#ParsedReport #CompletenessHigh
30-04-2026

Poisoning the well: AI supply chain attacks on Hugging Face and OpenClaw

https://www.acronis.com/en/tru/posts/poisoning-the-well-ai-supply-chain-attacks-on-hugging-face-and-openclaw/

Report completeness: High

Actors/Campaigns:
Fakesecurity

Threats:
Supply_chain_technique
Amos_stealer
Process_injection_technique
Vmprotect_tool
Dead_drop_technique
Motw_bypass_technique

Victims:
Financial sector, Openclaw users, Hugging face users

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.002, T1027.007, T1027.010, T1036, T1036.005, T1053.005, T1055, T1059.001, T1059.004, T1070.004, have more...

IOCs:
File: 17
Hash: 12
IP: 1
Url: 13
Domain: 1

Soft:
Hugging Face, OpenClaw, ClawHub, macOS, twitter, Moltbot, Clawdbot, curl, Telegram, Windows Defender, have more...

Algorithms:
xor, aes, cbc, base64, sha256

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 6, code: 20, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют платформы распространения ИИ, такие как Hugging Face и ClawHub, для доставки ВПО, внедряя вредоносную функциональность в приложения и инструменты, которые выглядят надежными. Экосистема OpenClaw была идентифицирована как распространяющая более 575 вредоносных навыков, нацеленных на Windows и macOS, используя такие техники, как косвенная инъекция промптов, для выполнения скрытых команд без согласия пользователя. Кроме того, кампании, такие как ITHKRPAW и FAKESECURITY, демонстрируют использование сложных методов, таких как выполнение в памяти и скрытое извлечение полезной нагрузки с этих платформ, что подчеркивает тенденцию к нацеливанию на доверенные источники для распространения ВПО.
-----

Злоумышленники используют платформы распространения ИИ, такие как Hugging Face и ClawHub, для доставки ВПО.

Злоумышленники внедряют вредоносный функционал в программное обеспечение, предназначенное для экосистем ИИ, расширяя воздействие своего ВПО.

Экосистема OpenClaw насчитывает более 575 вредоносных навыков, нацеленных на системы Windows и macOS.

Эти навыки маскируются под легитимные инструменты, но выполняют скрытые команды или устанавливают вредоносные зависимости.

Косвенная инъекция промпта — это техника, используемая для принуждения ИИ-агентов к выполнению действий без ведома пользователя.

Hugging Face размещает вредоносные файлы, замаскированные под легитимные приложения, используя доверие пользователей.

Различные типы ВПО включают инфостилеры, трояны удалённого доступа (RAT) и криптомайнеры.

В кампании ITHKRPAW злоумышленники использовали Cloudflare Workers для развертывания скрипта PowerShell, который загружал полезную нагрузку с Hugging Face.

Кампания FAKESECURITY включала использование ВПО, применяющего выполнение в памяти и Внедрение кода в процессы для сокрытия операций в Windows Explorer.

Индикаторы компрометации включают серверы C2, идентифицированные по конкретным IP-адресам, что способствует проведению масштабных вредоносных действий.

Злоумышленники все чаще нацеливаются на доверенные платформы ИИ для глобального распространения ВПО.

Пользователи и организации должны рассматривать все входные данные из центров распределения ИИ как потенциально недоверенные.

Непрерывный мониторинг аномального поведения и проактивный поиск угроз могут повысить возможности обнаружения против этих угроз.

#ParsedReport #CompletenessLow
30-04-2026

Copy Fail: 732 Bytes to Root on Every Major Linux Distribution.

https://xint.io/blog/copy-fail-linux-distributions

Report completeness: Low

Threats:
Copyfail_vuln
Dirty_cow_vuln
Dirty_pipe_vuln

Victims:
Linux distributions, Kubernetes platforms, Cloud computing

CVEs:
CVE-2026-31431 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.254, <5.15.204, <6.1.170, <6.6.137, <6.12.85)

CVE-2022-0847 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.102, <5.15.25, <5.16.11)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1068, T1548.001, T1611

IOCs:
File: 5

Soft:
Linux, Ubuntu, Kubernetes, Android

Algorithms:
sha256, cbc, aes, hmac

Functions:
splice, read, mmap, execve, recvmsg, sg_chain, crypto_authenc_esn_decrypt, crypto_authenc_esn_decrypt_tail, sendmsg, recv, have more...

Languages:
python

Links:
have more...
https://github.com/torvalds/linux/commit/104880a6b470
https://github.com/torvalds/linux/commit/a5079d084f8b

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2026-31431, известная как «Copy Fail», — это критическая уязвимость в ядре Linux, позволяющая не привилегированным локальным пользователям выполнять контролируемые 4-байтовые записи в кэш страниц читаемых файлов. Эксплойт использует интерфейс AF_ALG для манипуляции бинарными файлами, в частности /usr/bin/su, что может предоставить доступ к root при выполнении. Эта уязвимость также представляет риски для побега из контейнеров, особенно в многопользовательских облачных средах, таких как Kubernetes, что делает её особенно опасной для безопасности системы.
-----

CVE-2026-31431, идентифицированный как «Copy Fail», представляет собой критическую уязвимость логики в шаблоне аутентификационного шифрования ядра Linux, которая позволяет не привилегированному локальному пользователю выполнять контролируемую запись 4 байт в кэш страниц любого доступного для чтения файла. Эта уязвимость была раскрыта Xint Code и применима ко всем основным дистрибутивам Linux, включая Ubuntu, Amazon Linux, RHEL и SUSE. Эксплуатация может быть выполнена с помощью простого 732-байтового скрипта на Python, использующего функциональность стандартных библиотечных модулей, что делает его особенно примечательным благодаря своей простоте и переносимости.

Корень проблемы «Copy Fail» кроется в обработке криптографических операций и управлении кэшем страниц ядром Linux. В частности, эксплойт манипулирует интерфейсом AF_ALG, широко используемым для криптографии, чтобы выполнить детерминированную запись, изменяющую кэш страниц без условий гонки или ошибочных временных окон. Этот простой подход отличает его от предыдущих уязвимостей повышения привилегий, таких как «Dirty Cow» и «Dirty Pipe», которые требовали более сложных условий и зависели от конкретных версий.

Механизм эксплуатации включает целевую запись в кэш страниц бинарного файла с правами setuid, а именно /usr/bin/su, который присутствует в основных дистрибутивах начиная с 2017 года. Атака осуществляется путем формирования полезной нагрузки, которая отправляется частями через функции sendmsg() и splice(), при этом определенные параметры тщательно подбираются для обеспечения вставки полезной нагрузки в системные бинарные файлы. После внедрения полезной нагрузки выполнение измененного бинарного файла предоставляет доступ к root.

Кроме того, последствия данной уязвимости выходят за рамки простого повышения привилегий на локальном уровне; общая природа кэша страниц позволяет осуществить потенциальный побег из контейнера, что существенно затрагивает среды Kubernetes. Таким образом, уязвимость Copy Fail представляет собой значительный риск, особенно в многопользовательских облачных инфраструктурах, где компрометация одного контейнера может привести к более широкому доступу к системе.

Уязвимость была сообщена команде безопасности ядра Linux в марте 2026 года и оперативно подтверждена, при этом исправления были предложены и включены в основное ядро вскоре после этого, что продемонстрировало проактивный подход к снижению рисков. Публичное раскрытие информации состоялось 29 апреля 2026 года после установления эффективного графика устранения.

#ParsedReport #CompletenessHigh
30-04-2026

ClickFix Removes Your Background but Leaves the Malware

https://www.huntress.com/blog/clickfix-castleloader-backgroundfix

Report completeness: High

Threats:
Clickfix_technique
Backgroundfix
Castleloader
Castlestealer
Process_hollowing_technique
Netsupportmanager_rat
Sandbox_evasion_technique
Apc_injection_technique
Antidebugging_technique
Lumma_stealer
Stealc

Victims:
Individual users, Telegram users, Cryptocurrency wallet users

Industry:
Transport

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.007, T1033, T1036.003, T1036.008, T1041, T1047, T1053.005, T1055.004, have more...

IOCs:
File: 35
Email: 1
Domain: 12
Url: 6
Path: 2
Command: 13
IP: 1
Hash: 2

Soft:
Telegram, Linux, curl, winhttp, Windows Defender, VirtualBox, indexeddb, Firefox, Discord, chrome, have more...

Wallets:
metamask

Algorithms:
xor, aes, chacha20, base64, zip, aes-cbc, rc4, aes-128, aes-256, aes-256-cbc

Functions:
exec, Windows

Win API:
decompress, HeapCreate, HeapAlloc, RtlMoveMemory, VirtualProtect, GetDesktopWindow, GetLastError, GetPrivateProfileStringW, CreateFileW, ShellExecuteW, have more...

Win Services:
bits

Languages:
python, powershell

Links:
https://gist.github.com/RussianPanda95/beefe07b6ead220de05fa63e2e5f556b#file-gistfile1-txt
https://github.com
have more...
https://gist.github.com/RussianPanda95/beefe07b6ead220de05fa63e2e5f556b/raw/9481136956fda26cad4a3b0fb56bf6321eac3976/gistfile1.txt

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, table: 1, code: 6, dump: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания BackgroundFix использует обманчивый инструмент для редактирования изображений для распространения ВПО, в частности применяя компонент под названием CastleLoader для развертывания NetSupport RAT и CastleStealer, последний из которых нацелен на конфиденциальную информацию, такую как учетные данные браузеров и данные криптографических кошельков. CastleLoader выполняет вредоносные коды скрыто, используя различные компоненты Windows и техники манипуляции, в то время как CastleStealer применяет передовые методы для извлечения учетных данных без прерывания активности пользователя, например, используя Restart Manager для операций с файлами. Кампания демонстрирует сложный подход к развертыванию ВПО и краже данных, объединяя удаленный доступ с автоматизированным сбором учетных записей.
-----

Кампания BackgroundFix использует обманчивый инструмент для редактирования изображений для распространения вредоносного ПО через мошеннические веб-сайты.

Выявлено восемь связанных доменов, входящих в кампанию BackgroundFix.

CastleLoader является основным угрозой, обеспечивающим развертывание вредоносных загрузок (ВПО).

CastleLoader устанавливает две основные угрозы: NetSupport RAT для удалённого управления и CastleStealer для кражи учётных данных.

CastleStealer извлекает конфиденциальную информацию, включая учетные данные браузеров, данные криптографических кошельков и файлы сеансов Телеграм.

CastleLoader использует ошибочный метод выполнения, ссылающийся на `regsrv32.exe` вместо `regsvr32.exe`, что приводит к ошибкам.

Использует компоненты Windows, такие как `finger.exe`, для связи с сервером управления и передачи команд.

Методы выполнения включают запуск скриптов PowerShell, манипулирование командами через `cmd.exe` и внедрение в пустой процесс.

CastleStealer нацелен на пароли, хранящиеся в браузерах и приложениях, сфокусировавшись на извлечении данных из баз данных IndexedDB, используемых криптокошельками.

Использует диспетчер перезапуска (Restart Manager) для операций с файлами, чтобы обойти блокировки приложений, минимизируя прерывания для пользователей.

CastleLoader тщательно выстраивает свои каналы управления с использованием встроенного шифрования на основе ChaCha20.

Сочетание CastleLoader и CastleStealer обеспечивает удаленный доступ и автоматизированный сбор учетных записей, представляя значительную угрозу для целевых систем.

#ParsedReport #CompletenessMedium
02-05-2026

'Copy Fail' Flaw: 5 YARA Rules for Detection

https://www.reversinglabs.com/blog/copy-fail-5-yara-rules

Report completeness: Medium

Threats:
Copyfail_vuln

Victims:
Server infrastructure, Cloud computing, Enterprise workloads, Multi tenant servers, Ci/cd pipelines, Container clusters

CVEs:
CVE-2026-31431 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- linux linux_kernel (<5.10.254, <5.15.204, <6.1.170, <6.6.137, <6.12.85)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1027.008, T1027.009, T1059.004, T1059.006, T1068, T1105, T1548.001, T1611, have more...

IOCs:
File: 2
Hash: 21

Soft:
Linux, Twitter, Ubuntu, Kubernetes, curl, PyInstaller

Algorithms:
sha1, aes, sha256, cbc, hmac

Functions:
splice, sendmsg

Win API:
PIE

Languages:
javascript, python

Platforms:
amd64, arm, riscv64

YARA: Found

Links:
https://github.com/Neo23x0/signature-base/blob/master/yara/expl\_copy\_fail\_cve\_2026\_31431.yar

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость Copy Fail (CVE-2026-31431) — это критическая локальная эскалация привилегий в ядре Linux, затрагивающая все основные дистрибутивы с 2017 года, позволяющая локальным пользователям получать административный контроль без паролей. Эта уязвимость возникает из-за ошибки логики в поддержке криптографических шаблонов ядра через сокет AF_ALG, что позволяет осуществлять контролируемые записи в важные файлы. Эксплойты включают минимальные скрипты на Python и их вариации, которые обходят хеш-базированное обнаружение, что стимулировало разработку правил YARA для выявления как оригинальных, так и модифицированных экземпляров эксплойта.
-----

Уязвимость Copy Fail, получившая идентификатор CVE-2026-31431, представляет собой критическую уязвимость повышения локальных привилегий, обнаруженную в ядре Linux, о которой компания Theori сообщила 29 апреля 2026 года. Она затрагивает все основные дистрибутивы Linux, выпущенные с 2017 года, и позволяет любому пользователю с Локальная учетная запись получить полный административный контроль без необходимости использования паролей или каких-либо специальных инструментов. Эксплойт представляет собой минимальный Python-скрипт размером 732 байта, который можно надежно выполнить на любой затронутой системе.

Основной механизм Copy Fail — это логическая ошибка, связанная с поддержкой криптографических шаблонов в ядре, которая доступна через интерфейс сокетов AF_ALG. Манипулируя этим интерфейсом, злоумышленник может выполнить контролируемое действие записи, способное повлиять на критически важные файлы, включая setuid-бинарники, такие как /usr/bin/su. Этот эксплойт представляет исключительную опасность в средах, где несколько пользователей или рабочих нагрузок разделяют одно ядро, например, на многопользовательских серверах и в кластерах контейнеров.

Область уязвимости охватывает версии ядра Linux от 4.14 до 7.0-rc. Хотя исправления доступны, на момент раскрытия информации они не были развернуты во всех дистрибутивах. Простота эксплуатации означает, что системы остаются подверженными до тех пор, пока не будут обновлены. Атака может быстро эскалировать, если злоумышленник уже имеет доступ к среде Linux.

ReversingLabs сообщил, что выявил несколько экземпляров уязвимого эксплойта вскоре после его публичного раскрытия, включая четыре различных образца на Python, созданных на основе исходного доказательства уязвимости (PoC). Эти образцы представляли собой вариации начального скрипта, демонстрировавшие изменения, такие как изменённые окончания строк или незначительные корректировки пробелов, не влиявшие на их функциональность. Подобная вариативность указывает на ограничения методов обнаружения на основе хешей, поскольку один и тот же исходный код может давать разные хеш-значения при незначительных модификациях.

В ответ ReversingLabs разработала целевые правила YARA для борьбы с угрозой Copy Fail. Они варьировались от правил с высокой степенью достоверности, обнаруживающих точные совпадения оригинального доказательства концепции (PoC), до более широких правил, направленных на выявление вариантов и скомпилированных ELF-бинарников, связанных с тем же эксплойтом. Одним из заметных производных работ является реализация на C под названием goodcopy.c, которая позволяет нацеливаться на различные архитектуры и включает улучшенные меры очистки для сброса кэша страниц после эксплуатации, тем самым предотвращая последующие атаки.

#ParsedReport #CompletenessHigh
30-04-2026

That AI Extension Helping You Write Emails? It’s Reading Them First

https://unit42.paloaltonetworks.com/high-risk-gen-ai-browser-extensions/

Report completeness: High

Threats:
Mitm_technique
Process_injection_technique

Victims:
Ai users, Ai developers, Email users, Job applicants, Online retailers, Fast fashion brands, Banking users, Corporate users

Industry:
Financial, Retail, E-commerce, Education

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1020, T1036, T1059.007, T1071.001, T1090, T1113, T1114.001, T1176, T1217, T1587.001, have more...

IOCs:
Url: 10
File: 6
BrowserExtension: 23
Hash: 6
Domain: 13
IP: 1
Coin: 2

Soft:
Chrome, ChatGPT, Gmail, Outlook, OpenAI, Claude

Algorithms:
sha256, exhibit

Functions:
JavaScript, Function

Languages:
javascript

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-08-18-IOCs-for-Chrome-extensions-leading-to-thank-you-pages-for-unwanted-content.txt
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-08-19-IOCs-for-Chrome-extensions-leading-to-adware-or-PUP.txt
have more...
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-09-24-IOCs-for-AI-prompt-hijacker-extensions.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние исследования показывают рост киберугроз, использующих вредоносные расширения браузера, маскирующиеся под инструменты ИИ, которые доставляют ВПО, такие как трояны удаленного доступа, атаки «человек посередине» и инфостилеры. Эти расширения применяют такие техники, как каналы управления на основе WebSocket для постоянного взаимодействия, перехват API браузера и эксфильтрация на основе DOM для сбора конфиденциальной информации без обнаружения. Яркими примерами являются расширения, которые собирают личные данные и изменяют настройки браузера для отслеживания поведения пользователей, демонстрируя сложность этих атак, основанных на ИИ.
-----

Наблюдается рост киберугроз, использующих расширения браузера, замаскированные под инструменты ИИ, которые доставляют вредоносное ПО, такое как трояны удаленного доступа (RAT), атаки типа «человек посередине» (MitM) и инфостилеры.

Злоумышленники используют популярность генеративного ИИ для создания расширений, которые осуществляют слежку за взаимодействиями пользователей и собирают конфиденциальные данные.

Злоумышленники используют большие языковые модели для повышения уровня сложности создания и доработки ВПО.

Вредоносные расширения используют каналы управления на основе WebSocket для постоянной связи с удаленными серверами.

Эти каналы могут восстанавливаться после сетевых сбоев, позволяя злоумышленникам непрерывно управлять сессиями.

Расширения используют такие методы, как перехват вызовов API браузера и эксфильтрация на основе DOM, для перехвата сетевого трафика и извлечения конфиденциальных данных без видимых сетевых запросов.

Расширение "Chrome MCP Server - AI Browser Control" действует как RAT с жёстко закодированным WebSocket-соединением для контролируемого доступа к контексту браузера жертвы.

Расширение «Reverse Recruiting - AI Job Application Assistant» собирает личную информацию и конфиденциальные ключи API искусственного интеллекта, отправляя эти данные на удаленный сервер без ведома пользователя.

«Chat AI for Chrome» — это перехватчик поиска, который изменяет настройки поиска для перенаправления запросов на контролируемые злоумышленниками сайты, позволяя отслеживать активность пользователей на различных устройствах.

Эта вредоносная архитектура использует многоуровневые методы хранения для закрепления даже после очистки файлов cookie.

Расширения шпионского ПО, такие как инструмент перевода на китайский язык, собирают данные через ненужные разрешения и конфигурации прокси.

Код, сгенерированный искусственным интеллектом, используется в кампаниях для разработки расширений, что иллюстрируется схемой перехвата аффилиатов 10xprofit, использующей формализованные практики программирования.

Эволюционирующий ландшафт угроз требует обновления стратегий защиты, в которых веб-браузеры рассматриваются как ключевые точки безопасности.

Надежные механизмы обнаружения должны фокусироваться на поведенческом анализе сетевой активности и включать контекстную разведку для противодействия техникам вымогательства на тему искусственного интеллекта.

#ParsedReport #CompletenessMedium
29-04-2026

AccountDumpling Hunting Down the Google-Sent Phishing Wave Compromising 30,000+ Facebook Accounts

https://guard.io/labs/accountdumpling---hunting-down-the-google-sent-phishing-wave-compromising-30-000-facebook-accounts

Report completeness: Medium

Threats:
Httrack_tool
Supply_chain_technique

Victims:
Facebook users, Page administrators, Business users

Industry:
Government

Geo:
Italy, Philippines, Brazil, Mexico, Vietnam, India, Canada, Vietnamese, Spain, Australia, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1078, T1102.002, T1111, T1113, T1566.002, T1567, T1583.006, T1588.002, have more...

IOCs:
Email: 2
Domain: 21
Url: 47

Soft:
Gmail, Telegram, WhatsApp

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, chart: 1, schema: 2, chats: 1, table: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция по фишингу AccountDumpling, приписываемая вьетнамским злоумышленникам, привела к компрометации более 30 000 аккаунтов Facebook с использованием Google AppSheet для доставки реалистично выглядящих фишинговых писем. Сложная схема включает использование поддельных страниц Facebook и PDF-файла, размещенного на Google Drive, содержащего ссылку на динамическую фишинговую панель, способную в реальном времени собирать пароли и коды 2FA. Для эксфильтрации украденных данных используются уникальные боты Телеграм, что отражает структурированный подход к краже учетных данных и захвату аккаунтов в рамках развивающейся экосистемы киберкриминал.
-----

Операция AccountDumpling по фишингу скомпрометировала более 30 000 аккаунтов Facebook.

Эта операция приписывается связанным с Вьетнамом злоумышленникам.

Фишинговые письма доставляются через AppSheet от Google, который является легитимным сервисом.

Атакующие используют доверенные платформы для обхода традиционных методов блокировки электронной почты.

Фишинговая кампания нацелена на пользователей Facebook с приманками, связанными с проблемами аккаунта и поддельными предложениями о работе.

Злоумышленники используют различные домены и инструменты, включая клоны легитимных страниц Facebook, размещённые на Netlify и Vercel.

Один из вариантов фишинговой схемы использовал PDF-файл, размещённый на Google Drive, который маскировался под уведомление от Meta.

PDF содержал встроенную ссылку, перенаправляющую пользователей на динамическую фишинговую панель на базе Socket IO.

Панель фишинга собирает конфиденциальные данные, такие как пароли, коды 2FA и скриншоты.

Операционная модель включает интерфейс взаимодействия с жертвами в реальном времени.

Боты Телеграм используются для эксфильтрации украденных данных, что позволяет оперативно реагировать на собранную информацию.

Аналитика выявила конкретные боты, связанные с операцией, что позволило получить представление о сетях злоумышленников.

Кампания способствует краже учётных данных, захвату учётных записей и перепродаже скомпрометированных учётных записей.

Установление связи с конкретными лицами подтверждается анализом метаданных, собранных с помощью фишинговых инструментов.

Один из PDF-файлов связал следователей с вьетнамским гражданином по имени Phạm Tài Tân.

Пересекающиеся каналы и общие языковые шаблоны в фишинговых наборах помогают аналитикам кибербезопасности отслеживать угрозу.