Хакеры внедряют новое вредоносное ПО Frebniss в службы Microsoft Internet Information Services (IIS), которое скрытно выполняет команды, отправляемые через веб-запросы.

Frebniis был обнаружен исследователями Symantec Threat Hunter Team, сообщившими о его использовании неизвестным злоумышленником в отношении целей в Тайване.

Microsoft IIS — это программное обеспечение с функционалом веб-сервера для размещения приложений для таких служб, как Outlook в Интернете для Microsoft Exchange.

В атаках, замеченных Symantec, хакеры злоупотребляют функцией буферизации событий неудачных запросов FREB в IIS, отвечающей за сбор метаданных запросов (IP-адрес, заголовки HTTP, файлы cookie). Его цель — помочь администраторам серверов устранить неожиданные коды состояния HTTP или проблемы с обработкой запросов.

Вредоносное ПО внедряет код в функцию DLL-файла, который управляет FREB («iisfreb.dll»), позволяя злоумышленнику перехватывать и отслеживать все HTTP-запросы POST, отправляемые на сервер ISS.

Когда вредоносная программа обнаруживает определенные HTTP-запросы, которые отправляет злоумышленник, она анализирует запрос, чтобы определить, какие команды выполнять на сервере.

Symantec сообщает, что злоумышленники сначала взломавают сервер IIS для дальнейшей компрометации модуля FREB, но исследователи не смогли определить метод, который использовался для получения доступа.

Внедренный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода C#, даже не касаясь диска, что делает его полностью незаметным. Он ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.

Второй параметр HTTP, представляющий собой строку в кодировке base64, указывает Frebniis на связь и выполнение команд в других системах через скомпрометированный IIS, потенциально достигая защищенных внутренних систем, которые не доступны в Интернете.

Основным преимуществом использования компонента FREB в описанных целях является уклонение от обнаружения инструментами безопасности. Этот уникальный HTTP-бэкдор не оставляет следов или файлов и не создает подозрительных процессов в системе.

Хотя первоначальный путь компрометации неизвестен, обычно рекомендуется обновить ПО, чтобы свести к минимуму вероятность того, что хакеры воспользуются известными уязвимостями.

Расширенные инструменты мониторинга сетевого трафика также могут помочь обнаружить необычную активность таких вредоносных программ, как Frebniis.

#ParsedReport
17-02-2023

WordPress sites backdoored with ad fraud plugin

https://www.malwarebytes.com/blog/threat-intelligence/2023/02/wordpress-sites-backdoored-with-ad-fraud-plugin

Threats:
Popunder_technique
Fuser-master

IOCs:
Domain: 41

Softs:
wordpress

Algorithms:
exhibit

Languages:
javascript, php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Вкратце, в тексте обсуждается, как popunder-реклама используется мошенниками для получения дохода путем рекламного мошенничества.

Схема предполагает использование плагина WordPress под названием "fuser-master", который срабатывает, когда посетитель заходит на определенный URL с параметрами. Затем этот плагин загружает блог на отдельной странице, под которой отображается ряд рекламных объявлений. Код также имитирует действия пользователя, такие как прокрутка и нажатие на ссылки. Мошенническая деятельность может длиться от нескольких минут до нескольких часов, пока ее не прервет реальный человек. Для того чтобы избежать обнаружения, используется хитроумный трюк: обнаруживается движение мыши, и при этом фальшивая прокрутка немедленно прекращается. Хотя всплывающие окна являются законной формой рекламы, сам их формат может быть использован мошенниками для получения денежной выгоды.

#ParsedReport
17-02-2023

Tracking Distribution Site of Magniber Ransomware Using EDR

https://asec.ahnlab.com/en/47909

Threats:
Magniber
Typosquatting_technique

Geo:
Korea

IOCs:
Path: 1
File: 1
IP: 4

#ParsedReport
17-02-2023

Ransomware Roundup CatB Ransomware

https://www.fortinet.com/blog/threat-research/ransomware-roundup-catb-ransomware

Threats:
Catb_ransomware
Dll_sideloading_technique
Upx_tool

Industry:
Financial

IOCs:
File: 3
Path: 1
Hash: 6

Win API:
GetSystemInfo, GlobalMemoryStatus

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Атаки Ransomware растут, и организациям необходимо быть к ним готовыми. Последний вариант ransomware, набирающий обороты, - CatB, который впервые был замечен в декабре 2022 года. FortiGuard Labs также обнаружила дополнительные образцы от ноября 2022 года, которые, предположительно, принадлежат тому же субъекту угрозы. Вредоносная программа поставляется через файл Microsoft Windows Dynamic Link Library (.dll), упакованный с помощью UPX, и выполняется с помощью приложения Windows rundll32.exe. Она не шифрует функциональные системные файлы и добавляет записку с выкупом к каждому зашифрованному файлу. На момент написания статьи на Bitcoin-адрес, связанный с этим образцом, не было отправлено никаких средств.

Организациям и частным лицам, пострадавшим от ransomware, следует воздержаться от выплаты выкупа, поскольку оплата не гарантирует восстановления файлов.

#ParsedReport
17-02-2023

ASEC Weekly Phishing Email Threat Trend (20230205 \~ 20230211)

https://asec.ahnlab.com/ko/47945

Threats:
Agent_tesla
Formbook

Industry:
Financial

Geo:
Austria, Korean

TTPs:

IOCs:
File: 39
Url: 6

Algorithms:
zip

#ParsedReport
17-02-2023

Earth Zhulong: Familiar Patterns Target Southeast Asian Firms

https://www.trendmicro.com/en_us/research/23/b/earth-zhulong-familiar-patterns-target-southeast-asian-firms.html

Actors/Campaigns:
Earth_zhulong
1937cn

Threats:
Shellfang
Cobalt_strike
Bloodhound_tool
Dll_sideloading_technique
Beacon
Macamax
Themida_tool
Earthworm_tool
Api_obfuscation_technique
Process_injection_technique
Timestomp_technique

Industry:
Telco, Aerospace

Geo:
Chinese, Vietnamese, Vietnam, Asia, Asian

TTPs:
Tactics: 6
Technics: 14

IOCs:
File: 10
Hash: 28
Domain: 2

Softs:
pyinstaller

Algorithms:
aes, rc4, base64, xor

Languages:
golang, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Earth Zhulong - это связанная с Китаем хакерская группа, которая с 2020 года атакует организации в Юго-Восточной Азии. Группа отличается изощренностью и тщательностью, используя множество подходов для маскировки своих инструментов, сокрытия следов и запуска вредоносного ПО на свои цели. Было установлено, что Earth Zhulong использует различные вредоносные программы, такие как W2KM_POWLOAD.SME, Trojan.Win32.SHELLFANG.ZBJK, Trojan.Win32.SHELLFANG.ZAJI, Trojan.Win32.SHELLFANG.ZYJK, Trojan.Win32.SHELLFANG.ZYJJ, Backdoor.Win32.COBEACON.ZBJk.enc, Backdoor.Win32.COBEACON.ZBJI.enc, Backdoor.Win32.COBEACON.ZCJH.enc, Backdoor.Win64.MACAMAX.ZYJK, HackTool.Win64.Macamax.A, HackTool.Win32.EARTHWORM.ZBJJ, HackTool.Win32.EARTHWORM.ZAJJ и HackTool.MSIL.SHARPHOUND.ZCJK.

Их тактика включает использование документов-приманок с вредоносными макросами, которые внедряют шеллкод в файл rundll32.exe, исследование домена, манипуляции с GPO, боковую загрузку DLL, многоуровневое шифрование AES, кодирование base64, хеширование API, обфускацию потока выполнения, сетевое туннелирование, сканирование портов, кражу информации, атаки на понижение рейтинга и стирание файлов для очистки следов вторжения. Считается, что эта группа связана с другим известным агентом угроз, 1937CN, из-за сходства в структуре кода, алгоритмах дешифровки и виктимологии.

Earth Zhulong в основном нацелен на телекоммуникационный, технологический и медийный секторы в Юго-Восточной Азии, захватывая экраны информации о рейсах для трансляции антивьетнамской и антифилиппинской пропаганды.

#ParsedReport
16-02-2023

Detecting the Undetected: The Risk to Your Info

https://securityintelligence.com/detecting-undetected-info-stealers

Threats:
Redline_stealer
Raccoon_stealer
Vidar_stealer

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Domain: 1
Command: 1
Hash: 7

Softs:
chrome, microsoft edge, telegram, discord

Algorithms:
7zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда IBM Advanced Threat Detection and Response Team (ATDR) за последний год отметила рост использования семейства вредоносных программ, известных как похитители информации. Похитители информации - это вредоносные программы, которые сканируют и изымают данные, в том числе веб-страницы и данные для входа в систему из таких браузеров, как Chrome, Firefox и Microsoft Edge, а также из чат-программ, таких как Telegram и Discord. Среди распространенных в природе программ для кражи информации - Redline, Raccoon и Vidar.

Похитители информации обычно приходят в виде троянских программ, которые пользователи скачивают с файлообменных сайтов или фишинговых писем. Злоумышленники изменяют файл, увеличивая его размер, чтобы он не сканировался антивирусными программами. После выполнения вредоносная полезная нагрузка устанавливает командно-контрольное (C2) соединение и сбрасывает несколько библиотек динамических связей (DLL). Затем DLL получают доступ к конфиденциальным каталогам, в которых хранится веб-информация. Вредоносная программа также может выполнять команды, например, удалять себя после завершения атаки.

Для обнаружения и предотвращения этих типов вредоносного ПО организациям следует искать аномальные процессы, обращающиеся к определенным местам расположения файлов, небраузерные исполняемые файлы, устанавливающие соединения с Telegram, а также встроенные или загруженные исполняемые файлы, которые не должны этого делать. Кроме того, они должны быть начеку в случае эксфильтрации данных или создания C2, а также выполнения подозрительных команд с аналогичными параметрами. Также рекомендуется следовать лучшим практикам при работе в Интернете.

Похитителей информации трудно обнаружить из-за их способности обходить решения EDR и AV. Однако, обращая внимание на упомянутые выше TTP, организации могут эффективно обнаруживать и предотвращать эти вредоносные программы. Важно быть в курсе последних киберугроз и способов защиты от них, чтобы оставаться в безопасности.

#ParsedReport
17-02-2023

Overview of AhnLabs Response to Joint Cybersecurity Advisory Between South Korea and the United States on North Korean Ransomware

https://asec.ahnlab.com/en/47906

Threats:
Mauicrypt
H0lygh0st
Nukesped_rat
Andardoor
Trojan/win.agent.c4979106
Trojan/win32.injector.c4107561
Dropper/win.agent.c4950284
Akdoor
Trojan/win.agent.r557572
Dropper/win.agent.c4950294
Siennapurple
Trojan/win.agent.c5098032
Trojan/win.generic.c5161421
Backdoor/win.preft.c5104667
Trojan/win.agent.c4928860
Malware/win.generic.c5272184
Infostealer/win.pwstealer.c4510631
Infostealer/win.agent.c5094347
Backdoor/win.agent.c4635580
Passview_tool
Malware/win.generic.c5207114
Infostealer/win.agent.c4997514
Ransomware/win.generic.c5207111
Dropper/win.agent.c5082187
Backdoor/win.agent.c5067856
Dropper/win.agent.c5379005
Malware/win64.generic.c4293634
Trojan/win32.agent.c4250642
Malware/win.generic.c5207113

Industry:
Healthcare

Geo:
Northkorea, Dprk, Koreas, Korean, Korea

IOCs:
Hash: 67

Languages:
php

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

10 февраля разведывательные службы Южной Кореи и США обнародовали совместный совет по кибербезопасности, предупреждающий о потенциальных атаках на программы-выкупы из Северной Кореи. Доклад, выпущенный Национальной разведывательной службой Южной Кореи (NIS) и Агентством национальной безопасности США (NSA), Федеральным бюро расследований (FBI), Агентством кибербезопасности и безопасности инфраструктуры (CISA) и Министерством здравоохранения и социальных служб (HHS), знаменует собой первый случай сотрудничества обеих стран по вопросам кибербезопасности.

Совет посвящен двум случаям ransomware - Maui и H0lyGh0st, которые недавно были использованы для атак на учреждения в США, отвечающие за медицинский сектор и здравоохранение, а также другие критически важные объекты инфраструктуры. Анализ этих случаев позволил установить, что они исходят из Северной Кореи. Кроме того, в рекомендацию включены данные о TTP (тактике, методах и процедурах) и индикаторах компрометации, позволяющие получить более полное представление о вредоносной деятельности КНДР.

#ParsedReport
17-02-2023

No Surprise! ESXiArgs Ransomware Attacks Exploit 2-Year-Old Vulnerability

https://www.deepinstinct.com/blog/no-surprise-esxiargs-ransomware-attacks-exploit-2-year-old-vulnerability

Actors/Campaigns:
Nevada

Threats:
Esxiargs
Babuk
Avoslocker
Blackcat
Reveton
Exxroute
Hellokitty
Log4shell_vuln
Lockbit
Cheerscrypt
Nevada_ransomware

Industry:
Financial

Geo:
French, London, France

CVEs:
CVE-2021-21974 [Vulners]
CVSS V2: 5.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- vmware cloud foundation (<3.10.1.2, <4.2)
- vmware esxi (6.5, 6.7, 7.0.0)

CVE-2013-1493 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: 10
X-Force: Patch: Official fix
Soft:
- oracle jre (1.7.0, le1.5.0, 1.6.0)
- sun jre (1.5.0, 1.6.0)
- sun jdk (1.6.0, 1.5.0)
- oracle jdk (1.6.0, le1.5.0, 1.7.0)

CVE-2019-7481 [Vulners]
CVSS V2: 5.0,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- sonicwall sma 100 firmware (le9.0.0.3)

CVE-2021-21985 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- vmware vcenter server (6.5, 6.7, 7.0)
- vmware cloud foundation (<3.10.2.1, <4.2.1)


TTPs:
Tactics: 3
Technics: 3

IOCs:
Hash: 10

Softs:
esxi, unix

Functions:
OpenSLP

Languages:
java

Links:
https://github.com/Shadow0ps/CVE-2021-21974
https://github.com/CERT-hr/ESXI-Ransomware-Removal-FlowChart
https://github.com/n2x4/Feb2023-CVE-2021-21974-OSINT
https://github.com/cisagov/ESXiArgs-Recover
https://gist.github.com/cablej/b15edac9c45faa258e1b94bc0a454551

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Кампания ESXiArgs - это масштабная атака вымогателей, направленная на VMware ESXi, которая началась в конце 2022 года. Уникальность этой атаки заключается в том, что она использует уязвимость двухлетней давности, приводящую к удаленному выполнению кода (RCE). По данным Censys, большинство жертв этой атаки находятся во Франции.

Считается, что ESXiArgs использовал исходный код предыдущих атак вымогателей, таких как Babuk, AvosLocker, BlackCat, Hive и других. ESXiArgs также воспользовалась отвлекающим моментом вокруг ChatGPT и дебатами о Google и Microsoft, чтобы осуществить свою атаку. Уязвимости, эксплуатируемые ESXiArgs, включают CVE-2013-0431 из JRE, используемую Reveton Ransomware, CVE-2013-1493 из Oracle Java, используемую Exxroute Ransomware, и CVE-2019-7481 из SonicWall, используемую HelloKitty Ransomware.

Из извлеченных кошельков (\~2 800) только четыре получили выплаты, причем одна жертва из Лондона заплатила $44 742. К сожалению, несмотря на эту выплату, сервер по-прежнему открыт для доступа в Интернет и не имеет исправлений. В январе 2023 года компания LockBit объявила о новом варианте ESXi Ransomware, а также произошла утечка информации о Royal Mail Group, хотя неясно, связаны ли эти инциденты между собой. Исследователь безопасности Майкл Гиллеспи считает, что этот штамм основан на утечке исходного кода от Babuk ransomware, аналогичной CheersCrypt ransomware, которая нацелилась на ESXi в середине 2022 года. Наконец, компания OVHCloud отказалась от своих первоначальных выводов, предполагающих связь с вариантом вымогательского ПО Nevada.

В целом, очевидно, что ESXiArgs - это комбинация различных штаммов вымогательского ПО и использования старых уязвимостей. Компаниям важно иметь хорошие резервные копии, чтобы не пришлось платить выкуп, и обновлять все программное обеспечение, чтобы не стать жертвой такой атаки.

#ParsedReport
17-02-2023

The Many Faces of Qakbot Malware: A Look at Its Diverse Distribution Methods

https://blog.cyble.com/2023/02/17/the-many-faces-of-qakbot-malware-a-look-at-its-diverse-distribution-methods

Threats:
Qakbot
Beacon
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 7
Technics: 17

IOCs:
File: 9
Url: 4
Hash: 12

Softs:
onenote

Algorithms:
zip

Languages:
jscript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Акторы угроз (АУ) используют вложения OneNote как часть спам-кампаний Qakbot, чтобы обмануть пользователей и заставить их дважды щелкнуть по вложению и запустить процесс заражения Qakbot.

Вредоносная программа Qakbot распространяется через вредоносный спам с вложениями OneNote, вредоносный спам с zip-файлами, содержащими WSF, и другими способами.

Qakbot - это сложная форма банковского трояна, который может похищать конфиденциальную информацию, выводить конфиденциальные данные и распространяться на другие машины в сети для установки других вредоносных программ.

Qakbot можно противостоять, применяя эффективные методы обеспечения кибербезопасности, например, не открывать электронные письма от неизвестных отправителей, не загружать пиратское программное обеспечение, использовать надежные пароли и антивирусные решения.

#ParsedReport
16-02-2023

Detecting the Undetected: The Risk to Your Info

https://securityintelligence.com/posts/detecting-undetected-info-stealers

Threats:
Redline_stealer
Raccoon_stealer
Vidar_stealer

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 12
Domain: 1
Command: 1
Hash: 7

Softs:
chrome, microsoft edge, telegram, discord

Algorithms:
7zip

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Команда IBM Advanced Threat Detection and Response (ATDR) отмечает рост числа вредоносных программ семейства, известных как похитители информации или info stealers. Эти вредоносные программы предназначены для поиска и утечки данных и учетных данных с устройств, таких как веб-страницы и данные для входа в Chrome, Firefox и Microsoft Edge, а также учетные данные чат-программ Telegram и Discord. Наиболее популярными программами для кражи информации в природе являются Redline, Raccoon и Vidar.

Во многих случаях эти вредоносные программы приходят в виде троянца, который загружается с сайта обмена файлами или из фишингового письма. После выполнения полезная нагрузка устанавливает командно-контрольное соединение (C2), сбрасывает несколько Dll, затем получает доступ к конфиденциальным каталогам, в которых хранится веб-информация. Он также может выполнять команды, например, удалять себя после завершения атаки.

Из-за способности этих похитителей информации обходить традиционные антивирусы (AV) и решения для обнаружения и реагирования на конечные точки (EDR), организации должны знать о тактике, методах и процедурах (TTP), которые используют злоумышленники для их поиска. Обнаружение может включать поиск исполняемого файла, который создает 6 или более Dlls в течение секунды, а также обнаружение неподписанного исполняемого файла, устанавливающего сетевое соединение, за которым следует создание этих Dlls. Организациям также следует искать аномальные процессы, обращающиеся к определенным местоположениям файлов, а также небраузерные исполняемые файлы, устанавливающие несколько соединений с Telegram.

Для предотвращения заражения организациям следует придерживаться лучших практик при работе в Интернете, а также отслеживать ложные срабатывания решений AV и EDR. Важно помнить, что методы действий злоумышленников быстро меняются, чтобы не быть обнаруженными, поэтому организациям необходимо постоянно обновлять свои усилия по обеспечению безопасности.

#ParsedReport
17-02-2023

These arent the apps youre looking for: fake installers targeting Southeast and East Asia

https://www.welivesecurity.com/2023/02/16/these-arent-apps-youre-looking-for-fake-installers

Actors/Campaigns:
Dragon_breath

Threats:
Fatalrat_rat
Typosquatting_technique
Alien
Dll_sideloading_technique

Industry:
Financial

Geo:
Asia, Indonesia, Japan, Thailand, Taiwan, China, Malaysia, Philippines, Ukraine, Myanmar, Chinese, Singapore

TTPs:
Tactics: 8
Technics: 22

IOCs:
Domain: 22
Path: 4
File: 9
Command: 1
Hash: 19
IP: 7

Softs:
telegram, chrome, electrum, qqbrowser, - chinese, m chinese)

Algorithms:
xor

Win API:
DisableThreadLibraryCalls, VirtualAlloc

Links:
https://github.com/aliyun/ossutil

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Исследователи из ESET выявили кампанию по распространению вредоносного ПО, направленную на китайскоговорящих жителей Восточной и Юго-Восточной Азии. Злоумышленники покупают вводящую в заблуждение рекламу в результатах поиска Google, чтобы направить жертв на поддельные веб-сайты, которые выглядят как популярные приложения, такие как Firefox, WhatsApp или Telegram. Эти вредоносные сайты затем доставляют троян удаленного доступа FatalRAT (RAT).

Впервые атаки были замечены в период с августа 2022 года по январь 2023 года. Однако исследователи обнаружили, что предыдущие версии программ установки использовались с мая 2022 года. Это позволяет предположить, что злоумышленники активно занимались этим видом атак в течение некоторого времени и со временем усовершенствовали свою тактику.

Вредоносные веб-сайты и программы установки в основном ориентированы на китайцев и включают такие приложения, как Chrome, Firefox, Telegram, WhatsApp, Line, Signal, Skype, Electrum Bitcoin wallet, Sogou Pinyin Method, Youdao, WPS Office и Electrumx.org. Злоумышленники могут использовать рекламу Google для направления потенциальных жертв на эти сайты, а также typosquatting для привлечения жертв на свои сайты.

Злоумышленники зарегистрировали различные доменные имена и направили их на один и тот же IP-адрес, на котором размещено несколько вредоносных веб-сайтов. Как только жертва посещает веб-сайт, ее обманом заставляют загрузить вредоносные программы установки, размещенные на Alibaba Cloud Object Storage Service, который был загружен в облачное хранилище 6 января 2023 года. Вредоносные программы установки сбрасывают и выполняют вредоносный загрузчик и файлы, необходимые для запуска вредоносной программы FatalRAT в каталоге %PROGRAMDATA%\Progtmy.

FatalRAT задокументирован исследователями AT&T в августе 2021 года и предоставляет различные функциональные возможности для выполнения вредоносных действий на компьютере жертвы. Он содержит различные проверки для определения того, запущен ли он в виртуализированной среде, в зависимости от конфигурации. Было обнаружено, что ранняя версия программы установки содержит зашифрованную XOR полезную нагрузку, разделенную на три файла: Micr.flv, Micr2.flv и Micr3.flv, каждый из которых зашифрован однобайтовым XOR-ключом.

Поскольку вредоносная программа, использованная в этой кампании, содержит команды для манипулирования данными из различных браузеров, пострадать может любой человек. Не исключено, что злоумышленники заинтересованы в краже информации, например, учетных данных веб-страниц, чтобы продать их на подпольных форумах или использовать для другого типа криминальных кампаний. Однако конкретная атрибуция этой кампании известному или новому субъекту угрозы пока невозможна.