#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы все чаще используют Bench.sh, легитимный скрипт для бенчмаркинга, на этапах постэксплуатации кибервторжений для оценки производственных возможностей скомпрометированных систем для злонамеренных действий, таких как криптомайнинг и DDoS-атаки. Он используется на платформах, таких как Telegram и хакерские форумы, для оценки инфраструктуры после развертывания VPS, что указывает на то, что атакующие систематически проверяют производительность процессора и сети. Кроме того, Bench.sh часто используется вместе со скриптами для оценки геолокации, что предполагает логистический подход в операциях киберпреступников.
-----

Акторы все чаще используют инструмент Bench.sh, легитимный скрипт для бенчмаркинга, на этапах постэксплуатации кибервторжений. Этот инструмент обычно используется для оценки жизнеспособности скомпрометированных систем для различных злонамеренных действий, включая криптомайнинг, проксирование и даже атаки с распределенным отказом в обслуживании (DDoS). Киберпреступники оценивают, есть ли у хоста достаточные ресурсы GPU, пропускная способность и способен ли он поддерживать эти действия, что указывает на то, что Bench.sh является критически важным компонентом в их оперативном рабочем процессе.

Тестирование, проведенное в контролируемой лабораторной среде, показало, что хотя Bench.sh выглядит безобидным и не демонстрирует явно злоумышленных действий, его полезность в киберпреступных операциях становится очевидной при анализе того, как он упоминается в обсуждениях акторов угроз. В частности, на таких платформах, как Telegram и различных хакерских форумах, Bench.sh часто появляется во время начальной оценки новоприобретенной инфраструктуры, особенно после предоставления Виртуальных Частных Серверов (VPS). Здесь злоумышленники используют скрипт для проверки производительности ЦП, ввода/вывода и сетевой пропускной способности. Этот процесс предшествует развертыванию других вредоносных инструментов или панелей управления и контроля (C2), демонстрируя систематический подход, схожий с тем, который применяется законными операциями разработки для валидации производительности.

Более того, Bench.sh часто сопровождается скриптами, разработанными для геолокации и оценки маршрутизации, что указывает на то, что злоумышленники не только анализируют производительность системы, но и оценивают географическое положение и стабильность своей атакующей инфраструктуры. Такое поведение предполагает сложную, ориентированную на логистику стратегию в экосистеме киберпреступности, где нападающие стремятся обеспечить оптимальные условия для своих операций перед началом дальнейших злонамеренных действий.

Команды безопасности должны быть бдительны к признакам активности Bench.sh в своих средах, особенно к случаям, когда скрипт выполняется без административного запуска. Такие случаи должны побуждать к расследованиям из-за их потенциальной связи с текущей злонамеренной активностью. Коррелирование выполнения Bench.sh с другими показателями постэксплуатации — такими как создание новых cron-задач или необычные исходящие соединения — может улучшить обнаружение и идентификацию настоящих угроз безопасности. Организациям также следует сосредоточиться на создании обнаружений для неожиданных вызовов к Bench.sh или аналогичным доменам, выявляя любые аномальные действия по бенчмаркингу как признак разведывательных действий со стороны атакующих.

#ParsedReport #CompletenessHigh
16-03-2026

Free real estate: GoPix, the banking Trojan living off your memory

https://securelist.com/gopix-banking-trojan/119173/

Report completeness: High

Threats:
Gopix
Lolbin_technique
Mitm_technique
Grandoreiro

Victims:
Banking customers, Cryptocurrency users, State government financial bodies, Large corporations

Industry:
Financial, Government

Geo:
Brazilian, Brazil

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036, T1055.012, T1057, T1059.001, T1071.001, T1105, T1106, T1140, have more...

IOCs:
File: 3
Hash: 5
Domain: 1
Url: 9

Soft:
WhatsApp, Google Chrome, NSIS installer, Chrome, Firefox, Opera

Crypto:
bitcoin, ethereum

Algorithms:
zip, crc-32

Languages:
powershell, javascript

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 9, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoPix — это сложный банковский троян, нацеленный на финансовые учреждения Бразилии и пользователей криптовалют, использующий имплантаты, работающие только в памяти, и обфусцированные скрипты PowerShell. Он использует атаки «человек посередине» и манипулирует финансовыми транзакциями через целевые кампании легитимного программного обеспечения, которые доставляют поддельные установщики. Ключевые особенности включают кражу буфера обмена для методов оплаты, перехват трафика через файл Proxy AutoConfig и внедрение доверенных корневых сертификатов в память браузера для создания неуловимых зашифрованных коммуникационных каналов.
-----

GoPix — это сложный банковский троян, который в первую очередь нацеливается на бразильские финансовые учреждения и пользователей криптовалюты. Он работает с использованием комбинации имплантатов только в памяти и обфусцированных скриптов PowerShell, выделяясь продвинутыми техниками, такими как атаки «человек посередине» и манипуляция финансовыми транзакциями. GoPix использует легитимные платформы, включая Google Ads, для доставки малвертинга, который соблазняет пользователей посетить вредоносные целевые страницы.

Первоначальная инфекция происходит через тщательно продуманные кампании малвертайзинга, которые используют популярные сервисы для привлечения жертв. При переходе на целевой сайт, малвари использует легитимный сервис противодействия мошенничеству для различения реальных пользователей и тех, кто работает в песочницах, обеспечивая доставку вредоносныхpayloads только выбранным жертвам. Если пользователь считается целью, ему предлагается поддельный установщик программного обеспечения, который, в зависимости от установленных решений по безопасности, таких как Avast, приведет к различным вектором инфекций.

Как только жертва взаимодействует с установщиком, он разворачивает пакетный файл, который использует PowerShell для загрузки последующих полезных нагрузок. Вредоносное ПО разработано так, чтобы оставаться в памяти, используя запутанные скрипты для минимизации своего следа на диске и избежания обнаружения традиционными средствами безопасности. Цепочка заражения включает выполнение шеллкода без подписи, что облегчает запуск основного вредоносного импланта и включает сложные методы внедрения процесса для эффективной работы в среде жертвы.

Кроме того, GoPix реализует уникальную функцию кражи буфера обмена, нацеленную на популярные методы оплаты, такие как Boleto, а также изменяет скопированные адреса криптовалюты, чтобы перенаправлять транзакции в кошелек угрозодателя. Его возможности усиливаются использованием файла Proxy AutoConfig (PAC), что позволяет манипулировать легитимным веб-трафиком внутри финансовых учреждений. Эта стратегия с файлом PAC обеспечивает перехват трафика, при этом GoPix гарантирует, что он идентифицирует и избегает обнаружения, действуя только в рамках признанных процессов браузера.

Особенно тревожной характеристикой GoPix является его способность внедрять доверенные корневые сертификаты в память браузера жертвы. Этот метод позволяет ему устанавливать зашифрованные каналы связи для перехвата, тем самым облегчая манипуляцию трафиком без срабатывания механизмов обнаружения.

#ParsedReport #CompletenessLow
12-03-2026

Cipher Infostealer masquerades as Solara executor - Malware analysis

https://research.jfrog.com/post/solara-cipher-npm/

Report completeness: Low

Victims:
Discord users, Browser users, Cryptocurrency users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.004, T1041, T1055, T1059.007, T1071.001, T1105, T1195, have more...

IOCs:
File: 33
Url: 7
Coin: 1
Hash: 4

Soft:
Dropbox, Opera, Windows defender, Fivem, roblox, Electron, Discord, Windows service, Chromium, Node.js, have more...

Wallets:
exodus_wallet, zcash, jaxx, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
bitcoin, ethereum

Algorithms:
base64, sha256, zip

Functions:
setTimeout, updateCheck

Languages:
javascript, python

Links:
https://github.com/jpassing/elevate/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда исследователей безопасности JFrog обнаружила злонамеренную кампанию, в рамках которой использовались два пакета NPM, маскирующиеся под Windows-исполняемые файлы, содержащие обфусцированный JavaScript и Python-скрипт для эксфильтрации данных, в первую очередь нацеленный на информацию пользователей из Discord, браузеров и криптовалютных кошельков. Этот вредоносный софт, называемый Cipher stealer, продемонстрировал возможности по загрузке дополнительных полезных нагрузок и обходу мер безопасности для захвата чувствительных учетных данных, особенно токенов Discord. Его методы эксфильтрации включали использование инфраструктуры командного и управляющего центров и онлайн-сервисов для передачи данных.
-----

Команда исследователей безопасности JFrog обнаружила зловредную кампанию, включающую два пакета в экосистеме NPM, которые выдавали себя за исполняемый файл Windows под названием "Solara" (версии 1.0.0 и 1.0.1). Эти пакеты содержали встроенный обфусцированный JavaScript, модули Node.js и скрипт на Python, предназначенный для эксфильтрации данных. Собранные данные в основном нацеливались на информацию о пользователе из Discord, веб-браузеров и криптовалютных кошельков.

Вредоносные файлы реализовали сценарий предварительной установки, который загрузил и выполнил дополнительные двоичные файлы из Dropbox. Хотя начальные сканирования VirusTotal выявили только один продукт антивируса, поведенческий анализ указал на подозрительную активность. Исполняемый файл продемонстрировал возможности, такие как загрузка установок фреймворка Python и доступ к различным пользовательским данным из браузеров и системных файлов Windows.

Мальвар, названный Cipher stealer, проявил несколько вызывающих тревогу черт. Например, его связь с различными платформами, такими как "FiveM", который предлагает многопользовательские модификации для игр, и его сходство с другими кампаниями вредоносного ПО вызывало красные флаги. Особенно стоит отметить, что обфусцированный JavaScript включал возможности для сохранения постоянства, создавая промежуточный каталог для украденных данных в каталоге %TEMP%, где вся собранная информация была сжата и подготовлена для эксфиляции.

Одним из значительных аспектов вредоносного ПО является его нацеливание на токены и учетные данные Discord. Оно реализовало процесс валидации в соответствии с API Discord для проверки токенов, хранящихся в базах данных LevelDB, используемых клиентами Discord и браузерами Chromium. Вредоносное ПО могло обходить защиту BetterDiscord и гарантировать, что токены и учетные данные могут быть отправлены на веб-хук Discord атакующего. Более того, оно скачивало второй этап полезной нагрузки с GitHub для улучшения своих стратегий кражи данных.

В плане кражи учетных данных в браузере, вредоносное ПО использовало JavaScript и встроенный скрипт на Python для извлечения конфиденциальных данных пользователей, включая файлы cookie, учетные данные для входа и финансовую информацию. Компонент на Python был призван поддерживать более широкий спектр браузеров, чем его аналог на JavaScript. Кроме того, вредоносное ПО пыталось расшифровать информацию о кошельках криптовалют, усиливая свои возможности для обширной эксфильтрации данных.

В конечном итоге, вредоносное ПО использовало различные методы эксфиляции, в основном через инфраструктуру командования и управления, одновременно используя онлайн-сервисы для передачи данных. Хотя быстрая детекция и удаление вредоносных пакетов были значительными, пользователям было рекомендовано предпринять дополнительные меры предосторожности, удалив вредоносное ПО, обновив учетные данные и переустановив затронутые приложения.

#ParsedReport #CompletenessMedium
16-03-2026

Winos4.0 malware disguised as KakaoTalk installation file

https://asec.ahnlab.com/ko/92924/

Report completeness: Medium

Threats:
Winos
Seo_poisoning_technique

Victims:
Kakaotalk users

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1055, T1105, T1106, T1112, T1116, T1140, T1204.002, T1218.011, have more...

IOCs:
Url: 3
File: 12
Path: 2
IP: 2
Hash: 5

Soft:
KakaoTalk, Windows Defender, task scheduler, NET Framework

Algorithms:
md5

Functions:
CreateShortCut, WriteRegStr, TaskScheduler

Win API:
CreateMutexA, DllRegisterServer, VirtualAlloc

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 1, code: 2, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Winos4.0 распространяется через SEO-поисковую атаку, выдавая себя за файл установки KakaoTalk. С момента своего появления 9 марта оно заразило более 5,000 устройств, используя недействительный сертификат для упаковки вредоносных компонентов с помощью NSIS. Вредоносное ПО выполняет вредоносные payload'ы, делает снимки экрана, управляет процессами и модифицирует стратегии сохранения в зависимости от наличия антивирусных программ, нацеливаясь в первую очередь на китайских пользователей через выполнение команд в реальном времени с его C2-сервера.
-----

Малварь Winos4.0 в настоящее время распространяется с помощью техники отравления поисковой оптимизации (SEO), при которой вредоносные сайты манипулируются, чтобы занимать высокие позиции в результатах поиска для надежного программного обеспечения, выдавая себя за установочный файл для KakaoTalk. Недавние отчеты подтверждают, что более 5,000 устройств были инфицированы этой малварью, которая впервые появилась 9 марта. Малварь маскируется под установщик KakaoTalk, в то время как на самом деле выполняет вредоносные действия после установки.

Когда пользователи загружают мошеннический установщик, они получают файл, который визуально брендирован как KakaoTalk, но на самом деле подписан недействительным сертификатом от "NetEase" вместо легитимной сертификации Kakao. Эта настройка использует NSIS (Nullsoft Scriptable Install System) для упаковки зашифрованных вредоносных компонентов, включая Verifier.exe и AutoRecoverDat.dll. Эти файлы настраиваются на создание исключений в Windows Defender, подрывая безопасность системы, и устанавливают постоянство на зараженных устройствах. На первый взгляд безобидный процесс установки предназначен для сокрытия вредоносных действий, создавая видимость легитимности, так как он помещает легитимный файл KakaoTalk_Setup.exe рядом с вредоносным исполняемым файлом.

Малварь выполняется по двум различным путям в зависимости от условий, установленных при начальной установке, направляя действия через ShellCode, содержащийся в файлах с именами Profiler.json и GPUCache.xml, запущенный соответственно Verifier.exe и AutoRecoverData.dll. После инициализации мьютекса для обеспечения уникального экземпляра, малварь решает, какой ShellCode загрузить на основе существования определенных условий. Если оба условия выполнены, он загружает файл GPUCache2.xml; если нет, он по умолчанию использует GPUCache.xml. Не зашифрованный ShellCode выполняет полезную нагрузку, которая включает другие DLL, что дополнительно способствует функциональности малвари.

Кроме того, вредоносное ПО проверяет наличие антивирусного программного обеспечения, в частности, оценивает китайский продукт ZhuDongFangYu, что подразумевает целенаправленный намерение распространения среди китайских пользователей. В зависимости от того, обнаружен ли продукт AV, оно изменяет свои механизмы сохранения, которые могут включать создание запланированных задач для поддержания выполнения через Verifier.exe и AutoRecoverData.dll.

Функционально, вредоносное ПО Winos4.0 позволяет злоумышленнику захватывать скриншоты, контролировать процессы системы, получать конфиденциальную информацию и загружать дополнительные вредоносные программы, избегая обнаружения. Оно оснащено для выполнения входящих команд с сервера командования и управления (C2), что указывает на гибкий подход к эволюции своей стратегии атаки на основе мониторинга в реальном времени. Этот инцидент подчеркивает уязвимости, связанные с полаганием только на результаты поисковых систем при загрузке программного обеспечения, подчеркивая необходимость для пользователей проверять официальные источники.

#ParsedReport #CompletenessMedium
16-03-2026

AI-Assisted Phishing Campaign Exploits Browser Permissions to Capture Victim Data

https://cyble.com/blog/ai-assisted-phishing-campaign/

Report completeness: Medium

Threats:
Credential_harvesting_technique

Victims:
Consumers, Social media users, Employees, Organizations

Industry:
Financial, Healthcare, Telco

TTPs:
Tactics: 6
Technics: 4

IOCs:
File: 8
IP: 11
Domain: 73

Soft:
Telegram, TikTok, Instagram, Google Chrome

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/AI-Assisted%20Phishing%20Uses%20Browser%20Permissions%20to%20Steal%20Data

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя фишинговая кампания использует усовершенствованные тактики, эксплуатируя разрешения браузера для захвата обширных данных жертв, включая живые изображения, аудио и информацию об устройстве, не требуя ввода учетных данных. Используя разнообразные приманки и платформы с подменой, атакующие используют Telegram Bot API для эксфильтрации данных, что отражает возможную интеграцию инструментов генеративного ИИ в их инфраструктуру. Этот сложный подход не только облегчает кражу личных данных, но и повышает риски для организаций, так как украденные биометрические данные могут быть использованы для подмены в различных коммуникациях.
-----

Недавняя фишинговая кампания продемонстрировала значительную эволюцию тактик киберугроз, используя разрешения браузера для захвата обширных данных жертв, выходящих за рамки традиционного кражи учетных данных. Кампания использует разнообразные уловки, такие как "ID Scanner," "Telegram ID Freezing," и "Health Fund AI," чтобы обмануть пользователей и заставить их предоставить разрешения на доступ к камере и микрофону под предлогом проверки или восстановления услуги. Как только разрешения получены, злоумышленники используют JavaScript для захвата живых изображений, видеозаписей, аудио с микрофона, информации об устройстве и контактных данных. Эта информация затем отправляется на инфраструктуру, контролируемую злоумышленниками, в основном с использованием Telegram Bot API для экстракции данных.

Фреймворк фишинга работает с использованием хостинговых услуг, таких как edgeone.app, что позволяет создавать множество целевых страниц, которые выдают себя за популярные платформы, такие как TikTok, Telegram и Google Drive. Фишинговые страницы специально запрашивают разрешения браузера для доступа к аппаратным возможностям, тем самым бесшумно захватывая конфиденциальные данные после согласия пользователя. Этот метод позволяет злоумышленникам подделывать согласие, собирая мультимедийный контент, включая изображения высокого разрешения и аудиофайлы, без необходимости ввода пользователями каких-либо учетных данных.

Примечательно, что анализ выявил потенциальные индикаторы кода, сгенерированного с помощью ИИ, в операционной логике кампании. Использование структурированных аннотаций и эмодзи указывает на то, что угрожающие акторы могут использовать инструменты генеративного ИИ для улучшения своих фишинговых фреймворков, что позволяет быстро разрабатывать и развертывать атаки. Сложность этого подхода соответствует более широкой тенденции смешивания тактики социального инжиниринга с передовыми технологиями, что увеличивает эффективность атак.

В результате кампания создает значительные риски не только для отдельных жертв, но и для организаций, поскольку собранные данные могут быть использованы для кражи личности, социальной инженерии и целевых фишинговых схем. Операционная сложность заметно низка, так как злоумышленники получают выгоду от интеграции фишинговых комплектов с Telegram, что упрощает процесс извлечения данных и минимизирует потребности в бэкенд-инфраструктуре.

Последствия этой кампании имеют далеко идущие последствия; похищенные биометрические данные могут быть использованы для выдачи себя за другого в видеокоммуникациях и аудиосообщениях, значительно увеличивая угрозу для различных сектор, включая банковский сектор и социальные медиа. Это сближение злонамеренной деятельности отражает тревожный сдвиг в сторону высококачественных тактик кражи личных данных, которые могут коренным образом подорвать существующие механизмы безопасности и процессы верификации, подчеркивая необходимость повышенной бдительности против таких сложных фишинг-техник.

#ParsedReport #CompletenessHigh
12-03-2026

Endgame Harvesting: Inside ACRStealers Modern Infrastructure

https://blog.gdatasoftware.com/2026/03/38385-acr-stealer-infrastructure

Report completeness: High

Threats:
Acr_stealer
Hijackloader
Dead_drop_technique
Process_injection_technique
Process_hollowing_technique
Lumma_stealer

Victims:
Gaming platforms users, Browser users, Steam users

Industry:
Entertainment

Geo:
Germany, Mongolia, Usa

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1041, T1055, T1055.012, T1059.001, T1071.001, T1082, T1105, T1106, have more...

IOCs:
File: 13
IP: 1
Domain: 1
Url: 1
Hash: 2

Soft:
Steam, Chrome, Discord

Algorithms:
base64, aes-256, zip, aes

Functions:
connect, GetArrayField, PowerShell

Win API:
NtCreateFile, NtDeviceIoControlFile, AcquireCredentialsHandleA, InitializeSecurityContextA, EncryptMessage, NtOpenFile, NtQueryDirectoryFile, NtDelayExecution, CryptUnprotectData, CopyFileA, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Зловред ACRStealer, интегрированный в HijackLoader, усовершенствовал свои методы уклонения, используя низкоуровневые NTCalls и системные вызовы WoW64 для скрытного выполнения, уменьшая риски обнаружения. Теперь он использует NTSockets и Ancillary Function Driver для связи с C2, смешивая свой трафик с легитимным HTTPS для усложнения обнаружения. Разработанный для извлечения конфиденциальных данных, включая информацию о браузере и играх, ACRStealer использует метод hollowing процессов и команды PowerShell для выполнения вторичного полезного груза, указывая на широкомасштабную и развивающуюся угрозу.
-----

Вредоносное ПО ACRStealer, теперь интегрированное в инфраструктуру HijackLoader, развило свои возможности и стратегии развертывания, акцентируя внимание на усовершенствованных техниках уклонения. Изначально сообщалось о нем как о предложении Malware as a Service (MaaS), этот новый вариант использует более низкоуровневые NTCalls и WoW64 syscalls вместо традиционных Win32 APIs для достижения скрытого выполнения, тем самым снижая риск обнаружения системами защиты конечных точек. Вредоносное ПО находит ntdll.dll, разрешает имена функций через модифицированную хеш-функцию djb2 и использует переходные ворота для обхода хуков пользовательского режима во время работы.

Что касается связи командования и управления (C2), ACRStealer переключился с использования Dead Drop Resolver (DDR) на использование NTSockets и Ancillary Function Driver (AFD). Путем ручного построения родного пути AFD вредоносное ПО избегает использования высокоуровневых API и улучшает свою способность устанавливать соединения скрытно. Такая настройка C2 позволяет ACRStealer смешивать свой трафик с легитимным HTTPS-трафиком, что ещё больше усложняет усилия по обнаружению.

ACRStealer тщательно разработан для извлечения различных видов конфиденциальной информации, нацеливаясь не только на данные браузера, но и на данные игроков, такие как аккаунты Steam. Его конфигурация управляется восемью короткими строками ключей, которые определяют выполняемые задачи, позволяя ему идентифицировать и извлекать такие файлы, как ключи шифрования браузера, используя системные вызовы NT. Этот вредоносный программное обеспечение выполняет эти извлечения, рекурсивно просматривая пользовательские профили, используя метод расшифровки артефактов браузера через DPAPI и применяя передовые техники, такие как обход шифрования, привязанного к приложению, чтобы получить доступ к сырым мастер-ключам AES из предыдущих версий браузера.

Дальнейшие возможности включают эксфильтрацию данных для входа, файлов cookie и комплексный процесс отпечатков жертвы. Замечательно, что вредоносное ПО также обрабатывает выполнение вторичных полезных нагрузок через команды PowerShell и техники опустошения процессов, демонстрируя сложную среду выполнения, которая эффективно скрывает злонамеренные намерения.

Операционные схемы ACRStealer указывают на широкое распространение инфекций, особенно в США, Монголии и Германии, с телеметрией, свидетельствующей о продолжающейся активности и устойчивых соединениях с определенными IP-адресами. Недавний анализ показывает, что он постоянно эволюционирует, чтобы избежать обнаружения, о чем свидетельствует его взаимодействие с легитимными платформами и текущие адаптации в методах распространения через веб-сайты, связанные с играми, социальными медиа и облачными услугами.

Более того, постоянство ACRStealer указывает на то, что угроза, исходящая от актеров угроз за инфраструктурой PiviGames, остается активной, использующей развивающиеся стратегии для нацеливания на пользователей в популярных игровых и социальных средах, с конечной целью компрометации чувствительных данных через различные и тактические средства. Это свидетельствует о продолжающемся ландшафте угроз, создаваемом такими адаптивными вариантами вредоносного ПО, подчеркивая необходимость постоянного мониторинга и усовершенствованных защитных мер.

#ParsedReport #CompletenessLow
16-03-2026

LiveChat Abuse: How Phishers Are Exploiting SaaS Support Tools to Steal Sensitive Data

https://cofense.com/blog/livechat-abuse-how-phishers-are-exploiting-saas-support-tools-to-steal-sensitive-data

Report completeness: Low

Victims:
Consumers, Paypal users, Amazon customers

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002

IOCs:
Domain: 1
Url: 6
IP: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4