#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака на цепочку поставок Mini Shai-Hulud привела к компрометации версий 2.6.2 и 2.6.3 пакета lightning в PyPI, внедрив вредоносный код, который облегчает эксфильтрацию конфиденциальной информации, такой как учетные данные разработчиков и облачные ключи. Методология перешла с npm на PyPI, используя файл с именем start.py для загрузки и выполнения дополнительных полезной нагрузки. Целевые данные включают SSH-ключи, учетные данные облачных служб, информацию о VPN и закрытые ключи криптографических кошельков из различных приложений.
-----

Атака через цепочку поставок Mini Shai-Hulud расширила свое влияние на Python Package Index (PyPI), скомпрометировав версии 2.6.2 и 2.6.3 широко используемого пакета lightning, предназначенного для обучения моделей PyTorch. Эти версии содержат вредоносный код, который позволяет скрытно осуществлять эксфильтрацию конфиденциальных данных, включая учетные данные разработчиков, секреты облачных сервисов и информацию о криптографических кошельках.

Данный инцидент следует аналогичным компрометациям пакетов Bitwarden CLI и SAP npm, что указывает на преемственность в методологии атаки со стороны того же злоумышленника, который теперь переходит от npm к PyPI. Компрометация осуществляется через файл с именем start.py, который функционирует как кроссплатформенный загрузчик Bun. Этот вредоносный скрипт определяет операционную систему и архитектуру зараженного компьютера, после чего загружает версию среды выполнения JavaScript Bun 1.3.13. Затем он выполняет другой полезный груз, router_runtime.js, представляющий собой файл размером 11 МБ, что является тактикой, согласующейся с предыдущими атаками, встреченными в рамках этой кампании.

Среди типов информации, на которую нацелены злоумышленники и которая похищается, — ключи SSH, история команд оболочки (в различных средах, таких как bash, zsh, Python, Node и базы данных), переменные окружения, учетные данные git, а также учетные данные для основных облачных сервисов, таких как AWS, GCP и Azure. Под угрозой также находятся дополнительные учетные данные для Kubernetes и Helm, Docker, токены npm и конфигурационные файлы. Особую обеспокоенность этот инцидент вызывает у тех, кто связан с криптовалютой, поскольку злоумышленники стремятся извлечь закрытые ключи из приложений кошельков, поддерживающих Bitcoin, Litecoin, Monero, Dogecoin, Dash, Exodus, Atomic и Ledger. Кроме того, под угрозой оказываются учетные данные VPN для таких сервисов, как NordVPN, ProtonVPN, CyberGhost, Windscribe и OpenVPN, а также данные сеансов платформ для общения из Discord и Slack.

Для тех, кто использует Aikido, возможности обнаружения настроены для выявления этой угрозы ВПО. Пользователям рекомендуется отслеживать свой центральный канал на предмет критических проблем, помеченных как 100/100, и инициировать ручные повторные сканирования по мере необходимости. Хотя Aikido предлагает бесплатный план, охватывающий обнаружение ВПО, подчеркивается, что организации могут извлечь выгоду из их комплексной защиты конечных точек, которая обеспечивает видимость пакетов программного обеспечения, установленных на устройствах команды. Профилактические решения, такие как Aikido Safe Chain — инструмент с открытым исходным кодом, — также доступны для перехвата и проверки команд управления пакетами npm и других систем управления пакетами с помощью разведданных Aikido перед установкой, тем самым повышая безопасность против таких атак на Цепочку поставок.

#ParsedReport #CompletenessMedium
30-04-2026

Crypto Drainers as a Converging Threat: Insights into Emerging Hybrid Attack Ecosystems

https://www.levelblue.com/blogs/spiderlabs-blog/crypto-drainers-as-a-converging-threat-insights-into-emerging-hybrid-attack-ecosystems

Report completeness: Medium

Threats:
Credential_stealing_technique
Clickfix_technique
Nova_stealer
Miolab
Credential_harvesting_technique
Stepdrainer
Etherrat

Victims:
Cryptocurrency users, Enterprise networks, Windows users

Industry:
Petroleum, E-commerce, Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1033, T1036, T1059.001, T1059.007, T1071.001, T1082, T1102.001, T1105, T1189, have more...

IOCs:
Domain: 3
File: 22
Coin: 1
Registry: 1
Path: 1
Command: 2

Soft:
OpenClaw, penClaw re, Telegram, ode.js im, inux en, Node.js, ode.js ru, indows Security Center, A, ctive Directory do, curl, have more...

Wallets:
ledger_wallet, coinbase, solflare, bybit, math_wallet, tokenpocket, exodus_wallet, metamask, daffione, newwallet, have more...

Crypto:
arbitrum, solana, ethereum, coingecko

Algorithms:
cbc, aes, base64, zip, sha256

Functions:
getAccountInfo, connect, analyzeWallet, routeStealling, stealETH, stealCollection, permitSteal, tokenSteal, approve, transferFrom, have more...

Win API:
Polygon

Languages:
php, javascript, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Слияние традиционного киберкриминала и угроз, связанных с криптовалютой, привело к появлению сложных методов атак, что наглядно демонстрируется эволюцией современных «дрейнеров» и гибридного ВПО, такого как StepDrainer и EtherRAT. Эти инструменты используют передовые техники, включая социальную инженерию и манипуляции с блокчейном, для извлечения цифровых активов при минимальном взаимодействии со стороны пользователя. Эксплуатация поведения пользователей и уязвимостей блокчейна стирает границы между угрозами Web2 и Web3, повышая риски даже для организаций, не имеющих прямого отношения к криптовалютам.
-----

Наблюдается растущее пересечение инфраструктуры и методов, используемых киберкриминалом, нацеленным на пользователей криптовалют и тех, кто вовлечен в традиционный киберкриминал.

Вредоносное ПО и ботнеты, предназначенные для кражи учетных данных, теперь связаны с крипто-специфичными угрозами, такими как фишинговые порталы.

Современные «дрейнеры» эволюционировали от простых JavaScript-вставок до сложных систем, работающих в рамках нескольких блокчейн-сетей.

Дрейнеры отдают приоритет краже токенов высокой ценности при минимальном взаимодействии с пользователем и действуют менее заметно, чем программы-вымогатели.

Наборы «Drainer-as-a-service» доступны на подпольных рынках, что снижает порог входа для новых злоумышленников.

StepDrainer работает более чем на 20 блокчейнах, используя социальную инженерию для имитации легитимных подключений кошельков.

Техники StepDrainer включают имитацию дизайнов авторитетных торговых платформ и представление поддельных подтверждений транзакций.

EtherRAT сочетает в себе функции традиционных троянских программ удалённого доступа (RAT) с возможностями манипулирования блокчейном.

EtherRAT распространяется через троянизированный установщик, что позволяет проводить разведку и потенциально похищать криптоактивы через взаимодействия в блокчейне.

Дрейнеры эксплуатируют поведение пользователей, представляя визуальные элементы, соответствующие легитимным операциям, и обманом заставляя пользователей предоставлять одобрения.

Темы, связанные с искусственным интеллектом, используются для повышения доверия к вредоносным интерфейсам в этих атаках.

Организации, не имеющие прямого взаимодействия с криптографией, по-прежнему подвержены риску из-за скомпрометированных учетных данных или зараженных систем.

Распространение дрэйнеров и их интеграция с фишингом и распространением ВПО размывают границы между угрозами Web2 и Web3.

Злоумышленники эксплуатируют традиционные уязвимости, одновременно занимаясь сложными кражами криптоактивов, что требует единого подхода к защите в области кибербезопасности.

#ParsedReport #CompletenessLow
30-04-2026

Mapping Remus Infostealer

https://intelinsights.substack.com/p/mapping-remus-infostealer

Report completeness: Low

Threats:
Remus
Etherhiding_technique
Lumma_stealer

Industry:
Financial, Petroleum

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1571, T1583.001

IOCs:
IP: 29
Url: 4
Domain: 12
Coin: 6

Crypto:
ethereum

Functions:
write, read, setData, getData, transferOwnership

Links:
have more...
https://github.com/gendigitalinc/ioc/tree/master/Remus

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, chart: 1, table: 3, code: 5, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ вредоносного ПО Remus Infostealer выявляет его паттерны регистрации доменов, в основном использующие TLD .biz, и его интеграцию с блокчейн-технологиями для операций. Ключевые выводы показывают автоматизированные кампании, связанные с различными контрактами Ethereum, с выявленными конкретными портами управления (61611 и 61617). Дальнейшее изучение смарт-контрактов демонстрирует прогресс в функциях безопасности и потенциальные русскоязычные корни, что указывает на связи с известными группами российских злоумышленников.
-----

Анализ сосредоточен на инфраструктуре и оперативных техниках, используемых вредоносным ПО Remus Infostealer, предоставляя информацию о закономерностях регистрации доменов и его интеграции с блокчейн-технологиями. Основное внимание уделяется выявлению индикаторов компрометации (IoCs) и пониманию динамики коммуникаций и транзакций стиллера.

Большинство доменов, связанных с Remus, используют доменную зону .biz, что перекликается с другими инфостилерами, особенно с его предшественником Lumma. С помощью платформы Validin исследователи отследили историческое присутствие этих доменов, которые преимущественно были зарегистрированы в начале марта через Dynadot, что подтвердило гипотезу об автоматизированной кампании. Это согласуется с более широкими оперативными временными рамками, наблюдаемыми в аналогичных атаках.

Значительная методология данного исследования включает анализ блокчейна, где выявление паттернов транзакций раскрыло новые связи с кошельками операторов. Изначально анализ зашел в тупик, но дальнейшее изучение привело к идентификации дополнительных контрактов Ethereum, связанных с кошельками операторов. Расследование выявило четыре новых контракта и определило критические точки транзакций в фазе развертывания ВПО, указывая на использование конкретных портов (61611 и 61617) для каналов управления.

Анализ смарт-контрактов выявил различные операционные версии, при этом самые ранние версии не содержали механизмов валидации и функций безопасности. В последующих версиях были внедрены улучшения, такие как обеспечение конфиденциальности данных, строгие требования к форматированию и расширенные возможности логирования. Заметная эволюция в дизайне контракта отражает постоянные корректировки со стороны операторов, направленные на оптимизацию для снижения затрат при одновременном устранении видимости историй ротации C2. Интересно, что использование комментариев на русском языке внутри кода указывает на возможное русскоязычное происхождение разработчиков, что может помочь атрибутировать ВПО к конкретным группам злоумышленников, исторически связанным с деятельностью российского киберкриминала.

Несмотря на полученные данные, исследование признает ограничения в продолжении отслеживания блокчейна без новых образцов или индикаторов. Использование ончейн-мониторов может помочь в усилиях по обнаружению, что предполагает совместные действия для усиления мер кибербезопасности против Remus и подобных угроз. В целом, выводы подтверждают важность использования кросс-доменных методов, включая аналитику блокчейна, для отслеживания инфраструктуры и поведения ВПО, проливая свет на эволюционирующие тактики, применяемые киберпреступниками.

#ParsedReport #CompletenessMedium
30-04-2026

Claude adds malware to crypto agent

https://www.reversinglabs.com/blog/claude-promptmink-malware-crypto

Report completeness: Medium

Actors/Campaigns:
Famous_chollima
Graphalgo

Threats:
Promptmink
Ottercookie
Beavertail
Supply_chain_technique
Typosquatting_technique
Invisibleferret

Victims:
Cryptocurrency developers, Web3 developers, Ai coding agents, Software development

Industry:
Transport, Software_development, Financial

Geo:
Dprk, North korean

ChatGPT TTPs:
do not use without manual check
T1005, T1021.004, T1027, T1027.009, T1036.005, T1041, T1082, T1083, T1098.004, T1119, have more...

IOCs:
File: 3
Domain: 19
IP: 3
Hash: 305

Soft:
Claude, Twitter, Anthropic, Node.js, linux

Crypto:
solana

Algorithms:
base64, sha1

Functions:
ReversingLabs

Languages:
rust, python, typescript

Links:
https://github.com/reversinglabs/rl-protect-skills
https://github.com/ExpertVagabond/openpaw-graveyard/commit/cd3c6ccbfe02a0fcf249fdcf67fd3ec351a7ed7c
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PromptMink — это вредоносная кампания, связанная с северокорейской группой Famous Chollima, использующая скомпрометированный пакет @validate-sdk/v2, который маскируется под легитимный инструмент для проверки данных с целью кражи учетных данных криптокошельков. ВПО применяет техники враждебного искусственного интеллекта для уклонения от обнаружения и может атаковать конфиденциальные файлы, внедрять SSH-ключи для удаленного доступа и встраивать вредоносный код в крупные бинарные файлы. Эта кампания представляет собой значительную эволюцию в атаках на цепочку поставок программного обеспечения, демонстрируя манипулирование инструментами ИИ-кодинга для эффективного сокрытия вредоносных зависимостей.
-----

Исследователи ReversingLabs выявили новую вредоносную кампанию под названием PromptMink, исходящую от проекта криптографической торговли, в котором основанный на искусственном интеллекте агент программирования включил вредоносный пакет зависимостей с меткой @validate-sdk/v2. Этот пакет имитирует обычный инструмент проверки данных, но предназначен для эксфильтрации конфиденциальной информации, включая учетные данные из криптокошельков пользователей, и связан с хакерской группировкой Famous Chollima из Северной Кореи. В частности, этот инцидент демонстрирует сложную компрометацию цепочки поставок программного обеспечения, включающую многоуровневый подход: пакеты первого уровня, выглядящие легитимно и безвредно, служат приманкой, тогда как пакеты второго уровня несут реальный вредоносный код.

Mink демонстрирует заметную техническую эволюцию; его полезная нагрузка перешла от базовых возможностей по сбору информации к более продвинутым функциям. Изначально унаследованное от более ранних вредоносных пакетов, ВПО усовершенствовало свои методы, используя техники adversarial AI для обфускации и уклонения от обнаружения. ВПО может сканировать машины жертв на наличие конфиденциальных файлов, таких как .env и .json файлы, содержащие учетные данные криптографии, и оно использует функцию для сжатия и эксфильтрации целых проектов. Для целей Linux и Windows оно также может внедрять SSH ключи для постоянного удаленного доступа.

Кампания использует современные практики разработки, внедряя вредоносные загрузки в более крупные бинарные файлы с помощью таких техник, как создание одиночных исполняемых приложений (SEA). Этот подход не только облегчает обфускацию, но и интегрирует вредоносные загрузки в знакомые среды, где присутствуют интерпретаторы JavaScript, что существенно повышает скрытность от механизмов обнаружения. Исследователи отметили, что злоумышленники быстро адаптировались к уязвимостям предыдущих итераций, постоянно развертывая новые версии с усовершенствованными тактиками уклонения от обнаружения.

Выбор знаменитой группы Chollima манипулировать инструментами программирования на базе ИИ эффективно демонстрирует эволюцию в способах генерации и развертывания вредоносного ПО; использование больших языковых моделей (LLM) облегчает создание как описаний пакетов, так и самого вредоносного ПО. Это привело к успешному обману как человеческих разработчиков, так и ИИ-агентов для программирования, заставив их использовать вредоносные зависимости. Ключевые индикаторы компрометации (IOCs) включают конкретные домены управления и конечные точки API, которые обеспечивают эксфильтрацию данных.

Выводы подчеркивают необходимость надежных мер безопасности в процессах разработки программного обеспечения, в частности посредством детального статического анализа всех зависимостей перед установкой. Такие инструменты, как ReversingLabs' Spectra Assure Community, могут помочь выявить эти вредоносные сущности, повышая целостность цепочки поставок программного обеспечения и защищая от подобных целевых кампаний ВПО в будущем.

#ParsedReport #CompletenessHigh
30-04-2026

Geo-information data at risk. How HeartlessSoul is attacking the aviation industry

https://securelist.ru/tr/heartlesssoul-campaign-javascript-rat/115376/

Report completeness: High

Actors/Campaigns:
Heartlesssoul (motivation: information_theft)
Paper_werewolf

Threats:
Uac_bypass_technique

Victims:
Government agencies, Commercial companies, Industrial enterprises, Aviation systems, Public sector, Individual users

Industry:
Aerospace, Government

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.010, T1033, T1036.005, T1041, T1053.005, T1056.001, T1059.001, T1059.005, have more...

IOCs:
File: 14
Hash: 71
Url: 13
Domain: 11
IP: 4

Soft:
Node.js, GearUP, Telegram, Outlook, Google Chrome, Microsoft Edge, Yandex Browser, Opera

Crypto:
solana

Algorithms:
base64, zip, md5

Functions:
Main, createHash, GetCookiesKey

Win API:
DriveType

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группировка HeartlessSoul, активная с сентября 2025 года, нацелена на авиационный сектор и российские государственные учреждения, используя фишинг для распространения файлов LNK, XLL или MSI. Они применяют PowerShell для загрузки JavaScript RAT с серверов C2, используя обфускацию для уклонения от обнаружения, с возможностями регистрации нажатий клавиш, захвата экрана и эксфильтрации данных. Примечательно, что они эксплуатируют уязвимость ZDI-CAN-25373 и пересекаются в инфраструктуре с хакерской группировкой GOFFEE, что указывает на скоординированные действия.
-----

Группировка HeartlessSoul, активная с сентября 2025 года, представляет собой серьезную угрозу для авиационного сектора и российских государственных органов благодаря инновационным методам атак. Их основные тактики заражения включают фишинговые кампании, доставляющие вредоносные вложения, обычно в формате файлов LNK, XLL или MSI, а также вредоносную рекламу через поддельные сайты, имитирующие легальное авиационное программное обеспечение.

При первоначальной компрометации группа выполняет команды PowerShell, предназначенные для загрузки троянской программы удаленного доступа (RAT) из JavaScript на серверы управления (C2). Этот загрузчик JavaScript, названный index.js, не только запускает основной полезный груз, но и использует обфусцированный код для уклонения от обнаружения. Некоторые известные векторы заражения эксплуатируют уязвимость, обозначенную как ZDI-CAN-25373, где вредоносные команды могут быть скрыты в пути ярлыка файлов LNK.

В рамках вредоносной экосистемы RAT оснащен сложными функциями, включая захват экрана, регистрацию нажатий клавиш и возможности эксфильтрации данных. После установки RAT извлекает жизненно важную системную информацию, такую как серийный номер диска, имя пользователя и имя хоста, которые впоследствии объединяются в строку, хешируются и отправляются на сервер C2.

Целями сбора данных являются конфиденциальные геоинформационные данные, хранящиеся в форматах файлов ГИС, которые могут предоставить информацию об инфраструктуре, такой как транспортные и коммунальные сети. RAT также имеет специальные команды для извлечения истории просмотров и учетных данных из различных веб-браузеров, собирая данные, хранящиеся в их соответствующих каталогах. Примечательно, что троян использует утилиту .NET под названием ArtifactsCollector.exe для извлечения мастер-ключей браузера, что облегчает извлечение конфиденциальных данных cookie.

Инфраструктура HeartlessSoul демонстрирует заметные пересечения с хакерской группировкой GOFFEE, что указывает на возможную координацию между этими двумя субъектами. Обе группировки используют PowerShell для развертывания вредоносных модулей и сосредоточены на эксплуатации уязвимостей в целевых организациях, особенно в государственном секторе. Домены C2, используемые в их операциях, преимущественно регистрируются через Tucows Domains Inc., и они занимаются мошеннической регистрацией доменов для дальнейшего продвижения своих злонамеренных усилий по распространению.

Обнаружение активности HeartlessSoul может быть достигнуто путем мониторинга необычного поведения, связанного с выполненными LNK-файлами, паттернов сетевой коммуникации, указывающих на взаимодействие с серверами C2, а также наличия скрытых или зашифрованных входных данных командной строки. Хорошо зарекомендовавшие себя средства защиты в области кибербезопасности необходимы для снижения рисков, создаваемых этими постоянными угрозами, особенно в таких отраслях, как авиация, где безопасность имеет первостепенное значение.

#ParsedReport #CompletenessHigh
30-04-2026

LofyStealer: Malware targeting Minecraft players.

https://zenox.ai/en/lofystealer-malware-mirando-jogadores-de-minecraft/

Report completeness: High

Actors/Campaigns:
Lofygang

Threats:
Lofystealer
Grabbot
Slinky
Process_injection_technique
Process_hollowing_technique
Supply_chain_technique
Typosquatting_technique
Starjacking_technique
Chromelevator_tool
Antidebugging_technique

Victims:
Minecraft players, Gaming community, Browser users

Industry:
Entertainment

Geo:
Portuguese, Brazil, Brazilian

TTPs:
Tactics: 3
Technics: 16

IOCs:
IP: 2
File: 18
Command: 1
Hash: 2

Soft:
Node.js, OpenSSL, Chrome, Opera GX, Firefox, Windows kernel, Windows Certificate, WinHTTP, Metadados, 1 funcs, have more...

Algorithms:
aes-256, sha256, bcrypt, md5, base64, sha1, xor, zip

Win API:
MiniDumpWriteDump, SymSetSearchPathW, CertOpenStore, CertCloseStore, CertEnumCertificatesInStore, CertFindCertificateInStore, CertDuplicateCertificateContext, GetBestRoute2, if_nametoindex, NotifyIpInterfaceChange, have more...

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, table: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LofyStealer — это продвинутый стиллер, нацеленный на игроков Minecraft, связанный с кампанией GrabBot/Slinky. Он использует двухэтапную структуру, состоящую из загрузчика на Node.js и полезной нагрузки на C++ для Внедрения кода в процессы браузеров, применяя техники обфускации и каналы управления (C2) для эксфильтрации конфиденциальных данных из веб-браузеров. ВПО связано с группой LofyGang и включает механизмы антиотладки, что подчеркивает его сложность и фокус на краже данных, связанных с играми.
-----

LofyStealer — это сложная вредоносная кампания, нацеленная на игроков Minecraft, выявленная в ходе охоты на угрозы на платформе ANY.RUN. Этот стиллер, связанный с кампанией GrabBot/Slinky, маскируется под модификацию Minecraft под названием Slinky, используя доверие своей молодой аудитории. Он работает в два основных этапа: значительный загрузчик на базе Node.js размером 53,5 МБ (load.exe) и нативный полезный модуль на C++ размером 1,4 МБ (chromelevator.exe), который внедряется в процессы браузера жертвы. Такая двухуровневая структура повышает его возможности по уклонению от обнаружения и операционную сложность.

Загрузчик предназначен для сокрытия своей вредоносной природы, поскольку он упакован вместе с множеством легитимных библиотек, что усложняет обнаружение. Динамические доказательства выполнения подтверждают, что загрузчик устанавливает соединения управления (управление) с IP-адресом (24.152.36.241), что подтверждает его активное распространение. Критические функции внутри load.exe включают высокоуровневые сетевые возможности, предоставляемые библиотекой WS2_32.dll, используемыми для связи с C2, и расширенные функции манипуляции памятью из KERNEL32.dll, облегчающие эффективные техники Внедрение кода в процессы.

LofyStealer создан для масштабного кражи данных, нацелен на восемь популярных веб-браузеров. Он извлекает пять конкретных типов конфиденциальной информации: cookies, пароли, токены, данные кредитных карт и IBAN. ВПО использует как прямые системные вызовы, так и стандартные API для выполнения техник Внедрение в пустой процесс, тем самым обходя традиционные средства защиты конечных точек. Интеграция криптографического хеша SHA-256 для целостности данных гарантирует, что информация, отправляемая на C2, проверяется на подлинность.

Процесс эксфильтрации вредоносного ПО надежен и использует библиотеку WinHTTP для безопасных C2-коммуникаций, при этом отправляя собранные данные в ZIP-файлах, закодированных в Base64. Анализ также выявил механизмы антиотладки и уклонения от обнаружения, что указывает на его сложность в избегании механизмов обнаружения. Сформированный JSON-пакет, отправляемый на C2, включает различные поля, такие как секретный ключ для аутентификации, операционный журнал и данные для идентификации системы жертвы.

Кампания связана с группировкой LofyGang, которая исторически нацеливалась на игровые сообщества посредством различных атак на цепочку поставок JavaScript. Использование бразильского португальского языка в комментариях к коду и встроенных шаблонах именования подтверждает эту атрибуцию. Кроме того, представление LofyStealer в качестве платформы ВПО как услуга дополнительно иллюстрирует его коммерциализированную эволюцию, обеспечивая многоаспектный подход к киберкриминалу, сосредоточенный на кражах, связанных с играми.

#ParsedReport #CompletenessHigh
30-04-2026

Komari: The “Monitoring” Tool That Didn't Need Weaponising

https://www.huntress.com/blog/komari-c2-agent-abuse

Report completeness: High

Threats:
Komari_tool
Nssm_tool
Impacket_tool
Simplehelp_tool
Screenconnect_tool
Anydesk_tool
Nezha_tool
Atera_tool
Smbexec_tool
Mirai

Geo:
Netherlands

TTPs:
Tactics: 5
Technics: 1

IOCs:
IP: 1
Domain: 1
File: 12
Path: 5
Url: 1
Command: 2
Registry: 2
Hash: 1

Soft:
Windows service, Windows Update Service, Microsoft Defender, Velociraptor, Active Directory, Windows Defender, Linux, Zoom, systemd

Algorithms:
sha256

Functions:
randomString

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4