#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Организация GitHub "dev-protocol" была подвергнута компрометации с целью распространения вредоносного торгового бота Polymarket, размещающего репозитории с двумя typosquatted пакетами npm, "big-nunber" и "levex-refa". Оба пакета содержат запутанное вредоносное ПО, предназначенное для извлечения конфиденциальных данных, включая Закрытые ключи кошелька, и создания бэкдора SSH. Атака использует домены C2, Маскировку под законную инфраструктуру Cloudflare, что указывает на изощренный подход к уклонению от обнаружения и манипулированию стандартами бдительности пользователей.
-----

Организация GitHub "dev-protocol" была взломана для распространения вредоносного торгового бота Polymarket.

Компрометация включала в себя два typosquatted пакета npm: "big-nunber" и "levex-refa"..

"big-nunber" содержит запутанное вредоносное ПО и выполняет команды во время установки с помощью перехватчика после установки.

"levex-refa" использует запутанный код для поиска конфиденциальной информации, такой как ключи кошелька и файлы конфигурации, и отправляет эти данные на сервер C2.

Сервер C2 маскируется под законную инфраструктуру Cloudflare и связан с двумя доменами, размещенными на Vercel.

Вредоносное ПО может устанавливать бэкдоры, изменяя разрешения SSH, обеспечивая удаленный доступ через SSH.

Вредоносный код запускается как во время установки, так и во время запуска бота, который обычно работает с API Polymarket.

Злоумышленники активно удаляют сообщения об угрозе на GitHub, чтобы скрыть информацию.

Пострадавшим разработчикам рекомендуется менять ключи кошелька, проверять наличие несанкционированного доступа по SSH и сканировать на наличие вредоносных пакетов.

Рекомендации включают в себя отказ от хранения Закрытых ключей в уязвимых форматах и проведение аудита зависимостей.

Инцидент высветил риски, связанные с атаками на supply chain при разработке программного обеспечения.

#ParsedReport #CompletenessLow
16-03-2026

AI-Assisted Phishing Campaign Exploits Browser Permissions to Capture Victim Data

https://cyble.com/ai-assisted-phishing-campaign/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Individual users, Consumers

Industry:
Financial, Telco, Healthcare

TTPs:
Tactics: 6
Technics: 4

IOCs:
File: 8

Soft:
Telegram, TikTok, Instagram, Google Chrome

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/AI-Assisted%20Phishing%20Uses%20Browser%20Permissions%20to%20Steal%20Data

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая кампания по фишингу эффективно злоупотребляет разрешениями браузера для сбора обширных персональных данных и данных об устройствах, применяя тактику обмана, такую как использование таких приманок, как "ID Scanner". Злоумышленники тайно захватывают изображения и аудио с помощью JavaScript и извлекают данные с помощью API-интерфейса бота Телеграм, фокусируясь на биометрической и мультимедийной информации, а не на традиционной краже учетных данных. Этот метод создает риски кражи личных данных, включая мошенничество с искусственными идентификационными данными, и в то же время демонстрирует потенциальное использование генеративного искусственного интеллекта при разработке фреймворка для фишинга.
-----

Кампания по фишингу заключается в сборе личных данных и данных устройств с помощью обманчивых приманок, таких как "Сканер удостоверений личности" и "Искусственный интеллект фонда здравоохранения". Злоумышленники получают важные разрешения, включая доступ к камере и микрофону. Рабочий процесс JavaScript захватывает изображения в реальном времени, записывает аудио и собирает конфиденциальную информацию, такую как показатели устройства и географическое местоположение. Собранные данные отправляются злоумышленникам через API бота в Телеграм. Этот подход фокусируется на получении биометрических данных и мультимедиа, а не на традиционной краже учетных данных. Этот сдвиг увеличивает риски искусственного мошенничества с идентификационными данными и обхода проверок личности с помощью видео. Схема фишинга использует медиа-API браузера для скрытого сбора данных после согласия пользователя. Данные передаются в файлах распространенных типов, таких как JPEG и WebM. Операция собирает обширные данные о браузерных средах для профилирования жертв. Аномалии в структуре сообщений предполагают использование автоматизированных инструментов для создания сложных страниц фишинга. Цели включают такие платформы, как TikTok, Instagram и Google Drive. Организации должны проявлять бдительность в отношении фишинга, который запрашивает разрешения на Аппаратное обеспечение у ненадежных доменов, поскольку эти методы указывают на эволюцию операций фишинга.

#ParsedReport #CompletenessLow
16-03-2026

Bench.sh: How Threat Actors Repurpose a Legitimate Benchmarking Tool for Post-Exploitation Recon

https://flare.io/learn/resources/blog/bench-sh-post-exploitation-recon

Report completeness: Low

Victims:
Exposed services, Virtual private server providers, Infrastructure used by attackers

Industry:
E-commerce, Logistic

Geo:
Asian, Chinese, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1046, T1053.003, T1059.004, T1082, T1105, T1497, T1595

Soft:
Jupyter Notebook, Apache Tomcat, curl, Telegram

Languages:
php

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы все чаще используют Bench.sh, легитимный скрипт для бенчмаркинга, на этапах постэксплуатации кибервторжений для оценки производственных возможностей скомпрометированных систем для злонамеренных действий, таких как криптомайнинг и DDoS-атаки. Он используется на платформах, таких как Telegram и хакерские форумы, для оценки инфраструктуры после развертывания VPS, что указывает на то, что атакующие систематически проверяют производительность процессора и сети. Кроме того, Bench.sh часто используется вместе со скриптами для оценки геолокации, что предполагает логистический подход в операциях киберпреступников.
-----

Акторы все чаще используют инструмент Bench.sh, легитимный скрипт для бенчмаркинга, на этапах постэксплуатации кибервторжений. Этот инструмент обычно используется для оценки жизнеспособности скомпрометированных систем для различных злонамеренных действий, включая криптомайнинг, проксирование и даже атаки с распределенным отказом в обслуживании (DDoS). Киберпреступники оценивают, есть ли у хоста достаточные ресурсы GPU, пропускная способность и способен ли он поддерживать эти действия, что указывает на то, что Bench.sh является критически важным компонентом в их оперативном рабочем процессе.

Тестирование, проведенное в контролируемой лабораторной среде, показало, что хотя Bench.sh выглядит безобидным и не демонстрирует явно злоумышленных действий, его полезность в киберпреступных операциях становится очевидной при анализе того, как он упоминается в обсуждениях акторов угроз. В частности, на таких платформах, как Telegram и различных хакерских форумах, Bench.sh часто появляется во время начальной оценки новоприобретенной инфраструктуры, особенно после предоставления Виртуальных Частных Серверов (VPS). Здесь злоумышленники используют скрипт для проверки производительности ЦП, ввода/вывода и сетевой пропускной способности. Этот процесс предшествует развертыванию других вредоносных инструментов или панелей управления и контроля (C2), демонстрируя систематический подход, схожий с тем, который применяется законными операциями разработки для валидации производительности.

Более того, Bench.sh часто сопровождается скриптами, разработанными для геолокации и оценки маршрутизации, что указывает на то, что злоумышленники не только анализируют производительность системы, но и оценивают географическое положение и стабильность своей атакующей инфраструктуры. Такое поведение предполагает сложную, ориентированную на логистику стратегию в экосистеме киберпреступности, где нападающие стремятся обеспечить оптимальные условия для своих операций перед началом дальнейших злонамеренных действий.

Команды безопасности должны быть бдительны к признакам активности Bench.sh в своих средах, особенно к случаям, когда скрипт выполняется без административного запуска. Такие случаи должны побуждать к расследованиям из-за их потенциальной связи с текущей злонамеренной активностью. Коррелирование выполнения Bench.sh с другими показателями постэксплуатации — такими как создание новых cron-задач или необычные исходящие соединения — может улучшить обнаружение и идентификацию настоящих угроз безопасности. Организациям также следует сосредоточиться на создании обнаружений для неожиданных вызовов к Bench.sh или аналогичным доменам, выявляя любые аномальные действия по бенчмаркингу как признак разведывательных действий со стороны атакующих.

#ParsedReport #CompletenessHigh
16-03-2026

Free real estate: GoPix, the banking Trojan living off your memory

https://securelist.com/gopix-banking-trojan/119173/

Report completeness: High

Threats:
Gopix
Lolbin_technique
Mitm_technique
Grandoreiro

Victims:
Banking customers, Cryptocurrency users, State government financial bodies, Large corporations

Industry:
Financial, Government

Geo:
Brazilian, Brazil

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036, T1055.012, T1057, T1059.001, T1071.001, T1105, T1106, T1140, have more...

IOCs:
File: 3
Hash: 5
Domain: 1
Url: 9

Soft:
WhatsApp, Google Chrome, NSIS installer, Chrome, Firefox, Opera

Crypto:
bitcoin, ethereum

Algorithms:
zip, crc-32

Languages:
powershell, javascript

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 9, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoPix — это сложный банковский троян, нацеленный на финансовые учреждения Бразилии и пользователей криптовалют, использующий имплантаты, работающие только в памяти, и обфусцированные скрипты PowerShell. Он использует атаки «человек посередине» и манипулирует финансовыми транзакциями через целевые кампании легитимного программного обеспечения, которые доставляют поддельные установщики. Ключевые особенности включают кражу буфера обмена для методов оплаты, перехват трафика через файл Proxy AutoConfig и внедрение доверенных корневых сертификатов в память браузера для создания неуловимых зашифрованных коммуникационных каналов.
-----

GoPix — это сложный банковский троян, который в первую очередь нацеливается на бразильские финансовые учреждения и пользователей криптовалюты. Он работает с использованием комбинации имплантатов только в памяти и обфусцированных скриптов PowerShell, выделяясь продвинутыми техниками, такими как атаки «человек посередине» и манипуляция финансовыми транзакциями. GoPix использует легитимные платформы, включая Google Ads, для доставки малвертинга, который соблазняет пользователей посетить вредоносные целевые страницы.

Первоначальная инфекция происходит через тщательно продуманные кампании малвертайзинга, которые используют популярные сервисы для привлечения жертв. При переходе на целевой сайт, малвари использует легитимный сервис противодействия мошенничеству для различения реальных пользователей и тех, кто работает в песочницах, обеспечивая доставку вредоносныхpayloads только выбранным жертвам. Если пользователь считается целью, ему предлагается поддельный установщик программного обеспечения, который, в зависимости от установленных решений по безопасности, таких как Avast, приведет к различным вектором инфекций.

Как только жертва взаимодействует с установщиком, он разворачивает пакетный файл, который использует PowerShell для загрузки последующих полезных нагрузок. Вредоносное ПО разработано так, чтобы оставаться в памяти, используя запутанные скрипты для минимизации своего следа на диске и избежания обнаружения традиционными средствами безопасности. Цепочка заражения включает выполнение шеллкода без подписи, что облегчает запуск основного вредоносного импланта и включает сложные методы внедрения процесса для эффективной работы в среде жертвы.

Кроме того, GoPix реализует уникальную функцию кражи буфера обмена, нацеленную на популярные методы оплаты, такие как Boleto, а также изменяет скопированные адреса криптовалюты, чтобы перенаправлять транзакции в кошелек угрозодателя. Его возможности усиливаются использованием файла Proxy AutoConfig (PAC), что позволяет манипулировать легитимным веб-трафиком внутри финансовых учреждений. Эта стратегия с файлом PAC обеспечивает перехват трафика, при этом GoPix гарантирует, что он идентифицирует и избегает обнаружения, действуя только в рамках признанных процессов браузера.

Особенно тревожной характеристикой GoPix является его способность внедрять доверенные корневые сертификаты в память браузера жертвы. Этот метод позволяет ему устанавливать зашифрованные каналы связи для перехвата, тем самым облегчая манипуляцию трафиком без срабатывания механизмов обнаружения.

#ParsedReport #CompletenessLow
12-03-2026

Cipher Infostealer masquerades as Solara executor - Malware analysis

https://research.jfrog.com/post/solara-cipher-npm/

Report completeness: Low

Victims:
Discord users, Browser users, Cryptocurrency users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.004, T1041, T1055, T1059.007, T1071.001, T1105, T1195, have more...

IOCs:
File: 33
Url: 7
Coin: 1
Hash: 4

Soft:
Dropbox, Opera, Windows defender, Fivem, roblox, Electron, Discord, Windows service, Chromium, Node.js, have more...

Wallets:
exodus_wallet, zcash, jaxx, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
bitcoin, ethereum

Algorithms:
base64, sha256, zip

Functions:
setTimeout, updateCheck

Languages:
javascript, python

Links:
https://github.com/jpassing/elevate/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей безопасности JFrog обнаружила злонамеренную кампанию, в рамках которой использовались два пакета NPM, маскирующиеся под Windows-исполняемые файлы, содержащие обфусцированный JavaScript и Python-скрипт для эксфильтрации данных, в первую очередь нацеленный на информацию пользователей из Discord, браузеров и криптовалютных кошельков. Этот вредоносный софт, называемый Cipher stealer, продемонстрировал возможности по загрузке дополнительных полезных нагрузок и обходу мер безопасности для захвата чувствительных учетных данных, особенно токенов Discord. Его методы эксфильтрации включали использование инфраструктуры командного и управляющего центров и онлайн-сервисов для передачи данных.
-----

Команда исследователей безопасности JFrog обнаружила зловредную кампанию, включающую два пакета в экосистеме NPM, которые выдавали себя за исполняемый файл Windows под названием "Solara" (версии 1.0.0 и 1.0.1). Эти пакеты содержали встроенный обфусцированный JavaScript, модули Node.js и скрипт на Python, предназначенный для эксфильтрации данных. Собранные данные в основном нацеливались на информацию о пользователе из Discord, веб-браузеров и криптовалютных кошельков.

Вредоносные файлы реализовали сценарий предварительной установки, который загрузил и выполнил дополнительные двоичные файлы из Dropbox. Хотя начальные сканирования VirusTotal выявили только один продукт антивируса, поведенческий анализ указал на подозрительную активность. Исполняемый файл продемонстрировал возможности, такие как загрузка установок фреймворка Python и доступ к различным пользовательским данным из браузеров и системных файлов Windows.

Мальвар, названный Cipher stealer, проявил несколько вызывающих тревогу черт. Например, его связь с различными платформами, такими как "FiveM", который предлагает многопользовательские модификации для игр, и его сходство с другими кампаниями вредоносного ПО вызывало красные флаги. Особенно стоит отметить, что обфусцированный JavaScript включал возможности для сохранения постоянства, создавая промежуточный каталог для украденных данных в каталоге %TEMP%, где вся собранная информация была сжата и подготовлена для эксфиляции.

Одним из значительных аспектов вредоносного ПО является его нацеливание на токены и учетные данные Discord. Оно реализовало процесс валидации в соответствии с API Discord для проверки токенов, хранящихся в базах данных LevelDB, используемых клиентами Discord и браузерами Chromium. Вредоносное ПО могло обходить защиту BetterDiscord и гарантировать, что токены и учетные данные могут быть отправлены на веб-хук Discord атакующего. Более того, оно скачивало второй этап полезной нагрузки с GitHub для улучшения своих стратегий кражи данных.

В плане кражи учетных данных в браузере, вредоносное ПО использовало JavaScript и встроенный скрипт на Python для извлечения конфиденциальных данных пользователей, включая файлы cookie, учетные данные для входа и финансовую информацию. Компонент на Python был призван поддерживать более широкий спектр браузеров, чем его аналог на JavaScript. Кроме того, вредоносное ПО пыталось расшифровать информацию о кошельках криптовалют, усиливая свои возможности для обширной эксфильтрации данных.

В конечном итоге, вредоносное ПО использовало различные методы эксфиляции, в основном через инфраструктуру командования и управления, одновременно используя онлайн-сервисы для передачи данных. Хотя быстрая детекция и удаление вредоносных пакетов были значительными, пользователям было рекомендовано предпринять дополнительные меры предосторожности, удалив вредоносное ПО, обновив учетные данные и переустановив затронутые приложения.

#ParsedReport #CompletenessMedium
16-03-2026

Winos4.0 malware disguised as KakaoTalk installation file

https://asec.ahnlab.com/ko/92924/

Report completeness: Medium

Threats:
Winos
Seo_poisoning_technique

Victims:
Kakaotalk users

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1055, T1105, T1106, T1112, T1116, T1140, T1204.002, T1218.011, have more...

IOCs:
Url: 3
File: 12
Path: 2
IP: 2
Hash: 5

Soft:
KakaoTalk, Windows Defender, task scheduler, NET Framework

Algorithms:
md5

Functions:
CreateShortCut, WriteRegStr, TaskScheduler

Win API:
CreateMutexA, DllRegisterServer, VirtualAlloc

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 1, code: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Winos4.0 распространяется через SEO-поисковую атаку, выдавая себя за файл установки KakaoTalk. С момента своего появления 9 марта оно заразило более 5,000 устройств, используя недействительный сертификат для упаковки вредоносных компонентов с помощью NSIS. Вредоносное ПО выполняет вредоносные payload'ы, делает снимки экрана, управляет процессами и модифицирует стратегии сохранения в зависимости от наличия антивирусных программ, нацеливаясь в первую очередь на китайских пользователей через выполнение команд в реальном времени с его C2-сервера.
-----

Малварь Winos4.0 в настоящее время распространяется с помощью техники отравления поисковой оптимизации (SEO), при которой вредоносные сайты манипулируются, чтобы занимать высокие позиции в результатах поиска для надежного программного обеспечения, выдавая себя за установочный файл для KakaoTalk. Недавние отчеты подтверждают, что более 5,000 устройств были инфицированы этой малварью, которая впервые появилась 9 марта. Малварь маскируется под установщик KakaoTalk, в то время как на самом деле выполняет вредоносные действия после установки.

Когда пользователи загружают мошеннический установщик, они получают файл, который визуально брендирован как KakaoTalk, но на самом деле подписан недействительным сертификатом от "NetEase" вместо легитимной сертификации Kakao. Эта настройка использует NSIS (Nullsoft Scriptable Install System) для упаковки зашифрованных вредоносных компонентов, включая Verifier.exe и AutoRecoverDat.dll. Эти файлы настраиваются на создание исключений в Windows Defender, подрывая безопасность системы, и устанавливают постоянство на зараженных устройствах. На первый взгляд безобидный процесс установки предназначен для сокрытия вредоносных действий, создавая видимость легитимности, так как он помещает легитимный файл KakaoTalk_Setup.exe рядом с вредоносным исполняемым файлом.

Малварь выполняется по двум различным путям в зависимости от условий, установленных при начальной установке, направляя действия через ShellCode, содержащийся в файлах с именами Profiler.json и GPUCache.xml, запущенный соответственно Verifier.exe и AutoRecoverData.dll. После инициализации мьютекса для обеспечения уникального экземпляра, малварь решает, какой ShellCode загрузить на основе существования определенных условий. Если оба условия выполнены, он загружает файл GPUCache2.xml; если нет, он по умолчанию использует GPUCache.xml. Не зашифрованный ShellCode выполняет полезную нагрузку, которая включает другие DLL, что дополнительно способствует функциональности малвари.

Кроме того, вредоносное ПО проверяет наличие антивирусного программного обеспечения, в частности, оценивает китайский продукт ZhuDongFangYu, что подразумевает целенаправленный намерение распространения среди китайских пользователей. В зависимости от того, обнаружен ли продукт AV, оно изменяет свои механизмы сохранения, которые могут включать создание запланированных задач для поддержания выполнения через Verifier.exe и AutoRecoverData.dll.

Функционально, вредоносное ПО Winos4.0 позволяет злоумышленнику захватывать скриншоты, контролировать процессы системы, получать конфиденциальную информацию и загружать дополнительные вредоносные программы, избегая обнаружения. Оно оснащено для выполнения входящих команд с сервера командования и управления (C2), что указывает на гибкий подход к эволюции своей стратегии атаки на основе мониторинга в реальном времени. Этот инцидент подчеркивает уязвимости, связанные с полаганием только на результаты поисковых систем при загрузке программного обеспечения, подчеркивая необходимость для пользователей проверять официальные источники.

#ParsedReport #CompletenessMedium
16-03-2026

AI-Assisted Phishing Campaign Exploits Browser Permissions to Capture Victim Data

https://cyble.com/blog/ai-assisted-phishing-campaign/

Report completeness: Medium

Threats:
Credential_harvesting_technique

Victims:
Consumers, Social media users, Employees, Organizations

Industry:
Financial, Healthcare, Telco

TTPs:
Tactics: 6
Technics: 4

IOCs:
File: 8
IP: 11
Domain: 73

Soft:
Telegram, TikTok, Instagram, Google Chrome

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/AI-Assisted%20Phishing%20Uses%20Browser%20Permissions%20to%20Steal%20Data

#ParsedReport #GeneratedSchema
Generated with GPT-4