#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TCLBANKER — это бразильский банковский троян, выявленный в рамках кампании REF3076, использующий поддельный установщик Logitech с расширенными возможностями, аналогичными предыдущему ВПО, такому как MAVERICK. Он нацелен на 59 финансовых учреждений, выполняется на бразильских системах и использует самораспространяющегося червя, который эксплуатирует захваченные аккаунты WhatsApp и Outlook для распространения. Примечательные функции включают полезную нагрузку, зависящую от среды, проверки на анализ и обманные WPF-оверлеи для кражи учетных данных, что подчеркивает тревожную тенденцию в разработке сложного ВПО.
-----

TCLBANKER — это сложный бразильский банковский троян, выявленный в ходе кампании REF3076, демонстрирующий продвинутые функциональные возможности, напоминающие о предыдущих семействах ВПО, таких как MAVERICK и SORVEPOTEL. Зловред использует троянизированный установщик Logitech, который интегрирует фреймворк антианализа и развертывает два основных компонента: модуль банковского трояна и модуль самораспространяющегося червя. Основной модуль, получивший название Tcl.Agent, использует загружаемые компоненты, ограниченные средой выполнения, обеспечивая запуск только на бразильских системах и требуя специфических региональных проверок. Он нацелен на 59 финансовых учреждений, устанавливая связь со своим сервером управления (управление) через WebSocket, когда пользователи переходят на соответствующие веб-сайты.

Его отличительной особенностью является оверлей на базе WPF, который облегчает тактики социальной инженерии. Этот оверлей позволяет операторам заниматься различными обманными практиками, такими как сбор учетных записей и симуляция взаимодействия пользователей с реальными приложениями, одновременно скрывая эти действия от средств обнаружения. ВПО также развертывает Tcl.WppBot, червяной модуль, отвечающий за распространение TCLBANKER через захваченные сессии WhatsApp и учетные записи Outlook. Модуль WhatsApp эксплуатирует браузер жертвы, клонируя активные сессии для отправки сообщений контактам, в то время как модуль Outlook отправляет фишинговые письма, используя легитимный почтовый аккаунт жертвы.

Установка начинается с извлечения вредоносной DLL, использующей Logi AI Prompt Builder — легитимное приложение Logitech. Механизмы противодействия анализу включают проверки отладчиков, виртуальных машин и несанкционированных сред. Сложность ВПО подчеркивается ее опорой на различные проверки системной информации для избежания выполнения в тестовых средах. Механизмы постоянства включают создание запланированных задач для автоматического выполнения и возможность самообновления через контролируемые скрипты.

Инфраструктура C2, размещённая на Cloudflare Workers, предназначена для быстрой адаптации и включает несколько фишинговых доменов для дальнейшего развития усилий по социальной инженерии. Один из таких доменов, arquivos-omie.com, является ярким примером более широких фишинговых тактик, использующих узнаваемые корпоративные бренды для проникновения.

По мере дальнейшего развития экосистемы этого банковского трояна интеграция механизмов самораспространения сигнализирует о тревожной тенденции в разработке вредоносного ПО. Использование TCLBANKERом зависимых от среды выполнения полезной нагрузки и продвинутых техник уклонения вызывает опасения относительно мер обнаружения и предотвращения, что требует бдительности со стороны организаций, особенно тех, которые работают в финансовом секторе. Это вредоносное ПО является примером растущей тенденции к коммерциализации сложных инструментов киберкриминала, что дополнительно усложняет ландшафт угроз.

#ParsedReport #CompletenessLow
05-05-2026

Attackers Actively Exploiting Critical Vulnerability in Breeze Cache Plugin

https://www.wordfence.com/blog/2026/05/attackers-actively-exploiting-critical-vulnerability-in-breeze-cache-plugin/

Report completeness: Low

Victims:
Wordpress sites, Shared hosting environments, Web hosting

CVEs:
CVE-2026-3844 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1070.004, T1083, T1105, T1190, T1505.003

IOCs:
Url: 1
File: 3
IP: 10
Hash: 1

Soft:
WordPress

Functions:
breeze_replace_gravatar_image, fetch_gravatar_from_remote, download_url, find_wordpress_installations, get_back, isset

Languages:
php

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Серьезная уязвимость произвольной загрузки файлов в плагине Breeze Cache для WordPress, затрагивающая около 400 000 установок, позволяет неаутентифицированным злоумышленникам загружать вредоносные файлы, включая PHP бэкдор, что может привести к Удаленному Выполнению Кода. Попытки эксплуатации резко возросли сразу после раскрытия уязвимости, при этом имеются доказательства того, что злоумышленники используют эту ошибку для загрузки PHP-скриптов, обладающих функциями бэкдор и способных сканировать другие установки WordPress. Уязвимость возникает из-за неверного регулярного выражения, позволяющего обрабатывать вредоносные URL из атрибута alt комментариев, что приводит к полной компрометации сайта.
-----

22 апреля 2026 года была раскрыта критическая уязвимость произвольной загрузки файлов (Arbitrary File Upload) в плагине Breeze Cache для WordPress, затронувшая около 400 000 активных установок. Эта уязвимость позволяет неаутентифицированным злоумышленникам загружать произвольные файлы, включая PHP-бэкдоры, что приводит к потенциальному удаленному выполнению кода (Remote Code Execution) на затронутых сайтах. Разработчик выпустил исправленную версию плагина всего за день до раскрытия информации. Несмотря на наличие исправления, попытки эксплуатации начались сразу же в день раскрытия, при этом более 30 000 попыток были заблокированы межсетевым экраном Wordfence за короткий промежуток времени.

Уязвимость возникает из-за некорректного регулярного выражения в плагине, которое позволяет извлекать URL не только из атрибута src тегов изображений, но и из атрибута alt. Это может быть использовано неаутентифицированными злоумышленниками, которые манипулируют отображаемым именем комментария, чтобы включить вредоносный URL, указывающий на PHP-файл. При обработке комментария затронутая функция fetch_gravatar_from_remote() загружает файл без проверки его типа или расширения, что позволяет злоумышленникам загрузить вредоносный PHP-код, который затем может быть выполнен, приводя к полной компрометации сайта.

Данные об атаках показывают, что злоумышленники используют эту уязвимость для загрузки различных вредоносных PHP-файлов, при этом примеры POST-запросов демонстрируют попытки использовать уязвимость для загрузки файлов, расположенных по URL-адресам, контролируемым злоумышленником. Некоторые вредоносные скрипты, наблюдаемые в ходе этих атак, имеют функциональность бэкдора, позволяющую ВПО сканировать другие установки WordPress, особенно в средах общего хостинга.

В частности, эти бэкдор-скрипты имеют механизмы самоуничтожения, что усложняет их обнаружение; однако они генерируют уникальные имена файлов, которые можно идентифицировать в журналах доступа. Меры безопасности, внедренные Wordfence, были направлены на упреждающую блокировку попыток эксплуатации, при этом специфические правила брандмауэра предоставлялись премиум-пользователям заранее, до даты раскрытия уязвимости. В свете этих событий очевидно, что уязвимость представляет собой серьезную угрозу, а ее массовая эксплуатация демонстрирует необходимость для пользователей плагина Breeze Cache применить рекомендуемые исправления и сохранять бдительность в отношении новых атак.

#ParsedReport #CompletenessHigh
06-05-2026

Iranian-Nexus Operation Against Oman's Government: 12 Ministries Hit and 26,000 Citizen Records Exposed

https://hunt.io/blog/iranian-nexus-oman-government-intrusion

Report completeness: High

Actors/Campaigns:
Oilrig
Muddywater

Threats:
Proxyshell_vuln
Spear-phishing_technique
Chisel_tool
Godpotato_tool

Victims:
Omani government, Ministry of justice and legal affairs, Royal oman police, Royal fleet of oman, Tax authority of oman, State audit institution, Royal court affairs, Authority for public services regulation, Civil aviation authority, Information technology authority, have more...

Industry:
Financial, Aerospace, Government

Geo:
Iran, Iranian, Oman, Iranians, Switzerland, Arab emirates, United arab emirates, Ita

CVEs:
CVE-2025-32372 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dnnsoftware dotnetnuke (<9.13.8)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
Domain: 29
IP: 13
Path: 1

Soft:
DotNetNuke, Joomla, MSSQL, Chrome, Dot Net

Algorithms:
sha256, base64

Win API:
SeImpersonatePrivilege

Win Services:
WebClient

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская кампания, приписываемая злоумышленникам, связанным с Ираном, нацелена на Министерство юстиции и правовых вопросов Омана, в результате чего были скомпрометированы конфиденциальные данные 12 министерств и 26 000 записей о гражданах. Атакующие использовали пользовательскую веб-оболочку для обеспечения постоянного доступа, применяли различные эксплойты, включая уязвимости ProxyShell, и задействовали несколько скриптов для эксфильтрации данных и операций управления (C2), при этом оставив часть инфраструктуры открытой. Тактика включала разведку учетных данных, добычу судебных записей и использование инструментов обфускации для поддержания скрытой связи.
-----

Недавняя хакерская кампания, направленная против правительства Омана, связана с ирано-ориентированными злоумышленниками, что привело к раскрытию конфиденциальной информации из 12 министерств и примерно 26 000 записей о гражданах. Атака отличалась отсутствием оперативной дискретности, поскольку злоумышленники непреднамеренно оставили свою инфраструктуру управления (C2) открытой на публичном сервере в ОАЭ, предоставив тем самым информацию об их тактике, техниках и процедурах (TTPs).

Основной целью данной операции было Министерство юстиции и по правовым вопросам, при этом постоянный доступ обеспечивался через пользовательскую веб-оболочку на сервере министерства. Эта веб-оболочка позволяла операторам поддерживать плацдарм и проводить активности по эксфильтрации, что было подтверждено журналами команд, указывающими на активные сеансы вплоть до 10 апреля 2026 года. Набор инструментов атакующего включал 12 скриптов эксплойтов, нацеленных на различные уязвимости, включая эксплойты ProxyShell (CVE-2021-34473/34523/31207) против почтовых серверов Королевского флота и Налогового управления, а также другие попытки брутфорса паролей против порталов eVisa и Государственного аудиторского учреждения.

Атакующая инфраструктура выявила два этапа работы. На порту 8000 были замечены первоначальные усилия по разведке, указывающие на попытки воздействия на несколько оманских государственных структур. Второй этап, идентифицированный на порту 8002, продемонстрировал хорошо организованную среду C2, включая скрипты для извлечения данных из целевых министерств и разработки эксплойтов. Заметными скриптами были те, что предназначены для обхода WAF, уязвимостей Oracle APEX и атак SQL-инъекций.

Тактика эксплуатации в рамках кампании включала использование веб-шеллов для поиска учетных данных и доступа к личной информации путем извлечения схем баз данных и пользовательских таблиц через PowerShell. Основное внимание уделялось добыче судебных записей, при этом было собрано значительное количество данных о национальных идентификаторах, личных данных и учетных данных пользователей, хранящихся в приложении DotNetNuke, используемом несколькими министерствами.

Сохраняя закрепление и доступ, скрипты C2 включали различные порты прослушивания, включая HTTP и SSH, а также такие инструменты, как Chisel, для зашифрованных коммуникаций. Агрессоры использовали несколько версий серверов для расширения своих возможностей, при этом обеспечивая, чтобы сигналы команд оставались незамеченными.

#ParsedReport #CompletenessHigh
06-05-2026

A rigged game: ScarCruft compromises gaming platform in a supply-chain attack

https://www.welivesecurity.com/en/eset-research/rigged-game-scarcruft-compromises-gaming-platform-supply-chain-attack/

Report completeness: High

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Birdcall
Rokrat
Reaper

Victims:
Gaming platform, Ethnic koreans in yanbian, North korean refugees and defectors

Industry:
Military, Entertainment, Government

Geo:
North korea, Koreans, Korean, China, Asian, North korean, Korea, Chinese, Ukraine

TTPs:
Tactics: 10
Technics: 47

IOCs:
Url: 5
File: 2
Email: 8
Hash: 9
Domain: 8
IP: 7

Soft:
Android, Dropbox, Google Play, kaoTalk, We, Chat, an, KakaoTalk, WeChat

Algorithms:
sha1

Languages:
python, ruby

Platforms:
apple

Links:
https://github.com/eset/malware-ioc/tree/master/scarcruft

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET выявили сложную атаку на Цепочку поставок, осуществленную северокорейской хакерской группировкой ScarCruft, направленную на игровую платформу, используемую этническими корейцами в Китае с конца 2024 года. Атака заключалась во внедрении бэкдора BirdCall как в приложения для Windows, так и для Android, при этом с использованием вредоносного процесса обновления для развертывания RokRAT перед BirdCall. BirdCall создан для масштабной эксфильтрации данных, включая конфиденциальную личную информацию, при этом он использует многоэтапный механизм загрузки для уклонения от обнаружения и применяет Облачные сервисы для коммуникаций управления.
-----

Исследователи ESET сообщили о продвинутой атаке на Цепочку поставок, организованной северокорейской хакерской группировкой ScarCruft, которая целенаправленно нацелена на игровую платформу для этнических корейцев в регионе Яньбянь в Китае. Атака, продолжающаяся с конца 2024 года, включала троянизацию как Windows, так и Android-компонентов этой платформы, внедряя бэкдор под названием BirdCall в приложения.

Клиент Windows игровой платформы был скомпрометирован через вредоносный процесс обновления, который внедрил бэкдор RokRAT, впоследствии развернувший более сложный бэкдор BirdCall. Версии игр для Android также были заражены, что позволило ScarCruft расширить свои возможности шпионажа через недавно разработанный вариант BirdCall для Android. Этот бэкдор предназначен для масштабной эксфильтрации данных, включая сбор личных документов, скриншотов и аудиозаписей, что указывает на стратегический фокус на сборе разведывательной информации о северокорейских диссидентах и других связанных целях.

Версия BirdCall для Windows реализована на C++ и обладает множеством возможностей, таких как логирование нажатий клавиш, мониторинг буфера обмена, выполнение удаленных команд и возможность подключения к серверам управления (C&C) с использованием скомпрометированных облачных сервисов хранения данных. Она опирается на многоэтапный механизм загрузки, где каждый компонент зашифрован с использованием ключа, специфичного для машины, что повышает ее способность избегать обнаружения. Изначальное выполнение обычно инициируется через скрипт на Ruby или Python, который затем извлекает и выполняет бэкдор.

Android-вариант BirdCall сохраняет аналогичные функциональные возможности, но использует иной подход в методах выполнения и закрепления. Он может делать скриншоты, записывать аудио и собирать конфиденциальные данные пользователей, такие как SMS-сообщения и журналы вызовов. Бэкдор использует облачные сервисы хранения данных, в частности Zoho WorkDrive, для своих C&C-коммуникаций, что делает его гибким и скрытным. Данные, собранные с скомпрометированных устройств, выводятся через эти каналы, а бэкдор способен загружать обновления для поддержания своей операционной актуальности.

Исследователи отметили, что вредоносные приложения распространялись внутри легитимной игровой платформы, что указывает на то, что ScarCruft не модифицировал исходный код игры напрямую, а переупаковывал существующие APK-файлы с компонентами бэкдора. Первоначальный анализ был проведен на основе подозрительного APK-файла, выявленного через VirusTotal, и подтвержден в ходе дальнейшего расследования игровой платформы, которая была скомпрометирована в результате более раннего обновления ее сервисов.

Эта атака демонстрирует эволюцию тактик ScarCruft по мере адаптации их вредоносного ПО для различных платформ и усиления их шпионских целей в отношении уязвимых групп населения, находящихся в близкой географической и политической близости к Северной Корее.

#ParsedReport #CompletenessLow
06-05-2026

Someone published four versions of a fake tanstack package in 27 minutes to steal your .env files

https://www.aikido.dev/blog/fake-tanstack-packages-steal-env-files

Report completeness: Low

Victims:
Software developers, Javascript projects, Npm users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1059.007, T1083, T1195.001, T1552.001

IOCs:
File: 11
Url: 1
Hash: 4

Soft:
linux, SendGrid, OpenAI, Anthropic

Algorithms:
sha256

Languages:
javascript

Platforms:
x64, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атакующий эксплуатировал реестр npm, опубликовав вредоносные версии пакета под названием TanStack, которые быстро эволюционировали в механизмах целеполагания для кражи конфиденциальных учетных данных. Начальная версия была сосредоточена на файлах .env, содержащих критически важную информацию, тогда как более поздние версии изменили свои стратегии целеполагания, в конечном итоге вернувшись к файлам .env в финальной версии. Этот инцидент подчеркивает риски, связанные с зависимостью от сторонних пакетов, поскольку атакующие могут легко развернуть вредоносные скрипты, которые собирают конфиденциальные данные во время установки.
-----

В ходе недавнего инцидента злоумышленник использовал реестр npm, опубликовав четыре версии вредоносного пакета, названного в честь легитимной библиотеки JavaScript — TanStack. Атака развивалась стремительно: версии с 2.0.4 по 2.0.7 были выпущены в течение 27 минут, что продемонстрировало отладку в реальном времени и итеративные корректировки механизмов нацеливания, направленных на кражу конфиденциальных учетных данных. Изначально версия 2.0.4 была предназначена для нацеливания на файлы .env и .env.local, которые обычно содержат критически важную информацию, такую как ключи доступа AWS, токены GitHub и различные API-ключи. Примечательно, что эта версия включала скрипт postinstall, в котором отсутствовала проверка на отказ от участия — что фактически предотвращало возможность пользователей запретить сбор данных.

Атакующий вскоре изменил стратегию таргетинга в версии 2.0.5, сосредоточившись на файлах README.md и AGENTS.md, что является вероятной тактикой для оценки эффективности их вебхука для эксфильтрации данных, вместо прямого таргетинга на учетные данные. Эта стратегия вернулась в версии 2.0.6, которая реализовала сканирование каталогов, полностью отказавшись от первоначального таргетинга на файлы. Однако в финальной версии 2.0.7 фокус вернулся к первоначальным целям — файлам .env и .env.local, при этом была введена самореферентная зависимость, назначение которой остается неясным.

Этот случай нейминг-сквоттинга оказался эффективным благодаря популярности организации TanStack, которая контролирует известные библиотеки с большим количеством еженедельных загрузок. Атакующему удалось развернуть кажущийся безобидным пакет, включающий простой скрипт postinstall, который мог собирать файлы .env по мере установки пакета разработчиками. Их подход подчеркнул риски, связанные с зависимостью от сторонних пакетов из реестра npm, где любой издатель может выполнять действия после установки, получающие доступ к конфиденциальным данным проекта по умолчанию.

Для снижения рисков и обнаружения подобных угроз организациям следует использовать такие инструменты, как Aikido, которые могут выявлять уязвимости и проблемы с ВПО в репозиториях, выделяя критические угрозы. Пользователи Aikido могут использовать функции покрытия ВПО для выявления рисков, тогда как тем, кто его не использует, рекомендуется внедрять меры безопасности, такие как Aikido SafeChain — инструмент с открытым исходным кодом, предназначенный для проверки пакетов npm перед установкой. Этот инцидент служит напоминанием о том, насколько просто злоумышленники могут запускать операции по сбор учетных записей без необходимости применения сложных техник эксплуатации или прямого компрометирования систем аутентификации.

#ParsedReport #CompletenessLow
06-05-2026

Attackers adopt JavaScript runtime Bun to spread NWHStealer

https://www.malwarebytes.com/blog/threat-intel/2026/05/attackers-adopt-javascript-runtime-bun-to-spread-nwhstealer

Report completeness: Low

Threats:
Nwhstealer
Xmrig_miner

Victims:
Gaming, Software, Cryptocurrency

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1033, T1041, T1047, T1053.005, T1055, T1057, T1059.001, T1059.007, have more...

IOCs:
File: 14
Domain: 5
Hash: 13

Soft:
Node.js, CoreFTP, Steam, Discord, Telegram, FiveM, qemu, virtualbox, xen

Algorithms:
zip, aes-256-cbc, xor, aes, base64

Functions:
Get-CimInstance, Get-Process

Win API:
VirtualAlloc, VirtualProtect, LoadLibraryA, GetProcAddress, RtlAddFunctionTable, CreateThread, SearchPathA

Languages:
typescript, powershell, rust, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NWHStealer — это стиллер на базе Rust, использующий среду выполнения JavaScript Bun для распространения, что повышает его устойчивость к обнаружению. Он использует такие платформы, как GitHub и GitLab для доставки, позволяя извлекать конфиденциальные данные с скомпрометированных систем, а также выполнять такие действия, как внедрение полезной нагрузки и закрепление. ВПО применяет обфускацию и методы противодействия виртуализации для облегчения процесса заражения и связывается со своими серверами управления через Телеграм.
-----

NWHStealer — это основанный на Rust стиллер, который недавно начал использовать среду выполнения JavaScript под названием Bun для распространения. Bun, разработанный как современная и эффективная замена Node.js, позволяет киберпреступникам упаковывать вредоносный код в приложения, которые с меньшей вероятностью вызывают срабатывание механизмов обнаружения из-за своей относительной новизны и легитимности. Это усиливает его привлекательность как средства для распространения ВПО.

Методы распространения NWHStealer эволюционировали, используя различные платформы — такие как GitHub, GitLab и сервисы обмена файлами — для повышения своей легитимности и маскировки злонамеренных намерений. Этот инфостиллер способен извлекать широкий спектр конфиденциальной информации с скомпрометированных систем, включая данные об операционной системе, аппаратном обеспечении, веб-браузерах, приложениях для обмена сообщениями и криптокошельках. Он также может внедрять вредоносные полез

В последних кампаниях NWHStealer распространялся в связке с JavaScript-загрузчиком, использующим среду выполнения Bun. Вредоносное ПО обычно распространяется через архивные файлы для скачивания, содержащие исполняемый файл, в который встроен JavaScript, закодированный для выполнения в среде выполнения Bun. Загрузчик реализует проверки на виртуализацию, чтобы избежать обнаружения в средах песочницы, и включает несколько уровней обфускации для защиты своего кода.

JavaScript-загрузчик выполняет несколько функций, включая серию команд для анализа системы жертвы. Он оценивает такие факторы среды, как количество процессоров, свободное место на диске и разрешение экрана, — всё это для присвоения «оценки», определяющей, следует ли продолжать заражение. Важно отметить, что этот процесс включает получение конфигурационных данных и зашифрованных полезной нагрузки с сервера C2, что затем позволяет запустить фактическую процедуру заражения — выполняемую через самовнедрение — NWHStealer.

Сложный метод использования Bun в качестве среды выполнения отражает растущий тренд среди злоумышленников использовать новые технологии для распространения ВПО и одновременного уклонения от традиционных мер безопасности. Акцент на широко распространенных приложениях и умная интеграция с доверенными программными платформами подчеркивают необходимость повышения бдительности пользователей при загрузке программного обеспечения, даже из, казалось бы, надежных источников.

Удивительно, но Qwen 3.6 переводит с английского ИБ-тексты лучше чем платный Yandex Translate.

По моим ощущениям, полгода - год назад Translate и YandexGPT глубоко цензурировали. YandexGPT теперь часто вообще отказывается "говорить" на ИБ-шные темы и в этой области стал полностью бесполезен.

#ParsedReport #CompletenessHigh
06-05-2026

ClickFix campaign uses fake macOS utilities lures to deliver infostealers

https://www.microsoft.com/en-us/security/blog/2026/05/06/clickfix-campaign-uses-fake-macos-utilities-lures-deliver-infostealers/

Report completeness: High

Threats:
Clickfix_technique
Amos_stealer
Multiverze
Shubstealer
Macc_stealer
Mainhelper

Victims:
Macos users, Cryptocurrency

Geo:
Russian, Japanese

TTPs:
Tactics: 9
Technics: 0

IOCs:
Domain: 115
Url: 23
File: 4
IP: 2
Hash: 4

Soft:
macOS, Microsoft Defender, Microsoft Defender for Endpoint, icrosoft Defender An, curl, curl Microsoft Defender, Twitter, acOS us, Gatekeeper, Telegram, have more...

Wallets:
trezor, electrum, coinomi, exodus_wallet, wassabi, dashcore, electron_cash, guarda_wallet, ledger_wallet, metamask, have more...

Crypto:
monero, bitcoin, litecoin, dogecoin

Algorithms:
base64, gzip, zip, sha256

Languages:
php, applescript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix нацелена на пользователей macOS, используя инфостилеры, такие как SHub Stealer и AMOS, и применяя обманные команды терминала для установки вредоносного ПО, замаскированного под утилитарные рекомендации. Этот метод позволяет осуществлять масштабный сбор данных, включая учетные данные браузеров и информацию о криптокошельках, сохраняя при этом скрытность благодаря механизмам закрепления, таким как LaunchAgents, и стиранию следов после эксфильтрации. Злоумышленники используют поддельные сообщения о поиске решений для выполнения вредоносных скриптов, которые взаимодействуют с динамическими командными серверами, стремясь к долгосрочному доступу и краже учетных данных.
-----

Кампания ClickFix нацелена на пользователей macOS с использованием инфостилеров, таких как SHub Stealer и AMOS.

Злоумышленники используют поддельные инструкции для утилит macOS для выполнения команд в терминале, что способствует установке ВПО.

ВПО собирает данные из истории команд bash, учетных данных браузера, записей Связки ключей и криптовалютных кошельков.

Операция использует AppleScripts, выполняемые через команды Terminal, что позволяет обойти традиционные проверки безопасности.

Первоначальный доступ осуществляется через поддельные сообщения о поиске и устранении неисправностей, которые побуждают пользователей запускать вредоносные команды.

Выполняемые команды извлекают исполняемые файлы с удалённых серверов для развёртывания дополнительных полезной нагрузки.

ВПО удаляет пути временного хранения после эксфильтрации данных, чтобы скрыть свою деятельность.

Оно манипулирует локальными приложениями для перехвата конфиденциальной информации и устанавливает закрепление с помощью конфигураций LaunchAgent.

ВПО функционирует через загрузчик разведки, взаимодействующий с жёстко закодированной инфраструктурой C2.

Этот загрузчик может динамически обнаруживать командные серверы, обеспечивая сохранение доступа в различных средах.

Сбор данных происходит во временных файлах, а проверка учётных данных использует локальные системные утилиты.

Собранная информация выводится с помощью curl и HTTP POST-запросов.

Кампания нацелена на получение высокоценных учетных данных и финансовых данных, особенно из криптоприложений.

Microsoft Defender задокументировал обнаружения, связанные с подозрительными выполнениями команд оболочки и поведением ВПО.