#ParsedReport #CompletenessMedium
27-05-2026
Smart Contracts for C&C: How ClearFake Hid in Plain Sight on BSC Testnet
https://www.trendmicro.com/en_us/research/26/e/smart-contracts-for-command-and-control.html
Report completeness: Medium
Threats:
Clearfake
Etherhiding_technique
Sectop_rat
Acr_stealer
Clickfix_technique
Dll_sideloading_technique
Process_injection_technique
Victims:
Recreation, Compromised websites, Windows users, Macos users
Industry:
Financial
Geo:
North korean
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1016, T1027, T1027.009, T1027.013, T1036.005, T1041, T1055, T1059.004, T1059.006, T1059.007, have more...
IOCs:
Coin: 5
File: 15
Domain: 13
Hash: 3
Soft:
macOS, WordPress, enium and, PhantomJS, efox ): C, ome, Safa, efox are, , e.exe an, exe and, have more...
Crypto:
binance, ethereum
Algorithms:
base64, sha256
Functions:
load_, VLC, JavaScript, isGoalReached
Languages:
solidity, python, javascript
27-05-2026
Smart Contracts for C&C: How ClearFake Hid in Plain Sight on BSC Testnet
https://www.trendmicro.com/en_us/research/26/e/smart-contracts-for-command-and-control.html
Report completeness: Medium
Threats:
Clearfake
Etherhiding_technique
Sectop_rat
Acr_stealer
Clickfix_technique
Dll_sideloading_technique
Process_injection_technique
Victims:
Recreation, Compromised websites, Windows users, Macos users
Industry:
Financial
Geo:
North korean
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1016, T1027, T1027.009, T1027.013, T1036.005, T1041, T1055, T1059.004, T1059.006, T1059.007, have more...
IOCs:
Coin: 5
File: 15
Domain: 13
Hash: 3
Soft:
macOS, WordPress, enium and, PhantomJS, efox ): C, ome, Safa, efox are, , e.exe an, exe and, have more...
Crypto:
binance, ethereum
Algorithms:
base64, sha256
Functions:
load_, VLC, JavaScript, isGoalReached
Languages:
solidity, python, javascript
Trend Micro
Smart Contracts for C&C: How ClearFake Hid in Plain Sight on BSC Testnet
TrendAI™ Research analyzed an intrusion where threat actors used the EtherHiding technique to route ClearFake payload delivery through smart contracts on the BNB Smart Chain testnet. The attack chain ended with two simultaneously deployed stealers, SectopRAT…
CTT Report Hub
#ParsedReport #CompletenessMedium 27-05-2026 Smart Contracts for C&C: How ClearFake Hid in Plain Sight on BSC Testnet https://www.trendmicro.com/en_us/research/26/e/smart-contracts-for-command-and-control.html Report completeness: Medium Threats: Clearfake…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследование TrendAI проанализировало сложную кибератаку, использующую смарт-контракты в тестовой сети BNB Smart Chain, с применением техники под названием EtherHiding для доставки вредоносных компонентов ClearFake через скомпрометированные веб-сайты. В атаке участвовали два инфостилера — SectopRAT и ACRStealer, а также злонамеренный JavaScript для взаимодействия со смарт-контрактами, что позволяло избегать традиционных методов обнаружения. Примечательно, что атака включала доставку специфичных для операционной системы компонентов для Windows и macOS, используя проверки на анализ и тактики социальной инженерии, что приводило к установке невидимых ПО для удаленного доступа.
-----
Исследовательская группа TrendAI провела анализ сложной кибератаки, использующей смарт-контракты в тестовой сети BNB Smart Chain с применением техники под названием EtherHiding. Эта техника была необходима для маршрутизации доставки вредоносных модулей ClearFake, которые были встроены в смарт-контракты, что делало их устойчивыми к попыткам удаления благодаря неизменяемости архитектуры блокчейна. В ходе атаки одновременно были развернуты два инфостилера — SectopRAT и ACRStealer, а также ончейн-трекер выполнения для подтверждения в реальном времени факта компрометации жертв.
В рамках этой кампании злоумышленники внедряли вредоносный JavaScript в скомпрометированные веб-сайты для взаимодействия со смарт-контрактами, реализуя высокоэффективный децентрализованный механизм управления (C&C). Внедренный JavaScript опрашивает эти смарт-контракты с помощью запросов eth_call, тем самым избегая традиционных подходов к блокировке на основе URL. Кампания развила технику EtherHiding за пределы ее первоначальной концепции, сохраняя целые полез
Анализ выявил, что используемые смарт-контракты следовали определенной архитектуре. Начальная точка входа, называемая Smart Contract A, хранила закодированные в base64 полезную нагрузку, которые злоумышленник мог извлекать глобально без локального хостинга данных. Последующие контракты доставляли различные полезную нагрузку, адаптированные для жертв Windows и macOS, обеспечивая доставку, специфичную для ОС, через механизмы обнаружения ОС внутри внедренных скриптов.
Атака ClearFake продемонстрировала эксплуатационные функции, включавшие проверки на антианализ, такие как проверка того, работает ли браузер в безголовом режиме, что является признаком инструментов автоматизированного тестирования. Специфичный для Windows полезный груз использовал социальную инженерию через оверлей ClickFix для захвата учетных данных браузера и другой конфиденциальной информации. Он создавал убедительную имитацию интерфейса Google reCAPTCHA, чтобы обмануть жертв и заставить их предоставить учетные данные под видом законной деятельности.
Для пользователей macOS процесс повторял операцию для Windows, но с незначительными корректировками в исполнении. В частности, вариант для macOS включал трекер аналитики Yandex, предоставляющий злоумышленникам комплексные поведенческие данные об зараженных системах. Обе версии завершались установкой инструмента удаленного доступа, способного выполнять команды без обнаружения.
Рекомендуемые защитные стратегии против подобных атак включают блокировку исходящего трафика к известным конечным точкам RPC тестовой сети BNB Smart Chain, отключение служб WebClient в Windows там, где это не требуется, и усиление безопасности браузера посредством ограничений политик. Обучение пользователей повышению осведомленности о вредоносных тактиках социальной инженерии, таких как поддельные CAPTCHA, также имеет решающее значение для предотвращения подобных компрометаций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Исследование TrendAI проанализировало сложную кибератаку, использующую смарт-контракты в тестовой сети BNB Smart Chain, с применением техники под названием EtherHiding для доставки вредоносных компонентов ClearFake через скомпрометированные веб-сайты. В атаке участвовали два инфостилера — SectopRAT и ACRStealer, а также злонамеренный JavaScript для взаимодействия со смарт-контрактами, что позволяло избегать традиционных методов обнаружения. Примечательно, что атака включала доставку специфичных для операционной системы компонентов для Windows и macOS, используя проверки на анализ и тактики социальной инженерии, что приводило к установке невидимых ПО для удаленного доступа.
-----
Исследовательская группа TrendAI провела анализ сложной кибератаки, использующей смарт-контракты в тестовой сети BNB Smart Chain с применением техники под названием EtherHiding. Эта техника была необходима для маршрутизации доставки вредоносных модулей ClearFake, которые были встроены в смарт-контракты, что делало их устойчивыми к попыткам удаления благодаря неизменяемости архитектуры блокчейна. В ходе атаки одновременно были развернуты два инфостилера — SectopRAT и ACRStealer, а также ончейн-трекер выполнения для подтверждения в реальном времени факта компрометации жертв.
В рамках этой кампании злоумышленники внедряли вредоносный JavaScript в скомпрометированные веб-сайты для взаимодействия со смарт-контрактами, реализуя высокоэффективный децентрализованный механизм управления (C&C). Внедренный JavaScript опрашивает эти смарт-контракты с помощью запросов eth_call, тем самым избегая традиционных подходов к блокировке на основе URL. Кампания развила технику EtherHiding за пределы ее первоначальной концепции, сохраняя целые полез
Анализ выявил, что используемые смарт-контракты следовали определенной архитектуре. Начальная точка входа, называемая Smart Contract A, хранила закодированные в base64 полезную нагрузку, которые злоумышленник мог извлекать глобально без локального хостинга данных. Последующие контракты доставляли различные полезную нагрузку, адаптированные для жертв Windows и macOS, обеспечивая доставку, специфичную для ОС, через механизмы обнаружения ОС внутри внедренных скриптов.
Атака ClearFake продемонстрировала эксплуатационные функции, включавшие проверки на антианализ, такие как проверка того, работает ли браузер в безголовом режиме, что является признаком инструментов автоматизированного тестирования. Специфичный для Windows полезный груз использовал социальную инженерию через оверлей ClickFix для захвата учетных данных браузера и другой конфиденциальной информации. Он создавал убедительную имитацию интерфейса Google reCAPTCHA, чтобы обмануть жертв и заставить их предоставить учетные данные под видом законной деятельности.
Для пользователей macOS процесс повторял операцию для Windows, но с незначительными корректировками в исполнении. В частности, вариант для macOS включал трекер аналитики Yandex, предоставляющий злоумышленникам комплексные поведенческие данные об зараженных системах. Обе версии завершались установкой инструмента удаленного доступа, способного выполнять команды без обнаружения.
Рекомендуемые защитные стратегии против подобных атак включают блокировку исходящего трафика к известным конечным точкам RPC тестовой сети BNB Smart Chain, отключение служб WebClient в Windows там, где это не требуется, и усиление безопасности браузера посредством ограничений политик. Обучение пользователей повышению осведомленности о вредоносных тактиках социальной инженерии, таких как поддельные CAPTCHA, также имеет решающее значение для предотвращения подобных компрометаций.
#ParsedReport #CompletenessMedium
24-05-2026
Fake Microsoft Teams Download Page Delivers ClickFix Chrome Update Payload – Malware Analysis, Phishing, and Email Scams
https://malwr-analysis.com/2026/05/25/fake-microsoft-teams-download-page-delivers-clickfix-chrome-update-payload/
Report completeness: Medium
Threats:
Clickfix_technique
Agent_tesla
Sectop_rat
Crimson_rat
Nanocore_rat
Njrat
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059.001, T1059.007, T1105, T1204, T1547.001
IOCs:
File: 8
Domain: 1
Url: 1
Hash: 1
Email: 1
Soft:
Microsoft Teams, Chrome, Node.js, Microsoft Edge, Android
Algorithms:
zip, sha256
Languages:
javascript, powershell
24-05-2026
Fake Microsoft Teams Download Page Delivers ClickFix Chrome Update Payload – Malware Analysis, Phishing, and Email Scams
https://malwr-analysis.com/2026/05/25/fake-microsoft-teams-download-page-delivers-clickfix-chrome-update-payload/
Report completeness: Medium
Threats:
Clickfix_technique
Agent_tesla
Sectop_rat
Crimson_rat
Nanocore_rat
Njrat
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059.001, T1059.007, T1105, T1204, T1547.001
IOCs:
File: 8
Domain: 1
Url: 1
Hash: 1
Email: 1
Soft:
Microsoft Teams, Chrome, Node.js, Microsoft Edge, Android
Algorithms:
zip, sha256
Languages:
javascript, powershell
Malware Analysis, Phishing, and Email Scams
Fake Microsoft Teams Download Page Delivers ClickFix Chrome Update Payload
Recently, I came across another ClickFix-style campaign pretending to install a Chrome security update. The campaign was hosted on: teams-net-calls[.]com The site impersonates a legitimate Microsof…
👍1
CTT Report Hub
#ParsedReport #CompletenessMedium 24-05-2026 Fake Microsoft Teams Download Page Delivers ClickFix Chrome Update Payload – Malware Analysis, Phishing, and Email Scams https://malwr-analysis.com/2026/05/25/fake-microsoft-teams-download-page-delivers-clickfix…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена киберкампания, использующая поддельную страницу загрузки Microsoft Teams для распространения ClickFix, замаскированного под обновление безопасности Chrome, чтобы обманом заставить пользователей выполнить вредоносную команду PowerShell. Вредоносный полезный модуль загружает устаревший пакет Node.js, скрывая свои истинные намерения с помощью поэтического списка слов, а при выполнении восстанавливает вредоносные файлы, включая замаскированный исполняемый файл и несколько DLL-библиотек, способствующих скрытности и функционированию. ВПО использует механизм закрепления через запись в реестре, чтобы гарантировать его запуск при старте системы, что указывает на сложную фишинговую угрозу.
-----
Выявлена недавняя киберкампания, использующая поддельную страницу загрузки Microsoft Teams для распространения вредоносного кода ClickFix, маскирующегося под обновление безопасности Chrome. Этот фишинговый тактический прием эффективно обманывает пользователей, заставляя их выполнять вредоносную команду PowerShell под предлогом установки необходимого обновления браузера. Вредоносный сайт, разработанный для того, чтобы максимально походить на легитимный интерфейс Microsoft Teams, требует взаимодействия с пользователем — например, клика по странице — прежде чем показать поддельное предупреждение о необходимом обновлении Chrome. Такой подход помогает избегать обнаружения автоматическими средствами безопасности, которые могут не взаимодействовать с элементами страницы в полной мере.
После того как пользователь нажимает, ему отображается всплывающее окно, которое направляет его по шагам для ручного запуска команды PowerShell. Команда изначально выглядит безобидной, так как она загружает устаревший пакет Node.js с официального сайта Node.js. Однако JavaScript внутри полезной нагрузки хитро скрывает свои злонамеренные намерения, используя большой список слов в стиле стихотворения, чтобы скрыть встроенные файлы. Эта техника позволяет ВПО реконструировать вредоносные файлы во время выполнения, а не хранить их напрямую на устройстве жертвы.
После запуска вредоносный полезный груз настраивается на выгрузку исполняемого файла, маскирующегося под вспомогательный компонент Microsoft Edge, который размещается по пути "C:\ProgramData\Microsoft Edge Updates Helper\cgpIJPjs25zk". Вместе с этим исполняемым файлом включаются несколько DLL-библиотек — а именно msvcp140.dll, vcruntime140.dll и vcruntime140_1.dll, — которые являются легитимными зависимостями среды выполнения Visual C++. Такое включение, вероятно, служит для обеспечения корректного выполнения выгруженного ВПО на системе жертвы, дополнительно повышая его скрытность.
На момент анализа в исполняемом файле не было обнаружено явных URL-адресов управления (управление), встроенных в него; видимые URL-адреса в основном были связаны с инфраструктурой сертификатов Microsoft или DigiCert. Механизм закрепления использует запись реестра в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», указывающую на вредоносный исполняемый файл, что обеспечивает его запуск при старте системы. Эта сложная кампания подчеркивает постоянную угрозу, исходящую от тактик фишинга, которые используют социальную инженерию для компрометации систем пользователей, и указывает на необходимость повышения осведомленности и внедрения надежных мер безопасности против таких обманных стратегий.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена киберкампания, использующая поддельную страницу загрузки Microsoft Teams для распространения ClickFix, замаскированного под обновление безопасности Chrome, чтобы обманом заставить пользователей выполнить вредоносную команду PowerShell. Вредоносный полезный модуль загружает устаревший пакет Node.js, скрывая свои истинные намерения с помощью поэтического списка слов, а при выполнении восстанавливает вредоносные файлы, включая замаскированный исполняемый файл и несколько DLL-библиотек, способствующих скрытности и функционированию. ВПО использует механизм закрепления через запись в реестре, чтобы гарантировать его запуск при старте системы, что указывает на сложную фишинговую угрозу.
-----
Выявлена недавняя киберкампания, использующая поддельную страницу загрузки Microsoft Teams для распространения вредоносного кода ClickFix, маскирующегося под обновление безопасности Chrome. Этот фишинговый тактический прием эффективно обманывает пользователей, заставляя их выполнять вредоносную команду PowerShell под предлогом установки необходимого обновления браузера. Вредоносный сайт, разработанный для того, чтобы максимально походить на легитимный интерфейс Microsoft Teams, требует взаимодействия с пользователем — например, клика по странице — прежде чем показать поддельное предупреждение о необходимом обновлении Chrome. Такой подход помогает избегать обнаружения автоматическими средствами безопасности, которые могут не взаимодействовать с элементами страницы в полной мере.
После того как пользователь нажимает, ему отображается всплывающее окно, которое направляет его по шагам для ручного запуска команды PowerShell. Команда изначально выглядит безобидной, так как она загружает устаревший пакет Node.js с официального сайта Node.js. Однако JavaScript внутри полезной нагрузки хитро скрывает свои злонамеренные намерения, используя большой список слов в стиле стихотворения, чтобы скрыть встроенные файлы. Эта техника позволяет ВПО реконструировать вредоносные файлы во время выполнения, а не хранить их напрямую на устройстве жертвы.
После запуска вредоносный полезный груз настраивается на выгрузку исполняемого файла, маскирующегося под вспомогательный компонент Microsoft Edge, который размещается по пути "C:\ProgramData\Microsoft Edge Updates Helper\cgpIJPjs25zk". Вместе с этим исполняемым файлом включаются несколько DLL-библиотек — а именно msvcp140.dll, vcruntime140.dll и vcruntime140_1.dll, — которые являются легитимными зависимостями среды выполнения Visual C++. Такое включение, вероятно, служит для обеспечения корректного выполнения выгруженного ВПО на системе жертвы, дополнительно повышая его скрытность.
На момент анализа в исполняемом файле не было обнаружено явных URL-адресов управления (управление), встроенных в него; видимые URL-адреса в основном были связаны с инфраструктурой сертификатов Microsoft или DigiCert. Механизм закрепления использует запись реестра в разделе «HKCU\Software\Microsoft\Windows\CurrentVersion\Run», указывающую на вредоносный исполняемый файл, что обеспечивает его запуск при старте системы. Эта сложная кампания подчеркивает постоянную угрозу, исходящую от тактик фишинга, которые используют социальную инженерию для компрометации систем пользователей, и указывает на необходимость повышения осведомленности и внедрения надежных мер безопасности против таких обманных стратегий.
#ParsedReport #CompletenessMedium
27-05-2026
Disrupting Glassworm: Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet
https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/
Report completeness: Medium
Threats:
Glassworm
Supply_chain_technique
Credential_harvesting_technique
Dead_drop_technique
Victims:
Software developers, Software supply chain, Technology organizations
Industry:
E-commerce, Financial
Geo:
Russia
ChatGPT TTPs:
T1008, T1036, T1071, T1078, T1102.001, T1105, T1124, T1132.001, T1195.001, T1195.002, have more...
Soft:
VSCode, OpenVSX, macOS, Linux, Node.js, BitTorrent
Crypto:
solana
Algorithms:
base64
Languages:
python, javascript, rust
Platforms:
cross-platform
YARA: Found
27-05-2026
Disrupting Glassworm: Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet
https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/
Report completeness: Medium
Threats:
Glassworm
Supply_chain_technique
Credential_harvesting_technique
Dead_drop_technique
Victims:
Software developers, Software supply chain, Technology organizations
Industry:
E-commerce, Financial
Geo:
Russia
ChatGPT TTPs:
do not use without manual checkT1008, T1036, T1071, T1078, T1102.001, T1105, T1124, T1132.001, T1195.001, T1195.002, have more...
Soft:
VSCode, OpenVSX, macOS, Linux, Node.js, BitTorrent
Crypto:
solana
Algorithms:
base64
Languages:
python, javascript, rust
Platforms:
cross-platform
YARA: Found
CrowdStrike.com
Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet
Learn how CrowdStrike’s Counter Adversary Operations team executed a coordinated takedown of the Glassworm botnet, which targeted software developers.
CTT Report Hub
#ParsedReport #CompletenessMedium 27-05-2026 Disrupting Glassworm: Inside CrowdStrike’s Takedown of a Developer-Targeting Botnet https://www.crowdstrike.com/en-us/blog/inside-crowdstrike-takedown-of-a-developer-targeting-botnet/ Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ликвидация ботнета Glassworm выявляет тенденцию в киберугрозах, нацеленных на разработчиков программного обеспечения для эксплуатации критических ресурсов. Glassworm использовал троянизированные расширения и внедрял вредоносный код в пакеты npm и Python, а также скомпрометировал более 300 репозиториев GitHub с помощью украденных учетных данных. Его сложная инфраструктура управления включала такие техники, как каналы, закодированные с помощью блокчейна, BitTorrent DHT для конфигурации и Google Calendar для хранения команд, что указывает на высоко ресурсных злоумышленников, базирующихся в России.
-----
Ликвидация ботнета Glassworm компанией CrowdStrike 26 мая 2026 года подчеркивает значительный сдвиг в киберугрозах, направленных на разработчиков, а не только на программное обеспечение, которое они создают. Действуя с начала 2025 года, злоумышленники Glassworm применяли широкий спектр методов для компрометации разработчиков программного обеспечения, имеющих доступ к критически важным ресурсам, таким как Репозитории кода и конвейеры CI/CD. Компрометируя рабочие станции разработчиков, угроза могла перерасти в масштабные атаки на Цепочку поставок, затрагивающие множество организаций.
Кампания Glassworm использовала несколько тактик для проникновения. Она включала распространение троянских расширений, маскирующихся под популярные инструменты на маркетплейсе OpenVSX, что затронуло такие платформы, как VSCode и VSCodium. Кроме того, вредоносный код внедрялся в пакеты npm и Python с помощью хуков postinstall, выполняясь скрытно во время рутинных установок. Более 300 репозиториев GitHub также были отравлены с использованием украденных учетных данных из предыдущих заражений. ВПО функционировало кроссплатформенно на системах Windows, macOS и Linux, при этом ключевые возможности, такие как кража информации и сбор учетных записей, обеспечивались с помощью кастомного инструмента удаленного доступа под названием GlasswormRAT.
Для обеспечения устойчивости к усилиям по ликвидации инфраструктуры управления ботнета была сложной и многогранной. Эта архитектура включала каналы управления, закодированные в транзакциях блокчейна Solana, что позволяло создавать публичный, но неудаляемый тайник для команд. Кроме того, GlasswormRAT использовал децентрализованную систему поиска BitTorrent DHT для получения конфигурации и события Google Calendar для хранения путей управления, закодированных в формате Base64. Ботнет также поддерживал традиционные серверные соединения на коммерческих VPS-провайдерах для доставки полезной нагрузки.
Сложность и адаптивность операторов Glassworm указывают на высокообеспеченного злоумышленника, вероятно, базирующегося в России, что подтверждается специфическими проверками локали и комментариями на русском языке в их коде. Сочетание этих индикаторов указывает на скоординированные и настойчивые усилия в течение года, подчеркивая критическую необходимость проактивных стратегий пресечения в области кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ликвидация ботнета Glassworm выявляет тенденцию в киберугрозах, нацеленных на разработчиков программного обеспечения для эксплуатации критических ресурсов. Glassworm использовал троянизированные расширения и внедрял вредоносный код в пакеты npm и Python, а также скомпрометировал более 300 репозиториев GitHub с помощью украденных учетных данных. Его сложная инфраструктура управления включала такие техники, как каналы, закодированные с помощью блокчейна, BitTorrent DHT для конфигурации и Google Calendar для хранения команд, что указывает на высоко ресурсных злоумышленников, базирующихся в России.
-----
Ликвидация ботнета Glassworm компанией CrowdStrike 26 мая 2026 года подчеркивает значительный сдвиг в киберугрозах, направленных на разработчиков, а не только на программное обеспечение, которое они создают. Действуя с начала 2025 года, злоумышленники Glassworm применяли широкий спектр методов для компрометации разработчиков программного обеспечения, имеющих доступ к критически важным ресурсам, таким как Репозитории кода и конвейеры CI/CD. Компрометируя рабочие станции разработчиков, угроза могла перерасти в масштабные атаки на Цепочку поставок, затрагивающие множество организаций.
Кампания Glassworm использовала несколько тактик для проникновения. Она включала распространение троянских расширений, маскирующихся под популярные инструменты на маркетплейсе OpenVSX, что затронуло такие платформы, как VSCode и VSCodium. Кроме того, вредоносный код внедрялся в пакеты npm и Python с помощью хуков postinstall, выполняясь скрытно во время рутинных установок. Более 300 репозиториев GitHub также были отравлены с использованием украденных учетных данных из предыдущих заражений. ВПО функционировало кроссплатформенно на системах Windows, macOS и Linux, при этом ключевые возможности, такие как кража информации и сбор учетных записей, обеспечивались с помощью кастомного инструмента удаленного доступа под названием GlasswormRAT.
Для обеспечения устойчивости к усилиям по ликвидации инфраструктуры управления ботнета была сложной и многогранной. Эта архитектура включала каналы управления, закодированные в транзакциях блокчейна Solana, что позволяло создавать публичный, но неудаляемый тайник для команд. Кроме того, GlasswormRAT использовал децентрализованную систему поиска BitTorrent DHT для получения конфигурации и события Google Calendar для хранения путей управления, закодированных в формате Base64. Ботнет также поддерживал традиционные серверные соединения на коммерческих VPS-провайдерах для доставки полезной нагрузки.
Сложность и адаптивность операторов Glassworm указывают на высокообеспеченного злоумышленника, вероятно, базирующегося в России, что подтверждается специфическими проверками локали и комментариями на русском языке в их коде. Сочетание этих индикаторов указывает на скоординированные и настойчивые усилия в течение года, подчеркивая критическую необходимость проактивных стратегий пресечения в области кибербезопасности.
#ParsedReport #CompletenessMedium
27-05-2026
The GHOST STADIUM Score: Billions At Stake At The World’s Largest Football Tournament
https://www.group-ib.com/blog/ghost-stadium-football-fraud/
Report completeness: Medium
Threats:
Supply_chain_technique
Typosquatting_technique
Vidar_stealer
Lumma_stealer
Victims:
Sports fans, Football fans, Sports organizations, Ticketing platforms, Financial institutions, Payment providers, Cryptocurrency exchanges
Industry:
Financial, Transport, Entertainment, E-commerce
Geo:
Latin american, Korean, Brazil, Japanese, Hong kong, Colombia, Asian, German, Canada, Taiwan, Italian, French, Russian, Mexico, Chinese, Spanish, Colombian, Qatar, Portuguese, Indonesian, Argentina
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1056.003, T1078, T1098, T1539, T1555.003, T1583.001, T1587.002, T1588.002, T1656
IOCs:
Domain: 44
Url: 4
IP: 15
Hash: 3
Soft:
Telegram, WhatsApp, Instagram
Crypto:
binance
Algorithms:
zip
27-05-2026
The GHOST STADIUM Score: Billions At Stake At The World’s Largest Football Tournament
https://www.group-ib.com/blog/ghost-stadium-football-fraud/
Report completeness: Medium
Threats:
Supply_chain_technique
Typosquatting_technique
Vidar_stealer
Lumma_stealer
Victims:
Sports fans, Football fans, Sports organizations, Ticketing platforms, Financial institutions, Payment providers, Cryptocurrency exchanges
Industry:
Financial, Transport, Entertainment, E-commerce
Geo:
Latin american, Korean, Brazil, Japanese, Hong kong, Colombia, Asian, German, Canada, Taiwan, Italian, French, Russian, Mexico, Chinese, Spanish, Colombian, Qatar, Portuguese, Indonesian, Argentina
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1056.003, T1078, T1098, T1539, T1555.003, T1583.001, T1587.002, T1588.002, T1656
IOCs:
Domain: 44
Url: 4
IP: 15
Hash: 3
Soft:
Telegram, WhatsApp, Instagram
Crypto:
binance
Algorithms:
zip
Group-IB
The GHOST STADIUM Score: Billions At Stake At The World’s Largest Football Tournament
With the 2026 FIFA World Cup just weeks away, Group-IB researchers have uncovered six distinct fraud schemes, four independent threat actors, and over 4,300 fraudulent domains impersonating FIFA's official web presence — including a sophisticated phishing…
CTT Report Hub
#ParsedReport #CompletenessMedium 27-05-2026 The GHOST STADIUM Score: Billions At Stake At The World’s Largest Football Tournament https://www.group-ib.com/blog/ghost-stadium-football-fraud/ Report completeness: Medium Threats: Supply_chain_technique …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GHOST STADIUM, злоумышленник, говорящий на китайском языке, запустил сложную фишинговую кампанию, направленную на предстоящий чемпионат мира по футболу 2026 года, используя более 300 мошеннических доменов, имитирующих официальный сайт ФИФА, с целью сбора учетных данных пользователей. Кампания включает в себя точные копии веб-сайтов, разнообразные методы мошенничества, такие как фишинг учетных данных и поддельные продажи, при этом потенциальные потери оцениваются от 71 миллиона долларов до миллиардов. Кроме того, доказательства показывают, что множество учетных данных аккаунтов ФИФА уже доступны на темных веб-рынках, что усугубляет угрозы по мере приближения мероприятия.
-----
GHOST STADIUM — это китайскоязычный злоумышленник, участвующий в фишинговой кампании, направленной на Чемпионат мира по футболу 2026 года.
Кампания использует более 300 мошеннических доменов, имитирующих официальный веб-сайт ФИФА.
Методы атак включают фишинг учетных данных, поддельные продажи билетов, магазины контрафактных товаров, поддельные платформы потокового вещания, мошеннические сайты для ставок и массовые кампании стиллеров.
GHOST STADIUM создает пиксельно точные клоны сайта FIFA, воспроизводя поток аутентификации Single Sign-On (SSO).
Ожидаемые потери от мошенничества с премиальными билетами могут составлять от 71 миллиона до 474 миллионов долларов.
Инфраструктура фишинга использует имперсонацию брендов и агрессивные стратегии привлечения трафика, включая Facebook Ads и тайпсквоттинг.
Домены регистрируются заранее для быстрого развертывания по мере приближения даты турнира.
Используются несколько каналов оплаты для сбора средств жертв, включая прямой захват данных карт и приложения для P2P-платежей.
Жертвы несут финансовые потери из-за недоставленных билетов, кражи аккаунтов и эксплуатации персональной идентифицируемой информации (PII).
На темных веб-рынках обнаружено 2,513 пары учетных данных FIFA, что указывает на потенциальную возможность дальнейших атак, выходящих за рамки первоначального фишинга.
Group-IB предлагает стратегию защиты Cyber Fraud Fusion (CFF) для борьбы с этими угрозами посредством скоординированных ответов.
Эта стратегия интегрирует цифровую защиту от рисков (DRP), разведку угроз (TI) и защиту от мошенничества (FP) для одновременного обнаружения и защиты.
Осведомленность о попытках фишинга и мошеннических предложениях имеет решающее значение по мере приближения турнира.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GHOST STADIUM, злоумышленник, говорящий на китайском языке, запустил сложную фишинговую кампанию, направленную на предстоящий чемпионат мира по футболу 2026 года, используя более 300 мошеннических доменов, имитирующих официальный сайт ФИФА, с целью сбора учетных данных пользователей. Кампания включает в себя точные копии веб-сайтов, разнообразные методы мошенничества, такие как фишинг учетных данных и поддельные продажи, при этом потенциальные потери оцениваются от 71 миллиона долларов до миллиардов. Кроме того, доказательства показывают, что множество учетных данных аккаунтов ФИФА уже доступны на темных веб-рынках, что усугубляет угрозы по мере приближения мероприятия.
-----
GHOST STADIUM — это китайскоязычный злоумышленник, участвующий в фишинговой кампании, направленной на Чемпионат мира по футболу 2026 года.
Кампания использует более 300 мошеннических доменов, имитирующих официальный веб-сайт ФИФА.
Методы атак включают фишинг учетных данных, поддельные продажи билетов, магазины контрафактных товаров, поддельные платформы потокового вещания, мошеннические сайты для ставок и массовые кампании стиллеров.
GHOST STADIUM создает пиксельно точные клоны сайта FIFA, воспроизводя поток аутентификации Single Sign-On (SSO).
Ожидаемые потери от мошенничества с премиальными билетами могут составлять от 71 миллиона до 474 миллионов долларов.
Инфраструктура фишинга использует имперсонацию брендов и агрессивные стратегии привлечения трафика, включая Facebook Ads и тайпсквоттинг.
Домены регистрируются заранее для быстрого развертывания по мере приближения даты турнира.
Используются несколько каналов оплаты для сбора средств жертв, включая прямой захват данных карт и приложения для P2P-платежей.
Жертвы несут финансовые потери из-за недоставленных билетов, кражи аккаунтов и эксплуатации персональной идентифицируемой информации (PII).
На темных веб-рынках обнаружено 2,513 пары учетных данных FIFA, что указывает на потенциальную возможность дальнейших атак, выходящих за рамки первоначального фишинга.
Group-IB предлагает стратегию защиты Cyber Fraud Fusion (CFF) для борьбы с этими угрозами посредством скоординированных ответов.
Эта стратегия интегрирует цифровую защиту от рисков (DRP), разведку угроз (TI) и защиту от мошенничества (FP) для одновременного обнаружения и защиты.
Осведомленность о попытках фишинга и мошеннических предложениях имеет решающее значение по мере приближения турнира.
#ParsedReport #CompletenessMedium
28-05-2026
Fake ChatGPT download site infects Windows and Mac users with malware
https://www.malwarebytes.com/blog/threat-intel/2026/05/fake-chatgpt-download-site-infects-windows-and-mac-users-with-malware
Report completeness: Medium
Threats:
Amos_stealer
Credential_stealing_technique
Lumma_stealer
Seo_poisoning_technique
Supply_chain_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 1
File: 2
IP: 3
Command: 1
Hash: 2
Soft:
ChatGPT, macOS, OpenAI, Telegram, Microsoft Store, Electron, Slack, Discord, macOS scripting engine, Firefox, have more...
Wallets:
trezor, electrum, ledger_wallet
Algorithms:
sha256
Languages:
php, applescript, powershell
28-05-2026
Fake ChatGPT download site infects Windows and Mac users with malware
https://www.malwarebytes.com/blog/threat-intel/2026/05/fake-chatgpt-download-site-infects-windows-and-mac-users-with-malware
Report completeness: Medium
Threats:
Amos_stealer
Credential_stealing_technique
Lumma_stealer
Seo_poisoning_technique
Supply_chain_technique
Industry:
Financial
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 1
File: 2
IP: 3
Command: 1
Hash: 2
Soft:
ChatGPT, macOS, OpenAI, Telegram, Microsoft Store, Electron, Slack, Discord, macOS scripting engine, Firefox, have more...
Wallets:
trezor, electrum, ledger_wallet
Algorithms:
sha256
Languages:
php, applescript, powershell
Malwarebytes
Fake ChatGPT download site infects Windows and Mac users with malware
Searching for ChatGPT? This fake download site serves malware to both Windows and Mac users, using separate payloads tailored to each platform.
#ParsedReport #CompletenessMedium
27-05-2026
SolyxImmortal - Analysis of a Python-based Information Stealer
https://blog.pulsedive.com/solyximmortal-analysis-of-a-python-based-information-stealer/
Report completeness: Medium
Threats:
Solyximmortal
Victims:
Banking, Email services, Turkey
Industry:
Financial
Geo:
Turkish
TTPs:
Tactics: 8
Technics: 12
IOCs:
File: 5
Registry: 1
Path: 1
Hash: 1
Soft:
Gmail, Discord, Firefox, Mozilla Firefox
Algorithms:
sha1, sha256, aes, md5, zip, base64
Functions:
persist, _collect_and_zip, sleep, start, _on_press, _key_logic, send
Languages:
python
27-05-2026
SolyxImmortal - Analysis of a Python-based Information Stealer
https://blog.pulsedive.com/solyximmortal-analysis-of-a-python-based-information-stealer/
Report completeness: Medium
Threats:
Solyximmortal
Victims:
Banking, Email services, Turkey
Industry:
Financial
Geo:
Turkish
TTPs:
Tactics: 8
Technics: 12
IOCs:
File: 5
Registry: 1
Path: 1
Hash: 1
Soft:
Gmail, Discord, Firefox, Mozilla Firefox
Algorithms:
sha1, sha256, aes, md5, zip, base64
Functions:
persist, _collect_and_zip, sleep, start, _on_press, _key_logic, send
Languages:
python
Pulsedive Blog
SolyxImmortal - Analysis of a Python-based Information Stealer
Get a detailed technical breakdown with execution flow of SolyxImmortal, a Python-based information stealer.
CTT Report Hub
#ParsedReport #CompletenessMedium 27-05-2026 SolyxImmortal - Analysis of a Python-based Information Stealer https://blog.pulsedive.com/solyximmortal-analysis-of-a-python-based-information-stealer/ Report completeness: Medium Threats: Solyximmortal Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
SolyxImmortal — это информационный стиллер на базе Python, нацеленный на турецких пользователей, собирающий учетные данные из браузеров на базе Chromium, нажатия клавиш и скриншоты через заданные интервалы или при обнаружении банковских ключевых слов. Он обеспечивает закрепление через папку APPDATA и модифицирует реестр Windows, используя различные библиотеки Python для сбора данных и многопоточности. Украденные данные, включая пароли и документы, отправляются злоумышленникам через веб-хуки Discord, при этом турецкие фразы указывают на успешную передачу, а ВПО может легко адаптироваться для более широкого охвата.
-----
SolyxImmortal — это написанное на Python ВПО-стиллер, предназначенное для компрометации конфиденциальной информации, в первую очередь нацеленное на пользователей турецких сайтов. Вредоносное ПО специально собирает учетные данные из браузеров на базе Chromium, нажатия клавиш и делает скриншоты каждые две минуты или когда определенные ключевые слова, связанные с Gmail или банковскими сайтами, появляются в названиях окон приложений. Примечательно, что использование турецкого языка как в его операционных ключевых словах, так и в сообщениях эксфильтрации указывает на то, что разработка вредоносного ПО была направлена на пользователей, говорящих на турецком языке.
Вредоносное ПО работает, используя ряд библиотек Python для взаимодействия с системой и многопоточности, что позволяет одновременно собирать данные и отслеживать нажатия клавиш. После запуска SolyxImmortal обеспечивает закрепление, копируя себя в папку APPDATA и изменяя реестр Windows, чтобы гарантировать его запуск при старте системы. Точка входа вредоносного ПО инициализирует закрепление, ожидает 15 секунд, а затем запускает различные потоки сбора данных.
Сбор данных осуществляется с помощью функции, которая идентифицирует данные для входа из популярных браузеров, извлекая пароли из баз данных SQLite путем расшифровки связанных ключей, хранящихся в профилях браузеров. Целевые типы файлов для эксфильтрации включают текстовые файлы, документы Word, файлы Excel и PDF, при этом намеренно избегаются системные каталоги и файлы размером менее 100 байт или более 10 МБ. Собранная данные упаковываются в архив для эксфильтрации через веб-хуки Discord, при этом сообщения содержат турецкие фразы для уведомления пользователей об успешной передаче данных.
SolyxImmortal включает эффективный механизм регистрации нажатий клавиш, который захватывает каждое нажатие клавиши и передает эту информацию в формате JSON через определенные интервалы. Снимки экрана также захватываются и эксфильтруются при выполнении определенных критериев, вместе со связанным текстовым уведомлением.
Процесс эксфильтрации данных вредоносного ПО полностью автоматизирован и использует заранее определённые веб-хуки Discord для отправки собранной информации обратно злоумышленнику. Учитывая его способность адаптироваться посредством незначительных изменений в коде, таких как замена указанных ключевых слов, SolyxImmortal вызывает опасения относительно своего потенциала для широкого применения против различных целевых аудиторий, выходящих за рамки турецкоязычного сообщества.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
SolyxImmortal — это информационный стиллер на базе Python, нацеленный на турецких пользователей, собирающий учетные данные из браузеров на базе Chromium, нажатия клавиш и скриншоты через заданные интервалы или при обнаружении банковских ключевых слов. Он обеспечивает закрепление через папку APPDATA и модифицирует реестр Windows, используя различные библиотеки Python для сбора данных и многопоточности. Украденные данные, включая пароли и документы, отправляются злоумышленникам через веб-хуки Discord, при этом турецкие фразы указывают на успешную передачу, а ВПО может легко адаптироваться для более широкого охвата.
-----
SolyxImmortal — это написанное на Python ВПО-стиллер, предназначенное для компрометации конфиденциальной информации, в первую очередь нацеленное на пользователей турецких сайтов. Вредоносное ПО специально собирает учетные данные из браузеров на базе Chromium, нажатия клавиш и делает скриншоты каждые две минуты или когда определенные ключевые слова, связанные с Gmail или банковскими сайтами, появляются в названиях окон приложений. Примечательно, что использование турецкого языка как в его операционных ключевых словах, так и в сообщениях эксфильтрации указывает на то, что разработка вредоносного ПО была направлена на пользователей, говорящих на турецком языке.
Вредоносное ПО работает, используя ряд библиотек Python для взаимодействия с системой и многопоточности, что позволяет одновременно собирать данные и отслеживать нажатия клавиш. После запуска SolyxImmortal обеспечивает закрепление, копируя себя в папку APPDATA и изменяя реестр Windows, чтобы гарантировать его запуск при старте системы. Точка входа вредоносного ПО инициализирует закрепление, ожидает 15 секунд, а затем запускает различные потоки сбора данных.
Сбор данных осуществляется с помощью функции, которая идентифицирует данные для входа из популярных браузеров, извлекая пароли из баз данных SQLite путем расшифровки связанных ключей, хранящихся в профилях браузеров. Целевые типы файлов для эксфильтрации включают текстовые файлы, документы Word, файлы Excel и PDF, при этом намеренно избегаются системные каталоги и файлы размером менее 100 байт или более 10 МБ. Собранная данные упаковываются в архив для эксфильтрации через веб-хуки Discord, при этом сообщения содержат турецкие фразы для уведомления пользователей об успешной передаче данных.
SolyxImmortal включает эффективный механизм регистрации нажатий клавиш, который захватывает каждое нажатие клавиши и передает эту информацию в формате JSON через определенные интервалы. Снимки экрана также захватываются и эксфильтруются при выполнении определенных критериев, вместе со связанным текстовым уведомлением.
Процесс эксфильтрации данных вредоносного ПО полностью автоматизирован и использует заранее определённые веб-хуки Discord для отправки собранной информации обратно злоумышленнику. Учитывая его способность адаптироваться посредством незначительных изменений в коде, таких как замена указанных ключевых слов, SolyxImmortal вызывает опасения относительно своего потенциала для широкого применения против различных целевых аудиторий, выходящих за рамки турецкоязычного сообщества.
#ParsedReport #CompletenessHigh
28-05-2026
The Gentlemen ransomware: Dissecting a self-propagating Go encryptor
https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/
Report completeness: High
Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated)
Threats:
Gentlemen_ransomware
Garble_tool
Shadow_copies_delete_technique
Vssadmin_tool
Wevtutil_tool
Winrm_tool
Ransom:win64/gentlemen
Victims:
Education, Transportation, Healthcare, Financial, North america, South america, Europe, Africa, Asia
Industry:
Healthcare, Education, E-commerce, Transport
Geo:
America, Africa, Asia
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 5
Hash: 3
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Docker, DBeaver, wordpad, onenote, outlook, thebat, firefox, steam, have more...
Algorithms:
base64, xor, curve25519, sha256, xchacha20, ecdh
Win Services:
sqlservr, sqlbrowser, SQLAGENT, sqlwriter, dbeng50, dbsnmp, VeeamNFSSvc, VeeamTransportSvc, VeeamDeploymentSvc, vsnapvss, have more...
Languages:
powershell
28-05-2026
The Gentlemen ransomware: Dissecting a self-propagating Go encryptor
https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/
Report completeness: High
Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated)
Threats:
Gentlemen_ransomware
Garble_tool
Shadow_copies_delete_technique
Vssadmin_tool
Wevtutil_tool
Winrm_tool
Ransom:win64/gentlemen
Victims:
Education, Transportation, Healthcare, Financial, North america, South america, Europe, Africa, Asia
Industry:
Healthcare, Education, E-commerce, Transport
Geo:
America, Africa, Asia
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 5
Hash: 3
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Docker, DBeaver, wordpad, onenote, outlook, thebat, firefox, steam, have more...
Algorithms:
base64, xor, curve25519, sha256, xchacha20, ecdh
Win Services:
sqlservr, sqlbrowser, SQLAGENT, sqlwriter, dbeng50, dbsnmp, VeeamNFSSvc, VeeamTransportSvc, VeeamDeploymentSvc, vsnapvss, have more...
Languages:
powershell
Microsoft News
The Gentlemen ransomware: Dissecting a self-propagating Go encryptor
Microsoft Threat Intelligence presents a comprehensive analysis of The Gentlemen, a Go-based ransomware deployed by affiliates of Storm-2697 that combines per-file ephemeral key encryption with an aggressive self-propagation module to deploy itself across…
CTT Report Hub
#ParsedReport #CompletenessHigh 28-05-2026 The Gentlemen ransomware: Dissecting a self-propagating Go encryptor https://www.microsoft.com/en-us/security/blog/2026/05/28/the-gentlemen-ransomware-dissecting-a-self-propagating-go-encryptor/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ВПО Gentlemen представляет собой серьезную киберугрозу, использующую модель программы-вымогателя как услуга, и управляется злоумышленником Storm-2697. Оно применяет надежное шифрование с использованием алгоритмов Curve25519 и XChaCha20, помечает зашифрованные файлы расширением .umc16h и обладает агрессивными механизмами самораспространения, действуя как червь, позволяя зараженным машинам распространять ВПО по сетям. ВПО использует тактику двойного вымогательства путем эксфильтрации конфиденциальных данных и внедряет обширные меры для уклонения от обнаружения и усложнения процессов восстановления.
-----
Группа Gentlemen представляет собой серьезную киберугрозу, характеризующуюся надежными возможностями шифрования и агрессивными техниками самораспространения. Она работает по модели программы-вымогателя как услуга (RaaS), управляемой финансово мотивированным злоумышленником Storm-2697. Представленная в середине 2025 года, она изначально функционировала как закрытая группа, прежде чем перейти к партнерской модели в сентябре 2025 года. Эта программа-вымогатель связана с тактикой двойного вымогательства, при которой она шифрует файлы и одновременно похищает конфиденциальные данные, оказывая давление на жертв угрозами публичного разглашения, если требования выкупа не будут выполнены.
Написан на языке Go и запутан с помощью Garble. Gentlemen использует Curve25519 для своих эфемерных файловых ключей в сочетании со шифротекстом XChaCha20 для шифрования, помечая файлы характерным расширением .umc16h после шифрования. Интерфейс командной строки позволяет операторам указывать различные параметры выполнения, включая область шифрования и методы перемещения внутри компании. Он эффективно реплицирует свой полезный груз, используя несколько стратегий перемещения внутри компании, таких как создание запланированных задач и использование таких инструментов, как PsExec, для сетевого распространения.
Механизм самораспространения является крайне примечательным, превращая шифровальщик в угрозу червеобразного типа. Он подготавливает зараженную машину для использования в качестве точки распространения, позволяя другим системам в сети подключаться и извлекать вредоносное ПО благодаря общему административному доступу. Вредоносное ПО предпринимает обширные меры для уклонения от обнаружения, включая отключение Microsoft Defender, удаление теневых копий томов и очистку журналов событий, тем самым затрудняя усилия по восстановлению и криминалистический анализ.
Процесс шифрования адаптируется в зависимости от размера файлов: небольшие файлы шифруются полностью, а большие — частично, путём разбиения на фрагменты, что эффективно нарушает их структуру и затрудняет восстановление. Кроме того, вредоносное ПО минимизирует сбои в работе операционных систем, исключая из шифрования критические каталоги и типы файлов.
При запуске он создает файл вымогателя README-GENTLEMEN.txt в каждом затронутом каталоге, чтобы направлять жертв через процесс оплаты выкупа. Его опора на разнообразные методы выполнения для перемещения внутри компании увеличивает шансы на проникновение в несколько систем, усиливая его потенциальное воздействие на сети.
При запуске с определённым аргументом командной строки вредоносное ПО также может выполнять процедуру стирания, которая перезаписывает участки диска, препятствуя восстановлению удалённых файлов и дополнительно усложняя криминалистический анализ. Механизмы закрепления программы включают как запланированные задачи, так и изменения в реестре, предназначенные для автоматического запуска после перезагрузки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ВПО Gentlemen представляет собой серьезную киберугрозу, использующую модель программы-вымогателя как услуга, и управляется злоумышленником Storm-2697. Оно применяет надежное шифрование с использованием алгоритмов Curve25519 и XChaCha20, помечает зашифрованные файлы расширением .umc16h и обладает агрессивными механизмами самораспространения, действуя как червь, позволяя зараженным машинам распространять ВПО по сетям. ВПО использует тактику двойного вымогательства путем эксфильтрации конфиденциальных данных и внедряет обширные меры для уклонения от обнаружения и усложнения процессов восстановления.
-----
Группа Gentlemen представляет собой серьезную киберугрозу, характеризующуюся надежными возможностями шифрования и агрессивными техниками самораспространения. Она работает по модели программы-вымогателя как услуга (RaaS), управляемой финансово мотивированным злоумышленником Storm-2697. Представленная в середине 2025 года, она изначально функционировала как закрытая группа, прежде чем перейти к партнерской модели в сентябре 2025 года. Эта программа-вымогатель связана с тактикой двойного вымогательства, при которой она шифрует файлы и одновременно похищает конфиденциальные данные, оказывая давление на жертв угрозами публичного разглашения, если требования выкупа не будут выполнены.
Написан на языке Go и запутан с помощью Garble. Gentlemen использует Curve25519 для своих эфемерных файловых ключей в сочетании со шифротекстом XChaCha20 для шифрования, помечая файлы характерным расширением .umc16h после шифрования. Интерфейс командной строки позволяет операторам указывать различные параметры выполнения, включая область шифрования и методы перемещения внутри компании. Он эффективно реплицирует свой полезный груз, используя несколько стратегий перемещения внутри компании, таких как создание запланированных задач и использование таких инструментов, как PsExec, для сетевого распространения.
Механизм самораспространения является крайне примечательным, превращая шифровальщик в угрозу червеобразного типа. Он подготавливает зараженную машину для использования в качестве точки распространения, позволяя другим системам в сети подключаться и извлекать вредоносное ПО благодаря общему административному доступу. Вредоносное ПО предпринимает обширные меры для уклонения от обнаружения, включая отключение Microsoft Defender, удаление теневых копий томов и очистку журналов событий, тем самым затрудняя усилия по восстановлению и криминалистический анализ.
Процесс шифрования адаптируется в зависимости от размера файлов: небольшие файлы шифруются полностью, а большие — частично, путём разбиения на фрагменты, что эффективно нарушает их структуру и затрудняет восстановление. Кроме того, вредоносное ПО минимизирует сбои в работе операционных систем, исключая из шифрования критические каталоги и типы файлов.
При запуске он создает файл вымогателя README-GENTLEMEN.txt в каждом затронутом каталоге, чтобы направлять жертв через процесс оплаты выкупа. Его опора на разнообразные методы выполнения для перемещения внутри компании увеличивает шансы на проникновение в несколько систем, усиливая его потенциальное воздействие на сети.
При запуске с определённым аргументом командной строки вредоносное ПО также может выполнять процедуру стирания, которая перезаписывает участки диска, препятствуя восстановлению удалённых файлов и дополнительно усложняя криминалистический анализ. Механизмы закрепления программы включают как запланированные задачи, так и изменения в реестре, предназначенные для автоматического запуска после перезагрузки.