#ParsedReport #ExtractedSchema

Classified images:
code: 2, table: 1, windows: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Showboat — это новое семейство ВПО для Linux, связанное с киберкампаниями против международных телекоммуникационных компаний, особенно тех, что находятся на Ближнем Востоке. Работая с середины 2022 года, оно функционирует как модульный фреймворк для пост-эксплуатации, обеспечивая удаленный доступ к оболочке и передачу файлов, а также применяя техники уклонения для сохранения скрытности. Его связь с инфраструктурой управления зашифрована и включает конфигурации с удаленного сервера, что указывает на стратегический фокус на критических телекоммуникационных сетях и возможную поддержку со стороны злоумышленников, связанных с КНР.
-----

Новое семейство ВПО для Linux, получившее название Showboat, связано с устойчивыми киберкампаниями против международных телекоммуникационных компаний. Обнаруженное Black Lotus Labs, Showboat работает с середины 2022 года и функционирует как модульный фреймворк для постэксплуатации, позволяющий злоумышленникам создавать удаленные оболочки, передавать файлы и действовать как прокси-сервер Socks5. Оно связано с кластерами активности, которые, по сообщениям, связаны с Китайской Народной Республикой (КНР), затрагивая телекоммуникационных провайдеров на Ближнем Востоке и имперсонируя компании в Юго-Восточной Азии.

Вредоносное ПО использует продвинутые техники уклонения. Оно может скрывать свое присутствие на зараженных системах, позволяя злоумышленникам глубже взаимодействовать с их сетями. Первоначальный анализ предполагает, что Showboat был развернут через инфраструктуру управления (C2), связанную с IP-адресами в Чэнду, Китай. Вредоносное ПО компилирует конфигурации с удаленного сервера и отправляет данные обратно через зашифрованный метод связи, который использует кодировку base64 в формате PNG.

Функционал Showboat включает несколько критических возможностей, таких как загрузка и выгрузка файлов, скрытие процессов, поддержание постоянного доступа и смена C2-узлов. Примечательно, что вредоносное ПО может выполнять команды, позволяющие ему скрываться в системе, загружая код из онлайн-источников, таких как Pastebin, чтобы оставаться незамеченным. Его функции Socks5 и portmap обеспечивают сканирование внутренней сети и подключение к устройствам, не экспонированным в интернет.

Связь с инфраструктурой C2 осуществляется после первоначальной настройки, когда вредоносное ПО отправляет строку JSON, содержащую информацию о хосте и данные о версии вредоносного ПО. Эта система дополнительно защищена самоподписанным сертификатом X.509 для установления связи с C2, который использует методы, вероятно, предназначенные для обхода обнаружения системами безопасности.

Расследования активности вредоносного ПО выявляют корреляцию между несколькими узлами C2, работающими под одним и тем же отпечатком SHA256. Это указывает на то, что Showboat используется в рамках различных кампаний несколькими злоумышленниками, связанными с КНР, которые фокусируются на телекоммуникационных компаниях. Анализ инфраструктуры показывает связи с скомпрометированными организациями в Соединенных Штатах и Украине, что намекает на более широкую кампанию, нацеленную на телекоммуникационные сети, имеющие критическое значение для глобальной связи.

Учитывая стратегическую важность телекоммуникационных провайдеров, особенно в регионах, близких к крупным державам, появление Showboat сигнализирует о продолжающемся ландшафте угроз, где акторы-государства используют сложное ВПО для проникновения в уязвимые сети. Распространенность такого стойкого ВПО подчеркивает необходимость усиления мониторинга и мер безопасности для защиты критической инфраструктуры от этих целевых угроз.

#ParsedReport #CompletenessLow
27-05-2026

BTMOB: A stealthy RAT burrowing deep into Android devices

https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/

Report completeness: Low

Threats:
Btmob_rat
Spysolr

Victims:
Android users, Streaming services, Cryptocurrency platforms, Tax and customs authorities

Industry:
Financial, Government

Geo:
Ukraine, Argentina, Latin america, Brazil

ChatGPT TTPs:
do not use without manual check
T1476, T1513, T1517, T1587.001, T1588.001, T1660

IOCs:
IP: 20
Hash: 36

Soft:
Android, Telegram, Instagram, Google Play

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BTMOB — это сложная троянская программа для удаленного доступа к Android (RAT), которая эволюционировала из вредоносного ПО SpySolr и известна своей способностью похищать данные, делать скриншоты и обеспечивать полный контроль над зараженными устройствами. Она в основном использует тактики социальной инженерии, чтобы заманить жертв на фишинговые сайты, что приводит к установке вредоносных APK-файлов, использующих службы доступности Android для получения повышенных прав. Работая по модели ВПО как услуга, доступность BTMOB на форумах даркнета и удобный конструктор APK-файлов способствуют ее быстрому распространению и эволюции, вызывая опасения по поводу широкого использования.
-----

BTMOB — это сложная троянская программа для удаленного доступа к Android (RAT), выявленная в Бразилии, отличающаяся потенциалом масштабного ущерба, а не высокими показателями обнаружения. Впервые замеченная в феврале 2025 года и являющаяся эволюцией вредоносного ПО SpySolr, BTMOB выделяется среди традиционных банковских троянских программ, предлагая злоумышленникам более широкий набор вредоносных возможностей. К ним относятся эксфильтрация конфиденциальных данных, захват скриншотов и запись активности устройства, что в конечном итоге обеспечивает полный удаленный контроль над скомпрометированными устройствами.

Процесс заражения в первую очередь использует тактики социальной инженерии. Жертв часто перенаправляют на фишинговые сайты, которые маскируются под популярные сервисы, такие как стриминговые платформы или сайты для майнинга криптовалют. Оказавшись на этих сайтах, жертв заманивают в поддельные магазины приложений, предлагающие вредоносные APK-файлы для установки. BTMOB использует службы доступности Android для получения повышенных прав, что обеспечивает более глубокий доступ к системе при минимальном взаимодействии с пользователем — это распространенная техника в современном ВПО.

Динамика рынка, связанная с BTMOB, значительна, поскольку он работает по модели ВПО как услуга (MaaS). Эта модель позволяет распространять RAT через рекламные каналы в интернете, включая платформы социальных сетей, где потенциальные покупатели могут связаться с операторами. Вредоносное ПО поставляется с интерфейсом для сборки APK, что позволяет даже нетехническим пользователям создавать кастомные полезную нагрузку и фишинг-тактики, адаптированные под конкретные регионы. Например, появились сообщения о кампаниях BTMOB, имитирующих государственные органы, такие как налоговые и таможенные органы Аргентины.

Экономическая ситуация с BTMOB такова, что стоимость лицензии на весь срок службы — около 5 000 долларов США — остается низкой по сравнению с потенциальной финансовой выгодой от успешных мошеннических действий. Кроме того, доступность ВПО вызывает обеспокоенность; в январе 2026 года сообщалось, что файлы, связанные с BTMOB, были доступны бесплатно на форуме в даркнете, что иллюстрирует риск распространения коммерческого ВПО на вторичные рынки. Подобная динамика способствует появлению множества вариантов, которые быстро генерируются и распространяются, усложняя усилия по обнаружению.

В оборонительном плане BTMOB выявляется с помощью нескольких сигнатур обнаружения в средствах безопасности, включая MSIL/BtmobRat и различные обнаружения, связанные с Android. Недавние анализы выявили множество образцов и вариантов, появившихся за короткий период, что подчеркивает быструю смену и эволюцию, ожидаемые для этого ВПО. По мере того как BTMOB набирает популярность, его способность к широкому использованию и настройке делает его значительной угрозой для мониторинга за пределами места его происхождения в Бразилии.

#ParsedReport #CompletenessHigh
27-05-2026

Fluffy Wolf tested new products on Russian companies

https://bi.zone/expertise/blog/fluffy-wolf-ispytal-novinki-na-rossiyskikh-kompaniyakh/

Report completeness: High

Actors/Campaigns:
Fluffy_wolf (motivation: cyber_criminal)
Purecoder

Threats:
Powerloader
Purelogs
Purerat
Pay2key
Purecryptor
Dotnet_reactor_tool
Spear-phishing_technique
Uac_bypass_technique
Process_injection_technique
Process_hollowing_technique
Ngrok_tool
Donut
Mimic_ransomware

Victims:
Russian organizations, Construction, Consulting, Manufacturing, Engineering, Retail, E commerce

Industry:
E-commerce, Retail

Geo:
Russian, Spanish

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 16
Command: 4
Registry: 2
Path: 3
Url: 15
IP: 4
Hash: 41

Soft:
fsutil, NET Reactor, Mozilla Firefox, Windows Task Scheduler, Google Chrome, Microsoft Edge, Opera, Telegram, FoxMail, Windows Registry, Outlook, have more...

Algorithms:
base64, 3des, gzip, zip

Functions:
setZeroData

Win API:
SetCursorPos, SendInput, GetMessageExtraInfo, IsWindowVisible, EnumDesktopWindows, keybd_event, GetForegroundWindow, CloseDesktop, GetCursorInfo, CheckRemoteDebuggerPresent, have more...

Win Services:
WebClient

Languages:
rust, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2026 году хакерская группировка Fluffy Wolf провела фишинговые атаки против российских компаний, используя такие техники, как PowerLoader для доставки ВПО и PluginRemoteDesktop для расширенного удаленного доступа. Их арсенал ВПО включал PureLogs, PureRAT и Pay2Key, которые использовали обфусцированные скрипты и техники выполнения в памяти для поддержания скрытности. Группировка регулярно обновляет свои инструменты и использует GitHub для распространения ВПО, демонстрируя адаптивный и развивающийся ландшафт угроз.
-----

Весной 2026 года хакерская группировка Fluffy Wolf провела серию фишинговых атак, нацеленных на различные российские компании, применяя инновационные техники и новое ВПО. Злоумышленники использовали новый загрузчик, идентифицированный как PowerLoader, а также плагин PluginRemoteDesktop, предназначенный для расширения возможностей удаленного доступа. В их арсенале также присутствовали крадильщик PureLogs, Троянская программа удаленного доступа PureRAT и шифровальщик Pay2Key, которые они применяли в различных сценариях атак.

Фишинговые кампании были инициированы через обманные электронные письма, которые выдавали себя за сообщения от специализированных организаций, предлагающих финансовые услуги или доступ к документам. В этих письмах содержались либо вложения в виде архивов RAR, либо ссылки, направляющие жертв на репозитории GitHub, где размещались вредоносные архивы RAR. Эти архивы обычно содержали исполняемые полез

Зловредные файлы включали обфусцированные скрипты и различные типы загрузчиков, такие как PureCrypter и загрузчик на Rust, использующий shellcode Donut для выполнения атак в памяти. PowerLoader, продаваемый на подпольных форумах, обладает такими функциями, как эффективная обфускация и уникальный сигнатурный отпечаток для каждой сборки, что делает его особенно сложным для обнаружения.

Анализ вредоносного ПО показал, что после запуска вредоносные компоненты могут внедряться в доверенные процессы, такие как RegAsm.exe и Утилита InstallUtil.exe, что позволяет злоумышленникам сохранять скрытность и функциональность. Возможности вредоносного ПО PureRAT были значительно расширены за счет плагина PluginRemoteDesktop, обеспечивающего обширный контроль над скомпрометированными системами, включая создание снимков рабочего стола и возможность управления вводом пользователя.

Также отмечалось использование Pay2Key, применявшего защитные тактики для сокрытия своего присутствия путём создания недоступных каталогов, в которых хранились зашифрованные файлы. После шифрования данных вымогатель отображал выкупное сообщение и применял модификации реестра для уведомления пользователя.

При анализе было выявлено, что группа Fluffy Wolf регулярно обновляет свои инструменты для обхода мер безопасности, что свидетельствует о масштабных исследованиях и разработках, стоящих за их деятельностью. Использование киберпреступниками платформы GitHub в качестве канала распространения вредоносного ПО демонстрирует их методологию избегания обнаружения, а акцент на непрерывном развитии векторов атак указывает на эволюцию угроз.

Индикаторы компрометации из этой кампании включают конкретные хеши файлов, сетевые индикаторы, связанные с их инфраструктурами C2, и тактики, соответствующие фреймворку MITRE ATT&CK. В целом, группа Fluffy Wolf приняла многогранную стратегию своих атак, сочетая социальную инженерию с сложными технологическими маневрами для эффективной компрометации своих целей.

#ParsedReport #CompletenessMedium
27-05-2026

How TeamPCP Turned LiteLLM into a Credential Harvesting Tool

https://www.forcepoint.com/blog/x-labs/litellm-supply-chain-attack-teampcp

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Credential_harvesting_technique
Supply_chain_technique
Credential_stealing_technique

Victims:
Artificial intelligence, Cloud services, Software development

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1059.006, T1071.001, T1105, T1195.001, T1195.002, T1528, T1546, T1552, have more...

IOCs:
Domain: 1
File: 2
Url: 2
Hash: 2

Soft:
LiteLLM, OpenAI, Trivy, Docker, Anthropic, curl

Algorithms:
pbkdf2, base64, aes-256-cbc, aes

Languages:
python

Links:
https://github.com/aquasecurity/trivy

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа хакерских группировок TeamPCP осуществила атаку на цепочку поставок на библиотеку с открытым исходным кодом LiteLLM для Python, скомпрометировав сканер уязвимостей Trivy для внедрения вредоносных коммитов, которые проникли в конвейеры CI/CD. Они распространили две поддельные версии LiteLLM, которые использовали различные техники внедрения для сбора учетных записей, нацеливаясь на конфиденциальную информацию, связанную с различными облачными сервисами. Атакующие установили закрепление с помощью скрипта опроса для обеспечения удаленного выполнения кода, что подчеркивает уязвимости в инфраструктуре ИИ.
-----

Группировка TeamPCP успешно осуществила атаку на Цепочку поставок библиотеки LiteLLM с открытым исходным кодом на Python, которая используется в качестве шлюза ИИ для взаимодействия с более чем 100 провайдерами LLM. Атака началась с компрометации Trivy, широко используемого сканера уязвимостей. Подделывая легитимные идентификаторы сопровождающих и внедряя вредоносные коммиты, TeamPCP разместила версию Trivy с бэкдором на таких платформах, как GitHub, которая затем проникла в конвейеры CI/CD, используемые различными проектами, включая LiteLLM.

Процесс сборки LiteLLM включал Trivy, и в результате манипулятивная версия злоумышленника позволила ему извлечь токен PYPI_PUBLISH из памяти CI/CD-агента. Получив доступ с помощью украденного токена, две вредоносные версии LiteLLM, 1.82.7 и 1.82.8, были распространены без обнаружения из основного репозитория.

Две версии скомпрометированного LiteLLM используют различные техники для внедрения вредоносного кода. Версия 1.82.7 применяет инъекцию исходного кода, встраивая полезную нагрузку, закодированную в Base64, в файл proxy_server.py, активируя её при запуске прокси-сервера LiteLLM. В отличие от этого, версия 1.82.8 использует более скрытный метод инъекции через .pth-файл, устанавливая файл с именем litelllm_init.pth в директорию site-packages. Этот метод гарантирует выполнение полезной нагрузки при каждом запуске интерпретатора Python, независимо от того, вызывается ли сам LiteLLM напрямую.

Вредоносные полезная нагрузка разработаны для проведения сбора учетных записей. После запуска они сканируют наличие чувствительных переменных окружения и конфигурационных файлов, связанных с различными Облачными сервисами, включая ключи для провайдеров ИИ, таких как OpenAI и Azure, а также учетные данные AWS/GCP/Azure. Скомпрометированные данные шифруются с использованием 32-байтового сеансового ключа AES и алгоритма AES-256-CBC, затем упаковываются для эксфильтрации на URL, связанный с TeamPCP, с использованием команды 'curl'.

Кроме того, злоумышленники внедрили механизм закрепления с помощью скрипта под названием Sysmon.py, который устанавливает бэкдор для Удаленного Выполнения Кода. Этот скрипт запускается с задержкой, после чего регулярно опрашивает указанный URL для получения и выполнения потенциально вредоносных обновлений.

Инцидент с LiteLLM наглядно демонстрирует растущую уязвимость инфраструктуры искусственного интеллекта к атакам на Цепочку поставок. Возможность TeamPCP эксплуатировать единую точку отказа привела к компрометации доступа к нескольким крупным провайдерам искусственного интеллекта одновременно. Последствия этого инцидента подчеркивают необходимость внедрения надежных мер безопасности в библиотеки, обеспечивающие подключение к взаимосвязанным сервисам искусственного интеллекта.

#ParsedReport #CompletenessHigh
27-05-2026

forge-jsxy: 22 Versions of an Actively Developed npm RAT

https://safedep.io/malicious-forge-jsxy-npm-rat-evolution

Report completeness: High

Actors/Campaigns:
Contagious_interview
Axios_compromise
Teampcp
Lofygang

Threats:
Forge-jsx
Promptmink
Typosquatting_technique
Supply_chain_technique
Glassworm

Victims:
Software developers, Cryptocurrency users

Industry:
Financial

Geo:
German, Dprk, Polish

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1053.005, T1056.001, T1071.001, T1074.001, T1082, T1083, have more...

IOCs:
IP: 1
Email: 1
Url: 1
Path: 1
Registry: 1
Hash: 1
File: 13

Soft:
Chromium, WebRTC, Hugging Face, Discord, Linux, macOS, Task Scheduler, Node.js, systemd, Google Chrome, have more...

Wallets:
metamask, rabby

Crypto:
solana, ethereum, bitcoin

Algorithms:
sha256, ed25519, xor, aes, aes-256-gcm, fnv-1a

Languages:
typescript, javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет npm forge-jsxy, являющийся эволюцией более раннего RAT forge-jsx, включает регистрацию нажатий клавиш, мониторинг буфера обмена, сканирование криптовалютных кошельков и кражу данных расширений браузера в 21 браузере, сохраняя при этом надежный механизм закрепления. Он может избегать обнаружения путем выполнения скриптов во время установки, отправляет захваченные данные на сервер C2 и использует шифрование, согласованное с forge-jsx. Оператор остается неустановленным, но демонстрирует уникальные операционные паттерны, представляя значительные риски несанкционированного доступа и эксфильтрации данных для затронутых пользователей.
-----

Вредоносный пакет npm forge-jsxy представляет собой эволюцию более раннего npm Троянская программа (RAT) forge-jsx, который был удалён платформой npm. Опубликованный под учётной записью администратора "jacksonkaandorp2", пакет forge-jsxy получил 22 версии, выпущенные в период с 4 по 26 мая 2026 года. Он сохранил базовую функциональность forge-jsx, включая Регистрация нажатий клавиш и мониторинг буфера обмена, а также добавил новые возможности, такие как сканирование кошельков криптовалют и кража данных расширений браузера более чем в 21 браузере. ВПО разработано для сохранения работоспособности после удаления пакета и может получать автоматические обновления с сервера управления (C2) по IP-адресу 204.10.194.247, при этом украденные данные передаются в репозитории, контролируемые злоумышленниками.

RAT выполняет серию скриптов после установки, которые позволяют избежать обнаружения в средах непрерывной интеграции. Среди его возможностей — периодический скриншот рабочего стола жертвы через вебхуки Discord-бота, детальный поиск чувствительных файлов, таких как .env, и надежный механизм доступа к файловой системе жертвы и сбора данных. ВПО использует методы шифрования, идентичные тем, что применяются в forge-jsx. Новые улучшения, появившиеся в ходе эволюции, включали обнаружение и пропуск крупных каталогов во время сканирования, установление WebRTC-соединений peer-to-peer для передачи данных и эффективную проверку криптографических ключей с помощью сложного метода сканирования, сопоставляющего различные шаблоны.

Стратегия развития оператора выглядит методичной, с пятью фазами эволюции, отмеченными постепенным улучшением функций. Это включает внедрение механизма закрепления, устойчивого к процессам удаления, позволяющего агенту продолжать работу даже после удаления исходного пакета. Функциональность для кражи расширений кошельков особенно примечательна, так как она может быть активирована при обнаружении наличия определенных файлов баз данных, собирая все данные в этих каталогах.

Хотя конкретный злоумышленник, стоящий за forge-jsxy, не идентифицирован и не имеет известных связей с существующими группами киберугроз, оператор демонстрирует предпочтение к использованию реалистичных имен учетных записей и одноразовых адресов эл. почты в паттерне, отличающемся от других известных кампаний, включая ту, что приписывается акторам из КНДР.

Воздействие forge-jsxy является значительным, поскольку оно перехватывает нажатия клавиш и систематически похищает конфиденциальные данные, включая ключи API и учетные данные, что потенциально приводит к несанкционированному доступу и краже кошельков. Разработчикам, установившим любую версию forge-jsxy, рекомендуется считать все секреты скомпрометированными, так как стойкий характер ВПО усложняет усилия по его удалению. Быстрое повторное появление пакета после устранения forge-jsx указывает на высокоорганизованную операцию, которая может продолжать адаптироваться и развиваться, сталкиваясь с противодействием со стороны мер безопасности в экосистеме npm.

#ParsedReport #CompletenessMedium
27-05-2026

OverlayPhantom: The Android Banking Trojan Hiding in Plain Sight

https://cyble.com/blog/overlayphantom-android-banking-trojan/

Report completeness: Medium

Actors/Campaigns:
Double_tap

Threats:
Overlayphantom
Credential_harvesting_technique

Victims:
Banking, Financial services, Cryptocurrency platforms, Retail banking customers, Cryptocurrency users

Industry:
Retail, Government, Financial

Geo:
Spain, United kingdom, Australia, Belgium, Netherlands, France, Finland, Italy, Germany, Austria, Austrian

TTPs:
Tactics: 10
Technics: 8

IOCs:
Url: 2
IP: 1
Hash: 3

Soft:
Android, TikTok, Google Play

Functions:
acquireLatestImage

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OverlayPhantom — это Android-банковский троян, распространяемый через вредоносные URL-адреса и использующий двухэтапный метод заражения, включающий приложение-дропер, которое имитирует доверенные приложения для получения разрешений. После установки оно маскируется под Google Play Services, используя службу доступности Android для выполнения более 30 удалённых команд, включая кражу учётных данных через фишинговые оверлеи, нацеленные на банковские и криптовалютные приложения. ВПО выводит украденные данные через многопортовый сервер управления, а также использует функцию потоковой передачи экрана для мониторинга в реальном времени.
-----

OverlayPhantom — это недавно выявленный Android-банковский троян, активно распространяемый через вредоносные URL-адреса. Он использует сложный двухэтапный метод заражения, при котором приложение-дропер маскируется под доверенные платформы, включая приложение ID Austria австрийского правительства и TikTok. Этот дропер с помощью социальной инженерии убеждает жертв установить его, имитируя обновление Google Play Services и направляя пользователей на включение службы «Специальные возможности», тем самым получая повышенный контроль над зараженным устройством.

После установки OverlayPhantom маскируется под Google Play Services, что позволяет ему поддерживать постоянный контроль и отслеживать активность пользователей. Он использует службу доступности Android для выполнения более 30 удалённых команд, обеспечивая такие действия, как потоковая передача экрана, атаки с использованием оверлеев и кража учётных данных. ВПО нацелено на более чем 180 приложений в секторах банковского дела, финансов и криптовалют в различных странах, включая США, Германию и Австралию, что указывает на наличие злоумышленника, действующего из финансовых побуждений и работающего в крупных масштабах.

После активации вредоносное ПО проверяет наличие целевых приложений по жестко закодированному списку, активируя свои фишинговые оверлеи при обнаружении совпадения. Эти оверлеи внешне очень похожи на легитимные приложения, обманывая пользователей и заставляя их вводить конфиденциальные данные. Затем украденные учетные данные незаметно передаются на многопортовый сервер управления (C&C). Вредоносное ПО взаимодействует через выделенные порты: 9091 для выполнения команд, 9092 для отчетов о состоянии устройства и 9090 для потоковой передачи экрана, тем самым оптимизируя свои операционные возможности и уклоняясь от обнаружения.

Кроме того, OverlayPhantom использует функцию потоковой передачи экрана на основе API MediaProjection платформы Android, что позволяет злоумышленнику получать визуальный доступ к экрану устройства практически в реальном времени при низком потреблении пропускной способности. В случае прерывания потока вредоносное ПО применяет механизмы восстановления для плавного возобновления соединения.

OverlayPhantom демонстрирует высокий уровень операционной сложности благодаря двойному использованию имперсонации государственных и потребительских приложений в сочетании с агрессивными тактиками фишинга и функциями удаленного управления. Угроза, представляемая OverlayPhantom, является значительной, поскольку он предназначен для масштабного финансового мошенничества и продолжает расширять охват и методы целевых атак на западных рынках. Учитывая его возможности и стратегию, это ВПО представляет собой серьезную угрозу в сфере уязвимостей мобильных банковских приложений.

#ParsedReport #CompletenessHigh
26-05-2026

From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities

https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/

Report completeness: High

Threats:
Screenconnect_tool
Seo_poisoning_technique
Dll_sideloading_technique
Process_hollowing_technique
Process_injection_technique
Procmon_tool
Gminer
Lolminer
Srbminer_tool
Coinminer
Malgent

Victims:
Pc enthusiasts, Hardware focused users, Organizations

Industry:
Entertainment, Healthcare

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 19
IP: 4
Domain: 5
Path: 2
Registry: 2
Command: 2
Url: 1
Hash: 12

Soft:
Microsoft Defender, HWMonitor, FurMark, NET Framework, VirtualBox, Windows Security Center, Task Scheduler

Algorithms:
sha256, aes-128-cbc, zip

Functions:
TaskCreationCmd

Win API:
WriteProcessMemory, SetThreadContext, ResumeThread

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10