#ParsedReport #CompletenessHigh
17-06-2026

140+ Mastra npm Packages Compromised in Coordinated Supply Chain Attack

https://socket.dev/blog/mastra-npm-packages-compromised

Report completeness: High

Threats:
Supply_chain_technique
Typosquatting_technique

Industry:
Transport

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 15
Email: 1
Url: 2
IP: 3
Registry: 1
Path: 1
Domain: 2
Hash: 5

Soft:
Mastra, macOS, Linux, Node.js, systemd, Chrome, Linux systemd

Wallets:
metamask, coinbase, tronlink

Crypto:
binance

Algorithms:
sha256

Win API:
lockfile

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #CompletenessMedium
16-06-2026

What Is the BabaDeda Loader? Analysis of a New ClickFix Malware Campaign

https://www.morphisec.com/blog/what-is-the-babadeda-loader-analysis-of-a-new-clickfix-malware-campaign/

Report completeness: Medium

Threats:
Babadeda
Clickfix_technique
Dll_sideloading_technique
Donut
Pe2shc
Danabot
Sectop_rat

Victims:
Education, Financial

Industry:
Education

Geo:
Russian, Belarusian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1059.001, T1105, T1106, T1140, T1204.004, T1518.001, have more...

IOCs:
File: 3

Algorithms:
xor

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик BabaDeda эволюционировал в плане скрытности и доставки полезной нагрузки, используя методы социальной инженерии, такие как ClickFix, чтобы побудить жертв выполнять команды через доверенные утилиты. Этот многоэтапный загрузчик применяет тактики, такие как скрытые команды PowerShell, шеллкод в памяти и подгрузка DLL, что усложняет усилия по обнаружению. Активные кампании доставляют .NET бэкдор и информационный стиллер через безобидные файлы, скрытые от традиционных методов обнаружения, тем самым подчеркивая адаптивную природу и техники уклонения фреймворка.
-----

Семейство загрузчиков BabaDeda претерпело значительные улучшения в своих возможностях, особенно в области скрытности, обхода обнаружения и гибкости полезной нагрузки. Обнаруженное в апреле 2026 года, этот эволюционировавший фреймворк продолжает скрывать вредоносные полез

Исследователи Morphisec установили прямую связь между вредоносной активностью и инфраструктурой BabaDeda с помощью анализа генома кода. Загрузчик содержит отличительные идентификаторы внутри своего кода, такие как внутренний рабочий процесс обработчика задач, помеченный BABADEDA, и константа 0xBABADEDA, что подтверждает его операционный статус в активных кампаниях, а не теоретический фреймворк в контролируемой среде.

Цепочка атаки функционирует через модульные компоненты, отвечающие за доставку, выполнение и развертывание полезной нагрузки, где каждая часть сама по себе выглядит безобидно. Истинная полезная нагрузка, например, хранится в безобидных файлах, таких как List.Control.dat, тем самым скрывая свое присутствие от стандартных средств видимости. Используя такие техники, как отражательная загрузка и загрузка шеллкода, заражение не оставляет значительных следов на диске, тем самым усложняя усилия по обнаружению. Процесс начинается, когда жертвы посещают вредоносный веб-сайт и получают предложение выполнить команду PowerShell под видом проверки. Затем команда вызывает скрипт, который выполняется в памяти, обходя типичные механизмы обнаружения, и устанавливает дальнейшие действия.

После первоначального заражения загрузчик проверяет географическое местоположение жертвы и завершает работу на системах из России или Беларуси. Затем он загружает последующие компоненты через незашифрованный HTTP и внедряет их в доверенные процессы, такие как svchost.exe. Среди доставляемых компонентов — .NET бэкдор и стиллер информации, способный профилировать хост, устанавливать зашифрованный канал связи с сервером управления и собирать конфиденциальные данные, такие как куки браузера и сохраненные учетные данные. Другой путь атаки доставляет пакет, имитирующий легитимное программное обеспечение, содержащий файлы, которые в конечном итоге подгружают вредоносную DLL. Эта DLL извлекает и декодирует реальный компонент из внешнего хранилища, выполняя его в памяти с помощью легитимных функций обратного вызова Windows.

Структура данной атаки делает традиционные методы обнаружения неэффективными. Поскольку вредоносный код хранится внутри легитимных файлов и выполняется только в памяти, сканирование на основе сигнатур часто не позволяет выявить угрозы. Кроме того, обманный характер операции включает различные проверки для уклонения от анализа, что делает противостояние со стороны средств защиты, ориентированных на обнаружение, маловероятным.

Для противодействия таким адаптивным угрозам становится необходимым подход к безопасности, ориентированный на предотвращение. Morphisec подчеркивает необходимость блокировки выполнения ВПО до того, как оно произойдет, используя техники, которые скрывают среду выполнения памяти для предотвращения успешного развертывания уклоняющихся полезной нагрузки. Таким образом, обеспечение более раннего вмешательства является первостепенной задачей, поскольку ожидание обнаружения позволяет ВПО закрепиться в системе.

#ParsedReport #CompletenessLow
15-06-2026

Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software

https://www.malwarebytes.com/blog/threat-intel/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious-software

Report completeness: Low

Threats:
Etherrat
Msi_loader

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027.014, T1059.001, T1059.003, T1059.007, T1102.001, T1105, T1140, T1204.001, T1518, T1566.001, have more...

IOCs:
File: 13
Command: 5
Path: 3
Coin: 2
Url: 1

Soft:
Node.js, curl

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
xor

Languages:
php, javascript, jscript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ выявляет вредоносную инфраструктуру, ориентированную на распространение Троянской программы EtherRAT (RAT) различными методами, включая MSI-установщики и скрипты PowerShell. EtherRAT извлекает информацию о сервере управления (C2) из блокчейна Ethereum, что позволяет злоумышленникам осуществлять контроль над зараженными устройствами. ВПО использует уникальные методы извлечения и выполнения, а также способствует формированию более широкой сети фишинга и распространения ВПО, что указывает на активную деятельность киберпреступников.
-----

Анализ выявляет вредоносную инфраструктуру, в первую очередь ориентированную на распространение Троянской программы EtherRAT (RAT) наряду с фишинговыми страницами и другим ВПО. Расследование началось с открытой директории, которая предоставляла MSI-установщики и скрипты PowerShell, способные развернуть EtherRAT, при этом версии прогрессировали от v1 до v10. Эта инфраструктура характеризуется множеством доменов, имеющих общую хакерскую эстетику, что указывает на то, что они могут формировать часть более широкой сети для распространения ВПО, включая программное обеспечение для удаленного управления и фишинговый контент.

EtherRAT сам по себе примечателен своей простотой и использованием блокчейна Ethereum для получения информации о сервере управления (C2), что повышает его устойчивость к захвату инфраструктуры. RAT, написанный на Node.js, позволяет злоумышленникам полный контроль над зараженными машинами, позволяя им выполнять произвольный код, предоставленный сервером управления. Методы распространения EtherRAT часто включают использование MSI-пакетов, скриптов PowerShell или файлов JavaScript. Примечательно, что загрузчик MSI извлекает дополнительные файлы, хранящиеся в случайной локальной директории, и использует процесс Windows conhost.exe для выполнения команд, включая загрузку Node.js, если он еще не установлен.

Финальный этап установки EtherRAT включает использование метода JSON-RPC eth_call Ethereum для получения активного URL-адреса C2 из смарт-контракта в блокчейне. После запуска EtherRAT передает свой исходный код на C2, который затем возвращает обфусцированную версию скрипта для предотвращения обнаружения при последующих выполнениях, обеспечивая уникальность хеша файла для каждого экземпляра.

Помимо загрузчиков MSI и PowerShell, вариации скриптов PowerShell демонстрируют схожее поведение, включая необходимость загрузки Node.js, создания необходимых каталогов и выполнения полезной нагрузки EtherRAT после её декодирования с помощью пользовательского алгоритма шифрования. Повторяющаяся тема в этих скриптах указывает на определенный уровень модульности среди вариантов ВПО.

Более широкая вредоносная инфраструктура демонстрирует признаки использования различными злоумышленниками, при этом многие домены, ранее обнаруженные, размещали фишинговые страницы. Фишинговые кампании часто инициируются через вредоносные электронные письма, содержащие документы, которые побуждают пользователей переходить по ссылкам для получения дополнительного контента, что приводит к дальнейшему заражению через фишинг или распространение ВПО.

Неправильные конфигурации также раскрыли элементы фишинговых наборов, используемых в этих кампаниях, что указывает на уязвимости, которые могут быть дополнительно использованы. В целом, это исследование проливает свет на сложную и динамичную угрожающую среду, где EtherRAT играет значительную роль в более широкой схеме киберпреступной деятельности.

#ParsedReport #CompletenessHigh
16-06-2026

Cato CTRL™ Threat Research: Operation Poisson – Analyzing a Cybercriminal’s Entire Operation

https://www.catonetworks.com/blog/cato-ctrl-operation-poisson-analyzing-a-cybercriminals-entire-operation/

Report completeness: High

Actors/Campaigns:
Poisson (motivation: cyber_criminal)

Threats:
Tailscale_tool
Havoc
Rustdesk_tool
Uac_bypass_technique

Victims:
Automotive, Individuals

Industry:
Transport, Telco, Government, Financial

Geo:
Berlin, French, France

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1021.004, T1027, T1041, T1053.005, T1055, T1056.001, T1059.001, T1059.005, T1059.006, have more...

IOCs:
File: 13
IP: 2
Domain: 4
Hash: 7

Soft:
OpenSSH, Linux

Algorithms:
aes, xor

Languages:
powershell, python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Poisson включала французскоязычного киберпреступника, применявшего сложные тактики против небольшого автомобильного бизнеса, используя фреймворк C2 Havoc для выдачи 339 команд для сбора данных. Атакующий реализовал многоэтапную атаку без файлов, внедрив shellcode, и использовал Python-кейлоггер для захвата учетных данных без выделенного сервера эксфильтрации. Значительной частью операции стала установка OpenSSH и VPN Tailscale для постоянного доступа, что позволило злоумышленнику возобновить деятельность несмотря на сбои в работе сервера C2, что указывает на растущую сложность киберугроз.
-----

Poisson, киберпреступник, говорящий по-французски, атаковал небольшой автомобильный бизнес и четырех человек в ходе 33-дневной атаки с 30 марта по 1 мая 2026 года.

Атака использовала фреймворк Havoc C2 для выдачи 339 команд для компрометации данных, сфокусировавшись на учетных данных банковских и почтовых сервисов.

Первоначальный доступ осуществлялся с помощью многоэтапной атаки без файлов, при которой шеллкод внедрялся в системные процессы.

Poisson развернул 70-строчный Python-кейлоггер для перехвата нажатий клавиш без сервера эксфильтрации, извлекая данные вручную.

Он установил OpenSSH и Tailscale VPN на машину жертвы, создав постоянный доступ, который сохранялся даже при простое сервера C2 Havoc.

Это закрепление позволило Poisson возвращаться на скомпрометированные системы без повторного использования уязвимостей после того, как канал C2 отключался и затем возобновлял работу.

Наблюдались недостатки в области операционной безопасности, включая зависимость от бесплатных сервисов, таких как DuckDNS и Backblaze B2, что приводило к перебоям в пропускной способности.

Он раскрыл SSH-ключи и операционную документацию из-за плохого управления публичным хранилищем.

Тактика Пуассона была сосредоточена на краже учетных данных, а не на более широкой компрометации данных или развертывании программ-вымогателей.

Он выполнил обход контроля учётных записей (UAC) для получения административного доступа и использовал запланированные задачи для поддержания контроля.

Внесены изменения в настройки питания системы для обеспечения работы устройств в активном режиме для целей логирования, что указывает на стратегию долгосрочного доступа.

Операция подчеркивает недостаточность традиционных мер защиты, которые полагаются исключительно на отключение серверов C2.

Организациям необходимы надежные стратегии для обнаружения и удаления устойчивых механизмов доступа, установленных злоумышленниками.

Рекомендуется мониторинг несанкционированного ПО для удаленного доступа или конфигураций VPN для противодействия устойчивым угрозам.

#ParsedReport #CompletenessMedium
16-06-2026

Inside Amos Stealer: How This Threat Targets macOS Credentials and Keychains

https://www.cyberproof.com/blog/inside-amos-stealer-how-this-threat-targets-macos-credentials-and-keychains/

Report completeness: Medium

Threats:
Amos_stealer
Credential_harvesting_technique

Victims:
Macos users, Enterprises, Developers

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1030, T1041, T1059.002, T1059.004, T1070.004, T1071.001, T1074.001, T1083, T1105, have more...

IOCs:
Url: 2
File: 1

Soft:
macOS, curl, OpenSSL, Google Chrome, Microsoft Edge

Algorithms:
zip

Languages:
applescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amos Stealer — это стиллер информации, нацеленный на macOS, который в первую очередь сосредоточен на сборе учетных данных пользователей, данных браузеров и различных конфиденциальных файлов с помощью обманных загрузок и социальной инженерии. Он использует команду curl для скрытой доставки полезной нагрузки, выполняя скрипты, которые извлекают конфиденциальную информацию из высокоценных каталогов и Связки ключей macOS, консолидируя данные в zip-файл для эксфильтрации через HTTP PUT-запросы. Вредоносное ПО применяет техники для обхода проверки TLS и стирает следы своей активности после эксфильтрации, что указывает на значительную угрозу для пользователей macOS.
-----

Amos Stealer — вредоносное программное обеспечение, специально нацеленное на пользователей macOS для извлечения конфиденциальной информации. Обычно оно распространяется через обманные загрузки программного обеспечения, вредоносные веб-сайты и тактики социальной инженерии. Основная цель этого стиллера — сбор учетных данных пользователей, данных браузера, конфигураций криптовалютных кошельков и различных проприетарных файлов. Этот сдвиг в сторону сред macOS подчеркивает растущий тренд среди злоумышленников, сосредоточенных на кампаниях, мотивированных финансовой выгодой.

Первоначальный доступ к системам часто осуществляется с помощью команды curl, которая позволяет скрытно загружать удаленные полезную нагрузку с серверов, контролируемых злоумышленниками. Этот метод позволяет противникам выполнять скрипты оболочки или AppleScripts с минимальной заметностью. В ходе недавних расследований аномальные выполнения команды curl выявили активные заражения Amos Stealer, при этом злоумышленники специально использовали флаги -fsSL для оптимальной доставки и выполнения полезной нагрузки.

После загрузки полезной нагрузки скрипт инициализируется с использованием жестко закодированных переменных, включающих домен, ключ API и токен аутентификации. Криминалистический анализ выявил, что после выполнения команды AppleScript через оболочку zsh вредоносное ПО проводит автоматические проверки для обеспечения успешного выполнения скрипта. Если скрипт работает корректно и находит целевые файлы, он готовится к эксфильтрации данных. Этот процесс включает разделение данных на сегменты по 10 МБ для обхода потенциальных сетевых аномалий, генерацию уникальных идентификаторов сеансов для загрузки и возможность повторных попыток при сбое передачи.

Amos Stealer агрессивно нацелен на высокоценные директории с конфиденциальной информацией, в частности извлекая артефакты браузеров из таких браузеров, как Google Chrome и Microsoft Edge. Он также компрометирует macOS Связка ключей, предоставляя доступ к корпоративным учетным данным. Кроме того, он собирает конфиденциальные файлы из домашней директории пользователя, включая директории .kube, .ssh, .zshrc и .gitconfig. Собранная информация консолидируется в архив osalogging.zip в директории /tmp, а затем эксфильтруется через HTTP PUT-запрос на домен управления злоумышленника. Процесс эксфильтрации включает флаг -k для обхода проверки TLS и использует замаскированную строку User-Agent браузера для сокрытия.

После успешной отправки данных Amos Stealer пытается стереть любые следы своей активности, выполняя команды очистки на скомпрометированной системе. Это ВПО иллюстрирует изменяющийся ландшафт угроз, показывая, что macOS не застрахована от агрессивных операций по краже информации. Для снижения этих рисков команды безопасности должны внедрять продвинутые методы охоты на угрозы на основе поведения и применять строгие практики усиления защиты конечных точек.

#ParsedReport #CompletenessMedium
16-06-2026

GlassWASM: WebAssembly Malware Found in Trojanized Open VSX Extensions

https://socket.dev/blog/glasswasm-malware-open-vsx-extensions

Report completeness: Medium

Threats:
Glassworm
Dead_drop_technique
Typosquatting_technique
Supply_chain_technique

Victims:
Software developers, Cryptocurrency developers, Open vsx users, Visual studio code fork users

Industry:
Transport, E-commerce, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.008, T1036.005, T1059.001, T1059.004, T1071.001, T1082, T1102.001, T1105, T1140, have more...

IOCs:
File: 15
Url: 7
Hash: 9
Command: 3
Coin: 1
Domain: 1
IP: 2

Soft:
Open VSX, Visual Studio Code, Node.js, pen VSX ex, url -f, inux, curl, linux, macOS, Unix, have more...

Wallets:
mainnet

Crypto:
solana

Algorithms:
sha256, exhibit, md5, sha1, chacha20

Functions:
JS, getSignaturesForAddress, getTransaction, RPC

Languages:
typescript, javascript, golang, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обнаружение вредоносного ПО, использующего скомпилированный WebAssembly (WASM) в поддельных расширениях Visual Studio Code, вызвало обеспокоенность, особенно тех, что найдены на маркетплейсе Open VSX. ВПО, идентифицированное как snqpkebiwrxmoivl.wasm, активируется с помощью процесса загрузки и взаимодействует с блокчейном Solana для функций управления, избегая традиционных методов обнаружения благодаря зашифрованному содержимому. Связанное с группой GlassWorm, его архитектура позволяет динамические обновления и установку вторичных компонентов через кроссплатформенные команды, подчеркивая необходимость бдительности в отношении включений WASM в программные пакеты.
-----

Обнаружение скомпилированного вредоносного ПО WebAssembly (WASM) в троянизированных расширениях Visual Studio Code (VS Code) задокументировано командой Socket по исследованию угроз. Эти вредоносные расширения существуют на маркетплейсе Open VSX и используют payload WebAssembly, встроенный в загрузчик TinyGo. Вредоносное ПО, идентифицированное как snqpkebiwrxmoivl.wasm, выполняется при активации расширений через процесс загрузки, который вызывает модуль с помощью go.run(). Цель вредоносных расширений, по-видимому, сосредоточена на криптовалюте, что иллюстрируется пользовательским интерфейсом, имитирующим отладчик хешей транзакций блокчейна.

Стратегия обфускации, применяемая в ВПО, заслуживает внимания: модуль WASM шифрует все значимые строки с помощью шифра ChaCha20, что предотвращает обнаружение с помощью традиционных сигнатурных методов. Во время выполнения деобфусцированный модуль взаимодействует с блокчейном Solana, опрашивая API JSON-RPC на предмет транзакций, направленных на кошелек, контролируемый злоумышленником. Извлеченные команды, детализированные в поле SPL Memo этих транзакций, позволяют ВПО конструировать и выполнять платформозависимые команды загрузки и выполнения через утилиту child_process Node.

Атака использует сложную инфраструктуру управления (C2), применяя блокчейн Solana в качестве мёртвой точки для предотвращения изъятия или прерывания работы традиционными методами. Каждый полезный груз может быть динамически обновлён путём публикации новых транзакций в блокчейне. Ссылаясь на фиксированный адрес кошелька, вредоносное ПО получает свои операционные инструкции напрямую из блокчейна, избегая жёстко закодированных серверов управления, которые могли бы стать целью.

С точки зрения распространения, троянизированные расширения имитируют легитимные инструменты VS Code, воспроизводя точные идентификаторы издателей и элементы описания, чтобы эксплуатировать доверие, связанное с проверенными сущностями на других реестрах. Конкретные образцы, такие как ExarGD/vsblack и noellee-doc/flint-debug, были повторно опубликованы недавно созданным аккаунтом, что указывает на заранее спланированную стратегию Имперсонация.

Вредоносное ПО в основном использует кроссплатформенные команды, направленные на выполнение HTTP-запросов с помощью cURL или PowerShell в зависимости от операционной системы, для загрузки и выполнения вторичных полезной нагрузки, размещенных на динамически назначенных доменах. Архитектура вредоносного ПО подчеркивает важность тщательного анализа включений WebAssembly в пакетах npm, поскольку они представляют собой уникальные сигнатуры обхода.

Атрибуция этой вредоносной кампании, как полагают, связана с группой разработчиков GlassWorm, известной схожими техниками уклонения и использованием блокчейна Solana для целей C2. Учитывая общую инфраструктуру и методологии, включая извлечение метаданных из блокчейна и динамическую генерацию команд, этот вариант вредоносного ПО демонстрирует прогресс в тактиках обфускации по сравнению с предыдущими действиями GlassWorm. Для снижения рисков организациям рекомендуется отслеживать определенные шаблоны команд и улучшать свои возможности обнаружения угроз на основе WASM в программных пакетах, особенно тех, которые интегрируют JavaScript и WebAssembly.

#ParsedReport #CompletenessMedium
16-06-2026

Rokarolla : Android Banker with Complete Device Takeover Capabilities

https://zimperium.com/blog/rokarolla-android-banker-with-complete-device-takeover-capabilities

Report completeness: Medium

Threats:
Rokarolla
Jsonpacker_tool

Victims:
Banking, Cryptocurrency, Social media, Android users

Industry:
Financial

Geo:
Asia

TTPs:
Tactics: 9
Technics: 18

IOCs:
Url: 1

Soft:
Android, TikTok, Google Chrome, Google Play, Whatsapp

Links:
https://github.com/Zimperium/IOC/tree/master/2026-06-Rokarolla/commands.md
https://github.com/Zimperium/IOC/tree/master/2026-06-Rokarolla/apks.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Rokarolla — это Android-троян для банковского мошенничества, нацеленный на более чем 200 финансовых и криптовалютных приложений, распространяющийся через вредоносные сайты, имитирующие легитимные приложения. Используя дроппер, имитирующий Google Play Protect, он получает обширный контроль через службы доступности Android, что позволяет ему выполнять различные команды для финансового мошенничества, включая кражу учетных данных и перехват коммуникаций. Его функции скрытности позволяют маскировать свое присутствие, отключать меры безопасности и поддерживать операционную эффективность за счет динамических обновлений C2.
-----

Rokarolla — это недавно выявленный Android-троян, представляющий серьезную угрозу для пользователей, поскольку он нацелен на широкий спектр более чем 200 финансовых и криптовалютных приложений. В основном распространяется через вредоносные сайты, маскирующиеся под легитимные приложения, это ВПО может выполнять обширные административные команды для управления зараженными устройствами. Оно использует 137 команд, предназначенных для содействия финансовому мошенничеству путем кражи конфиденциальной информации, такой как учетные данные экрана блокировки, списки контактов и SMS-сообщения.

ВПО использует дроппер, который имитирует Google Play Protect, обманывая пользователей и заставляя их разрешить установку основного полезного груза. Этот метод обходит меры безопасности Android, предоставляя Rokarolla доступ к критическим функциям устройства через службы Accessibility. После заражения троян связывается со своим сервером управления (C2) по защищенному каналу HTTPS для извлечения телеметрии устройства и поддержания операционной устойчивости посредством динамических обновлений C2.

Rokarolla обладает возможностью сбора учетных данных для разблокировки с устройства путем создания поддельных оверлеев, имитирующих легитимный экран блокировки Android, что позволяет эффективно перехватывать пользовательский ввод. Для дальнейшего поддержания контроля над устройством она развертывает несколько оверлеев и использует специальные возможности Android для мониторинга пользовательского интерфейса и его маппинга для будущей эксплуатации.

Вредоносное ПО также проникает в банковские и криптовалютные приложения, извлекая информацию об этих приложениях вместе с их рабочим статусом. При обнаружении целевого приложения оно загружает и отображает поддельную фишинговую страницу на основе HTML для извлечения конфиденциальных данных, таких как учетные данные банков. Кроме того, оно может захватывать контактную информацию WhatsApp путем анализа содержимого экрана, эксфильтровать SMS-сообщения и перехватывать телефонные звонки, чтобы предотвратить получение пользователями оповещений от своих банков.

Rokarolla использует команды для регистрации нажатий клавиш, извлечения текста с экрана и манипуляции буфером обмена для подмены критических данных без согласия пользователя. Вместо традиционных методов удалённого доступа к экрану он применяет механизм создания снимков для захвата скриншотов активности пользователя, что обеспечивает скрытый мониторинг.

Скрытность и закрепление являются ключевыми особенностями Rokarolla, поскольку он активно работает над отключением мер безопасности и маскировкой своего присутствия. ВПО может скрывать значок своего приложения, отключать звуки устройства и удалять уведомления, которые могут предупредить пользователя о его присутствии. Оно также удерживает экран устройства включенным неограниченно долго, чтобы обеспечить непрерывность своих мошеннических операций.

#ParsedReport #CompletenessHigh
15-06-2026

Public and Private Medical Community Targeted by China-Nexus Threat Actor Pursuing Artificial Intelligence, Cyber, Medical, and National Defense Research

https://cloud.google.com/blog/topics/threat-intelligence/prc-targets-us-medical-research/

Report completeness: High

Actors/Campaigns:
Unc6508 (motivation: cyber_espionage)
Harvester

Threats:
Infinitered
Residential_proxy_technique

Victims:
Medical research institutions, Academic institutions, Military health institutions, Clinical providers, Health regulatory bodies, Public health organizations, Defense research organizations

Industry:
Education, Iot, Healthcare, Military

Geo:
China, Indo-pacific, Canada, American

TTPs:
Tactics: 6
Technics: 13

IOCs:
File: 3
IP: 1
Hash: 7

Soft:
Chrome, Gmail

Algorithms:
base64

Functions:
getcwd, php_uname, phpversion

Languages:
php

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 4