#ParsedReport #CompletenessMedium
27-03-2026

TeamPCP Compromises Telnyx Python SDK to Deliver Credential-Stealing Malware

https://socket.dev/blog/telnyx-python-sdk-compromised

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: information_theft)

Threats:
Credential_stealing_technique
Supply_chain_technique
Credential_harvesting_technique
Steganography_technique

Victims:
Software developers, Continuous integration and delivery environments, Open source package registries, Telecommunications

Industry:
Iot

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 13
IP: 1
Url: 3

Soft:
Outlook, WhatsApp, Linux, macOS, openssl, curl, systemd, Unix

Algorithms:
pbkdf2, rsa-4096, aes-256-cbc, xor, base64

Functions:
audioimport, Telnyx, setup, FetchAudio, exec

Languages:
cpython, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В результате атаки на supply chain были использованы вредоносные версии Telnyx Python SDK, в частности версии 4.87.1 и 4.87.2, которые содержат вредоносное ПО для credential-stealing, встроенное в систему. `src/telnyx/_client.py - файл. Это вредоносное ПО использует трехэтапную цепочку атак, которая использует Steganography для доставки, выполнение в памяти для сбора данных и методы зашифрованной эксфильтрации, используя сочетание шифрования AES-256-CBC и RSA-4096. Злоумышленник, известный как TeamPCP, использует преимущества оперативных мер безопасности, таких как механизмы самоочистки, чтобы скрыть свою деятельность и избежать обнаружения.
-----

Была выявлена атака supply chain, связанная с вредоносными версиями Telnyx Python SDK, в частности версиями 4.87.1 и 4.87.2, которые были загружены в индекс пакетов Python (PyPI) и содержат вредоносное ПО для credential-stealing. Вредоносное ПО использует сложную трехэтапную цепочку атак, нацеленных на среды Linux и macOS, используя Steganography звука для доставки, выполнение в памяти для сбора данных и зашифрованную эксфильтрацию.

Вредоносный код встроен в `src/telnyx/_client.py ` файл SDK, который имеет решающее значение для выполнения вызовов API. Такое стратегическое размещение позволяет коду активироваться при импорте, таким образом обходя распространенные механизмы обнаружения, ориентированные на перехваты после установки. Новый импорт стандартных библиотек, включая "subprocess", "tempfile" и "wave", наряду со скрытым двоичным объектом в кодировке base64, который представляет собой основную полезную нагрузку вредоносного ПО, еще больше скрывает его присутствие.

Функциональность отличается в зависимости от операционной системы. Для Windows вредоносное ПО извлекает полезную нагрузку, скрытую в WAV-файле, маскируясь под доброкачественный исполняемый файл с именем `msbuild.exe `, и устанавливает его в папку автозагрузки для закрепления. И наоборот, в Linux и macOS вредоносное ПО выполняется в памяти с помощью отдельного процесса, быстро собирая конфиденциальные данные, не оставляя стойких артефактов.

Примечательным аспектом вредоносного ПО является использование упрощенного шифра XOR для обфускации при первоначальной доставке, хотя фактическая защита данных во время эксфильтрации использует гибридные методы шифрования, сочетающие AES-256-CBC для обеспечения конфиденциальности данных с RSA-4096 для шифрования сеансовым ключом. Эта двойная схема гарантирует, что даже в случае перехвата данные остаются защищенными без использования закрытого ключа. Эксфильтрация использует простые HTTP-запросы, помеченные тематическими названиями, которые соответствуют Telnyx SDK, отражая осведомленность злоумышленника о своей цели.

Операционные меры безопасности включают механизм самоочистки для удаления всех артефактов после выполнения, строгое подавление ошибок во избежание обнаружения и отсутствие закрепления в системах Unix для максимального увеличения вероятности незамеченной кражи исходных данных.

Вредоносные пакеты должны быть немедленно удалены в пользу подтвержденной чистой версии (4.87.0). Организации, которые использовали пакет SDK для компрометации, должны учитывать любые полученные учетные данные, к которым была осуществлена компрометация, и соответствующим образом менять их. Кроме того, группы безопасности должны отслеживать аномальное использование стандартных библиотечных функций в основных клиентских модулях и устанавливать сетевые средства контроля для обнаружения подключений к инфраструктуре управления, связанной с TeamPCP, идентифицированным злоумышленником, стоящим за этой атакой. Этот инцидент отражает продолжающуюся кампанию, нацеленную на несколько реестров пакетов, что требует широкого подхода к мониторингу и исправлению ошибок во всех областях зависимостей.

#ParsedReport #CompletenessMedium
28-03-2026

Malicious IoliteLabs VSCode Extensions Target Solidity Developers on Windows, macOS, and Linux with Backdoor

https://www.stepsecurity.io/blog/malicious-iolitelabs-vscode-extensions-target-solidity-developers-on-windows-macos-and-linux-with-backdoor

Report completeness: Medium

Threats:
Supply_chain_technique
Lolbin_technique
Credential_harvesting_technique

Victims:
Solidity developers, Ethereum developers, Blockchain developers, Smart contract developers, Software developers

Industry:
Financial, E-commerce

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1056.001, T1059.003, T1059.004, T1059.007, T1071.001, T1105, have more...

IOCs:
File: 12
Hash: 9
Path: 3
Registry: 2

Soft:
VSCode, macOS, Linux, Chrome, Gatekeeper, Windows installer, curl, SCode st, url, Unix, have more...

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
sha256, xor, zip

Functions:
require, SetDesktopMonitorHook, SetWindowsHookEx, showInformationMessage, Remove-Item

Win API:
DllInstall, DllRegisterServer

Languages:
solidity, python

Platforms:
apple, x86, intel, arm

Links:
https://github.com/step-security/dev-machine-guard

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 3, table: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StepSecurity сообщила об атаке supply Chain на разработчиков Solidity с помощью компрометации расширений кода Visual Studio от IoliteLabs. Расширения были злонамеренно обновлены, внедрив многоэтапный бэкдор, который активируется при запуске VSCode и загружает полезные файлы из доменов, контролируемых злоумышленником. Используя такие методы, как захват неактивной учетной записи, запутывание и установка скрытых бэкдоров в Windows и macOS, злоумышленники стремились отфильтровать конфиденциальную информацию, связанную с блокчейном, такую как Закрытые ключи и учетные данные.
-----

Анализ StepSecurity выявил значительную атаку на supply chain, направленную против разработчиков Solidity с помощью компрометации расширений Visual Studio Code (VSCode), опубликованных IoliteLabs. Затронутые расширения — solidity-macos, solidity-windows и solidity-linux — были внезапно обновлены до версии 0.1.8 25 марта 2026 года после бездействия с 2018 года. Каждое расширение содержит многоэтапный бэкдор, который автоматически активируется при каждом запуске VSCode, загружая полезные данные, зависящие от платформы, из доменов, контролируемых злоумышленником.

Основной метод, использованный для атаки, включал захват неактивной учетной записи IoliteLabs на VS Code Marketplace, что позволило злоумышленнику использовать существующее доверие, основанное на исторических установках (примерно 27 500 во всех трех расширениях). Вредоносный код, скрытый внутри подделанной законной зависимости npm (pako), использует пять различных методов запутывания, чтобы избежать обнаружения. Примечательно, что, хотя названия расширений указывают на специфику платформы, конфигурации активируются только в Windows и macOS; сборки Linux не предназначены для текущей установки.

В Windows бэкдор устанавливает скрытую библиотеку DLL, действующую как монитор ввода на основе перехвата, Маскировку под обновление Chrome, в то время как для развертывания macOS используется более сложный метод, который включает в себя создание скрытого сценария запуска, регистрацию обманчивого LaunchAgent и обход Apple Gatekeeper. Полезная нагрузка macOS включает в себя двоичные файлы с учетом архитектуры Intel и Apple Silicon, оба из которых предназначены для фильтрации конфиденциальных данных, имеющих отношение к разработчикам блокчейна, таких как Закрытые ключи и учетные данные.

Анализ выявил использование специфических методов обнаружения, включающих классические сетевые индикаторы — исходящие подключения к доменам управления и артефакты файловой системы, связанные с установкой как на платформах Windows, так и на macOS. Кроме того, в нем описывались критические уязвимости, создаваемые неактивными учетными записями на рынках программного обеспечения, предупреждая, что использование давно неактивных расширений, даже тех, которые ранее считались заслуживающими доверия, не следует воспринимать как гарантию безопасности.

Учитывая финансовые последствия компрометации разработчиков Ethereum/Solidity, злоумышленники специально стремились получить ценные учетные данные. Этот инцидент подчеркивает тревожную тенденцию в атаках на supply chain, иллюстрирующую проблемы с мониторингом целостности расширений и необходимость усовершенствованных механизмов проверки в экосистемах программного обеспечения. Краткое изложение описывает сложные методы, используемые в этой атаке на supply chain, и подчеркивает необходимость бдительности среди разработчиков, особенно в отношении установок расширений и зависимостей.

#ParsedReport #CompletenessHigh
27-03-2026

Triune Evil: Werewolves Attack Law Enforcement Officers

https://bi.zone/expertise/blog/triedinoe-zlo-oborotni-atakuyut-sotrudnikov-silovykh-struktur/

Report completeness: High

Actors/Campaigns:
Paper_werewolf
Heartlesssoul
Eagle_werewolf (motivation: cyber_espionage)

Threats:
Echogather
Aquilarat
Go2tunnel_tool
Sliver_c2_tool
Code_virtualizer_tool
Dll_sideloading_technique
Soullessrat
Spear-phishing_technique
Junk_code_technique
Dead_drop_technique

Victims:
Law enforcement, Government organizations, Industrial organizations, Uav production and engineering personnel, Starlink users, Drone operators

Industry:
Aerospace, Government

Geo:
Russia, Moscow

TTPs:
Tactics: 10
Technics: 0

IOCs:
Domain: 22
Command: 22
IP: 3
File: 40
Path: 17
Url: 25
Hash: 51
Coin: 1
Registry: 1

Soft:
Starlink, Telegram, Windows Task Scheduler, Node.js, Outlook, device re, Winlogon, Microsoft Office, Windows Service

Crypto:
solana

Algorithms:
zip, aes-256, xor, pbkdf2, sha256, base64, aes, cbc, gzip, aes-256-cbc, md5

Functions:
taskItemId, taskType, Set-ItemProperty

Win API:
QueryPerformanceFrequency, QueryPerformanceCounter, GetTickCount64, NtDelayExecution, CreateProcessW, CreateProcessA

Win Services:
WEBCliEnT

Languages:
rust, visual_basic, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года были выявлены три группы кибершпионажа — Paper Werewolf, Versatile Werewolf и Eagle Werewolf — использующие целевое вредоносное ПО для использования интереса к сервисам Starlink и приложениям для беспилотных летательных аппаратов. Paper Werewolf развернул EchoGather RAT, замаскированный под регистрационное приложение Starlink, в то время как Versatile Werewolf распространял вредоносный установщик MSI, который загружал SoullessRAT. Eagle Werewolf нацеливался на правительственные организации и беспилотные летательные аппараты с помощью фишинг-рассылок электронной почты, используя различные дропперы и методы постоянного доступа и связи управления.
-----

В феврале 2026 года три кластера — Paper Werewolf, Versatile Werewolf и Eagle Werewolf — провели операции по распространению вредоносного ПО, используя интерес к сервисам Starlink и приложениям для управления беспилотниками. Paper Werewolf использовал для операций аккаунты с компрометацией в Телеграм, в то время как Versatile Werewolf использовал инструменты генеративного искусственного интеллекта для ускорения разработки вредоносного ПО. Eagle Werewolf нацелился на Телеграм-каналы для распространения вредоносного ПО.

Paper Werewolf развернул Троянскую программу удаленного доступа EchoGather (RAT), замаскированную под регистрационное приложение Starlink, используя C#-дроппер с именем Регистрация_Starlink.exe при этом использовалась кодировка Base64 и шифрование XOR. Он включал проверки для предотвращения выполнения в виртуальных средах и отправлял информацию о конфигурации на сервер управления (C2) по протоколу HTTPS.

Атаки Versatile Werewolf были выполнены с помощью вредоносного установщика MSI под названием StarDebug_1.0.1.msi, который загружал скрипты PowerShell и другой вредоносный код, загружая SoullessRAT на основе JavaScript, известный обширным сбором данных.

Eagle Werewolf, действующая с мая 2023 года, нацеливалась на правительственные организации и беспилотные летательные аппараты с помощью фишинг-писем и распространяемого вредоносного ПО в Телеграм. В нем использовался дроппер, написанный на Rust, для сбора системной информации и обратного туннелирования по SSH через Go2Tunnel.

Во всех кластерах использовался фишинг, использование интерпретатора команд и Выполнение с участием пользователя Вредоносных файлов. Они создали локальных пользователей с правами администратора, обеспечили закрепление за различными задачами и использовали различные протоколы для связи C2. Rust drops от Eagle Werewolf создавал постоянные служебные записи, замаскированные под законные приложения.

Их операции включали постоянное наблюдение, проверки окружающей среды и методы эксфильтрации данных, позволяющие избежать обнаружения при сохранении контроля над системами компрометации.

#ParsedReport #CompletenessHigh
27-03-2026

Operation Storming Tide: A massive multi-stage intrusion campaign

https://fortgale.com/blog/defence/operation-storming-tide/

Report completeness: High

Actors/Campaigns:
Storming_tide (motivation: cyber_criminal, cyber_espionage, financially_motivated)
Mora_001 (motivation: cyber_espionage, cyber_criminal, financially_motivated)
Belialdemon
Vice_society

Threats:
Astarionrat
Matanbuchus_maas
Systembc
Rclone_tool
Quasar_rat
Mimicrat
Superblack
Charon
Droxidat
Blackbasta
Lockbit
Lolbin_technique
Akira_ransomware
Clop
Dll_sideloading_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Logistics and transportation, Public sector, Critical infrastructure, Europe, Central asia, Latin america

Industry:
Logistic, Critical_infrastructure, Transport, E-commerce

Geo:
Russia, Russian, Latin america, Asia

CVEs:
CVE-2022-40684 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.7, 7.2.0)
- fortinet fortiswitchmanager (7.0.0, 7.2.0)
- fortinet fortios (<7.0.7, <7.2.2)

CVE-2022-42475 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortios (le5.0.14, le5.2.15, le5.4.13, le5.6.14, <6.0.16)

CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
- fortinet fortios (le7.0.18, le7.2.12, <7.4.11, <7.6.6)
have more...
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2025-59718 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.22, <7.2.15, <7.4.11, <7.6.4)
- fortinet fortiswitchmanager (<7.0.6, <7.2.7)
- fortinet fortios (<7.0.18, <7.2.12, <7.4.9, <7.6.4)

CVE-2024-21762 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<2.0.14, <7.0.15, <7.2.9, <7.4.3)
- fortinet fortios (<6.0.18, <6.2.16, <6.4.15, <7.0.14, <7.2.7)

CVE-2023-27997 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (le1.1.6, le1.2.13, le2.0.12, le7.0.9, le7.2.3)
- fortinet fortios (le6.0.16, le6.2.13, le6.4.12, le7.0.11, le7.2.4)

CVE-2025-59719 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiweb (le7.4.9, le7.6.4, 8.0.0)

CVE-2025-24472 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


TTPs:
Tactics: 5
Technics: 5

IOCs:
File: 4
IP: 2
Domain: 1
Hash: 1
Path: 1

Soft:
Dropbox, Active Directory, PsExec

Algorithms:
sha256, chacha20

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Storming Tide - это многоэтапная кампания по вторжению, проводимая русскоязычным злоумышленником Mora_001, который переходит от программ-вымогателей к тактике сбора разведданных. Все началось с использования уязвимостей брандмауэра Fortinet, позволивших создать постоянный зашифрованный VPN-туннель для скрытого доступа. Используя такие инструменты, как загрузчик Matanbuchus 3.0, Astarion RAT и RClone для эксфильтрации данных, кампания иллюстрирует тактическую эволюцию в сторону шпионажа, отмеченную увеличенным временем ожидания и акцентом на стратегический сбор данных, а не на немедленные требования выкупа.
-----

Операция Storming Tide включает в себя многоэтапную кампанию по вторжению, проводимую русскоязычным злоумышленником Mora_001. Кампания переходит от программ-вымогателей к операциям по сбору разведывательной информации. Он использует уязвимости брандмауэра Fortinet, в частности CVE-2024-55591, для создания постоянного зашифрованного VPN-туннеля. Начальная фаза предусматривает период покоя для скрытности, используя неуправляемые ресурсы, чтобы избежать защиты конечных точек. Для доставки полезной нагрузки используется загрузчик Matanbuchus 3.0, который развертывает передовые вредоносные ПО, такие как Astarion RAT и SystemBC, для удаленного доступа и создания бэкдоров. RClone используется для эксфильтрации данных в облачное хранилище, совместимое с S3. Кампания демонстрирует длительный промежуток времени между взломом и перемещением, что указывает на то, что основное внимание уделяется шпионажу, а не внедрению программ-вымогателей. Matanbuchus 3.0 продается на российских форумах и поддерживает минимальное обнаружение с помощью криминалистического анализа. Astarion RAT выполняет команды PowerShell в памяти, что усложняет криминалистический анализ. SystemBC позволяет осуществлять туннелирование через зашифрованный прокси-сервер для скрытой связи C2. Поведенческий анализ Mora_001 показывает сдвиг в сторону операций с пациентами, возможно, выступающих в качестве посредника первоначального доступа. Такая эволюция указывает на сохраняющиеся риски по мере адаптации угроз с использованием сложного вредоносного ПО, подчеркивая необходимость расширенных возможностей обнаружения и реагирования на инциденты. Основное внимание уделяется сбору разведывательной информации, а не сиюминутной финансовой выгоде, что свидетельствует о критическом изменении мотивации акторов.

#ParsedReport #CompletenessLow
28-03-2026

A cunning predator: How Silver Fox preys on Japanese firms this tax season

https://www.welivesecurity.com/en/business-security/cunning-predator-how-silver-fox-preys-japanese-firms-tax-season/

Report completeness: Low

Actors/Campaigns:
Silver_fox

Threats:
Spear-phishing_technique
Valleyrat

Victims:
Manufacturing, Businesses, Finance, Healthcare, Education, Gaming, Government, Cybersecurity, Japan, Southeast asia, have more...

Industry:
Government, Education, Financial, Healthcare, Entertainment

Geo:
Asia, Japan, America, Japanese

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002

IOCs:
Hash: 47
File: 20

Soft:
WeTransfer

Algorithms:
sha1, zip

Links:
https://github.com/eset/malware-ioc/tree/master/silver\_fox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Fox, хакерская группировка, занимающаяся кибер-угрозами, проводит в Японии кампании Целевого фишинга, нацеленные на такие секторы, как финансы, здравоохранение и правительство, используя сезон подачи налоговых деклараций, чтобы увеличить вероятность того, что жертвы откроют мошеннические электронные письма. Электронные письма часто содержат вредоносные вложения или ссылки, которые запускают ValleyRAT, Троянскую программу удаленного доступа, позволяющую актору управлять зараженными системами. Подделывая надежные источники и используя данные, относящиеся к конкретной компании, они повышают эффективность своих атак, сохраняя при этом закрепление в сети.
-----

Silver Fox - хакерская группировка, занимающаяся киберугрозами, которая возобновила свою целевую кампанию по Целевому фишингу в Японии, воспользовавшись сезоном ежегодной подачи налоговых деклараций и организационных изменений, когда сотрудники с большей вероятностью открывают сообщения, связанные с финансовыми вопросами, без тщательной проверки. Кампания включает в себя рассылку вводящих в заблуждение электронных писем, которые кажутся законными и связаны с соблюдением налогового законодательства, корректировкой заработной платы, сменой места работы и планами владения акциями сотрудников. Учитывая возросший объем законных сообщений в течение этого периода, сотрудники могут не заметить признаки мошеннических электронных писем, что увеличивает риск компрометации.

Исторически сложилось так, что Silver Fox ориентировалась на такие секторы, как финансы, здравоохранение, образование, азартные игры и правительство, первоначально сосредоточившись на жертвах, говорящих по-китайски, прежде чем распространиться на Юго-Восточную Азию и Японию. Их подход включает в себя создание персонализированных электронных писем, часто подменяя адреса отправителей, чтобы они выглядели так, как будто они приходят от доверенных лиц в целевой организации. Этой тактике способствует разведка целей группой, позволяющая им указывать названия компаний непосредственно в теме письма и выдавать себя за реальных сотрудников или руководителей.

Электронные письма обычно содержат вредоносные вложения или ссылки, замаскированные под обычные кадровые или финансовые документы. При открытии эти вложения запускают ValleyRAT, Троянскую программу удаленного доступа, которая позволяет злоумышленнику удаленно управлять зараженным компьютером, собирать конфиденциальную информацию и поддерживать закрепление в сети. Операционные модели предполагают, что Silver Fox согласовывает свою деятельность с циклическим характером сезонов налоговой и финансовой отчетности, демонстрируя аналогичную тактику в предыдущие годы.

Чтобы защититься от этих угроз, организациям следует повысить свою осведомленность о попытках фишинга, особенно в периоды повышенной активности. Сотрудникам рекомендуется проверять любые сообщения, касающиеся изменений заработной платы или финансовых обновлений, по отдельным каналам. К "красным флажкам" относятся несоответствие между именем отправителя и адресом электронной почты, чрезмерно формальные формулировки и использование подозрительных служб обмена файлами. Регулярные обновления программного обеспечения и активное использование мер безопасности имеют решающее значение, наряду с поощрением немедленного сообщения о любых подозрительных электронных письмах в службы безопасности. Сохраняя бдительность, сотрудники могут помочь снизить риск, исходящий от Silver Fox и подобных злоумышленников.

#ParsedReport #CompletenessLow
28-03-2026

Prompt poaching runs rampant in extensions

https://secureannex.com/blog/prompt-poaching/

Report completeness: Low

Threats:
Prompt_poaching_technique

Victims:
Artificial intelligence platforms, Organizations, Users

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1119, T1176

IOCs:
File: 9

Soft:
ChatGPT, Claude

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследования методов расширения браузеров выявили "prompt poaching" с помощью таких инструментов, как Similarweb, которые собирают конфиденциальные данные о взаимодействиях с искусственным интеллектом, перехватывая API-интерфейсы браузера, такие как fetch и XMLHttpRequest. Этот перехват происходит незаметно на транспортном уровне, что позволяет собирать данные без обнаружения стандартными средствами мониторинга. Аналогичная тактика используется на различных платформах, что свидетельствует о тенденции к повышению уязвимости к несанкционированному сбору данных с помощью расширений браузера, что указывает на значительные риски для конфиденциальности пользователей.
-----

Недавние исследования практики веб-аналитики выявили тревожную тенденцию, известную как "prompt poaching", особенно с помощью браузерных расширений, таких как Similarweb. Было обнаружено, что это расширение, насчитывающее более миллиона пользователей, активно отслеживает и собирает конфиденциальные данные, включая запросы, ответы и связанные с ними метаданные из инструментов искусственного интеллекта, по сути, собирая личные разговоры пользователей.

Тактика, используемая Similarweb, технически сложна. После значительного обновления в мае 2025 года в расширении был реализован код, способный перехватывать собственные API-интерфейсы браузера, такие как fetch и XMLHttpRequest. Этот перехват происходит на транспортном уровне, гарантируя, что JavaScript страницы не будет замечен при мониторинге. В результате стандартные функциональные возможности браузера сохраняются, что усложняет обнаружение с помощью таких инструментов, как DevTools. Скрипт расширения эффективно клонирует потоки ответов до того, как они попадут на нужную веб-страницу, запутывая процесс сбора данных от пользователей и специалистов по проверке кода.

Конфигурация расширения Similarweb определяет конкретные URL-адреса и запросы, предназначенные для перехвата. Например, оно предназначено для сбора обновлений разговоров на таких платформах, как ChatGPT, с широким анализом форматов событий. Подобные технологии перехвата, как сообщается, не ограничиваются ChatGPT; другие платформы, такие как Claude, используют аналогичные механизмы, в то время как Gemini и Perplexity используют методы очистки DOM, демонстрируя более широкую тенденцию, когда несколько платформ могут быть уязвимы для сбора данных из-за неправильного использования расширений.

Такой рост случаев быстрого браконьерства указывает на формирующийся ландшафт угроз, в котором организации могут непреднамеренно раскрывать конфиденциальную информацию с помощью этих широко используемых расширений для браузера. Потенциальная утечка конфиденциальных данных сопряжена со значительными рисками, что подчеркивает необходимость более тщательного изучения методов расширения браузеров. Отсутствие жесткой политики по основным производителям браузеров, включая Google, позволяет дальнейшее использование данных пользователя от злоумышленников или ориентированными на прибыль организаций. Существует настоятельная необходимость в усовершенствовании политик для снижения этих рисков и защиты конфиденциальности пользователей от несанкционированного сбора данных с помощью расширений браузера.

#ParsedReport #CompletenessLow
28-03-2026

On the radar: ChatGPT Stealer

https://expel.com/blog/on-the-radar-chatgpt-stealer/

Report completeness: Low

Threats:
Prompt_poaching_technique

Victims:
Users, Organizations, Artificial intelligence chat users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1119, T1176

IOCs:
BrowserExtension: 4

Soft:
ChatGPT, Chrome, Claude, Deepseek

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4