#ParsedReport #CompletenessHigh
27-05-2026

Fluffy Wolf tested new products on Russian companies

https://bi.zone/expertise/blog/fluffy-wolf-ispytal-novinki-na-rossiyskikh-kompaniyakh/

Report completeness: High

Actors/Campaigns:
Fluffy_wolf (motivation: cyber_criminal)
Purecoder

Threats:
Powerloader
Purelogs
Purerat
Pay2key
Purecryptor
Dotnet_reactor_tool
Spear-phishing_technique
Uac_bypass_technique
Process_injection_technique
Process_hollowing_technique
Ngrok_tool
Donut
Mimic_ransomware

Victims:
Russian organizations, Construction, Consulting, Manufacturing, Engineering, Retail, E commerce

Industry:
E-commerce, Retail

Geo:
Russian, Spanish

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 16
Command: 4
Registry: 2
Path: 3
Url: 15
IP: 4
Hash: 41

Soft:
fsutil, NET Reactor, Mozilla Firefox, Windows Task Scheduler, Google Chrome, Microsoft Edge, Opera, Telegram, FoxMail, Windows Registry, Outlook, have more...

Algorithms:
base64, 3des, gzip, zip

Functions:
setZeroData

Win API:
SetCursorPos, SendInput, GetMessageExtraInfo, IsWindowVisible, EnumDesktopWindows, keybd_event, GetForegroundWindow, CloseDesktop, GetCursorInfo, CheckRemoteDebuggerPresent, have more...

Win Services:
WebClient

Languages:
rust, javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2026 году хакерская группировка Fluffy Wolf провела фишинговые атаки против российских компаний, используя такие техники, как PowerLoader для доставки ВПО и PluginRemoteDesktop для расширенного удаленного доступа. Их арсенал ВПО включал PureLogs, PureRAT и Pay2Key, которые использовали обфусцированные скрипты и техники выполнения в памяти для поддержания скрытности. Группировка регулярно обновляет свои инструменты и использует GitHub для распространения ВПО, демонстрируя адаптивный и развивающийся ландшафт угроз.
-----

Весной 2026 года хакерская группировка Fluffy Wolf провела серию фишинговых атак, нацеленных на различные российские компании, применяя инновационные техники и новое ВПО. Злоумышленники использовали новый загрузчик, идентифицированный как PowerLoader, а также плагин PluginRemoteDesktop, предназначенный для расширения возможностей удаленного доступа. В их арсенале также присутствовали крадильщик PureLogs, Троянская программа удаленного доступа PureRAT и шифровальщик Pay2Key, которые они применяли в различных сценариях атак.

Фишинговые кампании были инициированы через обманные электронные письма, которые выдавали себя за сообщения от специализированных организаций, предлагающих финансовые услуги или доступ к документам. В этих письмах содержались либо вложения в виде архивов RAR, либо ссылки, направляющие жертв на репозитории GitHub, где размещались вредоносные архивы RAR. Эти архивы обычно содержали исполняемые полез

Зловредные файлы включали обфусцированные скрипты и различные типы загрузчиков, такие как PureCrypter и загрузчик на Rust, использующий shellcode Donut для выполнения атак в памяти. PowerLoader, продаваемый на подпольных форумах, обладает такими функциями, как эффективная обфускация и уникальный сигнатурный отпечаток для каждой сборки, что делает его особенно сложным для обнаружения.

Анализ вредоносного ПО показал, что после запуска вредоносные компоненты могут внедряться в доверенные процессы, такие как RegAsm.exe и Утилита InstallUtil.exe, что позволяет злоумышленникам сохранять скрытность и функциональность. Возможности вредоносного ПО PureRAT были значительно расширены за счет плагина PluginRemoteDesktop, обеспечивающего обширный контроль над скомпрометированными системами, включая создание снимков рабочего стола и возможность управления вводом пользователя.

Также отмечалось использование Pay2Key, применявшего защитные тактики для сокрытия своего присутствия путём создания недоступных каталогов, в которых хранились зашифрованные файлы. После шифрования данных вымогатель отображал выкупное сообщение и применял модификации реестра для уведомления пользователя.

При анализе было выявлено, что группа Fluffy Wolf регулярно обновляет свои инструменты для обхода мер безопасности, что свидетельствует о масштабных исследованиях и разработках, стоящих за их деятельностью. Использование киберпреступниками платформы GitHub в качестве канала распространения вредоносного ПО демонстрирует их методологию избегания обнаружения, а акцент на непрерывном развитии векторов атак указывает на эволюцию угроз.

Индикаторы компрометации из этой кампании включают конкретные хеши файлов, сетевые индикаторы, связанные с их инфраструктурами C2, и тактики, соответствующие фреймворку MITRE ATT&CK. В целом, группа Fluffy Wolf приняла многогранную стратегию своих атак, сочетая социальную инженерию с сложными технологическими маневрами для эффективной компрометации своих целей.

#ParsedReport #CompletenessMedium
27-05-2026

How TeamPCP Turned LiteLLM into a Credential Harvesting Tool

https://www.forcepoint.com/blog/x-labs/litellm-supply-chain-attack-teampcp

Report completeness: Medium

Actors/Campaigns:
Teampcp

Threats:
Credential_harvesting_technique
Supply_chain_technique
Credential_stealing_technique

Victims:
Artificial intelligence, Cloud services, Software development

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1059.006, T1071.001, T1105, T1195.001, T1195.002, T1528, T1546, T1552, have more...

IOCs:
Domain: 1
File: 2
Url: 2
Hash: 2

Soft:
LiteLLM, OpenAI, Trivy, Docker, Anthropic, curl

Algorithms:
pbkdf2, base64, aes-256-cbc, aes

Languages:
python

Links:
https://github.com/aquasecurity/trivy

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа хакерских группировок TeamPCP осуществила атаку на цепочку поставок на библиотеку с открытым исходным кодом LiteLLM для Python, скомпрометировав сканер уязвимостей Trivy для внедрения вредоносных коммитов, которые проникли в конвейеры CI/CD. Они распространили две поддельные версии LiteLLM, которые использовали различные техники внедрения для сбора учетных записей, нацеливаясь на конфиденциальную информацию, связанную с различными облачными сервисами. Атакующие установили закрепление с помощью скрипта опроса для обеспечения удаленного выполнения кода, что подчеркивает уязвимости в инфраструктуре ИИ.
-----

Группировка TeamPCP успешно осуществила атаку на Цепочку поставок библиотеки LiteLLM с открытым исходным кодом на Python, которая используется в качестве шлюза ИИ для взаимодействия с более чем 100 провайдерами LLM. Атака началась с компрометации Trivy, широко используемого сканера уязвимостей. Подделывая легитимные идентификаторы сопровождающих и внедряя вредоносные коммиты, TeamPCP разместила версию Trivy с бэкдором на таких платформах, как GitHub, которая затем проникла в конвейеры CI/CD, используемые различными проектами, включая LiteLLM.

Процесс сборки LiteLLM включал Trivy, и в результате манипулятивная версия злоумышленника позволила ему извлечь токен PYPI_PUBLISH из памяти CI/CD-агента. Получив доступ с помощью украденного токена, две вредоносные версии LiteLLM, 1.82.7 и 1.82.8, были распространены без обнаружения из основного репозитория.

Две версии скомпрометированного LiteLLM используют различные техники для внедрения вредоносного кода. Версия 1.82.7 применяет инъекцию исходного кода, встраивая полезную нагрузку, закодированную в Base64, в файл proxy_server.py, активируя её при запуске прокси-сервера LiteLLM. В отличие от этого, версия 1.82.8 использует более скрытный метод инъекции через .pth-файл, устанавливая файл с именем litelllm_init.pth в директорию site-packages. Этот метод гарантирует выполнение полезной нагрузки при каждом запуске интерпретатора Python, независимо от того, вызывается ли сам LiteLLM напрямую.

Вредоносные полезная нагрузка разработаны для проведения сбора учетных записей. После запуска они сканируют наличие чувствительных переменных окружения и конфигурационных файлов, связанных с различными Облачными сервисами, включая ключи для провайдеров ИИ, таких как OpenAI и Azure, а также учетные данные AWS/GCP/Azure. Скомпрометированные данные шифруются с использованием 32-байтового сеансового ключа AES и алгоритма AES-256-CBC, затем упаковываются для эксфильтрации на URL, связанный с TeamPCP, с использованием команды 'curl'.

Кроме того, злоумышленники внедрили механизм закрепления с помощью скрипта под названием Sysmon.py, который устанавливает бэкдор для Удаленного Выполнения Кода. Этот скрипт запускается с задержкой, после чего регулярно опрашивает указанный URL для получения и выполнения потенциально вредоносных обновлений.

Инцидент с LiteLLM наглядно демонстрирует растущую уязвимость инфраструктуры искусственного интеллекта к атакам на Цепочку поставок. Возможность TeamPCP эксплуатировать единую точку отказа привела к компрометации доступа к нескольким крупным провайдерам искусственного интеллекта одновременно. Последствия этого инцидента подчеркивают необходимость внедрения надежных мер безопасности в библиотеки, обеспечивающие подключение к взаимосвязанным сервисам искусственного интеллекта.

#ParsedReport #CompletenessHigh
27-05-2026

forge-jsxy: 22 Versions of an Actively Developed npm RAT

https://safedep.io/malicious-forge-jsxy-npm-rat-evolution

Report completeness: High

Actors/Campaigns:
Contagious_interview
Axios_compromise
Teampcp
Lofygang

Threats:
Forge-jsx
Promptmink
Typosquatting_technique
Supply_chain_technique
Glassworm

Victims:
Software developers, Cryptocurrency users

Industry:
Financial

Geo:
German, Dprk, Polish

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1053.005, T1056.001, T1071.001, T1074.001, T1082, T1083, have more...

IOCs:
IP: 1
Email: 1
Url: 1
Path: 1
Registry: 1
Hash: 1
File: 13

Soft:
Chromium, WebRTC, Hugging Face, Discord, Linux, macOS, Task Scheduler, Node.js, systemd, Google Chrome, have more...

Wallets:
metamask, rabby

Crypto:
solana, ethereum, bitcoin

Algorithms:
sha256, ed25519, xor, aes, aes-256-gcm, fnv-1a

Languages:
typescript, javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет npm forge-jsxy, являющийся эволюцией более раннего RAT forge-jsx, включает регистрацию нажатий клавиш, мониторинг буфера обмена, сканирование криптовалютных кошельков и кражу данных расширений браузера в 21 браузере, сохраняя при этом надежный механизм закрепления. Он может избегать обнаружения путем выполнения скриптов во время установки, отправляет захваченные данные на сервер C2 и использует шифрование, согласованное с forge-jsx. Оператор остается неустановленным, но демонстрирует уникальные операционные паттерны, представляя значительные риски несанкционированного доступа и эксфильтрации данных для затронутых пользователей.
-----

Вредоносный пакет npm forge-jsxy представляет собой эволюцию более раннего npm Троянская программа (RAT) forge-jsx, который был удалён платформой npm. Опубликованный под учётной записью администратора "jacksonkaandorp2", пакет forge-jsxy получил 22 версии, выпущенные в период с 4 по 26 мая 2026 года. Он сохранил базовую функциональность forge-jsx, включая Регистрация нажатий клавиш и мониторинг буфера обмена, а также добавил новые возможности, такие как сканирование кошельков криптовалют и кража данных расширений браузера более чем в 21 браузере. ВПО разработано для сохранения работоспособности после удаления пакета и может получать автоматические обновления с сервера управления (C2) по IP-адресу 204.10.194.247, при этом украденные данные передаются в репозитории, контролируемые злоумышленниками.

RAT выполняет серию скриптов после установки, которые позволяют избежать обнаружения в средах непрерывной интеграции. Среди его возможностей — периодический скриншот рабочего стола жертвы через вебхуки Discord-бота, детальный поиск чувствительных файлов, таких как .env, и надежный механизм доступа к файловой системе жертвы и сбора данных. ВПО использует методы шифрования, идентичные тем, что применяются в forge-jsx. Новые улучшения, появившиеся в ходе эволюции, включали обнаружение и пропуск крупных каталогов во время сканирования, установление WebRTC-соединений peer-to-peer для передачи данных и эффективную проверку криптографических ключей с помощью сложного метода сканирования, сопоставляющего различные шаблоны.

Стратегия развития оператора выглядит методичной, с пятью фазами эволюции, отмеченными постепенным улучшением функций. Это включает внедрение механизма закрепления, устойчивого к процессам удаления, позволяющего агенту продолжать работу даже после удаления исходного пакета. Функциональность для кражи расширений кошельков особенно примечательна, так как она может быть активирована при обнаружении наличия определенных файлов баз данных, собирая все данные в этих каталогах.

Хотя конкретный злоумышленник, стоящий за forge-jsxy, не идентифицирован и не имеет известных связей с существующими группами киберугроз, оператор демонстрирует предпочтение к использованию реалистичных имен учетных записей и одноразовых адресов эл. почты в паттерне, отличающемся от других известных кампаний, включая ту, что приписывается акторам из КНДР.

Воздействие forge-jsxy является значительным, поскольку оно перехватывает нажатия клавиш и систематически похищает конфиденциальные данные, включая ключи API и учетные данные, что потенциально приводит к несанкционированному доступу и краже кошельков. Разработчикам, установившим любую версию forge-jsxy, рекомендуется считать все секреты скомпрометированными, так как стойкий характер ВПО усложняет усилия по его удалению. Быстрое повторное появление пакета после устранения forge-jsx указывает на высокоорганизованную операцию, которая может продолжать адаптироваться и развиваться, сталкиваясь с противодействием со стороны мер безопасности в экосистеме npm.

#ParsedReport #CompletenessMedium
27-05-2026

OverlayPhantom: The Android Banking Trojan Hiding in Plain Sight

https://cyble.com/blog/overlayphantom-android-banking-trojan/

Report completeness: Medium

Actors/Campaigns:
Double_tap

Threats:
Overlayphantom
Credential_harvesting_technique

Victims:
Banking, Financial services, Cryptocurrency platforms, Retail banking customers, Cryptocurrency users

Industry:
Retail, Government, Financial

Geo:
Spain, United kingdom, Australia, Belgium, Netherlands, France, Finland, Italy, Germany, Austria, Austrian

TTPs:
Tactics: 10
Technics: 8

IOCs:
Url: 2
IP: 1
Hash: 3

Soft:
Android, TikTok, Google Play

Functions:
acquireLatestImage

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OverlayPhantom — это Android-банковский троян, распространяемый через вредоносные URL-адреса и использующий двухэтапный метод заражения, включающий приложение-дропер, которое имитирует доверенные приложения для получения разрешений. После установки оно маскируется под Google Play Services, используя службу доступности Android для выполнения более 30 удалённых команд, включая кражу учётных данных через фишинговые оверлеи, нацеленные на банковские и криптовалютные приложения. ВПО выводит украденные данные через многопортовый сервер управления, а также использует функцию потоковой передачи экрана для мониторинга в реальном времени.
-----

OverlayPhantom — это недавно выявленный Android-банковский троян, активно распространяемый через вредоносные URL-адреса. Он использует сложный двухэтапный метод заражения, при котором приложение-дропер маскируется под доверенные платформы, включая приложение ID Austria австрийского правительства и TikTok. Этот дропер с помощью социальной инженерии убеждает жертв установить его, имитируя обновление Google Play Services и направляя пользователей на включение службы «Специальные возможности», тем самым получая повышенный контроль над зараженным устройством.

После установки OverlayPhantom маскируется под Google Play Services, что позволяет ему поддерживать постоянный контроль и отслеживать активность пользователей. Он использует службу доступности Android для выполнения более 30 удалённых команд, обеспечивая такие действия, как потоковая передача экрана, атаки с использованием оверлеев и кража учётных данных. ВПО нацелено на более чем 180 приложений в секторах банковского дела, финансов и криптовалют в различных странах, включая США, Германию и Австралию, что указывает на наличие злоумышленника, действующего из финансовых побуждений и работающего в крупных масштабах.

После активации вредоносное ПО проверяет наличие целевых приложений по жестко закодированному списку, активируя свои фишинговые оверлеи при обнаружении совпадения. Эти оверлеи внешне очень похожи на легитимные приложения, обманывая пользователей и заставляя их вводить конфиденциальные данные. Затем украденные учетные данные незаметно передаются на многопортовый сервер управления (C&C). Вредоносное ПО взаимодействует через выделенные порты: 9091 для выполнения команд, 9092 для отчетов о состоянии устройства и 9090 для потоковой передачи экрана, тем самым оптимизируя свои операционные возможности и уклоняясь от обнаружения.

Кроме того, OverlayPhantom использует функцию потоковой передачи экрана на основе API MediaProjection платформы Android, что позволяет злоумышленнику получать визуальный доступ к экрану устройства практически в реальном времени при низком потреблении пропускной способности. В случае прерывания потока вредоносное ПО применяет механизмы восстановления для плавного возобновления соединения.

OverlayPhantom демонстрирует высокий уровень операционной сложности благодаря двойному использованию имперсонации государственных и потребительских приложений в сочетании с агрессивными тактиками фишинга и функциями удаленного управления. Угроза, представляемая OverlayPhantom, является значительной, поскольку он предназначен для масштабного финансового мошенничества и продолжает расширять охват и методы целевых атак на западных рынках. Учитывая его возможности и стратегию, это ВПО представляет собой серьезную угрозу в сфере уязвимостей мобильных банковских приложений.

#ParsedReport #CompletenessHigh
26-05-2026

From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities

https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/

Report completeness: High

Threats:
Screenconnect_tool
Seo_poisoning_technique
Dll_sideloading_technique
Process_hollowing_technique
Process_injection_technique
Procmon_tool
Gminer
Lolminer
Srbminer_tool
Coinminer
Malgent

Victims:
Pc enthusiasts, Hardware focused users, Organizations

Industry:
Entertainment, Healthcare

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 19
IP: 4
Domain: 5
Path: 2
Registry: 2
Command: 2
Url: 1
Hash: 12

Soft:
Microsoft Defender, HWMonitor, FurMark, NET Framework, VirtualBox, Windows Security Center, Task Scheduler

Algorithms:
sha256, aes-128-cbc, zip

Functions:
TaskCreationCmd

Win API:
WriteProcessMemory, SetThreadContext, ResumeThread

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена кампания криптоджекинга, использующая обманные результаты поисковых систем и взаимодействие с ИИ, направленная на пользователей с высокопроизводительными графическими процессорами. Злоумышленники перенаправляют пользователей на вредоносные сайты, имитирующие доверенные утилиты, и в конечном итоге устанавливают бэкдор через ScreenConnect, встроенный в ZIP-архив, содержащий вредоносную DLL. ВПО использует Внедрение в пустой процесс для внедрения кода майнинга в легитимные бинарные файлы, подключается к серверу C2 для выполнения майнинговых операций и включает меры скрытности для избежания обнаружения.
-----

Выявлена продолжающаяся кампания криптоджекинга, использующая обманные результаты поисковых систем и взаимодействие с ИИ-чатботами для направления пользователей на вредоносные сайты, имитирующие известные системные утилиты, такие как CrystalDiskInfo и HWMonitor. Данная кампания нацелена преимущественно на пользователей с высокопроизводительными графическими процессорами, отдавая приоритет качеству, а не количеству скомпрометированных систем. Основные цели включают майнинг криптовалюты и создание постоянного удаленного доступа через ScreenConnect, который используется для потенциальной кражи данных или перемещения внутри компании в скомпрометированных сетях.

Атака начинается с того, что пользователи ищут доверенные системные утилиты, что приводит к манипулированным результатам поиска, указывающим на контролируемые злоумышленниками домены. Кампания, как наблюдалось, использует более 150 доменов, которые используют Маскировка под легитимные загрузки программного обеспечения, в конечном итоге перенаправляя пользователей на вредоносный ZIP-архив. Этот ZIP-архив содержит исполняемый файл, выглядящий легитимно, вместе с вредоносной DLL-библиотекой с именем autorun.dll, которая использует подгрузку DLL для невидимой установки второй DLL-библиотеки, использующей Маскировка под перераспределитель Visual C++. Эта вторая установка представляет собой легитимное программное обеспечение ScreenConnect, позволяющее злоумышленникам поддерживать удаленный доступ.

После установления сеанса ScreenConnect злоумышленники развертывают бинарный файл под названием SimpleRunPE.exe, который, вероятно, получен из публичных Репозиториев кода. Этот бинарный файл использует техники Внедрение в пустой процесс для внедрения кода майнинга в легитимные бинарные файлы, подписанные Microsoft, тем самым избегая обнаружения. ВПО разработано так, чтобы проверять наличие различных инструментов анализа и сред виртуальных машин, что позволяет ему оставаться незамеченным во время выполнения.

После успешной инъекции вредоносное ПО устанавливает соединения с управляемым злоумышленником сервером управления (управление), который жестко закодирован в вредоносном бинарном файле. Оно обеспечивает работу майнинговых операций, загружая специализированное майнинговое программное обеспечение, такое как gminer, lolMiner и SRBMiner-MULTI, по мере необходимости. Вредоносное ПО также отслеживает активность системы, завершая майнинговые процессы в случае резкого скачка использования GPU или при обнаружении определенных приложений, что дополнительно усиливает его скрытность.

Microsoft Defender выявил и заблокировал активность, связанную с данной кампанией, рекомендуя организациям включить такие меры, как облачная защита и правила снижения поверхности атаки, для смягчения рисков. Возможности расширенного поиска (advanced hunting) решений безопасности Microsoft могут помочь в выявлении подозрительного поведения, связанного с этой кампанией, особенно в отношении использования RuntimeHost.exe и конкретных путей установщика, связанных с вредоносной деятельностью. Эта постоянная угроза подчеркивает эволюцию ландшафта криптоджекинга, акцентируя внимание на изощренности методологий злоумышленников и необходимости адаптивных стратегий защиты.

#ParsedReport #CompletenessMedium
27-05-2026

Smart Contracts for C&C: How ClearFake Hid in Plain Sight on BSC Testnet

https://www.trendmicro.com/en_us/research/26/e/smart-contracts-for-command-and-control.html

Report completeness: Medium

Threats:
Clearfake
Etherhiding_technique
Sectop_rat
Acr_stealer
Clickfix_technique
Dll_sideloading_technique
Process_injection_technique

Victims:
Recreation, Compromised websites, Windows users, Macos users

Industry:
Financial

Geo:
North korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1027.009, T1027.013, T1036.005, T1041, T1055, T1059.004, T1059.006, T1059.007, have more...

IOCs:
Coin: 5
File: 15
Domain: 13
Hash: 3

Soft:
macOS, WordPress, enium and, PhantomJS, efox ): C, ome, Safa, efox are, , e.exe an, exe and, have more...

Crypto:
binance, ethereum

Algorithms:
base64, sha256

Functions:
load_, VLC, JavaScript, isGoalReached

Languages:
solidity, python, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 3, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование TrendAI проанализировало сложную кибератаку, использующую смарт-контракты в тестовой сети BNB Smart Chain, с применением техники под названием EtherHiding для доставки вредоносных компонентов ClearFake через скомпрометированные веб-сайты. В атаке участвовали два инфостилера — SectopRAT и ACRStealer, а также злонамеренный JavaScript для взаимодействия со смарт-контрактами, что позволяло избегать традиционных методов обнаружения. Примечательно, что атака включала доставку специфичных для операционной системы компонентов для Windows и macOS, используя проверки на анализ и тактики социальной инженерии, что приводило к установке невидимых ПО для удаленного доступа.
-----

Исследовательская группа TrendAI провела анализ сложной кибератаки, использующей смарт-контракты в тестовой сети BNB Smart Chain с применением техники под названием EtherHiding. Эта техника была необходима для маршрутизации доставки вредоносных модулей ClearFake, которые были встроены в смарт-контракты, что делало их устойчивыми к попыткам удаления благодаря неизменяемости архитектуры блокчейна. В ходе атаки одновременно были развернуты два инфостилера — SectopRAT и ACRStealer, а также ончейн-трекер выполнения для подтверждения в реальном времени факта компрометации жертв.

В рамках этой кампании злоумышленники внедряли вредоносный JavaScript в скомпрометированные веб-сайты для взаимодействия со смарт-контрактами, реализуя высокоэффективный децентрализованный механизм управления (C&C). Внедренный JavaScript опрашивает эти смарт-контракты с помощью запросов eth_call, тем самым избегая традиционных подходов к блокировке на основе URL. Кампания развила технику EtherHiding за пределы ее первоначальной концепции, сохраняя целые полез

Анализ выявил, что используемые смарт-контракты следовали определенной архитектуре. Начальная точка входа, называемая Smart Contract A, хранила закодированные в base64 полезную нагрузку, которые злоумышленник мог извлекать глобально без локального хостинга данных. Последующие контракты доставляли различные полезную нагрузку, адаптированные для жертв Windows и macOS, обеспечивая доставку, специфичную для ОС, через механизмы обнаружения ОС внутри внедренных скриптов.

Атака ClearFake продемонстрировала эксплуатационные функции, включавшие проверки на антианализ, такие как проверка того, работает ли браузер в безголовом режиме, что является признаком инструментов автоматизированного тестирования. Специфичный для Windows полезный груз использовал социальную инженерию через оверлей ClickFix для захвата учетных данных браузера и другой конфиденциальной информации. Он создавал убедительную имитацию интерфейса Google reCAPTCHA, чтобы обмануть жертв и заставить их предоставить учетные данные под видом законной деятельности.

Для пользователей macOS процесс повторял операцию для Windows, но с незначительными корректировками в исполнении. В частности, вариант для macOS включал трекер аналитики Yandex, предоставляющий злоумышленникам комплексные поведенческие данные об зараженных системах. Обе версии завершались установкой инструмента удаленного доступа, способного выполнять команды без обнаружения.

Рекомендуемые защитные стратегии против подобных атак включают блокировку исходящего трафика к известным конечным точкам RPC тестовой сети BNB Smart Chain, отключение служб WebClient в Windows там, где это не требуется, и усиление безопасности браузера посредством ограничений политик. Обучение пользователей повышению осведомленности о вредоносных тактиках социальной инженерии, таких как поддельные CAPTCHA, также имеет решающее значение для предотвращения подобных компрометаций.