отдельные лица будут действовать без проверки, повышая риск кражи личных данных.
-----

Недавно появилась мошенническая кампания, в которой используются поддельные приглашения в календарь, выдающие себя за Malwarebytes, чтобы обманом заставить пользователей обратиться в службу поддержки мошеннических платежей. Эти приглашения, как правило, содержат непрофессиональный язык и форматирование, что служит явным признаком мошенничества. Цель состоит в сборе конфиденциальной личной и финансовой информации, включая данные платежной карты, банковские учетные данные и одноразовые коды доступа, которые затем могут быть использованы для кражи личных данных.

Мошенники могут привлекать жертв, прося их войти в свои учетные записи онлайн-банкинга по телефону или с помощью программного обеспечения удаленного доступа, такого как AnyDesk или TeamViewer. Эта тактика позволяет им манипулировать учетными записями, направлять средства по незаконным каналам и потенциально устанавливать вредоносное ПО на устройства жертв. Даже если физические лица не divulge банковские реквизиты, мошенничество все равно может привести к попыткам извлечения информации для будущих мошеннических действий, таких как открытие новых кредитных линий на имена жертв или захват счетов.

Мошенничество создает ощущение срочности, вынуждая людей действовать быстро и конфиденциально, тем самым сводя к минимуму вероятность того, что они проверят законность запроса через свой банк или обратившись в подлинную компанию. Суть мошенничества заключается в рассылке нежелательных событий календаря, которые внешне напоминают уведомления о законных транзакциях, таких как “Уведомление о продлении подписки” или “Платеж успешно обработан”..

#ParsedReport #CompletenessLow
14-03-2026

Promptmorphism: How LLMs Are Mass-Producing Disposable Stage 1 Loaders

https://www.gendigital.com/blog/insights/research/promptmorphism

Report completeness: Low

Threats:
Promptmorphism_technique
Polymorphism_technique
Wincir
Stealc

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.001, T1105, T1140, T1204, T1564, T1587.001, T1588.002, T1608.001

Algorithms:
aes, chacha20

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Promptmorphism - это новый метод разработки вредоносного ПО, который использует большие языковые модели (LLM) для создания разнообразных загрузчиков этапа 1 путем реорганизации кода и изменения API, что усложняет усилия по обнаружению. Такой подход позволяет авторам вредоносного ПО генерировать множество уникальных вариантов загрузчика, которые остаются эффективными при доставке полезных нагрузок, таких как Wincir и Stealc, отходя от традиционных методов запутывания. Хотя это усложняет задачу обнаружения для защитников, оно по-прежнему опирается на идентифицируемые поведенческие паттерны, которые можно использовать для анализа безопасности.
-----

Promptmorphism появляется как новый подход, применяемый авторами вредоносного ПО, использующий большие языковые модели (LLM) для итеративного обновления и изменения формы загрузчиков этапа 1. Такая гибкая регенерация позволяет атакующим создавать множество различных вариаций исходного загрузчика, что значительно усложняет задачу обнаружения для защитников. В отличие от классического серверного polymorphism, который в первую очередь изменяет представление артефакта посредством упаковки или шифрования, promptmorphism фундаментально изменяет реализацию. Это достигается путем реорганизации структур кода, замены API-интерфейсов и переписывания вспомогательной логики при сохранении предполагаемого поведения вредоносного ПО.

Разработчики вредоносного ПО используют promptmorphism для создания “одноразовых” загрузчиков, которые служат просто оболочкой для более сложных полезных нагрузок. Типичный пример можно увидеть в экосистемах loader-as-a-service (LaaS), где общий загрузчик часто обновляется и перепрофилируется в рамках различных кампаний. Эта стратегия позволяет злоумышленникам размывать границы обнаружения, предоставляя слегка измененные варианты файлов, которые выполняют те же вредоносные задачи, такие как доставка вредоносного ПО, такого как Wincir и Stealc.

Внедрение promptmorphism знаменует собой значительный сдвиг в области разработки вредоносного ПО. Этот метод позволяет злоумышленникам отойти от традиционных методов мутации кода, основанных исключительно на запутывании, вместо этого используя возможности искусственного интеллекта для быстрого создания новых реализаций. Неотъемлемая природа LLM, которые выдают вероятностные выходные данные, допускает небольшие вариации за счет минимальных изменений в подсказках или выборке, создавая непрерывный приток различных вариантов загрузки.

Однако, несмотря на свои преимущества, promptmorphism создает определенные проблемы для злоумышленников. Хотя это увеличивает давление на защитников, вынуждающих их адаптировать свои стратегии обнаружения от традиционных методов, основанных на сигнатурах, к более широкому пониманию поведения кампании, это не делает обнаружение невозможным. Этот сдвиг требует, чтобы защитники сосредоточились на поведенческом анализе, выявлении закономерностей в процессах, выборе вариантов закрепления и последовательности выполнения, а также на сопоставлении инфраструктуры кампании и методов доставки.

В ответ на меняющийся ландшафт угроз, создаваемый promptmorphism, защитникам следует искать общие поведенческие привязки и контрольные точки, которые остаются неизменными на разных итерациях загрузки. Изучая эти устойчивые черты и общее поведение вредоносных кампаний, специалисты по безопасности могут усилить свои стратегии обнаружения и смягчения последствий от этой все более изощренной формы внедрения вредоносного ПО.

#ParsedReport #CompletenessLow
13-03-2026

73 Malicious Open VSX Extensions Linked to GlassWorm Campaign Now Using Transitive Dependencies

https://socket.dev/blog/open-vsx-transitive-glassworm-campaign

Report completeness: Low

Threats:
Glassworm
Typosquatting_technique

Victims:
Software developers, Developer workstations, Open vsx users

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071, T1102, T1105, T1195, T1199, T1204, T1583, T1584, have more...

IOCs:
IP: 3
File: 5

Soft:
VSCode, Outlook, Flutter, Claude, Node.js

Crypto:
solana

Algorithms:
rc4, base64, aes

Languages:
php, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm недавно эволюционировала, чтобы использовать открытые расширения VSX, используя переходные зависимости для внедрения вредоносного ПО в среды разработчиков, используя манифесты extensionPack и extensionDependencies. Методы атаки включают поэтапное выполнение JavaScript, геозонирование на основе российских локалей и сложные методы командования и контроля с ротацией инфраструктуры, чтобы избежать обнаружения. Кроме того, была реализована усовершенствованная тактика обфускации, усложняющая идентификацию вредоносной активности в расширениях, которые могут казаться законными.
-----

Недавние расследования выявили новую волну вредоносных расширений Open VSX, связанных с кампанией GlassWorm, которая в настоящее время расширилась по меньшей мере до 73 новых случаев использования переходных зависимостей для заражения сред разработчиков. Эта эволюция позволяет злоумышленникам использовать extensionPack и манифесты extensionDependencies, позволяя изначально безвредным расширениям служить носителями вредоносной полезной нагрузки. Такой механизм снижает видимость истинных вредоносных компонентов, из-за чего пользователям недостаточно просто просмотреть оригинальную публикацию расширения.

Основные принципы работы GlassWorm остаются неизменными, с неизменной тактикой, включающей поэтапное выполнение JavaScript, привязку к русской локали/часовому поясу и использование заметок о транзакциях Solana для скрытых данных. Однако было замечено, что в недавних вариантах используются более агрессивные методы ротации инфраструктуры и запутывания. Например, кампания перешла с кошелька Solana BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC на новый кошелек 6YGcuyFRJKZtcaYCCFba9fScNUvPkGXodXE1mJiSzqDJ, одновременно введя новые IP-адреса командования и контроля (C2) наряду с ранее существовавшими. Эта стратегия ротации направлена на поддержание оперативной безопасности путем усложнения обнаружения и установления личности.

Чтобы еще больше усложнить ситуацию, злоумышленники используют передовые методы обфускации, такие как замена статического загрузчика в оболочке AES более сложным методом обфускации RC4/base64/string-array. Они также переносят важные материалы для расшифровки из расширения в заголовки ответов, что добавляет еще один уровень уклонения. Оповещения для защитников включают мониторинг изменений в манифестах расширений, которые включают поля extensionPack или extensionDependencies в более поздних версиях. Кроме того, должны быть отмечены такие индикаторы, как поэтапный JavaScript-код с геозонированием и встроенные криптографические подписи.

Примерами вредоносных расширений являются “otoboss.autoimport-extension”, который в своем манифесте ссылается на известные расширения, связанные с GlassWorm, и другие живые расширения, такие как “twilkbilk.color-highlight-css”, которые имитируют законные расширения, Маскировка под надежные инструменты. Эта манипулятивная тактика направлена на то, чтобы увеличить количество скачиваний и создать видимость законности, чтобы заманить ничего не подозревающих разработчиков.

По мере развития кампании подчеркивается острая необходимость для разработчиков проводить аудит всей истории установленных расширений, уделяя особое внимание любым недавно добавленным вредоносным зависимостям. Немедленные действия должны включать идентификацию и удаление инфраструктуры, связанной с GlassWorm, из сред разработки, учитывая риски, связанные с потенциальными последующими полезными нагрузками, выполняющимися в памяти, которые могут быть нацелены на локальные учетные данные и данные конфигурации. Поверхность атаки в основном находится в открытых путях установки и обновления расширений VSX/VS Code, что подчеркивает важность бдительности в отношении механизмов распространения переходного вредоносного ПО.

#ParsedReport #CompletenessMedium
12-03-2026

Detecting and responding to GreenBlood ransomware with Wazuh

https://wazuh.com/blog/detecting-and-responding-to-greenblood-ransomware-with-wazuh/

Report completeness: Medium

Threats:
Greenblood
Shadow_copies_delete_technique
Vssadmin_tool
Sdelete_tool

Victims:
Windows users

TTPs:
Tactics: 1
Technics: 5

IOCs:
File: 23
Path: 1
Registry: 3
Command: 4
Hash: 1

Soft:
Windows Defender Firewall, Microsoft Defender, bcdedit, Sysinternals

Algorithms:
sha256, aes-256

Functions:
Write-Output

Win API:
GetQueuedCompletionStatusEx

Languages:
powershell, python

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GreenBlood - это программа-вымогатель на базе Go, нацеленная на Windows, использующая тактику двойного вымогательства путем шифрования файлов и угрозы раскрытия данных. Он добавляет расширения .tgbg или .gblood к затронутым файлам, отключив при этом меры безопасности с помощью таких команд, как `bcdedit` и `vssadmin`, чтобы стереть тени резервных копий. Стратегии обнаружения используют Wazuh для мониторинга подозрительных действий и правила YARA для выявления и удаления вредоносного ПО, уделяя особое внимание таким действиям, как создание записки с требованием выкупа и несанкционированное изменение файлов.
-----

GreenBlood ransomware - это недавно появившееся вредоносное ПО на базе Go, которое нацелено на среды Windows с помощью модели двойного вымогательства, шифруя файлы и угрожая раскрытием данных. Программа-вымогатель работает с высокой эффективностью, используя скомпилированный язык, который позволяет ей быстро выполняться и воздействовать на множество файлов одновременно. Процесс шифрования добавляет определенные расширения файлов (.tgbg или .gblood) к целевым файлам, в то время как примечания о выкупе озаглавлены READ_ME_TO_RECOVER_FILES.txt или HOW_TO_RECOVER_FILES.txt удаляются в различные каталоги, такие как Документы и загрузки.

После выполнения GreenBlood использует несколько команд для нарушения функциональности системы и отключения мер безопасности. Основные вредоносные действия включают использование таких команд, как `bcdedit` для подавления запросов на восстановление и `vssadmin`, `wmic` и `wbadmin` для незаметного удаления теневых копий. Кроме того, он отключает брандмауэр защитника Windows и защиту в режиме реального времени, изменяя параметры системного реестра. Чтобы устранить следы своего присутствия, программа-вымогатель выполняет сценарий очистки, расположенный во временной папке после шифрования.

Обнаружение GreenBlood облегчается благодаря интеграции Wazuh, которая использует пользовательские правила обнаружения, созданные для определения его специфического поведения. Например, оповещения срабатывают при создании уведомлений о выкупе, расширениях файлов, указывающих на шифрование, удалении системных резервных копий и изменениях настроек восстановления. Правила YARA также реализованы в дополнение к функциональности Wazuh, автоматически сканируя Вредоносные файлы и удаляя их, если они считаются вредоносными.

Система мониторинга целостности файлов Wazuh (FIM) еще больше повышает защиту, отслеживая изменения в файловой системе, что позволяет организациям своевременно обнаруживать специфические изменения. Модули активного реагирования в Wazuh позволяют автоматически запускать проверку YARA при обнаружении подозрительных файлов. Эта упреждающая стратегия сводит к минимуму потенциальный ущерб, эффективно устраняя угрозы до того, как они смогут реализоваться.

В процессе обнаружения также используется Sysmon для комплексного мониторинга событий, позволяющий Wazuh анализировать поведение системы и регистрировать события, связанные с активностью GreenBlood. При наличии определенных идентификаторов правил Wazuh может предупреждать о различных действиях программ-вымогателей, таких как изменение файлов при загрузке или обнаружение и удаление исполняемого файла GreenBlood.

#ParsedReport #CompletenessLow
13-03-2026

DRILLAPP: new backdoor targeting Ukrainian entities with possible links to Laundry Bear

https://lab52.io/blog/drillapp-new-backdoor-targeting-ukrainian-entities-with-possible-links-to-laundry-bear/

Report completeness: Low

Actors/Campaigns:
Void_blizzard

Threats:
Drillapp

Victims:
Ukrainian entities, Government sector, Charity sector

Geo:
Italy, Poland, China, United kingdom, Ukrainian, France, Canada, Brazil, Germany, Spain, Australia, Russia, Japan, Ukraine, India

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.007, T1071.001, T1102, T1105, T1113, T1119, T1123, have more...

IOCs:
Hash: 26
IP: 2
Url: 10

Soft:
Starlink, Microsoft Edge, Chrome

Algorithms:
exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания DRILLAPP, атрибутируемая с российскими злоумышленниками, нацелена на украинские организации и действует с февраля 2026 года, используя приманки судебной и благотворительной тематики для развертывания бэкдора на основе JavaScript через Microsoft Edge. Вредоносное ПО, которое позволяет манипулировать файлами и Захвата видеоданных, использует обфускацию и собирает данные отпечатков пальцев устройства, отправляя их на сервер управления. Второй вариант использует CPL-файлы для развертывания, сохраняя аналогичные функции при одновременном внедрении таких возможностей, как рекурсивный список файлов и использование протокола Chrome DevTools.
-----

Кампания DRILLAPP, выявленная LAB52, конкретно нацелена на украинские организации, и есть признаки, связывающие злоумышленников с Россией. Эта кампания, действующая с февраля 2026 года, использует различные приманки судебной и благотворительной тематики для запуска бэкдора на основе JavaScript через браузер Microsoft Edge. Бэкдор под названием DRILLAPP позволяет злоумышленникам выполнять несколько функций, включая загрузку файлов, захват аудио через микрофон и съемку изображений через веб-камеру, используя встроенные возможности браузера.

Первый вариант этого вредоносного ПО включает в себя представление приманок, таких как изображения, связанные с установкой Starlink, или поддельные запросы от украинской благотворительной организации Come Back Alive foundation. При активации вредоносное ПО запускает HTML-файл, который загружает удаленный скрипт из pastefy.app, используя методы запутывания для сокрытия. Усилия по деобфускации показали, что вредоносное ПО может собирать отпечатки пальцев устройства, используя Canvas Fingerprinting и другие метаданные, такие как размер экрана и язык. Этот отпечаток пальца сохраняется в постоянной памяти браузера и отправляется на сервер управления вместе с географической информацией жертвы, определяемой часовым поясом устройства. Бэкдор взаимодействует через WebSocket, подключенный к pastefy.app, с резервным вариантом localhost, который подразумевает возможные этапы отладки в процессе разработки.

Второй вариант, обнаруженный позже, в феврале 2026 года, меняет способ развертывания с файлов LNK на файлы CPL — модули Панели управления Windows, которые действуют как исполняемые библиотеки DLL. Несмотря на изменения метода развертывания, эта версия по-прежнему сохраняет функции, аналогичные первой. В нем используются приманки, основанные на официальных документах, включая изображения отчетов об изъятии оружия. Этот вариант предоставляет дополнительные возможности, такие как рекурсивный список файлов и пакетная загрузка, за счет использования протокола Chrome DevTools (CDP) из-за ограничений безопасности, ограничивающих прямую удаленную загрузку файлов через JavaScript.

Предыдущий образец, связанный с этой кампанией, загруженный из России 28 января, демонстрировал аналогичные методы заражения, но связанный с веб-сайтом "доброкачественный". gnome.com вместо того, чтобы запускать бэкдор.