#ParsedReport #CompletenessHigh
26-05-2026

RemotePE: The Lazarus RAT that lives in memory

https://blog.fox-it.com/2026/05/22/remotepe-the-lazarus-rat-that-lives-in-memory/

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: information_theft)
Applejeus

Threats:
Remotepe
Themeforestrat
Pondrat
Dpapiloader
Remotepeloader
Hellsgate_technique
Tartarusgate_tool
Poolrat

Victims:
Financial organizations, Cryptocurrency organizations

Geo:
North korean, Netherlands, Korea

ChatGPT TTPs:
do not use without manual check
T1001.003, T1012, T1027, T1027.007, T1036.004, T1036.005, T1041, T1070.004, T1071.001, T1105, have more...

IOCs:
Path: 5
File: 8
Email: 1
Domain: 6
Hash: 8

Soft:
Windows service, Event Tracing for Windows, UNIX

Algorithms:
aes-gcm, prng, aes, zip, base64, xor, mszip

Functions:
EtwEventWrite

Win API:
WmiOpenBlock, InitSecurityInterfaceW, NtOpenSection, NtMapViewOfSection, NtUnmapViewOfSection, NtProtectVirtualMemory, NtClose, EtwEventWrite, CommandLineToArgvW, CryptUnprotectData, have more...

Languages:
python

YARA: Found

Links:
https://gist.github.com/fox-srt/6f838d0b574b095d578b2beed7dc2a24

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, связанная с Северной Кореей, использует взаимосвязанный набор вредоносных инструментов, включающий DPAPILoader, RemotePELoader и RemotePE, нацеленный на финансовый сектор и сектор криптовалют, с акцентом на работу в памяти для уклонения от обнаружения. DPAPILoader маскируется под легитимную DLL, используя DPAPI от Microsoft для расшифровки полезной нагрузки, в то время как RemotePELoader применяет техники уклонения для загрузки основных модулей с сервера C2. Наконец, RemotePE функционирует как Троянская программа с скрытой связью и командами, обеспечивая постоянный доступ к скомпрометированным системам и усложняя усилия по обнаружению.
-----

Группа Lazarus, связанная с Северной Кореей, использует сложный набор вредоносных инструментов, нацеленный на финансовые и криптовалютные организации. Этот набор, состоящий из трех взаимосвязанных семейств ВПО — DPAPILoader, RemotePELoader и RemotePE — работает преимущественно в памяти и спроектирован так, чтобы избегать обнаружения, оставляя минимальное количество следов для криминалистический анализ.

DPAPILoader выступает в качестве первой стадии и реализован в виде DLL-файла, маскирующегося под C:\Windows\System32\Iassvc.dll под именем службы Internet Authentication Service. Он использует API защиты данных Microsoft (DPAPI) для расшифровки полезной нагрузки с диска и загрузки её в память. Такой подход гарантирует, что даже если образец загружен в VirusTotal, он останется неэффективным из-за необходимости наличия специфических ключей DPAPI, привязанных к среде жертвы. DPAPILoader выборочно обрабатывает файлы в целевой директории, исключая файлы Microsoft Cabinet и расшифровывая файлы, прошедшие его проверки. Этот метод приводит к созданию уникальных зашифрованных блоков при каждом развертывании, усложняя статический анализ.

Следующим в цепочке является RemotePELoader. Этот загрузчик второго этапа извлекает основной модуль с сервера управления (C2). RemotePELoader реализует техники уклонения, включая HellsGate, который динамически разрешает номера системных вызовов Windows для обхода мер безопасности, и модифицирует Event Tracing for Windows (ETW), чтобы избежать обнаружения программным обеспечением безопасности. При выполнении он считывает настройки конфигурации с диска, идентифицируемые по проверке размера, и начинает цикл для связи со своим сервером управления. Используя HTTP POST-запросы, он отправляет и получает дополнительные полез

Последним компонентом этого набора инструментов является RemotePE, полностью функциональная троянская программа (RAT), которая выполняется исключительно в памяти. Такая архитектура минимизирует вероятность обнаружения или криминалистический анализ. RemotePE поддерживает множество команд от сервера C2, выполняя стандартные функции RAT, а также использует метод безопасного удаления, который перезаписывает файлы постоянными байтами. Кроме того, в нем предусмотрена система плагинов для динамического выполнения дополнительных полезной нагрузки.

Связь RemotePE с C2 осуществляется по структурированному протоколу, разделяя логику с RemotePELoader, но вводя специфические форматы команд и ответов, адаптированные для его функциональности. Оба загрузчика и финальный RAT опираются на единый конфигурационный файл, обеспечивая непрерывность их работы после перезагрузки. Инфраструктура, поддерживающая эту цепочку ВПО, часто использует услуги общего хостинга, что усложняет усилия защитников по идентификации и блокировке.

В заключение, DPAPILoader, RemotePELoader и инструментарий RemotePE демонстрируют настойчивые усилия аффилированных лиц Lazarus Group по достижению скрытого доступа и контроля над скомпрометированными системами за счет эффективного сокрытия своей деятельности и минимизации рисков обнаружения. Стратегии целевого обнаружения должны фокусироваться на аномальном использовании DPAPI, подозрительном поведении DLL и необычных шаблонах связи с C2.

#ParsedReport #CompletenessLow
21-05-2026

Introducing Showboat: A new malware family taunts defenses and targets international telecom firms

https://www.lumen.com/blog/en-us/introducing-showboat-a-new-malware-family-taunts-defenses-and-targets-international-telecom-firms

Report completeness: Low

Threats:
Showboat
Poison_ivy
Shadowpad
Nosydoor
Dead_drop_technique
Supply_chain_technique

Victims:
Telecommunications providers, Internet service provider, Telecommunications firms, Middle east, Southeast asia, Azerbaijan, United states, Donbas region

Industry:
Telco, Critical_infrastructure

Geo:
America, China, Russian, Asia, Middle east, Azerbaijan, Ukrainian, Afghanistan

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1057, T1059.004, T1082, T1090.001, T1102.001, T1105, T1113, T1132.001, have more...

IOCs:
Url: 6

Soft:
Linux m, Linux, Pastebin, Outlook

Algorithms:
sha256, base64, xor

#ParsedReport #ExtractedSchema

Classified images:
code: 2, table: 1, windows: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Showboat — это новое семейство ВПО для Linux, связанное с киберкампаниями против международных телекоммуникационных компаний, особенно тех, что находятся на Ближнем Востоке. Работая с середины 2022 года, оно функционирует как модульный фреймворк для пост-эксплуатации, обеспечивая удаленный доступ к оболочке и передачу файлов, а также применяя техники уклонения для сохранения скрытности. Его связь с инфраструктурой управления зашифрована и включает конфигурации с удаленного сервера, что указывает на стратегический фокус на критических телекоммуникационных сетях и возможную поддержку со стороны злоумышленников, связанных с КНР.
-----

Новое семейство ВПО для Linux, получившее название Showboat, связано с устойчивыми киберкампаниями против международных телекоммуникационных компаний. Обнаруженное Black Lotus Labs, Showboat работает с середины 2022 года и функционирует как модульный фреймворк для постэксплуатации, позволяющий злоумышленникам создавать удаленные оболочки, передавать файлы и действовать как прокси-сервер Socks5. Оно связано с кластерами активности, которые, по сообщениям, связаны с Китайской Народной Республикой (КНР), затрагивая телекоммуникационных провайдеров на Ближнем Востоке и имперсонируя компании в Юго-Восточной Азии.

Вредоносное ПО использует продвинутые техники уклонения. Оно может скрывать свое присутствие на зараженных системах, позволяя злоумышленникам глубже взаимодействовать с их сетями. Первоначальный анализ предполагает, что Showboat был развернут через инфраструктуру управления (C2), связанную с IP-адресами в Чэнду, Китай. Вредоносное ПО компилирует конфигурации с удаленного сервера и отправляет данные обратно через зашифрованный метод связи, который использует кодировку base64 в формате PNG.

Функционал Showboat включает несколько критических возможностей, таких как загрузка и выгрузка файлов, скрытие процессов, поддержание постоянного доступа и смена C2-узлов. Примечательно, что вредоносное ПО может выполнять команды, позволяющие ему скрываться в системе, загружая код из онлайн-источников, таких как Pastebin, чтобы оставаться незамеченным. Его функции Socks5 и portmap обеспечивают сканирование внутренней сети и подключение к устройствам, не экспонированным в интернет.

Связь с инфраструктурой C2 осуществляется после первоначальной настройки, когда вредоносное ПО отправляет строку JSON, содержащую информацию о хосте и данные о версии вредоносного ПО. Эта система дополнительно защищена самоподписанным сертификатом X.509 для установления связи с C2, который использует методы, вероятно, предназначенные для обхода обнаружения системами безопасности.

Расследования активности вредоносного ПО выявляют корреляцию между несколькими узлами C2, работающими под одним и тем же отпечатком SHA256. Это указывает на то, что Showboat используется в рамках различных кампаний несколькими злоумышленниками, связанными с КНР, которые фокусируются на телекоммуникационных компаниях. Анализ инфраструктуры показывает связи с скомпрометированными организациями в Соединенных Штатах и Украине, что намекает на более широкую кампанию, нацеленную на телекоммуникационные сети, имеющие критическое значение для глобальной связи.

Учитывая стратегическую важность телекоммуникационных провайдеров, особенно в регионах, близких к крупным державам, появление Showboat сигнализирует о продолжающемся ландшафте угроз, где акторы-государства используют сложное ВПО для проникновения в уязвимые сети. Распространенность такого стойкого ВПО подчеркивает необходимость усиления мониторинга и мер безопасности для защиты критической инфраструктуры от этих целевых угроз.

#ParsedReport #CompletenessLow
27-05-2026

BTMOB: A stealthy RAT burrowing deep into Android devices

https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/

Report completeness: Low

Threats:
Btmob_rat
Spysolr

Victims:
Android users, Streaming services, Cryptocurrency platforms, Tax and customs authorities

Industry:
Financial, Government

Geo:
Ukraine, Argentina, Latin america, Brazil

ChatGPT TTPs:
do not use without manual check
T1476, T1513, T1517, T1587.001, T1588.001, T1660

IOCs:
IP: 20
Hash: 36

Soft:
Android, Telegram, Instagram, Google Play

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BTMOB — это сложная троянская программа для удаленного доступа к Android (RAT), которая эволюционировала из вредоносного ПО SpySolr и известна своей способностью похищать данные, делать скриншоты и обеспечивать полный контроль над зараженными устройствами. Она в основном использует тактики социальной инженерии, чтобы заманить жертв на фишинговые сайты, что приводит к установке вредоносных APK-файлов, использующих службы доступности Android для получения повышенных прав. Работая по модели ВПО как услуга, доступность BTMOB на форумах даркнета и удобный конструктор APK-файлов способствуют ее быстрому распространению и эволюции, вызывая опасения по поводу широкого использования.
-----

BTMOB — это сложная троянская программа для удаленного доступа к Android (RAT), выявленная в Бразилии, отличающаяся потенциалом масштабного ущерба, а не высокими показателями обнаружения. Впервые замеченная в феврале 2025 года и являющаяся эволюцией вредоносного ПО SpySolr, BTMOB выделяется среди традиционных банковских троянских программ, предлагая злоумышленникам более широкий набор вредоносных возможностей. К ним относятся эксфильтрация конфиденциальных данных, захват скриншотов и запись активности устройства, что в конечном итоге обеспечивает полный удаленный контроль над скомпрометированными устройствами.

Процесс заражения в первую очередь использует тактики социальной инженерии. Жертв часто перенаправляют на фишинговые сайты, которые маскируются под популярные сервисы, такие как стриминговые платформы или сайты для майнинга криптовалют. Оказавшись на этих сайтах, жертв заманивают в поддельные магазины приложений, предлагающие вредоносные APK-файлы для установки. BTMOB использует службы доступности Android для получения повышенных прав, что обеспечивает более глубокий доступ к системе при минимальном взаимодействии с пользователем — это распространенная техника в современном ВПО.

Динамика рынка, связанная с BTMOB, значительна, поскольку он работает по модели ВПО как услуга (MaaS). Эта модель позволяет распространять RAT через рекламные каналы в интернете, включая платформы социальных сетей, где потенциальные покупатели могут связаться с операторами. Вредоносное ПО поставляется с интерфейсом для сборки APK, что позволяет даже нетехническим пользователям создавать кастомные полезную нагрузку и фишинг-тактики, адаптированные под конкретные регионы. Например, появились сообщения о кампаниях BTMOB, имитирующих государственные органы, такие как налоговые и таможенные органы Аргентины.

Экономическая ситуация с BTMOB такова, что стоимость лицензии на весь срок службы — около 5 000 долларов США — остается низкой по сравнению с потенциальной финансовой выгодой от успешных мошеннических действий. Кроме того, доступность ВПО вызывает обеспокоенность; в январе 2026 года сообщалось, что файлы, связанные с BTMOB, были доступны бесплатно на форуме в даркнете, что иллюстрирует риск распространения коммерческого ВПО на вторичные рынки. Подобная динамика способствует появлению множества вариантов, которые быстро генерируются и распространяются, усложняя усилия по обнаружению.

В оборонительном плане BTMOB выявляется с помощью нескольких сигнатур обнаружения в средствах безопасности, включая MSIL/BtmobRat и различные обнаружения, связанные с Android. Недавние анализы выявили множество образцов и вариантов, появившихся за короткий период, что подчеркивает быструю смену и эволюцию, ожидаемые для этого ВПО. По мере того как BTMOB набирает популярность, его способность к широкому использованию и настройке делает его значительной угрозой для мониторинга за пределами места его происхождения в Бразилии.

#ParsedReport #CompletenessHigh
27-05-2026

Fluffy Wolf tested new products on Russian companies

https://bi.zone/expertise/blog/fluffy-wolf-ispytal-novinki-na-rossiyskikh-kompaniyakh/

Report completeness: High

Actors/Campaigns:
Fluffy_wolf (motivation: cyber_criminal)
Purecoder

Threats:
Powerloader
Purelogs
Purerat
Pay2key
Purecryptor
Dotnet_reactor_tool
Spear-phishing_technique
Uac_bypass_technique
Process_injection_technique
Process_hollowing_technique
Ngrok_tool
Donut
Mimic_ransomware

Victims:
Russian organizations, Construction, Consulting, Manufacturing, Engineering, Retail, E commerce

Industry:
E-commerce, Retail

Geo:
Russian, Spanish

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 16
Command: 4
Registry: 2
Path: 3
Url: 15
IP: 4
Hash: 41

Soft:
fsutil, NET Reactor, Mozilla Firefox, Windows Task Scheduler, Google Chrome, Microsoft Edge, Opera, Telegram, FoxMail, Windows Registry, Outlook, have more...

Algorithms:
base64, 3des, gzip, zip

Functions:
setZeroData

Win API:
SetCursorPos, SendInput, GetMessageExtraInfo, IsWindowVisible, EnumDesktopWindows, keybd_event, GetForegroundWindow, CloseDesktop, GetCursorInfo, CheckRemoteDebuggerPresent, have more...

Win Services:
WebClient

Languages:
rust, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2026 году хакерская группировка Fluffy Wolf провела фишинговые атаки против российских компаний, используя такие техники, как PowerLoader для доставки ВПО и PluginRemoteDesktop для расширенного удаленного доступа. Их арсенал ВПО включал PureLogs, PureRAT и Pay2Key, которые использовали обфусцированные скрипты и техники выполнения в памяти для поддержания скрытности. Группировка регулярно обновляет свои инструменты и использует GitHub для распространения ВПО, демонстрируя адаптивный и развивающийся ландшафт угроз.
-----

Весной 2026 года хакерская группировка Fluffy Wolf провела серию фишинговых атак, нацеленных на различные российские компании, применяя инновационные техники и новое ВПО. Злоумышленники использовали новый загрузчик, идентифицированный как PowerLoader, а также плагин PluginRemoteDesktop, предназначенный для расширения возможностей удаленного доступа. В их арсенале также присутствовали крадильщик PureLogs, Троянская программа удаленного доступа PureRAT и шифровальщик Pay2Key, которые они применяли в различных сценариях атак.

Фишинговые кампании были инициированы через обманные электронные письма, которые выдавали себя за сообщения от специализированных организаций, предлагающих финансовые услуги или доступ к документам. В этих письмах содержались либо вложения в виде архивов RAR, либо ссылки, направляющие жертв на репозитории GitHub, где размещались вредоносные архивы RAR. Эти архивы обычно содержали исполняемые полез

Зловредные файлы включали обфусцированные скрипты и различные типы загрузчиков, такие как PureCrypter и загрузчик на Rust, использующий shellcode Donut для выполнения атак в памяти. PowerLoader, продаваемый на подпольных форумах, обладает такими функциями, как эффективная обфускация и уникальный сигнатурный отпечаток для каждой сборки, что делает его особенно сложным для обнаружения.

Анализ вредоносного ПО показал, что после запуска вредоносные компоненты могут внедряться в доверенные процессы, такие как RegAsm.exe и Утилита InstallUtil.exe, что позволяет злоумышленникам сохранять скрытность и функциональность. Возможности вредоносного ПО PureRAT были значительно расширены за счет плагина PluginRemoteDesktop, обеспечивающего обширный контроль над скомпрометированными системами, включая создание снимков рабочего стола и возможность управления вводом пользователя.

Также отмечалось использование Pay2Key, применявшего защитные тактики для сокрытия своего присутствия путём создания недоступных каталогов, в которых хранились зашифрованные файлы. После шифрования данных вымогатель отображал выкупное сообщение и применял модификации реестра для уведомления пользователя.

При анализе было выявлено, что группа Fluffy Wolf регулярно обновляет свои инструменты для обхода мер безопасности, что свидетельствует о масштабных исследованиях и разработках, стоящих за их деятельностью. Использование киберпреступниками платформы GitHub в качестве канала распространения вредоносного ПО демонстрирует их методологию избегания обнаружения, а акцент на непрерывном развитии векторов атак указывает на эволюцию угроз.

Индикаторы компрометации из этой кампании включают конкретные хеши файлов, сетевые индикаторы, связанные с их инфраструктурами C2, и тактики, соответствующие фреймворку MITRE ATT&CK. В целом, группа Fluffy Wolf приняла многогранную стратегию своих атак, сочетая социальную инженерию с сложными технологическими маневрами для эффективной компрометации своих целей.

#ParsedReport #CompletenessMedium
27-05-2026

How TeamPCP Turned LiteLLM into a Credential Harvesting Tool

https://www.forcepoint.com/blog/x-labs/litellm-supply-chain-attack-teampcp

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Credential_harvesting_technique
Supply_chain_technique
Credential_stealing_technique

Victims:
Artificial intelligence, Cloud services, Software development

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1059.006, T1071.001, T1105, T1195.001, T1195.002, T1528, T1546, T1552, have more...

IOCs:
Domain: 1
File: 2
Url: 2
Hash: 2

Soft:
LiteLLM, OpenAI, Trivy, Docker, Anthropic, curl

Algorithms:
pbkdf2, base64, aes-256-cbc, aes

Languages:
python

Links:
https://github.com/aquasecurity/trivy

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа хакерских группировок TeamPCP осуществила атаку на цепочку поставок на библиотеку с открытым исходным кодом LiteLLM для Python, скомпрометировав сканер уязвимостей Trivy для внедрения вредоносных коммитов, которые проникли в конвейеры CI/CD. Они распространили две поддельные версии LiteLLM, которые использовали различные техники внедрения для сбора учетных записей, нацеливаясь на конфиденциальную информацию, связанную с различными облачными сервисами. Атакующие установили закрепление с помощью скрипта опроса для обеспечения удаленного выполнения кода, что подчеркивает уязвимости в инфраструктуре ИИ.
-----

Группировка TeamPCP успешно осуществила атаку на Цепочку поставок библиотеки LiteLLM с открытым исходным кодом на Python, которая используется в качестве шлюза ИИ для взаимодействия с более чем 100 провайдерами LLM. Атака началась с компрометации Trivy, широко используемого сканера уязвимостей. Подделывая легитимные идентификаторы сопровождающих и внедряя вредоносные коммиты, TeamPCP разместила версию Trivy с бэкдором на таких платформах, как GitHub, которая затем проникла в конвейеры CI/CD, используемые различными проектами, включая LiteLLM.

Процесс сборки LiteLLM включал Trivy, и в результате манипулятивная версия злоумышленника позволила ему извлечь токен PYPI_PUBLISH из памяти CI/CD-агента. Получив доступ с помощью украденного токена, две вредоносные версии LiteLLM, 1.82.7 и 1.82.8, были распространены без обнаружения из основного репозитория.

Две версии скомпрометированного LiteLLM используют различные техники для внедрения вредоносного кода. Версия 1.82.7 применяет инъекцию исходного кода, встраивая полезную нагрузку, закодированную в Base64, в файл proxy_server.py, активируя её при запуске прокси-сервера LiteLLM. В отличие от этого, версия 1.82.8 использует более скрытный метод инъекции через .pth-файл, устанавливая файл с именем litelllm_init.pth в директорию site-packages. Этот метод гарантирует выполнение полезной нагрузки при каждом запуске интерпретатора Python, независимо от того, вызывается ли сам LiteLLM напрямую.

Вредоносные полезная нагрузка разработаны для проведения сбора учетных записей. После запуска они сканируют наличие чувствительных переменных окружения и конфигурационных файлов, связанных с различными Облачными сервисами, включая ключи для провайдеров ИИ, таких как OpenAI и Azure, а также учетные данные AWS/GCP/Azure. Скомпрометированные данные шифруются с использованием 32-байтового сеансового ключа AES и алгоритма AES-256-CBC, затем упаковываются для эксфильтрации на URL, связанный с TeamPCP, с использованием команды 'curl'.

Кроме того, злоумышленники внедрили механизм закрепления с помощью скрипта под названием Sysmon.py, который устанавливает бэкдор для Удаленного Выполнения Кода. Этот скрипт запускается с задержкой, после чего регулярно опрашивает указанный URL для получения и выполнения потенциально вредоносных обновлений.

Инцидент с LiteLLM наглядно демонстрирует растущую уязвимость инфраструктуры искусственного интеллекта к атакам на Цепочку поставок. Возможность TeamPCP эксплуатировать единую точку отказа привела к компрометации доступа к нескольким крупным провайдерам искусственного интеллекта одновременно. Последствия этого инцидента подчеркивают необходимость внедрения надежных мер безопасности в библиотеки, обеспечивающие подключение к взаимосвязанным сервисам искусственного интеллекта.

#ParsedReport #CompletenessHigh
27-05-2026

forge-jsxy: 22 Versions of an Actively Developed npm RAT

https://safedep.io/malicious-forge-jsxy-npm-rat-evolution

Report completeness: High

Actors/Campaigns:
Contagious_interview
Axios_compromise
Teampcp
Lofygang

Threats:
Forge-jsx
Promptmink
Typosquatting_technique
Supply_chain_technique
Glassworm

Victims:
Software developers, Cryptocurrency users

Industry:
Financial

Geo:
German, Dprk, Polish

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1053.005, T1056.001, T1071.001, T1074.001, T1082, T1083, have more...

IOCs:
IP: 1
Email: 1
Url: 1
Path: 1
Registry: 1
Hash: 1
File: 13

Soft:
Chromium, WebRTC, Hugging Face, Discord, Linux, macOS, Task Scheduler, Node.js, systemd, Google Chrome, have more...

Wallets:
metamask, rabby

Crypto:
solana, ethereum, bitcoin

Algorithms:
sha256, ed25519, xor, aes, aes-256-gcm, fnv-1a

Languages:
typescript, javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет npm forge-jsxy, являющийся эволюцией более раннего RAT forge-jsx, включает регистрацию нажатий клавиш, мониторинг буфера обмена, сканирование криптовалютных кошельков и кражу данных расширений браузера в 21 браузере, сохраняя при этом надежный механизм закрепления. Он может избегать обнаружения путем выполнения скриптов во время установки, отправляет захваченные данные на сервер C2 и использует шифрование, согласованное с forge-jsx. Оператор остается неустановленным, но демонстрирует уникальные операционные паттерны, представляя значительные риски несанкционированного доступа и эксфильтрации данных для затронутых пользователей.
-----

Вредоносный пакет npm forge-jsxy представляет собой эволюцию более раннего npm Троянская программа (RAT) forge-jsx, который был удалён платформой npm. Опубликованный под учётной записью администратора "jacksonkaandorp2", пакет forge-jsxy получил 22 версии, выпущенные в период с 4 по 26 мая 2026 года. Он сохранил базовую функциональность forge-jsx, включая Регистрация нажатий клавиш и мониторинг буфера обмена, а также добавил новые возможности, такие как сканирование кошельков криптовалют и кража данных расширений браузера более чем в 21 браузере. ВПО разработано для сохранения работоспособности после удаления пакета и может получать автоматические обновления с сервера управления (C2) по IP-адресу 204.10.194.247, при этом украденные данные передаются в репозитории, контролируемые злоумышленниками.

RAT выполняет серию скриптов после установки, которые позволяют избежать обнаружения в средах непрерывной интеграции. Среди его возможностей — периодический скриншот рабочего стола жертвы через вебхуки Discord-бота, детальный поиск чувствительных файлов, таких как .env, и надежный механизм доступа к файловой системе жертвы и сбора данных. ВПО использует методы шифрования, идентичные тем, что применяются в forge-jsx. Новые улучшения, появившиеся в ходе эволюции, включали обнаружение и пропуск крупных каталогов во время сканирования, установление WebRTC-соединений peer-to-peer для передачи данных и эффективную проверку криптографических ключей с помощью сложного метода сканирования, сопоставляющего различные шаблоны.

Стратегия развития оператора выглядит методичной, с пятью фазами эволюции, отмеченными постепенным улучшением функций. Это включает внедрение механизма закрепления, устойчивого к процессам удаления, позволяющего агенту продолжать работу даже после удаления исходного пакета. Функциональность для кражи расширений кошельков особенно примечательна, так как она может быть активирована при обнаружении наличия определенных файлов баз данных, собирая все данные в этих каталогах.

Хотя конкретный злоумышленник, стоящий за forge-jsxy, не идентифицирован и не имеет известных связей с существующими группами киберугроз, оператор демонстрирует предпочтение к использованию реалистичных имен учетных записей и одноразовых адресов эл. почты в паттерне, отличающемся от других известных кампаний, включая ту, что приписывается акторам из КНДР.

Воздействие forge-jsxy является значительным, поскольку оно перехватывает нажатия клавиш и систематически похищает конфиденциальные данные, включая ключи API и учетные данные, что потенциально приводит к несанкционированному доступу и краже кошельков. Разработчикам, установившим любую версию forge-jsxy, рекомендуется считать все секреты скомпрометированными, так как стойкий характер ВПО усложняет усилия по его удалению. Быстрое повторное появление пакета после устранения forge-jsx указывает на высокоорганизованную операцию, которая может продолжать адаптироваться и развиваться, сталкиваясь с противодействием со стороны мер безопасности в экосистеме npm.

#ParsedReport #CompletenessMedium
27-05-2026

OverlayPhantom: The Android Banking Trojan Hiding in Plain Sight

https://cyble.com/blog/overlayphantom-android-banking-trojan/

Report completeness: Medium

Actors/Campaigns:
Double_tap

Threats:
Overlayphantom
Credential_harvesting_technique

Victims:
Banking, Financial services, Cryptocurrency platforms, Retail banking customers, Cryptocurrency users

Industry:
Retail, Government, Financial

Geo:
Spain, United kingdom, Australia, Belgium, Netherlands, France, Finland, Italy, Germany, Austria, Austrian

TTPs:
Tactics: 10
Technics: 8

IOCs:
Url: 2
IP: 1
Hash: 3

Soft:
Android, TikTok, Google Play

Functions:
acquireLatestImage