#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"Operation Covert Access" нацеливается на судебный сектор Аргентины с помощью сложного трояна удаленного доступа (RAT), доставленного через спифишинг. Атака использует обманные судебные документы в ZIP-файле, содержащем вредоносное ярлык Windows, который выполняет пакетный скрипт для загрузки RAT, скрытого под именем "msedge_proxy.exe." После активации RAT использует антианалитические техники, устанавливает постоянный канал управления и контроля, и может динамически загружать дополнительные модули, включая программное обеспечение-вымогатели и собиратели учетных данных, демонстрируя свои продвинутые возможности.
-----

Анализируемая кампания, получившая название "Operation Covert Access", сосредоточена на доставке сложного Remote Access Trojan (RAT) с помощью тактики целевого фишинга, специально нацеливаясь на судебный сектор Аргентины. Кампания характеризуется многоступенчатой цепочкой инфицирования, где злоумышленники используют обманчивые судебные документы, эксплуатируя доверие пользователей к официальным коммуникациям, чтобы получить доступ к целевым системам. Зловредный компонент представляет собой RAT на основе Rust, разработанный для скрытного и постоянного проникновения в сети федеральных судов, юридических практиков и связанных учреждений.

Атака начинается с тщательно подготовленных целевых фишинговых писем, содержащих сжатый ZIP-архив. Внутри этого архива находится злонамеренный ярлык Windows (.LNK), предназначенный для выполнения пакетного скрипта с использованием PowerShell в скрытом режиме, одновременно открывая выглядящий легитимно PDF. Эта двойная активация эффективно скрывает злонамеренную активность, позволяя фактическому полезному компоненту быть доставленным и активированным без поднятия подозрений у пользователя.

Пакетный скрипт, установленный в файле LNK, подключается к репозиторию GitHub для загрузки основного полезного груза, замаскированного под "msedge_proxy.exe" в директории пользовательских данных Microsoft Edge. Этот выбор имени файла и местоположения служит для дальнейшей маскировки его истинной природы. После выполнения RAT демонстрирует несколько мер противодействия анализу, таких как обнаружение выполнения в виртуализированных или контролируемых средах путем сканирования на наличие индикаторов технологий виртуализации и мониторинговых инструментов. Если он выявляет такие условия, он немедленно завершает свой процесс, чтобы избежать обнаружения.

После успешного выполнения вредоносное ПО устанавливает надежный канал связи командованием и управления (C2) с резервными возможностями как для IPv4, так и для IPv6, обеспечивая ему постоянный доступ. Операционная структура включает в себя различные команды для управления файлами, сбора данных и повышения привилегий. RAT может динамически загружать дополнительные модули, включая основанный на DLL программный комплекс для вымогательства и инструменты для сбора учетных данных, что обеспечивает универсальность и адаптивность к изменяющимся задачам.

Ключевые команды, такие как PERSIST_ENABLE, PERSIST_REMOVE, HARVEST, ENCRYPT и ELEVATE, иллюстрируют всеобъемлющие контрольные возможности вредоносного ПО, позволяя ему выполнять передачу файлов, шифровать данные и поддерживать устойчивость с помощью различных методов, таких как записи в реестре и запланированные задачи. Кроме того, входящие команды C2 кодируются в Base64, подчеркивая необходимость наличия надежной рутинной декодировки внутри вредоносного ПО для эффективного выполнения инструкций.

Операция завершает выделением необходимости в улучшении мер кибербезопасности, особенно из-за эффективности методов выполнения атаки и упорного характера развернутого RAT. Это подчеркивает критическую проблему для защитников против сложных тактик социального инженерии, совмещенных с современными механизмами доставки вредоносного ПО, что усиливает необходимость бдительности и улучшенных защитных стратегий в институциональных условиях.

#ParsedReport #CompletenessMedium
13-03-2026

Body Title Malware distribution using a fake FileZilla site Malware Analysis Report by 4 2026. 3. 13. 14:38

https://blog.alyac.co.kr/5738

Report completeness: Medium

Threats:
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Hvnc_tool

Victims:
General users

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1071.001, T1102, T1106, T1113, T1140, T1204.002, T1497.001, T1555, have more...

IOCs:
File: 18
Domain: 2
Url: 3
Hash: 3
IP: 1

Soft:
VirtualBox

Algorithms:
exhibit, md5, zip

Win Services:
VGauthService

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кибератака была связана с вредоносным ПО, распространяемым через поддельный сайт FileZilla, где вредоносная DLL была встроена в легитимную версию приложения. Нападающие использовали загрузку DLL для выполнения вредоносного ПО, которое служит загрузчиком для окончательной установки Трояна удаленного доступа (RAT), способного на кражу учетных данных и удаленное управление. Операция продемонстрировала организованное управление со стороны группы угроз, применяющей такие методы, как DNS через HTTPS, чтобы избежать обнаружения, и сложные проверки для ухода от аналитических сред.
-----

Недавняя атака была идентифицирована, в которой вредоносное ПО распространяется через поддельный веб-сайт, имитирующий официальный сайт FileZilla. Участники угроз используют убедительное воспроизведение сайта, чтобы заманить пользователей в загрузку вредоносной версии клиента FTP FileZilla. В частности, атака включает в себя встраивание вредоносного DLL-файла в легитимную версию FileZilla, что позволяет вредоносному ПО выполнять свои действия наряду с нормальным поведением программы.

Первоначальная фаза атаки включала сжатые файлы, содержащие портативную версию FileZilla 3.69.5 вместе с вредоносным DLL под названием version.dll. Когда пользователи распаковывают и запускают этот файл, DLL выполняется с помощью техники, известной как DLL sideloading, которая использует приоритет загрузки DLL в Windows. Это позволяет вредоносному DLL загружаться перед легитимным. В последующих атаках появился более упорядоченный подход, при котором единый исполняемый файл содержал как подлинный установщик FileZilla, так и вредоносный DLL. Запуск этого исполняемого файла инициирует типичный процесс установки, одновременно помещая вредоносный DLL в каталог установки для выполнения во время будущих запусков FileZilla.

Вредоносная DLL функционирует как загрузчик, используя многоступенчатый процесс для обхода обнаружения безопасности. Каждый загрузчик извлекает и расшифровывает следующую стадию своего полезного нагрузки, которая в конечном итоге выполняет Remote Access Trojan (RAT). Нападающие использовали технологии DNS over HTTPS (DoH) для обхода традиционного мониторинга DNS, используемого решениями сетевой безопасности. Отправляя зашифрованные DNS-запросы, замаскированные под обычный HTTPS-трафик к публичному резольверу Cloudflare, они эффективно обошли механизмы обнаружения, предназначенные для блокировки подозрительных доменов.

Более того, проанализированные данные из связи Командного и Контрольного центра (C2) указывают на систематическое управление векторами заражения через специфические параметры, что предполагает, что операция организована определенной группой угроз, а не отдельным лицом. Различные проверки в вредоносной DLL оценивают характеристики системы, включая версию BIOS и программное обеспечение виртуализации, чтобы идентифицировать среды анализа и предотвратить обнаружение.

Итоговая нагрузка идентифицирована как RAT, способный выполнять ряд вредоносных действий, включая кражу учетных данных, регистрация нажатий клавиш, захват скриншотов и создание скрытых удаленных сеансов доступа. Это позволяет злоумышленникам скрытно манипулировать зараженными системами, укрепляя их контроль и облегчая дополнительные вредоносные действия без ведома пользователя.

Характерные черты этой атаки примечательны своей зависимостью от социальной инженерии, продвинутых техник уклонения и организованного управления целями, а не эксплуатации уязвимостей системы. Использование поддельных веб-сайтов для распространения законного программного обеспечения с встроенным вредоносным ПО является примером устойчивой угрозы в киберпространстве.

#ParsedReport #CompletenessMedium
12-03-2026

A Slopoly start to AI-enhanced ransomware attacks

https://www.ibm.com/think/x-force/slopoly-start-ai-enhanced-ransomware-attacks

Report completeness: Medium

Actors/Campaigns:
Hive0163 (motivation: financially_motivated)
Fin12
Ta569
Tag-124
Landupdate808

Threats:
Slopoly
Interlock
Nodesnake
Interlockrat
Junkfiction
Polymorphism_technique
Clickfix_technique
Azcopy_tool
Oyster
Supper_backdoor
Zapcat
Portstarter
Systembc
Rhysida
Socgholish_loader
Kongtuke
Promptspy
Promptlock
Promptflux
Voidlink

Victims:
Ransomware victims

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1027, T1036, T1053.005, T1057, T1059.001, T1059.003, T1070.004, T1071.001, T1105, have more...

IOCs:
Domain: 34
IP: 4
Command: 3
File: 4
Hash: 1

Soft:
Instagram, Linux, Windows Task Scheduler, Windows Defender, OpenSSL

Algorithms:
sha256, aes-gcm, aes

Functions:
remove

Languages:
powershell, javascript, java, php

Links:
have more...
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года группа Hive0163 запустила новый ransomware с поддержкой ИИ под названием "Slopoly," который использует зашифрованные сеансовые ключи, хранящиеся вне системы, и общается с сервером управления и контроля для выполнения команд. Цепочка атаки началась с тактики социального инженерии ClickFix, в результате чего была установлена рамочная структура вредоносного ПО на основе NodeJS, которая развернула Slopoly. Кроме того, ransomware Interlock, часть арсенала той же группы, использует шифрование AES и RSA, что усложняет обнаружение из-за использования стандартных взаимодействий с пользователем.
-----

В начале 2026 года IBM X-Force выявила новый улучшенный с помощью ИИ штамм программ-вымогателей под названием "Slopoly", развернутый группой Hive0163 во время операций с программами-вымогателями. Эта группа преследует финансовые цели и связана с несколькими высокопрофильными инцидентами программ-вымогателей, используя различные частные криптеры и вредоносные программы с доступом издалека, такие как NodeSnake, InterlockRAT и другие. Внедрение ИИ в разработку их вредоносного ПО указывает на тревожный сдвиг в том, как киберпреступники могут быстро внедрять инновации и расширять свои операции.

Malware Slopoly включает несколько примечательных функций, таких как хранение зашифрованных сеансовых ключей в назначенных файлах, а не в самом зашифрованном данных. Он работает через клиентский компонент, который взаимодействует с сервером управления и контроля (C2), отправляя периодические маяки и получая команды для выполнения. Архитектура Slopoly указывает на то, что он, вероятно, был сгенерирован менее продвинутой языковой моделью (LLM), которая создала скрипт PowerShell, характеризующийся стандартными логами, комментариями и именами переменных, что указывает на явный намерение для злонамеренного использования.

Цепочка атак началась с атаки ClickFix, тактики социальной инженерии, которая манипулирует пользователями, заставляя их запускать злонамеренные скрипты. Этот первоначальный взлом позволил установить фреймворк вредоносного ПО на базе NodeJS, который способствовал развертыванию последующих нагрузок, включая Slopoly. Операционные возможности вредоносного ПО включают функции задней двери и базовые, но важные функции, такие как сигнализация и выполнение команд через простой интерфейс. Обнаружение Slopoly затруднено из-за его зависимости от стандартных пользовательских взаимодействий и скромного уровня сложности.

Ransomware Interlock, еще один элемент инструментария Hive0163, работает как 64-битный исполняемый файл, использующий AES и RSA для шифрования файлов, специально нацеленный на файлы на логических дисках. Ransomware выполняется с различными параметрами, влияющими на его поведение шифрования и функции управления файлами. Он создает записки о выкупе после шифрования, оставляя такие следы, как механизмы "пersistence", чтобы сохранить доступ.

Наблюдаемые тактики и инструменты отражают тенденцию к более быстрому и преходящему развитию вредоносного ПО. Поскольку использование ИИ в киберпреступности увеличивается, легкость и эффективность, с которой актеры могут создавать уникальные экземпляры вредоносного ПО, ставят под сомнение традиционные методы выявления и атрибуции. Эволюция ландшафта угроз, отмеченная появлением эфемерного вредоносного ПО и приближающимися достижениями в области агентов ИИ, требует от рамок кибербезопасности адаптироваться к этим быстрым изменениям, чтобы защититься от все более сложных угроз.

#ParsedReport #CompletenessHigh
11-03-2026

HellsUchecker: ClickFix to blockchain-backed backdoor

https://www.derp.ca/research/hellsuchecker-clickfix-etherhiding/

Report completeness: High

Threats:
Hellsuchecker
Clickfix_technique
Lolbin_technique
Etherhiding_technique
Hellsgate_technique
Amos_stealer
Ocrfix_technique
Odyssey_stealer
Trojan.bat.agent.crd
Dropper/bat.agent.br
Polyglot_technique
Process_hacker_tool
Process_camouflage_technique
Timestomp_technique

Victims:
Windows users, Macos users

Industry:
Telco, Education, Financial

Geo:
Russian, Armenia, Russia, Moscow, Belarus, Azerbaijan, Tajikistan, Moldova, Georgia, Kyrgyzstan, Ukraine, Kazakhstan, Uzbekistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.005, T1027.010, T1036, T1036.005, T1055.012, T1059.003, T1059.006, T1070.004, have more...

IOCs:
Domain: 15
File: 33
Url: 3
Hash: 4
Path: 7
IP: 5
Email: 1
Coin: 2

Soft:
Cloudflare Turnstile, macOS, Windows TCP/IP, Unix, curl, Huorong, Visual Studio, NET Framework, gatekeeper, Xen, have more...

Crypto:
ethereum

Algorithms:
aes-128-cbc, deflate, sha3, sha256, prng, xor, rc4, base64, chacha20, zip

Functions:
name, CreateObject, LastIndexOf, RPC, C2, GetStdHandle

Win API:
RegisterApplicationRestart, VirtualAlloc, NtCreateSection, NtMapViewOfSection, CreateProcessW, NtDelayExecution, RtlAllocateHeap, polygon, MemoryBarrier, GlobalMemoryStatusEx, have more...

Languages:
python

Platforms:
x86, arm, intel, x64

YARA: Found

Links:
https://github.com/kirkderp/yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HellsUchecker - это продвинутый x64 бекдор, использующий сложную 10-ступенчатую цепочку атак, инициируемую обманчивой ClickFix приманкой, которая имитирует CAPTCHA. Он использует фишинговую страницу, чтобы побудить выполнение злонамеренных команд через легитимную утилиту, после чего загружает полезные нагрузки, которые полностью работают в памяти для избежания обнаружения. Это вредоносное ПО использует уникальную технику выполнения Hell's Gate, проводит обширные проверки на наличие песочницы и использует блокчейн для управления командой и контролем, что обеспечивает постоянную адаптируемость и устойчивость.
-----

HellsUchecker – это сложный нативный x64 бэкдор размером 28 КБ, известный своей комплексной 10-ступенчатой атакой, которая начинается с обманчивой приманки ClickFix, напоминающей CAPTCHA от Cloudflare, и завершается нагрузкой, резидирующей в памяти, которая связывается со своим сервером управления и контроля (C2) по HTTPS.

Начальная стадия направляет жертв на фишинговую страницу h01-captcha.sbs, которая реплицирует легитимный интерфейс CAPTCHA. После взаимодействия она предлагает пользователям выполнить вредоносную командную строку, с помощью payload из буфера обмена, который запускает легитимную утилиту Windows "finger.exe" на порту 79. Эта утилита загружает вредоносные команды, скрытые в специально созданном файле .plan с вредоносного сервера. Затем payload применяет серию инструкций для отключения explorer.exe рабочего стола, загрузки легитимного пакета встроенного Python, замаскированного под PDF, и выполнения вторичного payload через скрипт, закодированный в base64.

По мере прогрессирования атаки используется смарт-контракт на BNB Smart Chain для маскировки деталей C2 сервера, внедряя конфигурацию в блокчейн и применяя уникальный механизм дешифрования, который использует основанный на времени nonce для дополнительной безопасности. Чтобы улучшить методы уклонения, HellsUchecker выполняет 26 проверок на анти-песочницу, чтобы избежать обнаружения, оценивая системные параметры, такие как ОЗУ и дисковое пространство, а также наличие известных средств безопасности. Чтобы дальнейше избежать анализа, вредоносное ПО реализует параллельные потоки, генерирующие ложный сетевой трафик для сокрытия своих реальных коммуникаций.

Инжектор использует технику, названную Hell's Gate, чтобы выполнять shellcode напрямую, не вызывая срабатывание традиционных механизмов обнаружения. Он избегает стандартного использования Windows API, улучшая скрытность за счет полагания на прямые системные вызовы. Окончательный полезный груз полностью загружается в память и создаётся так, чтобы существовать только как динамически сгенерируемый исполняемый файл, никогда не записываемый на диск, тем самым обходя традиционные методы обнаружения на основе файлов.

С операционной точки зрения, backdoor разработан для обеспеченияpersistens, создавая копии начального BAT-файла в различных скрытых директориях. При перезагрузке он может повторно инициировать процесс инфекции, получая последние конфигурации от C2, предоставляемые через обновления блокчейна. Эта непрерывная связь позволяет злоумышленнику без проблем адаптировать свою инфраструктуру управления. В настоящее время backdoor функционирует, а следы инфраструктуры простираются по нескольким странам, что еще раз указывает на его обширную и устойчивую природу.

В целом, HellsUchecker представляет собой значительное преимущество в киберугрозах, используя различные техники уклонения, сложные механизмы доставки вредоносных программ и инновационное использование блокчейна для командования и управления, что значительно усложняет обнаружение и смягчение угроз.

#ParsedReport #CompletenessHigh
16-03-2026

Web Shells, Tunnels, and Ransomware: Dissecting a Warlock Attack

https://www.trendmicro.com/en_us/research/26/c/dissecting-a-warlock-attack.html

Report completeness: High

Actors/Campaigns:
Warlock

Threats:
Yuze_tool
Byovd_technique
X2anylock
Rclone_tool
Cobalt_strike_tool
Dll_sideloading_technique
Mimikatz_tool
Dcsync_technique
Cloudflared_tool
Nsec-killer_tool
Credential_dumping_technique
Av-killer

Victims:
Technology sector, Manufacturing sector, Government sector, Education sector

Industry:
Government, Education

Geo:
Germany, Russia

TTPs:
Tactics: 11
Technics: 19

IOCs:
File: 50
Domain: 2
Url: 5
Path: 19
IP: 4
Command: 3
Hash: 6

Soft:
TightVNC, Microsoft SharePoint, Velociraptor, Windows service, PsExec, Microsoft Edge, SharePoint server, Supabase, PccNTMon, Active Directory, have more...

Algorithms:
zip, sha256

Win API:
TmExtIns

Win Services:
WebClient, Ntrtscan, TmListen, TmCCSF, TmPfw, MsMpEng

Languages:
powershell

Platforms:
cross-platform, x86

Links:
https://github.com/BlackSnufkin/BYOVD

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Warlock усовершенствовала свою методику атак, интегрировав инструменты для сохранения доступа, бокового перемещения и уклонения, в частности, используя TightVNC, Yuze и эксплуатируя уязвимости драйверов NSec. Начальный доступ осуществляется через незавершенные серверы Microsoft SharePoint, что приводит к развертыванию программ-вымогателей через Cobalt Strike и тактикам уклонения, которые включают пользовательские инструменты на уровне ядра. Их операция включает сбор учетных данных с помощью Mimikatz, боковое перемещение с помощью PsExec и быстрое извлечение данных в ведро S3, контролируемое атакующим.
-----

Группа-вымогатель Warlock усовершенствовала свою цепочку атак с новыми тактиками, сосредоточенными на постоянстве, латеральном перемещении и уклонении. Они используют TightVNC, Yuze и технику BYOVD, эксплуатирующую уязвимости в драйвере NSec. Начальный доступ часто осуществляется через непатченные серверы Microsoft SharePoint, доступные из интернета. Они разворачивают вымогательские программы через Cobalt Strike, который соединяется через легитимный процесс w3wp.exe и внедряет вредоносный код, маскирующийся под бинарный файл Microsoft. Удалённые полезные нагрузки загружаются с помощью таких инструментов, как Velociraptor, замаскированных под легитимное программное обеспечение для эксфильтрации данных и командно-контрольных коммуникаций.

Методы постоянства включают скрытую установку TightVNC в качестве службы Windows. Yuze используется как основанный на C инструмент с открытым исходным кодом для обратного прокси, чтобы обойти традиционные меры безопасности. Группа также использует туннели Cloudflare, чтобы смешивать вредоносный трафик с легитимными операциями. Доступ к учетным данным включает атаки DCSync с использованием Mimikatz и debug.exe для сбора имен пользователей и паролей домена. Боковое движение достигается с помощью PsExec и PowerShell Remoting для выполнения команд и установки инструментов на других системах.

Для командного управления Warlock использует Velociraptor и туннелирование VS Code для скрытых коммуникационных каналов. Их специально разработанный инструмент NSec-Killer нацеливается на критически важные процессы продуктов безопасности на уровне ядра, чтобы избежать обнаружения. Выдача данных происходит напрямую в управляемый злоумышленником S3 бакет из целевых файловых общих папок. Вымогатель устанавливается с использованием групповой политики Active Directory для репликации вредоносных компонентов на системах, присоединённых к домену, что включает в себя шифрование файлов и оставление записки с требованием выкупа для жертв.

#ParsedReport #CompletenessHigh
16-03-2026

Remcos Banking Fraud via Three AutoIt Persistence Chains

https://www.derp.ca/research/remcos-autoit-persistence/

Report completeness: High

Actors/Campaigns:
Serpentine_cloud
Purecoder

Threats:
Remcos_rat
Purehvnc_tool
Violet_rat
Purelogs
Purecryptor
Process_hollowing_technique
Screen_shotting_technique
Hvnc_tool
Donut_loader
Donut

Victims:
Banking customers, Financial services

Industry:
Foodtech, Financial

Geo:
Canadian, American, Budapest

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036.004, T1036.005, T1053.005, T1055.012, T1056.001, T1059.003, T1071.001, T1112, have more...

IOCs:
Hash: 11
File: 11
Path: 1
Domain: 19
IP: 1

Soft:
EcoOptimize, WealthWise, NET Framework, ledger live, EcoOptimize WealthWise

Wallets:
bitpay, exodus_wallet, atomicwallet, metamask

Algorithms:
aes-256, aes-256-cbc, lznt1, rc4, base64, ecc, gzip, aes, sha256, rsa-4096

Functions:
TestFunction

Win API:
ecompress

Languages:
autoit, python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ сосредоточен на сложной кибератаке, использующей Remcos malware, применяющей три различных метода сохранения через сценарии AutoIt, направленной на захват скриншотов канадских банковских порталов. Вредоносное ПО использует процессное полое создание с помощью бинарников Windows для уклонения и имеет зашифрованные конфигурационные файлы, которые обеспечивают целенаправленную нацеливание на онлайн-банки. Кроме того, атака использует надежную инфраструктуру командного и контрольного управления с шифрованием mutual TLS, что указывает на высокий уровень сложности в стратегии экстракции данных и сохранения.
-----

Анализ сложной кибератаки с участием вредоносного ПО Remcos и его устойчивых механизмов выявляет использование трех различных цепочек устойчивости, которые используют язык сценариев AutoIt. Эти цепочки имитируют законные бизнес-приложения и устанавливаются в локальный каталог данных приложений пользователя, создавая запланированные задачи, которые периодически возобновляют свои полезные нагрузки. Две цепочки развертывают Remcos v7.0.1 Pro, который захватывает скриншоты канадских банковских порталов каждые пять секунд, в то время как третья цепочка поставляет PureHVNC, инструмент удаленного доступа.

Каждая из цепочек Remcos предназначена для обхода средств безопасности, используя родные бинарные файлы Windows для вытягивания процессов. Сообщения Eloquent сообщали о многочисленных случаях, когда обнаруженные процессы постоянно восстанавливались планировщиком задач. Например, на одной машине цепочка WealthWise зарегистрировала более 3,500 обнаружений всего за два дня, что указывает на надежную стратегию устойчивости. Файл конфигурации Remcos, который зашифрован с использованием алгоритмов RC4 и LZNT1, содержит основные параметры для его работы, включая полный список ключевых слов для активации функции снимка экрана, в основном направленной на финансовые учреждения в Канаде.

Инфраструктура командования и управления (C2) для атаки сложно спроектирована, демонстрируя устойчивость благодаря использованию множества доменов, размещенных различными провайдерами динамического DNS, что обеспечивает постоянную связь несмотря на потенциальные отключения. Вредоносное ПО использует взаимное TLS-шифрование с использованием самоподписанных сертификатов ECC P-256 для безопасной связи с сервером C2, хотя это является недостатком для жертв, так как злоумышленники могут легко экстрагировать данные, если файл конфигурации будет извлечен.

Более того, возможности нацеливания эволюционировали, как видно на примере варианта WealthWise; он сократил количество ключевых слов с 62 до 50 и сместил акцент с общих названий банков на те, что конкретно ссылаются на сами порталы онлайн-банкинга, что иллюстрирует усиление акцента на эффективном нацеливании. Поведение вредоносного ПО включает в себя комплексное ведение журналов и сохранение скриншотов в замаскированном месте, чтобы избежать обнаружения. Скриншоты чувствительных банковских данных хранятся в папках, вводящих в заблуждение, которые помечены как данные Spotify.

В противопоставлении элементов атаки цепочка UrbanEco работает независимо от Remcos, предоставляя инструмент PureHVNC, при этом она использует ту же инфраструктуру C2, что еще больше подчеркивает стратегию оператора по поддержанию доступа через несколько каналов. Этот многослойный подход к настойчивости и избыточности на разных инструментах вредоносного ПО демонстрирует продвинутое понимание тактик уклонения и готовность адаптировать стратегии в зависимости от обратной связи с окружением. В целом, эта серия выводов о атаке отражает хорошо скоординированную кампанию, которая высоко сосредоточена на финансовом мошенничестве и получении несанкционированного доступа к конфиденциальным данным через длительную настойчивость и сложные оперативные тактики.

#ParsedReport #CompletenessMedium
13-03-2026

The Rise of Fake Shipment Tracking Scams in MEA

https://www.group-ib.com/blog/mea-shipment-tracking-scam/

Report completeness: Medium

Threats:
Darcula_tool
Credential_harvesting_technique

Victims:
General public, Postal and delivery users

Industry:
Telco, Aerospace, Transport, E-commerce, Education, Government, Financial, Logistic

Geo:
Egyptian, Africa, China, Japan, Egypt, Middle east

ChatGPT TTPs:
do not use without manual check
T1056.001, T1071.001, T1566.002, T1583.001, T1608.004, T1621

IOCs:
Url: 1
File: 1
Domain: 4

Soft:
Telegram, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенничество "фальшивая отслеживание доставки", распространенное с начала 2024 года, эксплуатирует зависимость от электронной коммерции, отправляя SMS-сообщения с утверждениями о сбоях в доставке и направляя жертв на поддельные сайты отслеживания для сбора личной и банковской информации. Используя подмену идентификатора отправителя, встроенные скрипты для сбора учетных данных и срочные тактики социального инжиниринга, эти атаки в основном нацелены на логистику посылок, финансовые услуги и телекоммуникации, особенно на Ближнем Востоке и в Африке. Ссылки на китайскоязычную платформу Phishing-as-a-Service, Darcula, способствуют быстрому развертыванию сложных операций фишинга.
-----

Мошенничество "фальшивый трекинг посылки" стало распространенной киберугрозой, использующей электронную торговлю и службы доставки посылок с начала 2024 года. Фишинговые схемы обычно начинаются через SMS-сообщения, утверждающие о сбоях в доставке, побуждая жертв обновить свой адрес или оплатить сборы за обработку. Сообщения создают ощущение срочности и выглядят официально, чтобы побудить взаимодействие с вредоносными ссылками, ведущими на поддельные страницы трекинга.

Эти схемы используют доставку SMS с использованием методов подделки идентификатора отправителя, чтобы сливаться с легитимными разговорами. Инфраструктура, используемая в этих схемах, демонстрирует характеристики организованной операции, с встроенными скриптами для сбора учетных данных и мониторинга в реальном времени через соединения WebSocket. Обычно украденные данные включают личные данные, банковские учетные данные, информацию о кредитных картах и одноразовые пароли (OTP), которые эксфильтруются через установленные каналы.

Темы атак расширились за пределы доставки посылок и включили онлайн-шопинг, телекоммуникационные услуги и обработку платежей, в первую очередь нацеливаясь на почтовые службы, финансовые услуги и телекоммуникации в регионе Ближнего Востока и Африки. Исследователи Group-IB связали эти мошеннические схемы с китайскоязычной платформой Phishing-as-a-Service Darcula, которая предлагает инструменты и шаблоны для фишинга для быстрого развертывания атак.

Фишинговые страницы часто используют оптимизированные для мобильных устройств URL, которые выглядят законными, используя имена местных организаций для повышения доверия. Техники, применяемые злоумышленниками, включают внедрение вредоносных скриптов и социальную инженерию, основанную на срочности, используя слабо регулируемые доменные имена для скрытого выполнения мошенничества.