#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа хакерских группировок TeamPCP осуществила атаку на цепочку поставок на библиотеку с открытым исходным кодом LiteLLM для Python, скомпрометировав сканер уязвимостей Trivy для внедрения вредоносных коммитов, которые проникли в конвейеры CI/CD. Они распространили две поддельные версии LiteLLM, которые использовали различные техники внедрения для сбора учетных записей, нацеливаясь на конфиденциальную информацию, связанную с различными облачными сервисами. Атакующие установили закрепление с помощью скрипта опроса для обеспечения удаленного выполнения кода, что подчеркивает уязвимости в инфраструктуре ИИ.
-----

Группировка TeamPCP успешно осуществила атаку на Цепочку поставок библиотеки LiteLLM с открытым исходным кодом на Python, которая используется в качестве шлюза ИИ для взаимодействия с более чем 100 провайдерами LLM. Атака началась с компрометации Trivy, широко используемого сканера уязвимостей. Подделывая легитимные идентификаторы сопровождающих и внедряя вредоносные коммиты, TeamPCP разместила версию Trivy с бэкдором на таких платформах, как GitHub, которая затем проникла в конвейеры CI/CD, используемые различными проектами, включая LiteLLM.

Процесс сборки LiteLLM включал Trivy, и в результате манипулятивная версия злоумышленника позволила ему извлечь токен PYPI_PUBLISH из памяти CI/CD-агента. Получив доступ с помощью украденного токена, две вредоносные версии LiteLLM, 1.82.7 и 1.82.8, были распространены без обнаружения из основного репозитория.

Две версии скомпрометированного LiteLLM используют различные техники для внедрения вредоносного кода. Версия 1.82.7 применяет инъекцию исходного кода, встраивая полезную нагрузку, закодированную в Base64, в файл proxy_server.py, активируя её при запуске прокси-сервера LiteLLM. В отличие от этого, версия 1.82.8 использует более скрытный метод инъекции через .pth-файл, устанавливая файл с именем litelllm_init.pth в директорию site-packages. Этот метод гарантирует выполнение полезной нагрузки при каждом запуске интерпретатора Python, независимо от того, вызывается ли сам LiteLLM напрямую.

Вредоносные полезная нагрузка разработаны для проведения сбора учетных записей. После запуска они сканируют наличие чувствительных переменных окружения и конфигурационных файлов, связанных с различными Облачными сервисами, включая ключи для провайдеров ИИ, таких как OpenAI и Azure, а также учетные данные AWS/GCP/Azure. Скомпрометированные данные шифруются с использованием 32-байтового сеансового ключа AES и алгоритма AES-256-CBC, затем упаковываются для эксфильтрации на URL, связанный с TeamPCP, с использованием команды 'curl'.

Кроме того, злоумышленники внедрили механизм закрепления с помощью скрипта под названием Sysmon.py, который устанавливает бэкдор для Удаленного Выполнения Кода. Этот скрипт запускается с задержкой, после чего регулярно опрашивает указанный URL для получения и выполнения потенциально вредоносных обновлений.

Инцидент с LiteLLM наглядно демонстрирует растущую уязвимость инфраструктуры искусственного интеллекта к атакам на Цепочку поставок. Возможность TeamPCP эксплуатировать единую точку отказа привела к компрометации доступа к нескольким крупным провайдерам искусственного интеллекта одновременно. Последствия этого инцидента подчеркивают необходимость внедрения надежных мер безопасности в библиотеки, обеспечивающие подключение к взаимосвязанным сервисам искусственного интеллекта.

#ParsedReport #CompletenessHigh
27-05-2026

forge-jsxy: 22 Versions of an Actively Developed npm RAT

https://safedep.io/malicious-forge-jsxy-npm-rat-evolution

Report completeness: High

Actors/Campaigns:
Contagious_interview
Axios_compromise
Teampcp
Lofygang

Threats:
Forge-jsx
Promptmink
Typosquatting_technique
Supply_chain_technique
Glassworm

Victims:
Software developers, Cryptocurrency users

Industry:
Financial

Geo:
German, Dprk, Polish

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1053.005, T1056.001, T1071.001, T1074.001, T1082, T1083, have more...

IOCs:
IP: 1
Email: 1
Url: 1
Path: 1
Registry: 1
Hash: 1
File: 13

Soft:
Chromium, WebRTC, Hugging Face, Discord, Linux, macOS, Task Scheduler, Node.js, systemd, Google Chrome, have more...

Wallets:
metamask, rabby

Crypto:
solana, ethereum, bitcoin

Algorithms:
sha256, ed25519, xor, aes, aes-256-gcm, fnv-1a

Languages:
typescript, javascript, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет npm forge-jsxy, являющийся эволюцией более раннего RAT forge-jsx, включает регистрацию нажатий клавиш, мониторинг буфера обмена, сканирование криптовалютных кошельков и кражу данных расширений браузера в 21 браузере, сохраняя при этом надежный механизм закрепления. Он может избегать обнаружения путем выполнения скриптов во время установки, отправляет захваченные данные на сервер C2 и использует шифрование, согласованное с forge-jsx. Оператор остается неустановленным, но демонстрирует уникальные операционные паттерны, представляя значительные риски несанкционированного доступа и эксфильтрации данных для затронутых пользователей.
-----

Вредоносный пакет npm forge-jsxy представляет собой эволюцию более раннего npm Троянская программа (RAT) forge-jsx, который был удалён платформой npm. Опубликованный под учётной записью администратора "jacksonkaandorp2", пакет forge-jsxy получил 22 версии, выпущенные в период с 4 по 26 мая 2026 года. Он сохранил базовую функциональность forge-jsx, включая Регистрация нажатий клавиш и мониторинг буфера обмена, а также добавил новые возможности, такие как сканирование кошельков криптовалют и кража данных расширений браузера более чем в 21 браузере. ВПО разработано для сохранения работоспособности после удаления пакета и может получать автоматические обновления с сервера управления (C2) по IP-адресу 204.10.194.247, при этом украденные данные передаются в репозитории, контролируемые злоумышленниками.

RAT выполняет серию скриптов после установки, которые позволяют избежать обнаружения в средах непрерывной интеграции. Среди его возможностей — периодический скриншот рабочего стола жертвы через вебхуки Discord-бота, детальный поиск чувствительных файлов, таких как .env, и надежный механизм доступа к файловой системе жертвы и сбора данных. ВПО использует методы шифрования, идентичные тем, что применяются в forge-jsx. Новые улучшения, появившиеся в ходе эволюции, включали обнаружение и пропуск крупных каталогов во время сканирования, установление WebRTC-соединений peer-to-peer для передачи данных и эффективную проверку криптографических ключей с помощью сложного метода сканирования, сопоставляющего различные шаблоны.

Стратегия развития оператора выглядит методичной, с пятью фазами эволюции, отмеченными постепенным улучшением функций. Это включает внедрение механизма закрепления, устойчивого к процессам удаления, позволяющего агенту продолжать работу даже после удаления исходного пакета. Функциональность для кражи расширений кошельков особенно примечательна, так как она может быть активирована при обнаружении наличия определенных файлов баз данных, собирая все данные в этих каталогах.

Хотя конкретный злоумышленник, стоящий за forge-jsxy, не идентифицирован и не имеет известных связей с существующими группами киберугроз, оператор демонстрирует предпочтение к использованию реалистичных имен учетных записей и одноразовых адресов эл. почты в паттерне, отличающемся от других известных кампаний, включая ту, что приписывается акторам из КНДР.

Воздействие forge-jsxy является значительным, поскольку оно перехватывает нажатия клавиш и систематически похищает конфиденциальные данные, включая ключи API и учетные данные, что потенциально приводит к несанкционированному доступу и краже кошельков. Разработчикам, установившим любую версию forge-jsxy, рекомендуется считать все секреты скомпрометированными, так как стойкий характер ВПО усложняет усилия по его удалению. Быстрое повторное появление пакета после устранения forge-jsx указывает на высокоорганизованную операцию, которая может продолжать адаптироваться и развиваться, сталкиваясь с противодействием со стороны мер безопасности в экосистеме npm.

#ParsedReport #CompletenessMedium
27-05-2026

OverlayPhantom: The Android Banking Trojan Hiding in Plain Sight

https://cyble.com/blog/overlayphantom-android-banking-trojan/

Report completeness: Medium

Actors/Campaigns:
Double_tap

Threats:
Overlayphantom
Credential_harvesting_technique

Victims:
Banking, Financial services, Cryptocurrency platforms, Retail banking customers, Cryptocurrency users

Industry:
Retail, Government, Financial

Geo:
Spain, United kingdom, Australia, Belgium, Netherlands, France, Finland, Italy, Germany, Austria, Austrian

TTPs:
Tactics: 10
Technics: 8

IOCs:
Url: 2
IP: 1
Hash: 3

Soft:
Android, TikTok, Google Play

Functions:
acquireLatestImage

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OverlayPhantom — это Android-банковский троян, распространяемый через вредоносные URL-адреса и использующий двухэтапный метод заражения, включающий приложение-дропер, которое имитирует доверенные приложения для получения разрешений. После установки оно маскируется под Google Play Services, используя службу доступности Android для выполнения более 30 удалённых команд, включая кражу учётных данных через фишинговые оверлеи, нацеленные на банковские и криптовалютные приложения. ВПО выводит украденные данные через многопортовый сервер управления, а также использует функцию потоковой передачи экрана для мониторинга в реальном времени.
-----

OverlayPhantom — это недавно выявленный Android-банковский троян, активно распространяемый через вредоносные URL-адреса. Он использует сложный двухэтапный метод заражения, при котором приложение-дропер маскируется под доверенные платформы, включая приложение ID Austria австрийского правительства и TikTok. Этот дропер с помощью социальной инженерии убеждает жертв установить его, имитируя обновление Google Play Services и направляя пользователей на включение службы «Специальные возможности», тем самым получая повышенный контроль над зараженным устройством.

После установки OverlayPhantom маскируется под Google Play Services, что позволяет ему поддерживать постоянный контроль и отслеживать активность пользователей. Он использует службу доступности Android для выполнения более 30 удалённых команд, обеспечивая такие действия, как потоковая передача экрана, атаки с использованием оверлеев и кража учётных данных. ВПО нацелено на более чем 180 приложений в секторах банковского дела, финансов и криптовалют в различных странах, включая США, Германию и Австралию, что указывает на наличие злоумышленника, действующего из финансовых побуждений и работающего в крупных масштабах.

После активации вредоносное ПО проверяет наличие целевых приложений по жестко закодированному списку, активируя свои фишинговые оверлеи при обнаружении совпадения. Эти оверлеи внешне очень похожи на легитимные приложения, обманывая пользователей и заставляя их вводить конфиденциальные данные. Затем украденные учетные данные незаметно передаются на многопортовый сервер управления (C&C). Вредоносное ПО взаимодействует через выделенные порты: 9091 для выполнения команд, 9092 для отчетов о состоянии устройства и 9090 для потоковой передачи экрана, тем самым оптимизируя свои операционные возможности и уклоняясь от обнаружения.

Кроме того, OverlayPhantom использует функцию потоковой передачи экрана на основе API MediaProjection платформы Android, что позволяет злоумышленнику получать визуальный доступ к экрану устройства практически в реальном времени при низком потреблении пропускной способности. В случае прерывания потока вредоносное ПО применяет механизмы восстановления для плавного возобновления соединения.

OverlayPhantom демонстрирует высокий уровень операционной сложности благодаря двойному использованию имперсонации государственных и потребительских приложений в сочетании с агрессивными тактиками фишинга и функциями удаленного управления. Угроза, представляемая OverlayPhantom, является значительной, поскольку он предназначен для масштабного финансового мошенничества и продолжает расширять охват и методы целевых атак на западных рынках. Учитывая его возможности и стратегию, это ВПО представляет собой серьезную угрозу в сфере уязвимостей мобильных банковских приложений.

#ParsedReport #CompletenessHigh
26-05-2026

From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities

https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/

Report completeness: High

Threats:
Screenconnect_tool
Seo_poisoning_technique
Dll_sideloading_technique
Process_hollowing_technique
Process_injection_technique
Procmon_tool
Gminer
Lolminer
Srbminer_tool
Coinminer
Malgent

Victims:
Pc enthusiasts, Hardware focused users, Organizations

Industry:
Entertainment, Healthcare

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 19
IP: 4
Domain: 5
Path: 2
Registry: 2
Command: 2
Url: 1
Hash: 12

Soft:
Microsoft Defender, HWMonitor, FurMark, NET Framework, VirtualBox, Windows Security Center, Task Scheduler

Algorithms:
sha256, aes-128-cbc, zip

Functions:
TaskCreationCmd

Win API:
WriteProcessMemory, SetThreadContext, ResumeThread

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена кампания криптоджекинга, использующая обманные результаты поисковых систем и взаимодействие с ИИ, направленная на пользователей с высокопроизводительными графическими процессорами. Злоумышленники перенаправляют пользователей на вредоносные сайты, имитирующие доверенные утилиты, и в конечном итоге устанавливают бэкдор через ScreenConnect, встроенный в ZIP-архив, содержащий вредоносную DLL. ВПО использует Внедрение в пустой процесс для внедрения кода майнинга в легитимные бинарные файлы, подключается к серверу C2 для выполнения майнинговых операций и включает меры скрытности для избежания обнаружения.
-----

Выявлена продолжающаяся кампания криптоджекинга, использующая обманные результаты поисковых систем и взаимодействие с ИИ-чатботами для направления пользователей на вредоносные сайты, имитирующие известные системные утилиты, такие как CrystalDiskInfo и HWMonitor. Данная кампания нацелена преимущественно на пользователей с высокопроизводительными графическими процессорами, отдавая приоритет качеству, а не количеству скомпрометированных систем. Основные цели включают майнинг криптовалюты и создание постоянного удаленного доступа через ScreenConnect, который используется для потенциальной кражи данных или перемещения внутри компании в скомпрометированных сетях.

Атака начинается с того, что пользователи ищут доверенные системные утилиты, что приводит к манипулированным результатам поиска, указывающим на контролируемые злоумышленниками домены. Кампания, как наблюдалось, использует более 150 доменов, которые используют Маскировка под легитимные загрузки программного обеспечения, в конечном итоге перенаправляя пользователей на вредоносный ZIP-архив. Этот ZIP-архив содержит исполняемый файл, выглядящий легитимно, вместе с вредоносной DLL-библиотекой с именем autorun.dll, которая использует подгрузку DLL для невидимой установки второй DLL-библиотеки, использующей Маскировка под перераспределитель Visual C++. Эта вторая установка представляет собой легитимное программное обеспечение ScreenConnect, позволяющее злоумышленникам поддерживать удаленный доступ.

После установления сеанса ScreenConnect злоумышленники развертывают бинарный файл под названием SimpleRunPE.exe, который, вероятно, получен из публичных Репозиториев кода. Этот бинарный файл использует техники Внедрение в пустой процесс для внедрения кода майнинга в легитимные бинарные файлы, подписанные Microsoft, тем самым избегая обнаружения. ВПО разработано так, чтобы проверять наличие различных инструментов анализа и сред виртуальных машин, что позволяет ему оставаться незамеченным во время выполнения.

После успешной инъекции вредоносное ПО устанавливает соединения с управляемым злоумышленником сервером управления (управление), который жестко закодирован в вредоносном бинарном файле. Оно обеспечивает работу майнинговых операций, загружая специализированное майнинговое программное обеспечение, такое как gminer, lolMiner и SRBMiner-MULTI, по мере необходимости. Вредоносное ПО также отслеживает активность системы, завершая майнинговые процессы в случае резкого скачка использования GPU или при обнаружении определенных приложений, что дополнительно усиливает его скрытность.

Microsoft Defender выявил и заблокировал активность, связанную с данной кампанией, рекомендуя организациям включить такие меры, как облачная защита и правила снижения поверхности атаки, для смягчения рисков. Возможности расширенного поиска (advanced hunting) решений безопасности Microsoft могут помочь в выявлении подозрительного поведения, связанного с этой кампанией, особенно в отношении использования RuntimeHost.exe и конкретных путей установщика, связанных с вредоносной деятельностью. Эта постоянная угроза подчеркивает эволюцию ландшафта криптоджекинга, акцентируя внимание на изощренности методологий злоумышленников и необходимости адаптивных стратегий защиты.

#ParsedReport #CompletenessMedium
27-05-2026

Smart Contracts for C&C: How ClearFake Hid in Plain Sight on BSC Testnet

https://www.trendmicro.com/en_us/research/26/e/smart-contracts-for-command-and-control.html

Report completeness: Medium

Threats:
Clearfake
Etherhiding_technique
Sectop_rat
Acr_stealer
Clickfix_technique
Dll_sideloading_technique
Process_injection_technique

Victims:
Recreation, Compromised websites, Windows users, Macos users

Industry:
Financial

Geo:
North korean

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1027.009, T1027.013, T1036.005, T1041, T1055, T1059.004, T1059.006, T1059.007, have more...

IOCs:
Coin: 5
File: 15
Domain: 13
Hash: 3

Soft:
macOS, WordPress, enium and, PhantomJS, efox ): C, ome, Safa, efox are, , e.exe an, exe and, have more...

Crypto:
binance, ethereum

Algorithms:
base64, sha256

Functions:
load_, VLC, JavaScript, isGoalReached

Languages:
solidity, python, javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 3, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование TrendAI проанализировало сложную кибератаку, использующую смарт-контракты в тестовой сети BNB Smart Chain, с применением техники под названием EtherHiding для доставки вредоносных компонентов ClearFake через скомпрометированные веб-сайты. В атаке участвовали два инфостилера — SectopRAT и ACRStealer, а также злонамеренный JavaScript для взаимодействия со смарт-контрактами, что позволяло избегать традиционных методов обнаружения. Примечательно, что атака включала доставку специфичных для операционной системы компонентов для Windows и macOS, используя проверки на анализ и тактики социальной инженерии, что приводило к установке невидимых ПО для удаленного доступа.
-----

Исследовательская группа TrendAI провела анализ сложной кибератаки, использующей смарт-контракты в тестовой сети BNB Smart Chain с применением техники под названием EtherHiding. Эта техника была необходима для маршрутизации доставки вредоносных модулей ClearFake, которые были встроены в смарт-контракты, что делало их устойчивыми к попыткам удаления благодаря неизменяемости архитектуры блокчейна. В ходе атаки одновременно были развернуты два инфостилера — SectopRAT и ACRStealer, а также ончейн-трекер выполнения для подтверждения в реальном времени факта компрометации жертв.

В рамках этой кампании злоумышленники внедряли вредоносный JavaScript в скомпрометированные веб-сайты для взаимодействия со смарт-контрактами, реализуя высокоэффективный децентрализованный механизм управления (C&C). Внедренный JavaScript опрашивает эти смарт-контракты с помощью запросов eth_call, тем самым избегая традиционных подходов к блокировке на основе URL. Кампания развила технику EtherHiding за пределы ее первоначальной концепции, сохраняя целые полез

Анализ выявил, что используемые смарт-контракты следовали определенной архитектуре. Начальная точка входа, называемая Smart Contract A, хранила закодированные в base64 полезную нагрузку, которые злоумышленник мог извлекать глобально без локального хостинга данных. Последующие контракты доставляли различные полезную нагрузку, адаптированные для жертв Windows и macOS, обеспечивая доставку, специфичную для ОС, через механизмы обнаружения ОС внутри внедренных скриптов.

Атака ClearFake продемонстрировала эксплуатационные функции, включавшие проверки на антианализ, такие как проверка того, работает ли браузер в безголовом режиме, что является признаком инструментов автоматизированного тестирования. Специфичный для Windows полезный груз использовал социальную инженерию через оверлей ClickFix для захвата учетных данных браузера и другой конфиденциальной информации. Он создавал убедительную имитацию интерфейса Google reCAPTCHA, чтобы обмануть жертв и заставить их предоставить учетные данные под видом законной деятельности.

Для пользователей macOS процесс повторял операцию для Windows, но с незначительными корректировками в исполнении. В частности, вариант для macOS включал трекер аналитики Yandex, предоставляющий злоумышленникам комплексные поведенческие данные об зараженных системах. Обе версии завершались установкой инструмента удаленного доступа, способного выполнять команды без обнаружения.

Рекомендуемые защитные стратегии против подобных атак включают блокировку исходящего трафика к известным конечным точкам RPC тестовой сети BNB Smart Chain, отключение служб WebClient в Windows там, где это не требуется, и усиление безопасности браузера посредством ограничений политик. Обучение пользователей повышению осведомленности о вредоносных тактиках социальной инженерии, таких как поддельные CAPTCHA, также имеет решающее значение для предотвращения подобных компрометаций.

#ParsedReport #CompletenessMedium
24-05-2026

Fake Microsoft Teams Download Page Delivers ClickFix Chrome Update Payload – Malware Analysis, Phishing, and Email Scams

https://malwr-analysis.com/2026/05/25/fake-microsoft-teams-download-page-delivers-clickfix-chrome-update-payload/

Report completeness: Medium

Threats:
Clickfix_technique
Agent_tesla
Sectop_rat
Crimson_rat
Nanocore_rat
Njrat

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.007, T1105, T1204, T1547.001

IOCs:
File: 8
Domain: 1
Url: 1
Hash: 1
Email: 1

Soft:
Microsoft Teams, Chrome, Node.js, Microsoft Edge, Android

Algorithms:
zip, sha256

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена киберкампания, использующая поддельную страницу загрузки Microsoft Teams для распространения ClickFix, замаскированного под обновление безопасности Chrome, чтобы обманом заставить пользователей выполнить вредоносную команду PowerShell. Вредоносный полезный модуль загружает устаревший пакет Node.js, скрывая свои истинные намерения с помощью поэтического списка слов, а при выполнении восстанавливает вредоносные файлы, включая замаскированный исполняемый файл и несколько DLL-библиотек, способствующих скрытности и функционированию. ВПО использует механизм закрепления через запись в реестре, чтобы гарантировать его запуск при старте системы, что указывает на сложную фишинговую угрозу.
-----

Выявлена недавняя киберкампания, использующая поддельную страницу загрузки Microsoft Teams для распространения вредоносного кода ClickFix, маскирующегося под обновление безопасности Chrome. Этот фишинговый тактический прием эффективно обманывает пользователей, заставляя их выполнять вредоносную команду PowerShell под предлогом установки необходимого обновления браузера. Вредоносный сайт, разработанный для того, чтобы максимально походить на легитимный интерфейс Microsoft Teams, требует взаимодействия с пользователем — например, клика по странице — прежде чем показать поддельное предупреждение о необходимом обновлении Chrome. Такой подход помогает избегать обнаружения автоматическими средствами безопасности, которые могут не взаимодействовать с элементами страницы в полной мере.

После того как пользователь нажимает, ему отображается всплывающее окно, которое направляет его по шагам для ручного запуска команды PowerShell. Команда изначально выглядит безобидной, так как она загружает устаревший пакет Node.js с официального сайта Node.js. Однако JavaScript внутри полезной нагрузки хитро скрывает свои злонамеренные намерения, используя большой список слов в стиле стихотворения, чтобы скрыть встроенные файлы. Эта техника позволяет ВПО реконструировать вредоносные файлы во время выполнения, а не хранить их напрямую на устройстве жертвы.

После запуска вредоносный полезный груз настраивается на выгрузку исполняемого файла, маскирующегося под вспомогательный компонент Microsoft Edge, который размещается по пути "C:\ProgramData\Microsoft Edge Updates Helper\cgpIJPjs25zk". Вместе с этим исполняемым файлом включаются несколько DLL-библиотек — а именно msvcp140.dll, vcruntime140.dll и vcruntime140_1.dll, — которые являются легитимными зависимостями среды выполнения Visual C++. Такое включение, вероятно, служит для обеспечения корректного выполнения выгруженного ВПО на системе жертвы, дополнительно повышая его скрытность.

На момент анализа в исполняемом файле не было обнаружено явных URL-адресов управления (управление), встроенных в него; видимые URL-адреса в основном были связаны с инфраструктурой сертификатов Microsoft или DigiCert. Механизм закрепления использует запись реестра в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», указывающую на вредоносный исполняемый файл, что обеспечивает его запуск при старте системы. Эта сложная кампания подчеркивает постоянную угрозу, исходящую от тактик фишинга, которые используют социальную инженерию для компрометации систем пользователей, и указывает на необходимость повышения осведомленности и внедрения надежных мер безопасности против таких обманных стратегий.

#ParsedReport #CompletenessMedium
27-05-2026

Disrupting Glassworm: Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet

https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/

Report completeness: Medium

Threats:
Glassworm
Supply_chain_technique
Credential_harvesting_technique
Dead_drop_technique

Victims:
Software developers, Software supply chain, Technology organizations

Industry:
E-commerce, Financial

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1008, T1036, T1071, T1078, T1102.001, T1105, T1124, T1132.001, T1195.001, T1195.002, have more...

Soft:
VSCode, OpenVSX, macOS, Linux, Node.js, BitTorrent

Crypto:
solana

Algorithms:
base64

Languages:
python, javascript, rust

Platforms:
cross-platform

YARA: Found