#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Tengu Ransomware, ребрендированный как Shisa Ransomware, работает как Программа-вымогатель как услуга (RaaS), используя тактику двойного вымогательства, которая шифрует файлы и эксфильтрует данные для оказания давления на жертв с целью получения выкупа. Группа применяет такие техники, как эксплуатация учетных данных и брутфорс-атаки, используя уязвимости, такие как ZeroLogon (CVE-2020-1472), для получения сетевого доступа. Их ВПО, эффективно шифрующее данные, избегает обнаружения путем отключения мер безопасности и маскировки своей деятельности среди легитимного трафика.
-----

Tengu Ransomware, сменивший название на Shisa Ransomware в марте 2026 года, является финансово мотивированной организацией Ransomware-as-a-Service (RaaS), впервые выявленной в конце 2025 года. Эта группа использует стратегию двойного вымогательства, похищая конфиденциальные данные и шифруя системные файлы, тем самым оказывая давление на жертв для выполнения требований выкупа. Tengu, как правило, нацелен на организации в широком географическом диапазоне, изначально сосредоточившись на Ближнем Востоке и Северной Африке, а затем расширив географию, включив жертв в Северной Америке, Европе и Азии.

Программа RaaS работает по структурированной модели, предусматривающей разделение доходов 80/20 в пользу аффилированных лиц, использование зашифрованной связи через TOX и предоставление сборок, совместимых с системами Windows, Linux и ESXi. Их ВПО функционирует с применением прерывистой техники шифрования, которая нацелена на заголовки файлов, что позволяет осуществлять быстрое шифрование больших массивов данных. Заметный инцидент включал шифрование 22,9 ТБ данных всего за 14 часов, что демонстрирует их эффективность.

Для эксфильтрации данных Tengu использует собственные инструменты, такие как StealTENGU и StealTG, а также приложения общего назначения, такие как Rclone и WinSCP. Кроме того, они используют MEGA для основного хранения и различные другие сервисы для вторичного использования. Злоумышленники спроектировали свой операционный фреймворк для поддержания низкой заметности, используя распространенные инструменты и методы для имитации легитимной деятельности, тем самым усложняя усилия по обнаружению.

Методы первоначального доступа Tengu в значительной степени сосредоточены на эксплуатации учетных данных, проведении брутфорс-атак против слабо защищенных интерфейсов RDP и SMB, а также на кампаниях Целевой фишинг. Они также используют известные уязвимости, такие как ZeroLogon (CVE-2020-1472), для повышения привилегий. После этого они осуществляют перемещение внутри компании в скомпрометированных сетях с использованием таких инструментов, как NetExec через SMB и RDP, маскируя свою деятельность под нормальный административный трафик.

Важным аспектом методологии Tengu являются тактики обхода защиты, при которых они отключают средства безопасности, такие как Windows Defender, и очищают журналы событий, чтобы избежать обнаружения перед выполнением своего шифровальщика. Эта стратегия обеспечивает эксфильтрацию данных без обнаружения перед началом полного шифрования системы, при этом затронутые файлы помечаются расширением .tengu.

Для снижения угроз со стороны Tengu Ransomware организациям рекомендуется внедрять многофакторную аутентификацию для служб удаленного доступа, устранять известные уязвимости и усиливать мониторинг подозрительных попыток аутентификации. Командам безопасности также следует отслеживать инфраструктуру, связанную с Tengu, и общие индикаторы в базах данных разведки угроз, настраивая оповещения о необычных шаблонах использования инструментов, указывающих на активность программ-вымогателей. Сосредоточив внимание на этих направлениях, организации могут эффективнее защищаться от этой новой угрозы.

#ParsedReport #CompletenessLow
12-06-2026

Fake verification pages are stealing Steam accounts from players

https://www.malwarebytes.com/blog/threat-intel/2026/06/fake-verification-pages-are-stealing-steam-accounts-from-players

Report completeness: Low

Threats:
Bitm_technique

Victims:
Online gamers, Faceit players, Steam users

Industry:
E-commerce, Entertainment

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003

IOCs:
Domain: 3

Soft:
Steam, Discord

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая мошенническая схема, нацеленная на игроков FACEIT, использует поддельные страницы верификации для кражи аккаунтов Steam путем имитации легитимного процесса входа. Злоумышленники применяют технику Browser-in-the-Browser для создания обманчивого интерфейса входа, что позволяет им получать доступ к аккаунтам жертв с целью кражи предметов или обмана друзей. Схема распространяется через знакомые игровые платформы и использует вводящие в заблуждение индикаторы, такие как противоречивая информация об авторских правах и размытые QR-коды, чтобы повысить свою эффективность.
-----

Новая мошенническая схема, нацеленная на онлайн-игроков, в частности на пользователей конкурентной игровой платформы FACEIT, использует поддельные страницы верификации для кражи учетных записей Steam. Эти мошеннические страницы prominently используют официальное брендинг и имитируют подлинные процессы входа, убеждая жертв в своей подлинности. Целевой подход фокусируется на пользователях FACEIT, поскольку им обычно требуется связать свои учетные записи Steam для доступа к платформе, что делает их учетные записи высоко ценными для киберпреступников.

Получив доступ к аккаунту жертвы в Steam, злоумышленники могут похищать внутриигровые предметы, обманывать друзей или продавать аккаунты на нелегальных торговых площадках. Эффективность мошенничества обусловлена его конструкцией: оно включает имитацию окна входа, которая выглядит как переход к реальному процессу авторизации в Steam, но на самом деле представляет собой поддельную версию, отображаемую в рамках собственного интерфейса сайта. Это так называемая атака Browser-in-the-Browser, при которой злоумышленники создают среду, обманывающую пользователей и заставляющую их верить, что они всё ещё находятся на легитимной платформе.

Процесс начинается с распространения этих мошеннических страниц через платформы, знакомые геймерам, такие как сообщества, социальные сети и сервисы чата. Одним из заметных индикаторов фальшивого характера сайта является наличие противоречивых годов авторских прав, чего обычно избегают легитимные компании. Кроме того, QR-код на странице намеренно размыт, чтобы побудить пользователей нажать на более привлекательную опцию «Войти через Steam».

Тактика мошенников особенно успешна, поскольку она эксплуатирует рутинное поведение пользователей, которые часто связывают аккаунты в целях верификации. Большинство пользователей могут пропустить тревожные признаки из-за убедительности брендинга и процесса входа в систему. Исследователи рекомендуют геймерам проявлять осторожность в отношении любых окон входа, которые появляются встроенными на веб-сайтах, и советуют использовать официальные каналы для доступа к своим аккаунтам Steam. Эта повышенная осведомленность и бдительность являются ключевыми для того, чтобы избежать попадания в такие ловушки.

#ParsedReport #CompletenessHigh
12-06-2026

Interlock and Rhysida within the Ransomware Ecosystem

https://www.ibm.com/think/x-force/interlock-and-rhysida-within-the-ransonware-ecosystem

Report completeness: High

Actors/Campaigns:
Hive0163
Kongtuke
Fin12
Interlock
Vice_society
Unc2565
Storm-0494
Fox_tempest
Storm-0249
Itg25

Threats:
Interlock
Rhysida
Nodesnake
Interlockrat
Junkfiction
Supper_backdoor
Zapcat
Kongtuke
Pkr_mtsi_tool
Endico
Oyster
Textshell
Latrodectus
Inc_ransomware
Gootkit
Socgholish_loader
Clickfix_technique
Mintsloader
Dave_loader
Modelorat
Trickbot
Conti
Emotet
Icedid
Ryuk
Cornflake
Windytwist
Berserkstealer
Ntlmthief_tool
Portstarter
Systembc
Junk_code_technique
Antidebugging_technique
Api_hammering_technique
Vidar_stealer
Dead_drop_technique
Nltest_tool
Donut
Azcopy_tool
Winpmem_tool
Printnightmare_vuln
Advanced-port-scanner_tool
Screenconnect_tool
Sliver_c2_tool
Credphish_tool

Victims:
United states

CVEs:
CVE-2026-20131 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco secure_firewall_management_center (6.4.0.13, 6.4.0.14, 6.4.0.15, 6.4.0.16, 6.4.0.17)

CVE-2023-36036 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20308)
- microsoft windows_10_1607 (<10.0.14393.6452)
- microsoft windows_10_1809 (<10.0.17763.5122)
- microsoft windows_10_21h2 (<10.0.19041.3693)
- microsoft windows_10_22h2 (<10.0.19045.3693)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1027.002, T1027.016, T1036, T1041, T1053.005, T1059.001, T1068, T1070.004, have more...

IOCs:
Hash: 72
File: 8
Command: 7
Url: 9
Domain: 89
IP: 73

Soft:
Linux, yInstaller, PyInstaller, Microsoft Teams, Microsoft Edge, TryCloudflare, Steam, Telegram, MSSQL, Windows Defender Application Control, have more...

Algorithms:
xor, zip, aes-256, lzma, sha256, rc4, cbc

Functions:
Write-Output

Win API:
VirtualProtect, RefreshPolicy

Languages:
python, javascript, powershell, java, php

Platforms:
x64, arm

Links:
have more...
https://github.com/GhostPack/Certify
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption/tree/main
https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследования групп вымогателей Interlock (Hive0163) и Rhysida показывают, что они используют собственное ВПО, такое как NodeSnake, InterlockRAT и Supper, а также пересекающиеся функциональные возможности, указывающие на общую кодовую базу или совместные усилия. Первоначальный доступ обычно осуществляется через брокеров с использованием методов, таких как Gootloader и SocGholish, а развертывание обеспечивается загрузчиками, такими как Endico и JunkFiction. ВПО использует продвинутые поведения с постоянными бэкдорами, использующими обратные оболочки, а инновации в области криптеров, включая криптер Tomb, улучшают тактики уклонения от обнаружения.
-----

Interlock, идентифицированный как Hive0163, использует собственное ВПО, включая NodeSnake, InterlockRAT и Supper, а также свои варианты ransomware.

Rhysida работает по модели Программа-вымогатель как услуга (RaaS) с 2023 года и использует загрузчик Endico, Broomstick и криптер Tomb.

Наблюдается корреляция с TAG-124, что указывает на возможное сотрудничество между различными злоумышленниками.

Вредоносное ПО NodeSnake служит загрузчиком для получения дополнительных полезной нагрузки и подключается к различным серверам управления (C2).

Первоначальный доступ часто обеспечивается брокерами первоначального доступа (IAB) с использованием таких методов, как Gootloader или SocGholish, которые перенаправляют пользователей на сайты, выглядящие легитимными.

Interlock связан с кампаниями загрузчика JunkFiction, тогда как Rhysida использовала троянизированные установщики для развертывания ransomware с помощью загрузчика Endico.

Поведение ВПО включает многоуровневые методы, при которых загрузчики создают плацдармы и развертывают бэкдор-ВПО для действий после компрометации.

Загрузчик JunkFiction отличается своими универсальными функциями и техниками обфускации.

Supper и InterlockRAT обеспечивают закрепление с использованием обратных оболочек и туннелирования SOCKS5 для скрытных операций.

Supper имеет более широкое применение в различных инцидентах, тогда как InterlockRAT в основном используется для операций Interlock.

Специализированные шифровальщики, такие как Tomb crypter, были разработаны для обхода обнаружения средствами защиты.

Операционные возможности этих угроз относительно сложны, что отражает постоянные инновации в выполнении вредоносного ПО.

#ParsedReport #CompletenessLow
12-06-2026

News - Malware & Hoax - TG Soft Cyber Security Specialist

https://www.tgsoft.it/news/news_archivio.asp?id=1746

Report completeness: Low

Industry:
Financial

Geo:
Italy, Aruba

IOCs:
Email: 5

#ParsedReport #CompletenessLow
09-06-2026

Phishing attacks leverage TikTok, Instagram Reels

https://www.reversinglabs.com/blog/social-media-attacks-phishing

Report completeness: Low

Threats:
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1105, T1204.001, T1204.002, T1204.004, T1585.001

IOCs:
File: 3
Url: 6
Domain: 4
Hash: 1

Soft:
TikTok, Instagram, Microsoft Word, CapCut

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показал, что злоумышленники используют такие платформы Социальные сети, как TikTok и Instagram Reels, для запуска фишинг-атак с помощью обманных обучающих видео, которые якобы предлагают бесплатный премиум-программный продукт. Эти видео часто используют известные бренды и инструкции, которые приводят пользователей к загрузке ВПО, такого как Vidarstealer, стиллер, способный захватывать конфиденциальную информацию. Второй тактика заключается в том, что злоумышленники вовлекают пользователей через комментарии, чтобы построить доверие, прежде чем перенаправить их на вредоносные сайты, что усложняет усилия по обнаружению, поскольку вредоносный контент сливается с легитимным материалом на платформах с недостаточной модерацией.
-----

Недавний анализ выявил тревожную тенденцию, при которой злоумышленники используют платформы социальных сетей, в частности TikTok и Instagram Reels, в качестве векторов для фишинговых атак. Эти злоумышленники применяют короткие видео, которые маскируются под обучающие материалы, предлагающие бесплатный премиум-программный продукт, чтобы заманить пользователей на вредоносные сайты. Контент часто выглядит правдоподобно, используя высокие показатели вовлеченности для преодоления скептицизма и привлечения широкой аудитории.

Как правило, кампании используют две различные стратегии. Первый метод включает вредоносные обучающие видео, созданные аккаунтами, имитирующими достоверные источники, часто подражающими легитимным брендам, таким как Windows. Например, видео может содержать голос, сгенерированный искусственным интеллектом, который инструктирует пользователей, как разблокировать сервис, такой как Spotify Premium, с помощью команд PowerShell. Эти команды, хотя и представлены как безобидные, могут направлять пользователей на загрузку вредоносного ПО, такого как Vidarstealer — известный стиллер, который захватывает конфиденциальные данные, такие как учетные данные и финансовая информация. Vidarstealer имеет заметное присутствие в нескольких операциях киберкриминала и недавно получил обновления для улучшения своих техник уклонения, что делает его значительной угрозой.

Вторая стратегия сосредоточена на взаимодействии с пользователями через комментарии под постами, выглядящими безобидными. После установления доверия с подписчиками злоумышленники могут перенаправлять их на вредоносные сайты или видеоуроки, замаскированные под легитимный контент. Эта тактика использует интерактивную природу Социальные сети и часто сложнее выявляется из-за естественного смешения легитимного и вредоносного контента в ленте пользователя. Кроме того, способность злоумышленников удалять предупреждения от бдительных пользователей усложняет усилия по обнаружению и смягчению последствий.

Характер этих фишинговых атак усугубляется сложностями с сообщением о вредоносном контенте на платформах социальных сетей. Сообщения могут отклоняться алгоритмами или неэффективными процессами модерации, что позволяет вредоносному контенту распространяться без контроля. В результате организации сталкиваются с трудностями в защите от этих эволюционирующих угроз, особенно поскольку традиционные программы осведомленности о фишинге сосредоточены преимущественно на электронной почте, а не на каналах социальных сетей.

Для борьбы с такими атаками организациям следует проводить регулярные аудиты прав пользователей, обеспечивая, чтобы лица, обладающие возможностями установки, были обучены распознавать вредоносное программное обеспечение. Также необходима непрерывно обновляемая подготовка по эволюционирующим тактикам фишинг. Поощрение пользователей сообщать о подозрительном контенте может помочь в сокращении охвата этих злоумышленники, но повышенная бдительность и адаптация к новым векторам угроз на основе Социальные сети будут иметь решающее значение для поддержания безопасности перед лицом этих тактик.

#ParsedReport #CompletenessMedium
11-06-2026

Sniper’s Nest: From Brand Impersonation to Browser Hijacking and CPA Fraud

https://www.group-ib.com/blog/inside-sniperdz-phaas-ecosystem/

Report completeness: Medium

Threats:
Sniper_dz_tool
Cloaking_technique

Victims:
Telecommunications, Financial services, Social media, Streaming services, Gaming marketplaces, Government services, Public figures, Politicians, Middle east and north africa, Algeria, have more...

Industry:
Telco, Government, Entertainment, E-commerce

Geo:
Africa, Algeria, Middle east, Mena

ChatGPT TTPs:
do not use without manual check
T1036, T1056.003, T1566.002, T1585.001

IOCs:
Domain: 5
IP: 3
Url: 2

Soft:
Instagram, Steam

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа SniperDz представляет собой сложную киберугрозу, использующую модель фишинг как услуга (PhaaS) для нацеливания на регион Ближнего Востока и Северной Африки (MENA) через тактики социальной инженерии и обманные кампании в социальных сетях. Она предлагает более 80 шаблонов фишинга, нацеленных на популярные сервисы, такие как PayPal и Netflix, применяя такие техники, как маршрутизация трафика через доверенные сайты и продвинутое маскирование для уклонения от обнаружения. Инфраструктура операции поддерживает сбор учетных записей и различные мошеннические схемы, используя методы, такие как манипуляция историей браузера и перенаправление, чтобы максимизировать вовлеченность жертв и монетизацию, имея связи более чем с 900 подозрительными доменами.
-----

Расследование платформы SniperDz выявило сложную киберугрозу, характеризующуюся фишингом как услугой (PhaaS) и злоупотреблением push-уведомлениями. SniperDz функционирует на базе централизованной инфраструктуры, обеспечивающей различные мошеннические действия, в первую очередь направленные на пользователей региона Ближнего Востока и Северной Африки через обманные кампании в социальных сетях, имитирующие известные бренды и публичных деятелей. Платформа предлагает более 80 шаблонов фишинга для популярных сервисов, таких как PayPal, Facebook и Netflix, что позволяет операторам с минимальными техническими навыками развертывать эффективные мошеннические схемы.

Данная операция стратегически использует техники социальной инженерии, применяя поддельные предложения, связанные с финансовой выгодой, для заманивания жертв. Перенаправляя трафик через доверенные промежуточные сервисы, такие как Linktree, злоумышленники скрывают вредоносный характер своих кампаний от автоматизированных систем безопасности. Примечательно, что эти мошеннические схемы включают продвинутые техники маскировки, которые вводят в заблуждение исследователей безопасности, отображая безобидные сообщения об ошибках при обнаружении потенциальных угроз. Жертвы, взаимодействующие с мошенническими страницами, часто манипулируются для подписки на уведомления браузера, что обеспечивает постоянный доступ и позволяет проводить дальнейшие атаки.

Анализ подчеркивает использование повторяющегося публичного ключа VAPID в нескольких кампаниях, что указывает на общую инфраструктуру, характерную для, казалось бы, различных операций. Эта взаимосвязанность доменов и IP-адресов предполагает, что SniperDz функционирует как комплексный механизм монетизации, динамически адаптирующий схемы мошенничества на основе атрибутов жертв, таких как местоположение и устройство. Инфраструктура не только способствует сбор учетных записей, но и координирует схемы, включающие премиальные SMS-подписки, платные звонки и инвестиционные мошенничества, что отражает многогранный подход к генерации доходов.

Технические механизмы, применяемые злоумышленниками, включают манипуляцию историей браузера для создания ложного восприятия контроля навигации, что эффективно удерживает жертв внутри экосистемы мошенничества. Дополнительные техники, такие как tab-under и перенаправление, усиливают их способность поддерживать вовлеченность пользователей и максимизировать монетизацию трафика. Паттерны в инфраструктуре соотносятся с более чем 900 подозрительными доменами, демонстрируя масштаб и операционную широту сети SniperDz.

#ParsedReport #CompletenessHigh
11-06-2026

Inside OnyxC2: The New Stealer Targeting 210 Apps

https://www.blackfog.com/inside-onyxc2-the-new-stealer-targeting-210-apps/

Report completeness: High

Threats:
Onyxc2
Hvnc_tool
Runpe_tool
Dll_sideloading_technique
Bloat_technique
Credential_dumping_technique

Victims:
Consumers, Small finance teams, Small operations teams

Industry:
Financial, Entertainment

TTPs:
Tactics: 3
Technics: 15

IOCs:
File: 4
Hash: 4
Domain: 1
IP: 3

Soft:
Chromium, NVIDIA graphics

Algorithms:
sha256, zip, aes-256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OnyxC2 — это сложный стиллер, выявленный в начале 2026 года, способный собирать учетные данные из примерно 210 приложений, включая веб-браузеры, менеджеры паролей и криптовалютные кошельки. Он использует передовые техники уклонения с показателем избегания обнаружения антивирусами 99%, а его распространение включает поддельные установщики с архивами, защищенными паролем, содержащими вредоносные DLL-файлы, выполняющие маскировку под легитимное программное обеспечение. Набор инструментов также включает модуль удаленного доступа, позволяющий осуществлять постоянный контроль над зараженными системами, что вызывает серьезные опасения в области безопасности как для частных лиц, так и для организаций.
-----

OnyxC2 — это новый обнаруженный стиллер, появившийся в начале 2026 года и предназначенный для масштабного сбора учетных записей. Он предлагает полный пакет продуктов, включающий веб-панель, конструктор полезной нагрузки и многоуровневую модель подписки стоимостью 250 долларов в месяц. Стиллер нацелен примерно на 210 приложений, включая 37 браузеров на базе Chromium и 8 на базе Gecko, 95 расширений Chromium и 14 расширений Gecko (из них 6 предназначены для двухфакторной аутентификации), 5 менеджеров паролей, 17 криптовалютных кошельков, а также различные другие приложения в разных категориях, такие как FTP-клиенты и почтовые клиенты. Эта широкая функциональность позволяет OnyxC2 захватывать значительное количество учетных данных и материалов сессий, необходимых как для частных лиц, так и для бизнеса.

Бинарный файл стиллера разработан на C++ и включает ассемблерный код для прямого доступа к системным вызовам. Он использует уникальную стратегию мутации для каждой сборки, якобы достигая 99% уровня уклонения от обнаружения антивирусами. Статический анализ образцов подтвердил высокую эффективность уклонения, поскольку при первоначальной загрузке на VirusTotal было зафиксировано минимальное количество срабатываний. Набор инструментов OnyxC2 объединяет этот стиллер с модулем удаленного доступа, который включает такие возможности, как HVNC (Hidden Virtual Network Computing), дампинг LSASS и функции обратного шелла через HTTP.

Распространение OnyxC2 включает методичный подход с использованием поддельных установщиков. Вредоносное ПО упаковано в архивы, защищённые паролем, которые имитируют легальные загрузки программного обеспечения, скрывая вредоносные компоненты. В архиве присутствует легальное подписанное приложение рядом с вредоносной библиотекой DLL, созданной для подгрузки (sideloading) при запуске легальной программы. Эта вредоносная библиотека DLL, замаскированная под легальную графическую библиотеку NVIDIA, содержит зашифрованный полезный груз, что затрудняет её обнаружение типичными сканерами из-за размера и обманчивой интеграции.

Детальный анализ структуры бинарного файла показывает, что установщику необходимо лишь разместить вредоносную DLL-библиотеку рядом с легитимно подписанным исполняемым файлом для активации, тем самым избегая традиционных методов эксплуатации. Кроме того, коммуникации с командным центром OnyxC2 (C2) демонстрируют, что каждый бот работает под уникальными токенами, что подтверждает целостность системы между заявленными функциями и реальными заражениями в режиме реального времени.

Последствия возможностей OnyxC2 являются серьезными, позволяя злоумышленникам поддерживать постоянный доступ через украденные сеансовые куки и записи из менеджеров паролей, сводя на нет меры восстановления учетных записей. Общая архитектура OnyxC2 подчеркивает использование передовых техник для уклонения и эксфильтрации данных, вызывая серьезные опасения у пользователей, особенно тех, кто занимает чувствительные роли в организациях. Следовательно, основное внимание по-прежнему уделяется проактивным мерам против кражи данных и продолжению стратегий по блокировке попыток эксфильтрации.

#ParsedReport #CompletenessHigh
11-06-2026

New NPM Supply Chain Campaign Identified : A Multi-Stage Cryptocurrency Malware with More Than 2.7 million Downloads

https://www.cyfirma.com/research/new-npm-supply-chain-campaign-identified-a-multi-stage-cryptocurrency-malware-with-more-than-2-7-million-downloads/

Report completeness: High

Threats:
Supply_chain_technique
Moralis-sdk
Credential_harvesting_technique
Typosquatting_technique

Victims:
Blockchain developers, Web3 projects, Cryptocurrency wallet operators, Cloud native development environments, Ci cd environments, Cryptocurrency infrastructure

Industry:
Financial, E-commerce, Petroleum

TTPs:
Tactics: 10
Technics: 11

IOCs:
File: 14
Url: 2
Coin: 3
IP: 2
Hash: 11

Soft:
Node.js, curl, Docker, GitHub Codespaces, Linux, macOS

Wallets:
coinbase, mainnet

Crypto:
ethereum

Algorithms:
aes-256-gcm, sha1, base64, sha256

Functions:
execSync, setTimeout, shouldRunPayload, getString, spawn

Languages:
javascript, powershell, python

Platforms:
cross-platform

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4