#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GlassWorm привела к компрометации более 430 репозиториев на таких платформах, как GitHub и NPM, с помощью сложных методов обфускации Unicode, которые внедряют вредоносную полезную нагрузку в законные проекты. Злоумышленники, вероятно, из России, используют гибридную архитектуру управления с использованием блокчейна Solana, обеспечивающую надежную связь посредством неизменяемых транзакций. Эта кампания подчеркивает тревожную эволюцию атак на supply chain, когда целенаправленный таргетинг позволяет им воздействие на многочисленные проекты с помощью одного элемента компрометации.
-----

В ходе недавней кампании GlassWorm исследователи безопасности обнаружили скоординированную киберугрозу, которая оказала воздействие на более чем 430 репозиториев и пакетов на нескольких платформах, включая GitHub, NPM, PyPI и VS Code marketplace. Кампания использует сложные методы обфускации на основе Unicode для внедрения вредоносной полезной нагрузки в законные проекты. Aikido Security установила, что эта кампания была нацелена на более чем 151 репозиторий GitHub и пакеты NPM, в то время как Socket сообщила о 72 вредоносных расширениях в Open-VSX marketplace, связанных с GlassWorm. Кроме того, кампания "ForceMemo" от Step Security продемонстрировала, что сотни репозиториев Python были подвергнуты компрометации в результате захвата учетных записей и вредоносных коммитов.

Исследования указывают на общую инфраструктуру этих атак, характеризующуюся тем, что один и тот же жестко закодированный блокчейн-адрес Solana появляется в отчетах нескольких поставщиков, что указывает на единственного злоумышленника, организующего атаки на всех платформах. Операционный метод подчеркивает изменение в атаках на supply chain, когда компрометация одного элемента может воздействий на тысячи проектов.

Анализ инфраструктуры позволяет предположить, что истоки кампании GlassWorm, скорее всего, российские, с отличительными характеристиками, включая комментарии к коду на русском языке и предотвращение выполнения в российских системах. В кампании используется гибридная архитектура управления (C2), сочетающая традиционные загрузчики с блокчейном Solana. Это инновационное использование технологии блокчейн позволяет злоумышленникам выдавать команды посредством неизменяемых транзакций, которые жертвы могут считывать, что делает C2 более устойчивым к попыткам взлома.

В частности, вредоносная полезная нагрузка в репозиториях NPM и GitHub практически невидима из-за использования селекторов вариантов Unicode, кодирующих вредоносное ПО. Такая тактика обфускации позволяет избежать большинства проверок кода, позволяя злоумышленникам выполнять код на Node.js среды без обнаружения. Расширения VS Code демонстрируют аналогичное поведение, предоставляя полезную нагрузку способом, имитирующим функциональность NPM.

Злоумышленники GlassWorm продемонстрировали оперативную безопасность, намеренно исключив российские системы из-под своей атаки, что часто ассоциируется с восточноевропейскими киберпреступниками, стремящимися снизить риск внутренних последствий.

Что касается защиты, кампания подчеркивает настоятельную необходимость улучшения сотрудничества между поставщиками систем безопасности на разных платформах для улучшения обмена информацией об угрозах. Объединив усилия для мониторинга новых тенденций в поведении вредоносного ПО и методах атак и реагирования на них, сообщество по Кибербезопасности может создать более устойчивую supply chain программного обеспечения, что становится все более необходимым, поскольку злоумышленники продолжают использовать слабые места на нескольких платформах одновременно.

#ParsedReport #CompletenessHigh
16-03-2026

Analysis of Konni Group's spearphishing-Chaotalk tied threat campaign

https://www.genians.co.kr/blog/threat_intelligence/kakaotalk

Report completeness: High

Actors/Campaigns:
Konni (motivation: information_theft)
Poseidon

Threats:
Spear-phishing_technique
Endrat
Rftrat
Remcos_rat

Victims:
Human rights community, Government sector, General users of kakaotalk

Industry:
Government, Healthcare

Geo:
Japan, North korea, Japanese, Finland, Netherlands, North korean

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1053.005, T1056.001, T1059.001, T1059.003, T1071.001, T1082, have more...

IOCs:
File: 5
Path: 15
Domain: 1
Command: 2
IP: 4
Hash: 7

Soft:
KakaoTalk, Android, task scheduler

Algorithms:
exhibit, md5, rc4, zip, xor

Functions:
GETFILELIST, SCANDIRECTORY, DOWNLOADPROCESS

Languages:
autoit, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, code: 3, dump: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейская APT-компания Konni Group проводит кампанию Целевого фишинга, используя вредоносные файлы LNK, замаскированные под PDF-документы, для получения первоначального доступа. Эти файлы выполняют скрипты PowerShell, которые загружают и устанавливают различные RAT, такие как EndRAT и RemcosRAT, обеспечивая длительный несанкционированный доступ к внутренним системам и данным. Злоумышленники также используют приложение KakaoTalk для распространения вредоносного ПО среди контактов, используя модульный подход к развертыванию полезной нагрузки и децентрализованную инфраструктуру управления.
-----

Konni Group, атрибутируемая с северокорейской сложной целенаправленной угрозой (APT), была вовлечена в изощренную кампанию Целевого фишинга, которая использует тактику социальной инженерии для компрометации целевых лиц. Первоначальный доступ осуществляется с помощью электронных писем, Маскировок под приглашения для участия в заседаниях по правам человека в Северной Корее, что приводит к запуску вредоносных файлов LNK. Эти файлы служат в качестве дропперов, которые загружают и устанавливают удаленно управляемое вредоносное ПО, предоставляя злоумышленникам длительный доступ для несанкционированного сбора информации, в частности внутренних документов.

После успешного проникновения в систему жертвы Konni Group использует компьютерное приложение KakaoTalk жертвы для распространения вредоносного ПО среди выбранных контактов в их списке друзей. Это использует основанный на доверии механизм распространения вредоносного ПО под видом законного контента, связанного с Северной Кореей, демонстрируя многоступенчатый подход к распространению. Кампания направлена не только на первичное заражение, но и охватывает угрозы, исходящие от установленных ПО для удаленного доступа (RATs), таких как EndRAT, RftRAT и RemcosRAT, которые вводятся в действие одновременно для установления контроля над компрометацией систем.

Технический анализ позволил получить представление о структуре файлов LNK, которые при запуске вызывают PowerShell для выполнения ряда действий: расшифровывают скрытые данные, загружают дополнительную полезную нагрузку с сервера управления (C2) и регистрируют вредоносное ПО для целей закрепления с помощью планировщика задач Windows. Артефакты указывают на то, что файлы LNK были разработаны таким образом, чтобы маскироваться под PDF-документы, заставляя пользователя выполнять их, в то же время незаметно загружая вредоносные скрипты, которые облегчают работу и обслуживание вредоносного ПО.

Кроме того, инфраструктура C2 работает через децентрализованную сеть, поддерживая множество IP-адресов из-за пределов Европы. Такая многонациональная структура усиливает их тактику уклонения и устойчивость инфраструктуры. Операционный фреймворк указывает на модульный подход к развертыванию вредоносного ПО, при котором дополнительная полезная нагрузка доставляется после заражения, позволяя злоумышленникам адаптироваться к меняющимся методам обнаружения.

Защитные меры против угроз такого типа основаны на системах обнаружения, основанных на поведении, которые позволяют отслеживать создание нестандартных процессов, манипуляции с запланированными задачами и любые попытки обмена данными с известными адресами C2. Основное внимание уделяется снижению рисков, связанных с долговременными угрозами, и защите приложений обмена сообщениями от несанкционированного использования.

#ParsedReport #CompletenessMedium
15-03-2026

Malicious Polymarket Bot Hides in Hijacked dev-protocol GitHub Org and Steals Wallet Keys

https://www.stepsecurity.io/blog/malicious-polymarket-bot-hides-in-hijacked-dev-protocol-github-org-and-steals-wallet-keys

Report completeness: Medium

Actors/Campaigns:
Dev-protocol_hijack
Insionceo
Wizardev-sol

Threats:
Typosquatting_technique
Supply_chain_technique
Credential_stealing_technique
J2team_tool

Victims:
Cryptocurrency developers, Defi users, Open source developers

Geo:
Japan, Japanese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1030, T1036.005, T1041, T1059, T1059.007, T1071.001, T1082, T1083, have more...

IOCs:
File: 6
Url: 4
Domain: 2

Soft:
sudo, udo ch, o chow, udo uf, o ufw, Slack

Crypto:
solana

Functions:
from_str, Maximum

Languages:
typescript, python, solidity, rust

Links:
have more...
https://github.com/dev-protocol
https://github.com/dev-protocol/polymarket-copytrading-bot-sport

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Организация GitHub "dev-protocol" была подвергнута компрометации с целью распространения вредоносного торгового бота Polymarket, размещающего репозитории с двумя typosquatted пакетами npm, "big-nunber" и "levex-refa". Оба пакета содержат запутанное вредоносное ПО, предназначенное для извлечения конфиденциальных данных, включая Закрытые ключи кошелька, и создания бэкдора SSH. Атака использует домены C2, Маскировку под законную инфраструктуру Cloudflare, что указывает на изощренный подход к уклонению от обнаружения и манипулированию стандартами бдительности пользователей.
-----

Организация GitHub "dev-protocol" была взломана для распространения вредоносного торгового бота Polymarket.

Компрометация включала в себя два typosquatted пакета npm: "big-nunber" и "levex-refa"..

"big-nunber" содержит запутанное вредоносное ПО и выполняет команды во время установки с помощью перехватчика после установки.

"levex-refa" использует запутанный код для поиска конфиденциальной информации, такой как ключи кошелька и файлы конфигурации, и отправляет эти данные на сервер C2.

Сервер C2 маскируется под законную инфраструктуру Cloudflare и связан с двумя доменами, размещенными на Vercel.

Вредоносное ПО может устанавливать бэкдоры, изменяя разрешения SSH, обеспечивая удаленный доступ через SSH.

Вредоносный код запускается как во время установки, так и во время запуска бота, который обычно работает с API Polymarket.

Злоумышленники активно удаляют сообщения об угрозе на GitHub, чтобы скрыть информацию.

Пострадавшим разработчикам рекомендуется менять ключи кошелька, проверять наличие несанкционированного доступа по SSH и сканировать на наличие вредоносных пакетов.

Рекомендации включают в себя отказ от хранения Закрытых ключей в уязвимых форматах и проведение аудита зависимостей.

Инцидент высветил риски, связанные с атаками на supply chain при разработке программного обеспечения.

#ParsedReport #CompletenessLow
16-03-2026

AI-Assisted Phishing Campaign Exploits Browser Permissions to Capture Victim Data

https://cyble.com/ai-assisted-phishing-campaign/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Individual users, Consumers

Industry:
Financial, Telco, Healthcare

TTPs:
Tactics: 6
Technics: 4

IOCs:
File: 8

Soft:
Telegram, TikTok, Instagram, Google Chrome

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/AI-Assisted%20Phishing%20Uses%20Browser%20Permissions%20to%20Steal%20Data

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая кампания по фишингу эффективно злоупотребляет разрешениями браузера для сбора обширных персональных данных и данных об устройствах, применяя тактику обмана, такую как использование таких приманок, как "ID Scanner". Злоумышленники тайно захватывают изображения и аудио с помощью JavaScript и извлекают данные с помощью API-интерфейса бота Телеграм, фокусируясь на биометрической и мультимедийной информации, а не на традиционной краже учетных данных. Этот метод создает риски кражи личных данных, включая мошенничество с искусственными идентификационными данными, и в то же время демонстрирует потенциальное использование генеративного искусственного интеллекта при разработке фреймворка для фишинга.
-----

Кампания по фишингу заключается в сборе личных данных и данных устройств с помощью обманчивых приманок, таких как "Сканер удостоверений личности" и "Искусственный интеллект фонда здравоохранения". Злоумышленники получают важные разрешения, включая доступ к камере и микрофону. Рабочий процесс JavaScript захватывает изображения в реальном времени, записывает аудио и собирает конфиденциальную информацию, такую как показатели устройства и географическое местоположение. Собранные данные отправляются злоумышленникам через API бота в Телеграм. Этот подход фокусируется на получении биометрических данных и мультимедиа, а не на традиционной краже учетных данных. Этот сдвиг увеличивает риски искусственного мошенничества с идентификационными данными и обхода проверок личности с помощью видео. Схема фишинга использует медиа-API браузера для скрытого сбора данных после согласия пользователя. Данные передаются в файлах распространенных типов, таких как JPEG и WebM. Операция собирает обширные данные о браузерных средах для профилирования жертв. Аномалии в структуре сообщений предполагают использование автоматизированных инструментов для создания сложных страниц фишинга. Цели включают такие платформы, как TikTok, Instagram и Google Drive. Организации должны проявлять бдительность в отношении фишинга, который запрашивает разрешения на Аппаратное обеспечение у ненадежных доменов, поскольку эти методы указывают на эволюцию операций фишинга.

#ParsedReport #CompletenessLow
16-03-2026

Bench.sh: How Threat Actors Repurpose a Legitimate Benchmarking Tool for Post-Exploitation Recon

https://flare.io/learn/resources/blog/bench-sh-post-exploitation-recon

Report completeness: Low

Victims:
Exposed services, Virtual private server providers, Infrastructure used by attackers

Industry:
E-commerce, Logistic

Geo:
Asian, Chinese, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1046, T1053.003, T1059.004, T1082, T1105, T1497, T1595

Soft:
Jupyter Notebook, Apache Tomcat, curl, Telegram

Languages:
php

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы все чаще используют Bench.sh, легитимный скрипт для бенчмаркинга, на этапах постэксплуатации кибервторжений для оценки производственных возможностей скомпрометированных систем для злонамеренных действий, таких как криптомайнинг и DDoS-атаки. Он используется на платформах, таких как Telegram и хакерские форумы, для оценки инфраструктуры после развертывания VPS, что указывает на то, что атакующие систематически проверяют производительность процессора и сети. Кроме того, Bench.sh часто используется вместе со скриптами для оценки геолокации, что предполагает логистический подход в операциях киберпреступников.
-----

Акторы все чаще используют инструмент Bench.sh, легитимный скрипт для бенчмаркинга, на этапах постэксплуатации кибервторжений. Этот инструмент обычно используется для оценки жизнеспособности скомпрометированных систем для различных злонамеренных действий, включая криптомайнинг, проксирование и даже атаки с распределенным отказом в обслуживании (DDoS). Киберпреступники оценивают, есть ли у хоста достаточные ресурсы GPU, пропускная способность и способен ли он поддерживать эти действия, что указывает на то, что Bench.sh является критически важным компонентом в их оперативном рабочем процессе.

Тестирование, проведенное в контролируемой лабораторной среде, показало, что хотя Bench.sh выглядит безобидным и не демонстрирует явно злоумышленных действий, его полезность в киберпреступных операциях становится очевидной при анализе того, как он упоминается в обсуждениях акторов угроз. В частности, на таких платформах, как Telegram и различных хакерских форумах, Bench.sh часто появляется во время начальной оценки новоприобретенной инфраструктуры, особенно после предоставления Виртуальных Частных Серверов (VPS). Здесь злоумышленники используют скрипт для проверки производительности ЦП, ввода/вывода и сетевой пропускной способности. Этот процесс предшествует развертыванию других вредоносных инструментов или панелей управления и контроля (C2), демонстрируя систематический подход, схожий с тем, который применяется законными операциями разработки для валидации производительности.

Более того, Bench.sh часто сопровождается скриптами, разработанными для геолокации и оценки маршрутизации, что указывает на то, что злоумышленники не только анализируют производительность системы, но и оценивают географическое положение и стабильность своей атакующей инфраструктуры. Такое поведение предполагает сложную, ориентированную на логистику стратегию в экосистеме киберпреступности, где нападающие стремятся обеспечить оптимальные условия для своих операций перед началом дальнейших злонамеренных действий.

Команды безопасности должны быть бдительны к признакам активности Bench.sh в своих средах, особенно к случаям, когда скрипт выполняется без административного запуска. Такие случаи должны побуждать к расследованиям из-за их потенциальной связи с текущей злонамеренной активностью. Коррелирование выполнения Bench.sh с другими показателями постэксплуатации — такими как создание новых cron-задач или необычные исходящие соединения — может улучшить обнаружение и идентификацию настоящих угроз безопасности. Организациям также следует сосредоточиться на создании обнаружений для неожиданных вызовов к Bench.sh или аналогичным доменам, выявляя любые аномальные действия по бенчмаркингу как признак разведывательных действий со стороны атакующих.

#ParsedReport #CompletenessHigh
16-03-2026

Free real estate: GoPix, the banking Trojan living off your memory

https://securelist.com/gopix-banking-trojan/119173/

Report completeness: High

Threats:
Gopix
Lolbin_technique
Mitm_technique
Grandoreiro

Victims:
Banking customers, Cryptocurrency users, State government financial bodies, Large corporations

Industry:
Financial, Government

Geo:
Brazilian, Brazil

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036, T1055.012, T1057, T1059.001, T1071.001, T1105, T1106, T1140, have more...

IOCs:
File: 3
Hash: 5
Domain: 1
Url: 9

Soft:
WhatsApp, Google Chrome, NSIS installer, Chrome, Firefox, Opera

Crypto:
bitcoin, ethereum

Algorithms:
zip, crc-32

Languages:
powershell, javascript

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 9, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoPix — это сложный банковский троян, нацеленный на финансовые учреждения Бразилии и пользователей криптовалют, использующий имплантаты, работающие только в памяти, и обфусцированные скрипты PowerShell. Он использует атаки «человек посередине» и манипулирует финансовыми транзакциями через целевые кампании легитимного программного обеспечения, которые доставляют поддельные установщики. Ключевые особенности включают кражу буфера обмена для методов оплаты, перехват трафика через файл Proxy AutoConfig и внедрение доверенных корневых сертификатов в память браузера для создания неуловимых зашифрованных коммуникационных каналов.
-----

GoPix — это сложный банковский троян, который в первую очередь нацеливается на бразильские финансовые учреждения и пользователей криптовалюты. Он работает с использованием комбинации имплантатов только в памяти и обфусцированных скриптов PowerShell, выделяясь продвинутыми техниками, такими как атаки «человек посередине» и манипуляция финансовыми транзакциями. GoPix использует легитимные платформы, включая Google Ads, для доставки малвертинга, который соблазняет пользователей посетить вредоносные целевые страницы.

Первоначальная инфекция происходит через тщательно продуманные кампании малвертайзинга, которые используют популярные сервисы для привлечения жертв. При переходе на целевой сайт, малвари использует легитимный сервис противодействия мошенничеству для различения реальных пользователей и тех, кто работает в песочницах, обеспечивая доставку вредоносныхpayloads только выбранным жертвам. Если пользователь считается целью, ему предлагается поддельный установщик программного обеспечения, который, в зависимости от установленных решений по безопасности, таких как Avast, приведет к различным вектором инфекций.

Как только жертва взаимодействует с установщиком, он разворачивает пакетный файл, который использует PowerShell для загрузки последующих полезных нагрузок. Вредоносное ПО разработано так, чтобы оставаться в памяти, используя запутанные скрипты для минимизации своего следа на диске и избежания обнаружения традиционными средствами безопасности. Цепочка заражения включает выполнение шеллкода без подписи, что облегчает запуск основного вредоносного импланта и включает сложные методы внедрения процесса для эффективной работы в среде жертвы.

Кроме того, GoPix реализует уникальную функцию кражи буфера обмена, нацеленную на популярные методы оплаты, такие как Boleto, а также изменяет скопированные адреса криптовалюты, чтобы перенаправлять транзакции в кошелек угрозодателя. Его возможности усиливаются использованием файла Proxy AutoConfig (PAC), что позволяет манипулировать легитимным веб-трафиком внутри финансовых учреждений. Эта стратегия с файлом PAC обеспечивает перехват трафика, при этом GoPix гарантирует, что он идентифицирует и избегает обнаружения, действуя только в рамках признанных процессов браузера.

Особенно тревожной характеристикой GoPix является его способность внедрять доверенные корневые сертификаты в память браузера жертвы. Этот метод позволяет ему устанавливать зашифрованные каналы связи для перехвата, тем самым облегчая манипуляцию трафиком без срабатывания механизмов обнаружения.

#ParsedReport #CompletenessLow
12-03-2026

Cipher Infostealer masquerades as Solara executor - Malware analysis

https://research.jfrog.com/post/solara-cipher-npm/

Report completeness: Low

Victims:
Discord users, Browser users, Cryptocurrency users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.004, T1041, T1055, T1059.007, T1071.001, T1105, T1195, have more...

IOCs:
File: 33
Url: 7
Coin: 1
Hash: 4

Soft:
Dropbox, Opera, Windows defender, Fivem, roblox, Electron, Discord, Windows service, Chromium, Node.js, have more...

Wallets:
exodus_wallet, zcash, jaxx, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
bitcoin, ethereum

Algorithms:
base64, sha256, zip

Functions:
setTimeout, updateCheck

Languages:
javascript, python

Links:
https://github.com/jpassing/elevate/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей безопасности JFrog обнаружила злонамеренную кампанию, в рамках которой использовались два пакета NPM, маскирующиеся под Windows-исполняемые файлы, содержащие обфусцированный JavaScript и Python-скрипт для эксфильтрации данных, в первую очередь нацеленный на информацию пользователей из Discord, браузеров и криптовалютных кошельков. Этот вредоносный софт, называемый Cipher stealer, продемонстрировал возможности по загрузке дополнительных полезных нагрузок и обходу мер безопасности для захвата чувствительных учетных данных, особенно токенов Discord. Его методы эксфильтрации включали использование инфраструктуры командного и управляющего центров и онлайн-сервисов для передачи данных.
-----

Команда исследователей безопасности JFrog обнаружила зловредную кампанию, включающую два пакета в экосистеме NPM, которые выдавали себя за исполняемый файл Windows под названием "Solara" (версии 1.0.0 и 1.0.1). Эти пакеты содержали встроенный обфусцированный JavaScript, модули Node.js и скрипт на Python, предназначенный для эксфильтрации данных. Собранные данные в основном нацеливались на информацию о пользователе из Discord, веб-браузеров и криптовалютных кошельков.

Вредоносные файлы реализовали сценарий предварительной установки, который загрузил и выполнил дополнительные двоичные файлы из Dropbox. Хотя начальные сканирования VirusTotal выявили только один продукт антивируса, поведенческий анализ указал на подозрительную активность. Исполняемый файл продемонстрировал возможности, такие как загрузка установок фреймворка Python и доступ к различным пользовательским данным из браузеров и системных файлов Windows.

Мальвар, названный Cipher stealer, проявил несколько вызывающих тревогу черт. Например, его связь с различными платформами, такими как "FiveM", который предлагает многопользовательские модификации для игр, и его сходство с другими кампаниями вредоносного ПО вызывало красные флаги. Особенно стоит отметить, что обфусцированный JavaScript включал возможности для сохранения постоянства, создавая промежуточный каталог для украденных данных в каталоге %TEMP%, где вся собранная информация была сжата и подготовлена для эксфиляции.

Одним из значительных аспектов вредоносного ПО является его нацеливание на токены и учетные данные Discord. Оно реализовало процесс валидации в соответствии с API Discord для проверки токенов, хранящихся в базах данных LevelDB, используемых клиентами Discord и браузерами Chromium. Вредоносное ПО могло обходить защиту BetterDiscord и гарантировать, что токены и учетные данные могут быть отправлены на веб-хук Discord атакующего. Более того, оно скачивало второй этап полезной нагрузки с GitHub для улучшения своих стратегий кражи данных.

В плане кражи учетных данных в браузере, вредоносное ПО использовало JavaScript и встроенный скрипт на Python для извлечения конфиденциальных данных пользователей, включая файлы cookie, учетные данные для входа и финансовую информацию. Компонент на Python был призван поддерживать более широкий спектр браузеров, чем его аналог на JavaScript. Кроме того, вредоносное ПО пыталось расшифровать информацию о кошельках криптовалют, усиливая свои возможности для обширной эксфильтрации данных.

В конечном итоге, вредоносное ПО использовало различные методы эксфиляции, в основном через инфраструктуру командования и управления, одновременно используя онлайн-сервисы для передачи данных. Хотя быстрая детекция и удаление вредоносных пакетов были значительными, пользователям было рекомендовано предпринять дополнительные меры предосторожности, удалив вредоносное ПО, обновив учетные данные и переустановив затронутые приложения.