#ParsedReport #CompletenessHigh
16-03-2026

Remcos Banking Fraud via Three AutoIt Persistence Chains

https://www.derp.ca/research/remcos-autoit-persistence/

Report completeness: High

Actors/Campaigns:
Serpentine_cloud
Purecoder

Threats:
Remcos_rat
Purehvnc_tool
Violet_rat
Purelogs
Purecryptor
Process_hollowing_technique
Screen_shotting_technique
Hvnc_tool
Donut_loader
Donut

Victims:
Banking customers, Financial services

Industry:
Foodtech, Financial

Geo:
Canadian, American, Budapest

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036.004, T1036.005, T1053.005, T1055.012, T1056.001, T1059.003, T1071.001, T1112, have more...

IOCs:
Hash: 11
File: 11
Path: 1
Domain: 19
IP: 1

Soft:
EcoOptimize, WealthWise, NET Framework, ledger live, EcoOptimize WealthWise

Wallets:
bitpay, exodus_wallet, atomicwallet, metamask

Algorithms:
aes-256, aes-256-cbc, lznt1, rc4, base64, ecc, gzip, aes, sha256, rsa-4096

Functions:
TestFunction

Win API:
ecompress

Languages:
autoit, python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ сосредоточен на сложной кибератаке, использующей Remcos malware, применяющей три различных метода сохранения через сценарии AutoIt, направленной на захват скриншотов канадских банковских порталов. Вредоносное ПО использует процессное полое создание с помощью бинарников Windows для уклонения и имеет зашифрованные конфигурационные файлы, которые обеспечивают целенаправленную нацеливание на онлайн-банки. Кроме того, атака использует надежную инфраструктуру командного и контрольного управления с шифрованием mutual TLS, что указывает на высокий уровень сложности в стратегии экстракции данных и сохранения.
-----

Анализ сложной кибератаки с участием вредоносного ПО Remcos и его устойчивых механизмов выявляет использование трех различных цепочек устойчивости, которые используют язык сценариев AutoIt. Эти цепочки имитируют законные бизнес-приложения и устанавливаются в локальный каталог данных приложений пользователя, создавая запланированные задачи, которые периодически возобновляют свои полезные нагрузки. Две цепочки развертывают Remcos v7.0.1 Pro, который захватывает скриншоты канадских банковских порталов каждые пять секунд, в то время как третья цепочка поставляет PureHVNC, инструмент удаленного доступа.

Каждая из цепочек Remcos предназначена для обхода средств безопасности, используя родные бинарные файлы Windows для вытягивания процессов. Сообщения Eloquent сообщали о многочисленных случаях, когда обнаруженные процессы постоянно восстанавливались планировщиком задач. Например, на одной машине цепочка WealthWise зарегистрировала более 3,500 обнаружений всего за два дня, что указывает на надежную стратегию устойчивости. Файл конфигурации Remcos, который зашифрован с использованием алгоритмов RC4 и LZNT1, содержит основные параметры для его работы, включая полный список ключевых слов для активации функции снимка экрана, в основном направленной на финансовые учреждения в Канаде.

Инфраструктура командования и управления (C2) для атаки сложно спроектирована, демонстрируя устойчивость благодаря использованию множества доменов, размещенных различными провайдерами динамического DNS, что обеспечивает постоянную связь несмотря на потенциальные отключения. Вредоносное ПО использует взаимное TLS-шифрование с использованием самоподписанных сертификатов ECC P-256 для безопасной связи с сервером C2, хотя это является недостатком для жертв, так как злоумышленники могут легко экстрагировать данные, если файл конфигурации будет извлечен.

Более того, возможности нацеливания эволюционировали, как видно на примере варианта WealthWise; он сократил количество ключевых слов с 62 до 50 и сместил акцент с общих названий банков на те, что конкретно ссылаются на сами порталы онлайн-банкинга, что иллюстрирует усиление акцента на эффективном нацеливании. Поведение вредоносного ПО включает в себя комплексное ведение журналов и сохранение скриншотов в замаскированном месте, чтобы избежать обнаружения. Скриншоты чувствительных банковских данных хранятся в папках, вводящих в заблуждение, которые помечены как данные Spotify.

В противопоставлении элементов атаки цепочка UrbanEco работает независимо от Remcos, предоставляя инструмент PureHVNC, при этом она использует ту же инфраструктуру C2, что еще больше подчеркивает стратегию оператора по поддержанию доступа через несколько каналов. Этот многослойный подход к настойчивости и избыточности на разных инструментах вредоносного ПО демонстрирует продвинутое понимание тактик уклонения и готовность адаптировать стратегии в зависимости от обратной связи с окружением. В целом, эта серия выводов о атаке отражает хорошо скоординированную кампанию, которая высоко сосредоточена на финансовом мошенничестве и получении несанкционированного доступа к конфиденциальным данным через длительную настойчивость и сложные оперативные тактики.

#ParsedReport #CompletenessMedium
13-03-2026

The Rise of Fake Shipment Tracking Scams in MEA

https://www.group-ib.com/blog/mea-shipment-tracking-scam/

Report completeness: Medium

Threats:
Darcula_tool
Credential_harvesting_technique

Victims:
General public, Postal and delivery users

Industry:
Telco, Aerospace, Transport, E-commerce, Education, Government, Financial, Logistic

Geo:
Egyptian, Africa, China, Japan, Egypt, Middle east

ChatGPT TTPs:
do not use without manual check
T1056.001, T1071.001, T1566.002, T1583.001, T1608.004, T1621

IOCs:
Url: 1
File: 1
Domain: 4

Soft:
Telegram, WhatsApp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенничество "фальшивая отслеживание доставки", распространенное с начала 2024 года, эксплуатирует зависимость от электронной коммерции, отправляя SMS-сообщения с утверждениями о сбоях в доставке и направляя жертв на поддельные сайты отслеживания для сбора личной и банковской информации. Используя подмену идентификатора отправителя, встроенные скрипты для сбора учетных данных и срочные тактики социального инжиниринга, эти атаки в основном нацелены на логистику посылок, финансовые услуги и телекоммуникации, особенно на Ближнем Востоке и в Африке. Ссылки на китайскоязычную платформу Phishing-as-a-Service, Darcula, способствуют быстрому развертыванию сложных операций фишинга.
-----

Мошенничество "фальшивый трекинг посылки" стало распространенной киберугрозой, использующей электронную торговлю и службы доставки посылок с начала 2024 года. Фишинговые схемы обычно начинаются через SMS-сообщения, утверждающие о сбоях в доставке, побуждая жертв обновить свой адрес или оплатить сборы за обработку. Сообщения создают ощущение срочности и выглядят официально, чтобы побудить взаимодействие с вредоносными ссылками, ведущими на поддельные страницы трекинга.

Эти схемы используют доставку SMS с использованием методов подделки идентификатора отправителя, чтобы сливаться с легитимными разговорами. Инфраструктура, используемая в этих схемах, демонстрирует характеристики организованной операции, с встроенными скриптами для сбора учетных данных и мониторинга в реальном времени через соединения WebSocket. Обычно украденные данные включают личные данные, банковские учетные данные, информацию о кредитных картах и одноразовые пароли (OTP), которые эксфильтруются через установленные каналы.

Темы атак расширились за пределы доставки посылок и включили онлайн-шопинг, телекоммуникационные услуги и обработку платежей, в первую очередь нацеливаясь на почтовые службы, финансовые услуги и телекоммуникации в регионе Ближнего Востока и Африки. Исследователи Group-IB связали эти мошеннические схемы с китайскоязычной платформой Phishing-as-a-Service Darcula, которая предлагает инструменты и шаблоны для фишинга для быстрого развертывания атак.

Фишинговые страницы часто используют оптимизированные для мобильных устройств URL, которые выглядят законными, используя имена местных организаций для повышения доверия. Техники, применяемые злоумышленниками, включают внедрение вредоносных скриптов и социальную инженерию, основанную на срочности, используя слабо регулируемые доменные имена для скрытого выполнения мошенничества.

#ParsedReport #CompletenessHigh
16-03-2026

GhostWeaver - a malware that lives up to its name

https://www.derp.ca/briefings/ghostweaver-powershell-rat/

Report completeness: High

Actors/Campaigns:
Ta582
Tag-124
Unc4108
Ta569
Ta866

Threats:
Ghostweaver
Pantera
Mintsloader
Uac_bypass_technique
Boinc_tool
Socgholish_loader
Parrot_tds_tool
Amsi_bypass_technique
Asyncrat
Nmap_tool
Formgrabber
Mitm_technique
Polymorphism_technique
Remcos_rat
Interlock
Rhysida
Oyster
Stealc
Obfus
Process_injection_technique
Violet_rat

Victims:
Enterprise networks, Wordpress site visitors, Boinc users, Windows domain controllers

Industry:
Energy, Financial

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 19

IOCs:
File: 9
IP: 18
Hash: 16
Path: 4
Registry: 1
Command: 1

Soft:
Telegram, WordPress, Chrome, Firefox, Outlook, curl, Task Scheduler, Zimbra

Algorithms:
prng, base64, sha512, xor, sha256, gzip, sha1

Functions:
PowerShell, Get-Content, Get-MpComputerStatus

Win API:
AmsiOpenSession, VirtualProtectEx, WriteProcessMemory, ShowWindowAsync

Languages:
autoit, javascript, php, visual_basic, jscript, python, powershell

Platforms:
intel

YARA: Found

Links:
have more...
https://github.com/kirkderp/yara
https://github.com/CybercentreCanada/CCCS-Yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostWeaver, безфайловый PowerShell RAT, приписываемый угрозе TA582 (UNC4108), использует сложное шифрование, общаясь через GZip-сжатый JSON по TLS на порту 25658. Он применяет несколько алгоритмов генерации доменных имен для уклонения и имеет постоянный имплант, сигнализирующий каждые три минуты. Малварь включает в себя систему плагинов для динамических возможностей, позволяя выполнять функции, такие как веб-инъекция и кража учетных данных, при этом избегая традиционных методов обнаружения.
-----

GhostWeaver — это сложный безфайловый удаленный доступ Trojan (RAT) PowerShell, идентифицированный как полезная нагрузка актеров угроз TA582, также отслеживаемый как UNC4108 компанией Mandiant. Он использует командно-управляющее (C2) взаимодействие через GZip-сжатый JSON, инкапсулированный в TLS 1.0 на порту 25658. Обнаружение различными антивирусными вендорами классифицирует его под именем Pantera. Вредоносное ПО доставляется на реальные машины, в то время как ложные полезные нагрузки отправляются в песочницы с использованием оркестрованной системы с участием MintsLoader для оценки целей.

Архитектура GhostWeaver является особенно скрытной, с использованием передовых методов обфускации и алгоритмов генерации доменов (DGA), которые создают множество доменов для уклонения. Анализ импланта выявил его устойчивое поведение, при котором маяки отправляют сигналы каждые три минуты в течение более года до обнаружения. Зловред поддерживает несколько стратегий устойчивости, включая механизм обхода контроля учетных записей пользователя (UAC) через маскировку процесса, что позволяет ему работать незамеченным.

Инфраструктура C2 для GhostWeaver охватывает четыре провайдера хостинга, с несколькими узлами, поддерживающими активные соединения. Она использует пять различных алгоритмов DGA для генерации доменов, обойдя фильтрацию DNS через жестко закодированные публичные DNS-резолверы. Примечательно, что вредоносное ПО захватывает методы эксплуатации, связанные с системой распределения трафика TAG-124, которая фильтрует входящие соединения на основе различных факторов, направляя настоящих жертв на вредоносные нагрузки.

Протокол связи GhostWeaver характеризуется использованием сырого TCP, явно избегая стандартных методов HTTP. После установления соединения он использует уникальный формат, включающий заголовок длиной четыре байта и GZip-сжатый JSON. Эта связь предварительно контролируется на предмет манипуляций с интерфейсом сканирования антивирусного программного обеспечения (AMSI) для уклонения от обнаружения.

Установщик постоянного доступа, поставляемый C2, состоит из фреймворка PowerShell размером 58 килобайт, реализующего случайный выбор режима устойчивости на основе конкретных продуктов AV на машине жертвы. Кроме того, GhostWeaver имеет сложную систему плагинов, разрешенную его архитектурой, позволяющую динамическую загрузку различных обфусцированных .NET DLL для дальнейшей функциональности, включая веб-инъекции и кражу учетных данных.

Эволюция GhostWeaver демонстрирует впечатляющий уровень сложности, редкий для массового вредоносного ПО, так как он не присутствует на подпольных форумах или общественных репозиториях. Его поведение указывает на целевой подход к эксплуатации передовых ИТ-сред, развивая возможности для незаметного сбора и передачи критической информации обратно к злонамеренным акторам, при этом поддерживая низкий профиль против типичных механизмов обнаружения.

#ParsedReport #CompletenessHigh
10-03-2026

Tranium wiper: static analysis of a Go binary

https://www.derp.ca/research/tranium-wiper-analysis/

Report completeness: High

Threats:
Tranium
Ransom.win32.agent.gen
Stampado
Shadow_copies_delete_technique
Uac_bypass_technique
Fodhelper_technique
Vssadmin_tool
Ironchain

Victims:
Windows users

Geo:
American

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.003, T1068, T1106, T1112, T1485, T1490, T1491.001, T1499, T1499.004, have more...

IOCs:
File: 32
Command: 4
Path: 1
Url: 5
Domain: 4
IP: 5
Hash: 3
Registry: 9

Soft:
huorong, Windows service, BOOTNXT, winlogon, Windows Defender, bcdedit

Algorithms:
md5, aes-cbc, sha1, sha256, aes

Functions:
FindWindow, CreateFont

Win API:
CryptProtectData, CryptUnprotectData, SystemParametersInfoW, RegisterClassExW, BitBlt, StretchBlt, DrawTextW, TextOutW, BeginPaint, SetTextColor, have more...

Platforms:
intel

Links:
https://github.com/kirkderp/yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tranium — это 6 МБ вредоносное ПО в виде стирателя на основе Go, которое использует шифрование AES-CBC, прежде всего для удаления данных системы и перезаписи Master Boot Record (MBR) на трех дисках, делая операционные системы не загружаемыми. Оно не занимается типичным поведением программ-вымогателей, таким как требование оплаты, вместо этого сосредотачиваясь на уничтожении путем повреждения критически важных системных файлов и применения механизмов сохранения. Примечательно, что оно отключает варианты восстановления, вызывает «Синий экран смерти» и манипулирует системными элементами, чтобы затруднить усилия по восстановлению.
-----

Tranium является вредоносным двоичным файлом на языке Go размером примерно 6 МБ, который проявляет разрушительное поведение на зараженных системах. Он использует шифрование AES-CBC для блокировки файлов, но в первую очередь работает как уничтожитель, необратимо нарушая целостность системы. Вредоносное ПО перезаписывает мастер-загрузочную запись (MBR) на трех физических накопителях, повреждает более 30 критически важных системных файлов, включая файлы загрузочной цепочки и хранилища реестра, что приводит к невозможности загрузки операционной системы. Примечательно, что Tranium не использует никаких механизмов оплаты или коммуникации, которые обычно ассоциируются с программами-вымогателями, таких как адреса кошельков или способы связи, что подтверждает его классификацию как уничтожителя, а не программ-вымогателей.

Статический анализ бинарного файла показывает его SHA256 хеш (06430cf9e0ec9fb5b783db7c01fd59bd651d8877143fc45d2bcd7e4dedaf94a6) и MD5 хеш (5dc62f4c65df422f1e7a0e691b1a075b). Он включает ряд функций, которые методично уничтожают загрузочную среду и поврежденные пользовательские данные. Последовательность исполнения, организованная основной функцией, обеспечивает компрометацию MBR и основных системных файлов до того, как произойдет любое шифрование данных, что делает восстановление невозможным, даже если ключ шифрования каким-то образом можно будет извлечь.

Малварь использует различные механизмы сохранения для поддержания своего присутствия на инфицированных системах, включая ключи запуска в системном реестре, копии файлов в папках автозагрузки и запланированные задачи, которые выполняются каждую минуту. Кроме того, она захватывает инструменты доступности, такие как экранные клавиатуры, так что любая попытка запустить эти утилиты приводит к выполнению Tranium. Ее поведение также включает отключение функций восстановления системы и вызов синего экрана смерти (BSOD), чтобы затруднить восстановление пользователей.

Что касается особенностей, вредоносное ПО изменяет обои рабочего стола, чтобы отобразить изображение YouTuber, который сосредоточен на тестировании вредоносного ПО, и включает воспроизведение аудио в рамках своего исполнения. Вся сетевая активность осуществляется через HTTPS, с использованием конкретного URL для получения обоев и аудиофайлов. Несмотря на свои разрушительные способности, продавцы в целом идентифицируют Tranium как программное обеспечение-вымогатель на основе общих эвристических сигнатур с различной степенью успеха в обнаружении.

#ParsedReport #CompletenessMedium
10-03-2026

The Return of PhantomRaven: Detecting Three New Waves of npm Supply Chain Attacks

https://www.endorlabs.com/learn/return-of-phantomraven

Report completeness: Medium

Actors/Campaigns:
Phantomraven

Threats:
Supply_chain_technique
Phantomraven
Slopsquatting_technique
Babel_tool
Credential_stealing_technique

Victims:
Software developers, Open source ecosystem, Npm users

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1036, T1041, T1041, T1059, T1059.007, T1071.001, T1071.004, T1082, T1105, have more...

IOCs:
File: 6
Url: 5
Domain: 4
IP: 5

Soft:
Jenkins, outlook, gmail, Chrome, Ubuntu

Functions:
fetch

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PhantomRaven нацелена на экосистему npm через атаки на цепочку поставок программного обеспечения, включая 88 вредоносных открытых пакетов, связанных с malware для кражи учетных данных. Используя технику под названием Remote Dynamic Dependencies (RDD), злоумышленники загружают вредоносные payload из внешних серверов во время установки пакетов, обходя традиционные меры безопасности. Данные malware эксфильтруют конфиденциальную информацию через различные каналы, в то время как злоумышленники применяют тактики, такие как slopsquatting и ротация инфраструктуры, чтобы избежать обнаружения, демонстрируя эволюционирующий характер этих угроз.
-----

Кампания PhantomRaven нацелена на экосистему npm с помощью атак на цепочку поставок программного обеспечения, состоящей из 88 вредоносных открытых пакетов. Последние действия охватывают период с ноября 2025 года по февраль 2026 года, при этом 81 вредоносный пакет все еще доступен для загрузки. Злоумышленники используют Remote Dynamic Dependencies (RDD), чтобы скрыть вредоносное ПО, крадущее учетные данные, загружая троянский груз с внешних серверов во время установки пакета. Этот метод обходит традиционные проверки безопасности. Злоумышленники меняют свою инфраструктуру, используя одноразовые npm-аккаунты и изменяя PHP-эндпоинты, имена зависимостей и описания пакетов, чтобы избежать обнаружения. Основной вредоносный груз остается неизменным на протяжении волн кампании, несмотря на разные операционные детали. Каждая волна включает отдельные домены командного и управляющего (C2), и сервер C2 перешел на storeartifacts.com с модификациями в методах эксфильтрации данных. Вредоносное ПО собирает конфиденциальные данные, включая электронные письма и токены CI/CD, с использованием нескольких методов эксфильтрации, таких как HTTP-запросы и WebSocket. Злоумышленники применяют тактику slopsquatting, имитируя названия легитимных проектов, чтобы обмануть разработчиков. Необходимы усовершенствованные методы обнаружения для эффективного анализа как пакетов, так и внешних зависимостей.

#ParsedReport #CompletenessHigh
16-03-2026

PureLogs: Reverse Engineering a .NET RAT From the PureCoder Ecosystem

https://www.derp.ca/research/plog-rat-analysis/

Report completeness: High

Actors/Campaigns:
Purecoder
Serpentine_cloud

Threats:
Purelogs
Purehvnc_tool
Donut_loader
Confuserex_tool
Asyncrat
Venomrat
Dcrat
Xworm_rat
Violet_rat
Remcos_rat
Process_injection_technique
Sandbox_evasion_technique

Victims:
Crypto sector, Telegram users, Email users

Geo:
Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1027.010, T1033, T1041, T1047, T1053.005, T1055, T1057, have more...

IOCs:
Hash: 7
File: 18
IP: 2
Domain: 11
Path: 1
Command: 3

Soft:
NET Framework, Xen, TryCloudflare, Chromium, Chrome, Vivaldi, Opera, CocCoc, Amigo, Torch, have more...

Wallets:
metamask, coinbase, exodus_wallet, keplr, tronlink, xdefi, math_wallet, bitkeep_wallet, electrum, atomicwallet, have more...

Crypto:
binance, ethereum

Algorithms:
gzip, xor, md5, sha256, aes-256-cbc, base64, aes

Functions:
SetWindowsHookEx, GetWindowText

Win API:
AddClipboardFormatListener, NtCreateUserProcessOtherParentProcess, Decompress, VirtualAlloc, WriteProcessMemory, VirtualProtect, varint, OpenProcess, CloseHandle, GetForegroundWindow, have more...

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PureLogs, компонент экосистемы вредоносного ПО PureCoder как услуги, работает с использованием двух различных вариантов. Первый, Mvfsxog.dll, функционирует как многопользовательский экстрактор на основе плагинов, полагаясь на сервер командования и управления для выполнения плагинов в памяти и уклонения от обнаружения. Второй вариант, Qdjlj.dll, является монолитным исполняемым файлом с обширными функциями для кражи криптовалюты, инъекций процессов и логирования нажатий клавиш, в то время как оба варианта акцентируют внимание на уклонении от песочницы и методах динамической доставки полезной нагрузки, усложняя усилия по обнаружению.
-----

PureLogs, также называемый "Plog", идентифицируется как компонент экосистемы PureCoder типа malware-as-a-service. Вредоносное ПО было впервые обнаружено в виде защищенной с помощью ConfuserEx .NET сборки во время многоступенчатого вторжения с отсутствием начальных обнаружений на VirusTotal. Угрозы использовали инфраструктуру командования и управления (C2), общую с несколькими инструментами в наборе PureCoder, включая PureHVNC. Кампания отслеживается Securonix под кодовым именем SERPENTINE#CLOUD.

Основной DLL, связанный с PureLogs, - это Mvfsxog.dll, который служит в качестве этапа на основе плагинов и не имеет собственных наступательных возможностей. Вместо этого он в значительной степени полагается на C2 сервер для доставки вредоносных payload в процессе выполнения динамическим образом через .NET плагины, которые загружаются через рефлексию и выполняются в памяти без записи на диск. Эта архитектура позволяет вредоносному ПО избегать статических мер обнаружения, применяемых традиционными антивирусными решениями.

Стратегия противодействия анализу включает проверки на наличие песочниц перед установлением связи с C2 сервером, включая постоянные проверки на признаки виртуальных машин, такие как биос-фингерпринтинг и системные свойства. Кроме того, вредоносное ПО использует минимальный механизм обмена данными для начальной связи, который основывается на заранее заданном ключе AES для шифрования. Конфигурационные детали, такие как хост и порт C2, динамически предоставляются в виде зашифрованных строк, которые вредоносное ПО расшифровывает при выполнении с использованием собственных методов, основанных на рефлексии.

Идентифицировано два различных сборки PureLogs. Первая, Mvfsxog.dll, функционирует как легковесный стейджер плагинов и демонстрирует обширные техники увертывания от песочницы. Вторая вариация, Qdjlj.dll, является монолитным исполняемым файлом, содержащим все основные функции, которые включают возможности кражи криптовалюты путем целеуказания на более чем 50 расширений для браузера и другие приложения цифровых кошельков.

Этот монолитный вариант имеет широкий спектр функциональных возможностей, включая инъекцию процессов, функции записи нажатий клавиш, способность создавать механизмы постоянного доступа через запланированные задачи и мониторинг активности браузера. Однако, в отличие от своего преемника, он загружает все операционные возможности непосредственно в бинарный файл.

Обе вариации обладают аналогичной операционной направленностью, но кардинально отличаются своей архитектурой и методом доставки вредоносного ПО. Переход от монолитного дизайна, который оставляет различные следы на хост-системе, к архитектуре на основе плагинов подчеркивает целенаправленные усилия по повышению устойчивости при минимизации рисков обнаружения, связанных с развертыванием вредоносного ПО. Согласно последнему анализу, обе вариации страдают от нечетких меток обнаружения, а определение специфических семейств остается трудным, что иллюстрирует проблемы, с которыми сталкиваются защитники при идентификации и смягчении этих продвинутых форм киберугроз.

#ParsedReport #CompletenessMedium
16-03-2026

PureCrypter: Reverse Engineering a .NET Loader From the PureCoder Ecosystem

https://www.derp.ca/research/purecrypter-loader-analysis/

Report completeness: Medium

Actors/Campaigns:
Purecoder (motivation: information_theft)
Serpentine_cloud

Threats:
Purecryptor
Confuserex_tool
Purelogs
Credential_harvesting_technique
Purehvnc_tool
Asyncrat
Venomrat
Dcrat
Xworm_rat

Victims:
Multiple sectors

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.001, T1140, T1204.002, T1555.003, T1562.001, T1588.002, T1620

IOCs:
File: 40
Hash: 7

Algorithms:
md5, gzip, base64, xor, sha256, 3des

Functions:
SetWindowsHookEx, Main, Orchestrator, ArgumentException, CopyTo, SetDecider

Win API:
decompress, AddClipboardFormatListener

Languages:
powershell, autoit

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PureCrypter — это .NET криптер в рамках сервиса malware-as-a-service PureCoder, ассоциируемый с загрузчиками под именем Erqcke, используемыми в кампании SERPENTINE#CLOUD. Эти приложения PE32 .NET используют обфускацию ConfuserEx, чтобы скрыть свою вредоносную функциональность, и применяют техники загрузки в памяти вместе с агрессивными методами обфускации, такими как инъекция мертвого кода. Они способствуют доставке вредоносных полезных нагрузок, включая варианты PureLogs, предназначенные для кражи криптокошельков и сбора учетных данных, демонстрируя сложный ландшафт угроз с продолжающейся эволюцией тактик.
-----

PureCrypter — это коммерческий .NET криптер, интегрированный в экосистему PureCoder malware-as-a-service, в первую очередь используемый для доставки внутренних полезных нагрузок, связанных с вредоносной деятельностью. Этот анализ сосредоточен на двух загрузчиках, известных как Erqcke, которые были идентифицированы в кампании, отслеживаемой под названием SERPENTINE#CLOUD компанией Securonix. Сами загрузчики являются приложениями PE32 .NET (x86), использующими ConfuserEx для обфускации, прежде всего нацеливаясь на сокрытие вредоносной функциональности при обходе обнаружения.

Анализ образцов показывает, что, несмотря на низкие оценки на некоторых платформах обнаружения, они могут демонстрировать поведение, указывающее на злонамеренные намерения, особенно во время процесса доставки полезной нагрузки. Лоадеры имеют заметную структуру, позволяющую загружать сборки в памяти с помощью таких методов, как Assembly.Load(byte[\]), и используют рефлексию для вызова конкретных классов и методов из встроенных ресурсов. Более того, они включают агрессивные техники обфускации, такие как инъекция «мертвого» кода, чтобы запутать реверсивных инженеров, сохраняя при этом основную функциональность.

Поведенческие индикаторы загрузчиков подчеркивают использование 3DES для дешифрования и GZip для распаковки, что облегчает извлечение полезной нагрузки, предназначенной для различных вредоносных действий. Загрузчики эффективно доставляют варианты PureLogs, включая плагинный стаджер (Mvfsxog.dll), не обладающий встроенными наступательными способностями, но ожидающий команд от сервера командования и управления (C2), и более сложный толстый клиент (Qdjlj.dll), который интегрирует функции кражи крипто-кошельков, сбора учетных данных и эксфильтрации данных.

Работая в рамках PureCoder, эти загрузчики указывают на постоянно изменяющийся ландшафт угроз, с улучшениями, заметными между новейшей сборкой ноября по сравнению с предыдущими версиями. Конструкция кода, включая такие характеристики, как использование непрозрачных предикатов и выравнивание управляющего потока, свидетельствует о попытках усложнить анализ и увеличить долговечность злонамеренных начинаний через эффективные механизмы сохранения, такие как подход на основе AutoIt. В совокупности эта инфраструктура представляет собой значительную угрозу для кибербезопасности, учитывая её возможности по обфускации, модульной доставке зарядов и разнообразным наступательным возможностям.