#ParsedReport #CompletenessMedium
17-06-2026
Bluekit Phishing as a Service (PhaaS)
https://www.cloudsek.com/blog/bluekit-phishing-as-a-service-phaas
Report completeness: Medium
Threats:
Bluekit_tool
Credential_harvesting_technique
Smishing_technique
Capsolver_tool
Exobot
Mamont_spy
Cloaking_technique
Aitm_technique
Snagx_tool
Victims:
Financial institutions, Cloud providers, Cryptocurrency platforms, Electronic commerce services, Enterprise cloud environments, High value user accounts, Banking institutions, Cryptocurrency users, Social media platforms, Communication platforms, have more...
Industry:
E-commerce, Financial, Telco
Geo:
United states, India, France, Asia, America, Canada, Dominican republic, Japan
ChatGPT TTPs:
T1078, T1090, T1098, T1098.001, T1102, T1497, T1539, T1557, T1566, T1583.001, have more...
IOCs:
Domain: 5
File: 1
Soft:
Telegram, Jabber, gmail, outlook, Twitter, instagram, whatsapp, TikTok, Discord, LastPass, have more...
Wallets:
coinbase, bybit, trezor
Crypto:
binance, kucoin, monero
Platforms:
apple
17-06-2026
Bluekit Phishing as a Service (PhaaS)
https://www.cloudsek.com/blog/bluekit-phishing-as-a-service-phaas
Report completeness: Medium
Threats:
Bluekit_tool
Credential_harvesting_technique
Smishing_technique
Capsolver_tool
Exobot
Mamont_spy
Cloaking_technique
Aitm_technique
Snagx_tool
Victims:
Financial institutions, Cloud providers, Cryptocurrency platforms, Electronic commerce services, Enterprise cloud environments, High value user accounts, Banking institutions, Cryptocurrency users, Social media platforms, Communication platforms, have more...
Industry:
E-commerce, Financial, Telco
Geo:
United states, India, France, Asia, America, Canada, Dominican republic, Japan
ChatGPT TTPs:
do not use without manual checkT1078, T1090, T1098, T1098.001, T1102, T1497, T1539, T1557, T1566, T1583.001, have more...
IOCs:
Domain: 5
File: 1
Soft:
Telegram, Jabber, gmail, outlook, Twitter, instagram, whatsapp, TikTok, Discord, LastPass, have more...
Wallets:
coinbase, bybit, trezor
Crypto:
binance, kucoin, monero
Platforms:
apple
Cloudsek
Bluekit Phishing as a Service (PhaaS) | CloudSEK
BlueKit is turning phishing into a subscription business, offering 87 ready-made kits, automated account takeover and stealthy peer-to-peer infrastructure. CloudSEK’s investigation reveals how this mature PhaaS platform helps even low-skilled criminals target…
CTT Report Hub
#ParsedReport #CompletenessMedium 17-06-2026 Bluekit Phishing as a Service (PhaaS) https://www.cloudsek.com/blog/bluekit-phishing-as-a-service-phaas Report completeness: Medium Threats: Bluekit_tool Credential_harvesting_technique Smishing_technique Capsolver_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BlueKit — это платформа Фишинг как услуга, обеспечивающая сбор учетных записей и захват учетных записей, особенно нацеленная на финансовый сектор и сектор электронной коммерции. Она включает систему фишинговых страниц «равный-равному», которая позволяет избегать обнаружения, автоматизированные инструменты для перехвата сессий и сбора файлов cookie, а также поддерживает расширенные шаблоны фишинга для эксплуатации различных платформ, включая те, которые защищают криптоактивы. Модель подписки позволяет киберпреступникам с низким уровнем квалификации получить доступ к ее сложным возможностям, сохраняя при этом анонимность и оперативный охват.
-----
BlueKit — сложная платформа Фишинг как услуга (PhaaS), выявленная в ходе мониторинга CloudSek, предназначена для масштабного сбора учетных записей, перехвата сессий и захвата учетных записей, нацеленных на такие сектора, как финансы, облачные сервисы и электронная коммерция по всему миру. Эта платформа демонстрирует передовые операционные возможности, включая структурированную модель подписки, которая позволяет киберпреступникам с низким уровнем квалификации запускать масштабные фишинговые кампании при минимальных технических знаниях. BlueKit интегрирует необходимые инструменты для автоматизированного развертывания фишинга, мер противодействия обнаружению и систем уведомления о жертвах в реальном времени, что значительно снижает порог входа для начинающих злоумышленников.
Заметным улучшением в архитектуре BlueKit является переход к системе рендеринга фишинговых страниц на основе одноранговой сети (P2P), которая эффективно скрывает элементы бэкенда от инструментов анализа стандартного трафика. Этот сдвиг усложняет отслеживание происхождения и усилия по обнаружению, поскольку традиционные индикаторы компрометации (IOC) менее эффективны против P2P-модели. Кроме того, BlueKit включает такие функции, как обход CAPTCHA через такие сервисы, как CapSolver, и различные техники уклонения, которые активно дорабатываются в ответ на события обнаружения.
Платформа поддерживает масштабную автоматизацию, позволяя беспрепятственно выполнять такие действия, как перехват сессий и сбор учетных данных. Например, она захватывает не только учетные данные, но и cookies сессий, которые могут быть использованы для обхода механизмов многофакторной аутентификации (MFA), тем самым позволяя злоумышленникам поддерживать постоянный доступ к скомпрометированным учетным записям. Эта функция дополнительно усиливается за счет интеграции с такими инструментами, как Octo Browser, что снижает риск обнаружения за счет манипуляций с отпечатком браузера.
BlueKit использует продвинутые фишинговые шаблоны, нацеленные как на обычные платформы, такие как Gmail, так и на специализированные аппаратные кошельки, такие как Ledger и Trezor. Последний позволяет осуществлять необратимое кражу криптографических активов, обманывая пользователей и заставляя их раскрыть свои фразы восстановления. Этот подход подчеркивает стратегическое нацеливание BlueKit на высокоценные финансовые активы, отражая эффективность в монетизации украденных учетных данных.
Модель подписки BlueKit позволяет реселлерам использовать и брендировать фишинговую инфраструктуру как свою собственную, создавая эффект франчайзинга, который расширяет операционный охват и повышает анонимность. Эта модель позволяет основным разработчикам генерировать доход, не участвуя напрямую в фишинговых атаках. Кроме того, платформа обладает расширенными возможностями перехвата сессий, которые могут способствовать более масштабным атакам, включая развертывание программ-вымогателей, особенно в средах, ориентированных на корпоративные и банковские логины.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
BlueKit — это платформа Фишинг как услуга, обеспечивающая сбор учетных записей и захват учетных записей, особенно нацеленная на финансовый сектор и сектор электронной коммерции. Она включает систему фишинговых страниц «равный-равному», которая позволяет избегать обнаружения, автоматизированные инструменты для перехвата сессий и сбора файлов cookie, а также поддерживает расширенные шаблоны фишинга для эксплуатации различных платформ, включая те, которые защищают криптоактивы. Модель подписки позволяет киберпреступникам с низким уровнем квалификации получить доступ к ее сложным возможностям, сохраняя при этом анонимность и оперативный охват.
-----
BlueKit — сложная платформа Фишинг как услуга (PhaaS), выявленная в ходе мониторинга CloudSek, предназначена для масштабного сбора учетных записей, перехвата сессий и захвата учетных записей, нацеленных на такие сектора, как финансы, облачные сервисы и электронная коммерция по всему миру. Эта платформа демонстрирует передовые операционные возможности, включая структурированную модель подписки, которая позволяет киберпреступникам с низким уровнем квалификации запускать масштабные фишинговые кампании при минимальных технических знаниях. BlueKit интегрирует необходимые инструменты для автоматизированного развертывания фишинга, мер противодействия обнаружению и систем уведомления о жертвах в реальном времени, что значительно снижает порог входа для начинающих злоумышленников.
Заметным улучшением в архитектуре BlueKit является переход к системе рендеринга фишинговых страниц на основе одноранговой сети (P2P), которая эффективно скрывает элементы бэкенда от инструментов анализа стандартного трафика. Этот сдвиг усложняет отслеживание происхождения и усилия по обнаружению, поскольку традиционные индикаторы компрометации (IOC) менее эффективны против P2P-модели. Кроме того, BlueKit включает такие функции, как обход CAPTCHA через такие сервисы, как CapSolver, и различные техники уклонения, которые активно дорабатываются в ответ на события обнаружения.
Платформа поддерживает масштабную автоматизацию, позволяя беспрепятственно выполнять такие действия, как перехват сессий и сбор учетных данных. Например, она захватывает не только учетные данные, но и cookies сессий, которые могут быть использованы для обхода механизмов многофакторной аутентификации (MFA), тем самым позволяя злоумышленникам поддерживать постоянный доступ к скомпрометированным учетным записям. Эта функция дополнительно усиливается за счет интеграции с такими инструментами, как Octo Browser, что снижает риск обнаружения за счет манипуляций с отпечатком браузера.
BlueKit использует продвинутые фишинговые шаблоны, нацеленные как на обычные платформы, такие как Gmail, так и на специализированные аппаратные кошельки, такие как Ledger и Trezor. Последний позволяет осуществлять необратимое кражу криптографических активов, обманывая пользователей и заставляя их раскрыть свои фразы восстановления. Этот подход подчеркивает стратегическое нацеливание BlueKit на высокоценные финансовые активы, отражая эффективность в монетизации украденных учетных данных.
Модель подписки BlueKit позволяет реселлерам использовать и брендировать фишинговую инфраструктуру как свою собственную, создавая эффект франчайзинга, который расширяет операционный охват и повышает анонимность. Эта модель позволяет основным разработчикам генерировать доход, не участвуя напрямую в фишинговых атаках. Кроме того, платформа обладает расширенными возможностями перехвата сессий, которые могут способствовать более масштабным атакам, включая развертывание программ-вымогателей, особенно в средах, ориентированных на корпоративные и банковские логины.
#ParsedReport #CompletenessLow
22-06-2026
A Multi-Stage Steganographic Loader Campaign Deploying Diverse Payloads Globally
https://labs.k7computing.com/index.php/a-multi-stage-steganographic-loader-campaign-deploying-diverse-payloads-globally/
Report completeness: Low
Threats:
Remcos_rat
Steganography_technique
Process_hollowing_technique
Agent_tesla
Phantom_stealer
Snake_keylogger
Masslogger
Formbook
Xworm_rat
Victims:
Finance, Taxation, India
Geo:
India
ChatGPT TTPs:
T1041, T1055.012, T1070, T1547.001, T1555.003, T1564.001, T1566.001, T1620
IOCs:
File: 4
IP: 4
Hash: 5
Soft:
winlogon
Languages:
powershell
22-06-2026
A Multi-Stage Steganographic Loader Campaign Deploying Diverse Payloads Globally
https://labs.k7computing.com/index.php/a-multi-stage-steganographic-loader-campaign-deploying-diverse-payloads-globally/
Report completeness: Low
Threats:
Remcos_rat
Steganography_technique
Process_hollowing_technique
Agent_tesla
Phantom_stealer
Snake_keylogger
Masslogger
Formbook
Xworm_rat
Victims:
Finance, Taxation, India
Geo:
India
ChatGPT TTPs:
do not use without manual checkT1041, T1055.012, T1070, T1547.001, T1555.003, T1564.001, T1566.001, T1620
IOCs:
File: 4
IP: 4
Hash: 5
Soft:
winlogon
Languages:
powershell
K7 Labs
A Multi-Stage Steganographic Loader Campaign Deploying Diverse Payloads Globally
During the routine telemetry monitoring, we identified a detection on a suspicious file named “GST Debit Note Apr_26.com”, based on […]
CTT Report Hub
#ParsedReport #CompletenessLow 22-06-2026 A Multi-Stage Steganographic Loader Campaign Deploying Diverse Payloads Globally https://labs.k7computing.com/index.php/a-multi-stage-steganographic-loader-campaign-deploying-diverse-payloads-globally/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новая многоэтапная кампания стеганографического загрузчика использует техники выполнения в памяти для распространения вредоносного ПО Remcos RAT через фишинг, применяя сериализованный объект .NET Bitmap для сокрытия полезной нагрузки и избегания обнаружения. Кампания включает начальный загрузчик Optimax.dll, который динамически загружает дополнительные сборки .NET, в конечном итоге доставляя Remcos RAT через Внедрение в пустой процесс. Вредоносное ПО устанавливает механизмы закрепления и эксфильтрации данных, что указывает на широкую инфраструктуру, способную развертывать различные семейства ВПО.
-----
Выявлена новая многоэтапная кампания с использованием стеганографии, в рамках которой через фишинг распространяется вариант вредоносного ПО Remcos RAT. Основной механизм, применяемый в этой цепочке заражения, включает техники выполнения в памяти и стеганографию, что в совокупности снижает наличие артефактов на диске и затрудняет обнаружение традиционными средствами защиты.
ВПО использует встроенные ресурсы для доставки полезной нагрузки, в частности сериализованный объект .NET Bitmap для сокрытия и извлечения вредоносных данных. Этот подход усложняет статический анализ и повышает скрытность вредоносных компонентов. После извлечения встроенного ресурса — обозначенного как SR1 — раскрывается полезная нагрузка, функционирующая как загрузчик первого этапа под названием Optimax.dll. Эта 32-битная .NET DLL динамически загружает дополнительные .NET сборки напрямую из байтовых массивов в памяти, используя такие техники, как рефлексия и позднее связывание, полностью избегая взаимодействия с файловой системой.
После этого вредоносное ПО вызывает другую DLL в памяти, System Optimizer Ultimate.dll, которая действует как загрузчик второго этапа и выгружает финальный полезный груз — Remcos RAT. Этот полезный груз использует Внедрение в пустой процесс, маскируясь под имя процесса браузера по умолчанию, установленное пользователем.
Дальнейший анализ показывает, что ВПО создает свою копию в каталоге AppData Roaming со случайным именем и обладает возможностью удалять следы своих действий. Во время выполнения оно генерирует зашифрованный PowerShell-скрипт вместе с исполняемым файлом во временном каталоге. Механизм закрепления обеспечивается созданием записей реестра в разделах Run, winlogon.exe и userinit.
Remcos RAT, после достижения закрепления, начинает собирать данные с жертвы и использует мьютекс с именем Remcos_Mutex_Inj для подтверждения своей идентичности. Он эксфильтрует захваченные данные на сервер управления, идентифицируемый как 62.102.148.212. Кампания также демонстрирует потенциал для более широкого распространения, доставляя различные семейства ВПО, такие как Agent Tesla и Formbook, что указывает на модель загрузчика как услуга.
Более того, шаблоны имён файлов, связанные с этой атакой, связывают её с Индией, где Remcos RAT использовался в качестве полезной нагрузки. Широкий характер наблюдаемой инфраструктуры указывает на то, что она выполняет многогранную роль в экосистеме распространения ВПО, а не ограничивается одним источником угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новая многоэтапная кампания стеганографического загрузчика использует техники выполнения в памяти для распространения вредоносного ПО Remcos RAT через фишинг, применяя сериализованный объект .NET Bitmap для сокрытия полезной нагрузки и избегания обнаружения. Кампания включает начальный загрузчик Optimax.dll, который динамически загружает дополнительные сборки .NET, в конечном итоге доставляя Remcos RAT через Внедрение в пустой процесс. Вредоносное ПО устанавливает механизмы закрепления и эксфильтрации данных, что указывает на широкую инфраструктуру, способную развертывать различные семейства ВПО.
-----
Выявлена новая многоэтапная кампания с использованием стеганографии, в рамках которой через фишинг распространяется вариант вредоносного ПО Remcos RAT. Основной механизм, применяемый в этой цепочке заражения, включает техники выполнения в памяти и стеганографию, что в совокупности снижает наличие артефактов на диске и затрудняет обнаружение традиционными средствами защиты.
ВПО использует встроенные ресурсы для доставки полезной нагрузки, в частности сериализованный объект .NET Bitmap для сокрытия и извлечения вредоносных данных. Этот подход усложняет статический анализ и повышает скрытность вредоносных компонентов. После извлечения встроенного ресурса — обозначенного как SR1 — раскрывается полезная нагрузка, функционирующая как загрузчик первого этапа под названием Optimax.dll. Эта 32-битная .NET DLL динамически загружает дополнительные .NET сборки напрямую из байтовых массивов в памяти, используя такие техники, как рефлексия и позднее связывание, полностью избегая взаимодействия с файловой системой.
После этого вредоносное ПО вызывает другую DLL в памяти, System Optimizer Ultimate.dll, которая действует как загрузчик второго этапа и выгружает финальный полезный груз — Remcos RAT. Этот полезный груз использует Внедрение в пустой процесс, маскируясь под имя процесса браузера по умолчанию, установленное пользователем.
Дальнейший анализ показывает, что ВПО создает свою копию в каталоге AppData Roaming со случайным именем и обладает возможностью удалять следы своих действий. Во время выполнения оно генерирует зашифрованный PowerShell-скрипт вместе с исполняемым файлом во временном каталоге. Механизм закрепления обеспечивается созданием записей реестра в разделах Run, winlogon.exe и userinit.
Remcos RAT, после достижения закрепления, начинает собирать данные с жертвы и использует мьютекс с именем Remcos_Mutex_Inj для подтверждения своей идентичности. Он эксфильтрует захваченные данные на сервер управления, идентифицируемый как 62.102.148.212. Кампания также демонстрирует потенциал для более широкого распространения, доставляя различные семейства ВПО, такие как Agent Tesla и Formbook, что указывает на модель загрузчика как услуга.
Более того, шаблоны имён файлов, связанные с этой атакой, связывают её с Индией, где Remcos RAT использовался в качестве полезной нагрузки. Широкий характер наблюдаемой инфраструктуры указывает на то, что она выполняет многогранную роль в экосистеме распространения ВПО, а не ограничивается одним источником угрозы.
#ParsedReport #CompletenessLow
18-06-2026
Inside Vidar’s ABE Bypass: From Memory Scanning to APC Injections
https://www.gendigital.com/blog/insights/research/inside-vidar-abe-bypass
Report completeness: Low
Threats:
Vidar_stealer
Remus
Lumma_stealer
Voidstealer
Apc_injection_technique
Victims:
Web browsers
ChatGPT TTPs:
T1055.004, T1057, T1106, T1518.001, T1555.003
IOCs:
File: 1
Hash: 1
Soft:
Chromium
Algorithms:
aes-256-gcm
Functions:
APC
Win API:
CryptProtectData, CryptProtectMemory, CryptUnprotectMemory, NtCreateProcessEx, OpenProcess, CreateDesktopA, NtQueryVirtualMemory, NtReadVirtualMemory, CreateRemoteThread, NtTestAlert, have more...
Links:
18-06-2026
Inside Vidar’s ABE Bypass: From Memory Scanning to APC Injections
https://www.gendigital.com/blog/insights/research/inside-vidar-abe-bypass
Report completeness: Low
Threats:
Vidar_stealer
Remus
Lumma_stealer
Voidstealer
Apc_injection_technique
Victims:
Web browsers
ChatGPT TTPs:
do not use without manual checkT1055.004, T1057, T1106, T1518.001, T1555.003
IOCs:
File: 1
Hash: 1
Soft:
Chromium
Algorithms:
aes-256-gcm
Functions:
APC
Win API:
CryptProtectData, CryptProtectMemory, CryptUnprotectMemory, NtCreateProcessEx, OpenProcess, CreateDesktopA, NtQueryVirtualMemory, NtReadVirtualMemory, CreateRemoteThread, NtTestAlert, have more...
Links:
https://github.com/chromium/chromium/blob/cf5d502bcaedb22927e3829a18be1ff6d8b6f598/components/os\_crypt/async/common/encryptor.h#L93-L98https://github.com/chromium/chromium/blob/cf5d502bcaedb22927e3829a18be1ff6d8b6f598/components/os\_crypt/async/common/encryptor.h#L132Gendigital
Inside Vidar’s ABE Bypass: From Memory Scanning to APC Injections
A Technical Walkthrough of How Vidar Defeats Application-Bound Encryption
👍1
CTT Report Hub
#ParsedReport #CompletenessLow 18-06-2026 Inside Vidar’s ABE Bypass: From Memory Scanning to APC Injections https://www.gendigital.com/blog/insights/research/inside-vidar-abe-bypass Report completeness: Low Threats: Vidar_stealer Remus Lumma_stealer Voidstealer…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Vidar — это стиллер, использующий уникальные техники для обхода Приложения-Привязанного Шифрования (ABE) путем извлечения v20_master_key из памяти браузера. Он определяет целевые браузеры, создает процессы с помощью `NtCreateProcessEx` и захватывает снимки памяти, перечисляя соответствующие области с помощью `NtQueryVirtualMemory`. Затем Vidar использует Асинхронные Вызовы Процедур (APC) для внедрения кода для расшифровки, адаптируя методы в зависимости от наличия антивирусного программного обеспечения и постоянно эволюционируя свои стратегии, чтобы оставаться незамеченным при краже данных.
-----
Vidar, активно разрабатываемый стиллер, внедрил инновационные методы для обхода Приложения-Привязанного Шифрования (ABE), особенно направленные на извлечение v20_master_key из памяти браузера. Этот ключ имеет решающее значение для расшифровки любых данных, защищенных ABE и связанных с конкретными приложениями. Метод Vidar параллелен техникам, используемым другим ВПО, но он достигает своих целей через уникальный процесс. Вместо поиска ключа на диске — где он защищен множеством слоев шифрования — Vidar нацеливается на память браузера.
Процесс начинается с определения целевого браузера, что Vidar может сделать из уже запущенного экземпляра или путем создания нового. Он форкает существующий процесс браузера, не читая напрямую его память, а вместо этого захватывая статический снимок с помощью `NtCreateProcessEx`. Если целевой браузер не запущен, Vidar инициирует новую сессию браузера на изолированном рабочем столе, применяя определенные аргументы командной строки для оптимизации условий под свои тактики. После этого Vidar перечисляет память форкнутого процесса, используя `NtQueryVirtualMemory`, чтобы выявить соответствующие области памяти, подходящие под его критерии (выделенные, частные и либо доступные для чтения, либо доступные для чтения и записи).
Vidar использует характерный поиск по шаблону для зашифрованного v20_master_key с помощью предопределенной 32-байтовой сигнатуры, нацеленный на внутренние структуры узлов, в частности, в рамках фреймворка Encryptor::KeyRing браузера Chromium. При обнаружении потенциальных кандидатов на ключ вредоносная программа должна преодолеть проблему, заключающуюся в том, что расшифровка ключа возможна только в контексте браузера из-за защит CryptProtectMemory.
Для этого Vidar использует асинхронные вызовы процедур (APC) для внедрения кода в процесс живого браузера. Выбор метода внедрения зависит от наличия определенных антивирусных продуктов, таких как ESET или Bitdefender. Если один из них обнаружен, Vidar использует классический подход для постановки APC в очередь после создания приостановленного потока. Если они не обнаружены, он применяет специальный метод, использующий существующие потоки для немедленного выполнения APC без необходимости перевода потока в состояние оповещения.
При выполнении APC `CryptUnprotectMemory` расшифровывает ключ на месте. Vidar проверяет успешность расшифровки, повторно создавая дочерний процесс браузера и сравнивая значения до и после вызова APC. Затем он пытается использовать расшифрованный ключ для аутентификации записей, сканируя наличие байтовой последовательности, характерной для данных ABE. Если ключ успешно расшифровывает записи данных, Vidar сохраняет обновленное состояние ключа в памяти с помощью `CryptProtectMemory`. В противном случае, если расшифровка не удалась после нескольких попыток, он завершает работу и перезапускает браузер перед повторением всего процесса.
Используя инъекции APC, которые можно считать менее распространенными и потенциально скрытными, Vidar стремится обойти традиционные методы обнаружения, постоянно эволюционируя свои стратегии для обхода защит ABE и поддержания своей эффективности как стиллера.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Vidar — это стиллер, использующий уникальные техники для обхода Приложения-Привязанного Шифрования (ABE) путем извлечения v20_master_key из памяти браузера. Он определяет целевые браузеры, создает процессы с помощью `NtCreateProcessEx` и захватывает снимки памяти, перечисляя соответствующие области с помощью `NtQueryVirtualMemory`. Затем Vidar использует Асинхронные Вызовы Процедур (APC) для внедрения кода для расшифровки, адаптируя методы в зависимости от наличия антивирусного программного обеспечения и постоянно эволюционируя свои стратегии, чтобы оставаться незамеченным при краже данных.
-----
Vidar, активно разрабатываемый стиллер, внедрил инновационные методы для обхода Приложения-Привязанного Шифрования (ABE), особенно направленные на извлечение v20_master_key из памяти браузера. Этот ключ имеет решающее значение для расшифровки любых данных, защищенных ABE и связанных с конкретными приложениями. Метод Vidar параллелен техникам, используемым другим ВПО, но он достигает своих целей через уникальный процесс. Вместо поиска ключа на диске — где он защищен множеством слоев шифрования — Vidar нацеливается на память браузера.
Процесс начинается с определения целевого браузера, что Vidar может сделать из уже запущенного экземпляра или путем создания нового. Он форкает существующий процесс браузера, не читая напрямую его память, а вместо этого захватывая статический снимок с помощью `NtCreateProcessEx`. Если целевой браузер не запущен, Vidar инициирует новую сессию браузера на изолированном рабочем столе, применяя определенные аргументы командной строки для оптимизации условий под свои тактики. После этого Vidar перечисляет память форкнутого процесса, используя `NtQueryVirtualMemory`, чтобы выявить соответствующие области памяти, подходящие под его критерии (выделенные, частные и либо доступные для чтения, либо доступные для чтения и записи).
Vidar использует характерный поиск по шаблону для зашифрованного v20_master_key с помощью предопределенной 32-байтовой сигнатуры, нацеленный на внутренние структуры узлов, в частности, в рамках фреймворка Encryptor::KeyRing браузера Chromium. При обнаружении потенциальных кандидатов на ключ вредоносная программа должна преодолеть проблему, заключающуюся в том, что расшифровка ключа возможна только в контексте браузера из-за защит CryptProtectMemory.
Для этого Vidar использует асинхронные вызовы процедур (APC) для внедрения кода в процесс живого браузера. Выбор метода внедрения зависит от наличия определенных антивирусных продуктов, таких как ESET или Bitdefender. Если один из них обнаружен, Vidar использует классический подход для постановки APC в очередь после создания приостановленного потока. Если они не обнаружены, он применяет специальный метод, использующий существующие потоки для немедленного выполнения APC без необходимости перевода потока в состояние оповещения.
При выполнении APC `CryptUnprotectMemory` расшифровывает ключ на месте. Vidar проверяет успешность расшифровки, повторно создавая дочерний процесс браузера и сравнивая значения до и после вызова APC. Затем он пытается использовать расшифрованный ключ для аутентификации записей, сканируя наличие байтовой последовательности, характерной для данных ABE. Если ключ успешно расшифровывает записи данных, Vidar сохраняет обновленное состояние ключа в памяти с помощью `CryptProtectMemory`. В противном случае, если расшифровка не удалась после нескольких попыток, он завершает работу и перезапускает браузер перед повторением всего процесса.
Используя инъекции APC, которые можно считать менее распространенными и потенциально скрытными, Vidar стремится обойти традиционные методы обнаружения, постоянно эволюционируя свои стратегии для обхода защит ABE и поддержания своей эффективности как стиллера.
#ParsedReport #CompletenessMedium
18-06-2026
15 Malicious JetBrains Plugins Stole AI API Keys from 70,000 Developers
https://www.stepsecurity.io/blog/jetbrains-malicious-plugins-ai-api-key-theft
Report completeness: Medium
Threats:
Supply_chain_technique
Credential_stealing_technique
Trufflehog_tool
Victims:
Software developers, Software development
Industry:
E-commerce
Geo:
Chinese, China
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036, T1041, T1056, T1071.001, T1195.001
IOCs:
IP: 1
File: 8
Url: 2
Path: 1
Soft:
JetBrains, DeepSeek, OpenAI, Alibaba Cloud, macOS, Linux
Functions:
FindBugs, save, Gson
Languages:
java
18-06-2026
15 Malicious JetBrains Plugins Stole AI API Keys from 70,000 Developers
https://www.stepsecurity.io/blog/jetbrains-malicious-plugins-ai-api-key-theft
Report completeness: Medium
Threats:
Supply_chain_technique
Credential_stealing_technique
Trufflehog_tool
Victims:
Software developers, Software development
Industry:
E-commerce
Geo:
Chinese, China
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1041, T1056, T1071.001, T1195.001
IOCs:
IP: 1
File: 8
Url: 2
Path: 1
Soft:
JetBrains, DeepSeek, OpenAI, Alibaba Cloud, macOS, Linux
Functions:
FindBugs, save, Gson
Languages:
java
www.stepsecurity.io
15 Malicious JetBrains Plugins Stole AI API Keys from 70,000 Developers - StepSecurity
A coordinated 8-month supply chain attack planted credential-stealing code inside fake AI coding assistants on the JetBrains Marketplace, quietly exfiltrating OpenAI, DeepSeek, and SiliconFlow API keys to an attacker-controlled server in Beijing -- which…
CTT Report Hub
#ParsedReport #CompletenessMedium 18-06-2026 15 Malicious JetBrains Plugins Stole AI API Keys from 70,000 Developers https://www.stepsecurity.io/blog/jetbrains-malicious-plugins-ai-api-key-theft Report completeness: Medium Threats: Supply_chain_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года скоординированная атака на Цепочку поставок была направлена против JetBrains через 15 вредоносных плагинов, имитировавших инструменты разработки с искусственным интеллектом, которые внедряли код для кражи учетных данных. Эти плагины передавали API-ключи по незашифрованному HTTP на сервер управления, минимизируя обнаружение с помощью проверки дубликатов. Атака продемонстрировала эксплуатацию модели доверия, создавая модель дохода через функцию «стены пожертвований» и позволяя продолжать использование украденных ключей даже после удаления плагинов.
-----
В июне 2026 года скоординированная атака на Цепочка поставок была направлена против JetBrains, в ходе которой были использованы 15 вредоносных плагинов на его маркетплейс, маскировавшихся под инструменты разработки с искусственным интеллектом. Эти плагины, опубликованные под семью различными учетными записями поставщиков, утверждали, что предлагают такие функции, как проверка кода и генерация тестов, одновременно внедряя скрытый код для кражи учетных данных. Атака использовала фундаментальную модель доверия, поскольку разработчики обычно ожидают, что плагины из авторитетных маркетплейсов будут безопасными.
После ввода ключа API провайдера ИИ в плагины ключи незаметно эксфильтровались по незашифрованному HTTP на сервер управления в адресе 39.107.60.51, размещенном на Alibaba Cloud в Пекине, Китай. Каждый плагин был разработан с методом save(), который проверял формат ключа API и сохранял новые ключи для эксфильтрации, демонстрируя тщательный подход к избеганию обнаружения. Используя проверку дубликатов, злоумышленники минимизировали сетевой шум и риск обнаружения. Кроме того, отсутствие шифрования в процессе эксфильтрации данных делало перехват тривиальным для защитников.
Злоумышленники также включили в вредоносные плагины функцию «стены пожертвований», которая требовала от пользователей оплаты в обмен на получение рабочей API-ключа — вероятно, уже украденного у другого жертвы. Это позволяло злоумышленникам создавать самодостаточную модель доходов, одновременно обременяя владельцев оригинальных ключей нежелательными расходами на API.
Согласно отчетам по безопасности, JetBrains удалила все 15 плагинов со своего маркетплейса и навсегда заблокировала связанные учетные записи поставщика, а также внедрила удаленный механизм уничтожения для отключения расширений. Независимое расследование подтвердило, что C2-сервер оставался активным через три дня, что указывает на потенциальную продолжающуюся эксплуатацию украденных API-ключей и возможность перехода на другие платформы.
Меры обнаружения в сети для выявления скомпрометированных систем включают мониторинг исходящих HTTP-соединений от процессов IDE к IP-адресу C2, поиск идентификаторов вредоносных плагинов на диске, проверку сетевых журналов на наличие соединений с сервером C2 и аудит панелей управления провайдеров ИИ на предмет скомпрометированных ключей. Организациям рекомендуется отозвать и заменить затронутые API-ключи, заблокировать сервер C2 и использовать сканеры секретов для обеспечения отсутствия непреднамеренного раскрытия API-ключей в исходном коде.
Для упрощения взаимодействия между командами разработчиков такие инструменты, как Dev Machine Guard, могут проводить инвентаризацию расширений IDE в более широком масштабе, позволяя командам безопасности мгновенно выявлять затронутые машины без необходимости полагаться на самоотчеты разработчиков. Этот подход также обеспечивает видимость в различных IDE, тем самым повышая возможности обнаружения аналогичных угроз Цепочка поставок в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В июне 2026 года скоординированная атака на Цепочку поставок была направлена против JetBrains через 15 вредоносных плагинов, имитировавших инструменты разработки с искусственным интеллектом, которые внедряли код для кражи учетных данных. Эти плагины передавали API-ключи по незашифрованному HTTP на сервер управления, минимизируя обнаружение с помощью проверки дубликатов. Атака продемонстрировала эксплуатацию модели доверия, создавая модель дохода через функцию «стены пожертвований» и позволяя продолжать использование украденных ключей даже после удаления плагинов.
-----
В июне 2026 года скоординированная атака на Цепочка поставок была направлена против JetBrains, в ходе которой были использованы 15 вредоносных плагинов на его маркетплейс, маскировавшихся под инструменты разработки с искусственным интеллектом. Эти плагины, опубликованные под семью различными учетными записями поставщиков, утверждали, что предлагают такие функции, как проверка кода и генерация тестов, одновременно внедряя скрытый код для кражи учетных данных. Атака использовала фундаментальную модель доверия, поскольку разработчики обычно ожидают, что плагины из авторитетных маркетплейсов будут безопасными.
После ввода ключа API провайдера ИИ в плагины ключи незаметно эксфильтровались по незашифрованному HTTP на сервер управления в адресе 39.107.60.51, размещенном на Alibaba Cloud в Пекине, Китай. Каждый плагин был разработан с методом save(), который проверял формат ключа API и сохранял новые ключи для эксфильтрации, демонстрируя тщательный подход к избеганию обнаружения. Используя проверку дубликатов, злоумышленники минимизировали сетевой шум и риск обнаружения. Кроме того, отсутствие шифрования в процессе эксфильтрации данных делало перехват тривиальным для защитников.
Злоумышленники также включили в вредоносные плагины функцию «стены пожертвований», которая требовала от пользователей оплаты в обмен на получение рабочей API-ключа — вероятно, уже украденного у другого жертвы. Это позволяло злоумышленникам создавать самодостаточную модель доходов, одновременно обременяя владельцев оригинальных ключей нежелательными расходами на API.
Согласно отчетам по безопасности, JetBrains удалила все 15 плагинов со своего маркетплейса и навсегда заблокировала связанные учетные записи поставщика, а также внедрила удаленный механизм уничтожения для отключения расширений. Независимое расследование подтвердило, что C2-сервер оставался активным через три дня, что указывает на потенциальную продолжающуюся эксплуатацию украденных API-ключей и возможность перехода на другие платформы.
Меры обнаружения в сети для выявления скомпрометированных систем включают мониторинг исходящих HTTP-соединений от процессов IDE к IP-адресу C2, поиск идентификаторов вредоносных плагинов на диске, проверку сетевых журналов на наличие соединений с сервером C2 и аудит панелей управления провайдеров ИИ на предмет скомпрометированных ключей. Организациям рекомендуется отозвать и заменить затронутые API-ключи, заблокировать сервер C2 и использовать сканеры секретов для обеспечения отсутствия непреднамеренного раскрытия API-ключей в исходном коде.
Для упрощения взаимодействия между командами разработчиков такие инструменты, как Dev Machine Guard, могут проводить инвентаризацию расширений IDE в более широком масштабе, позволяя командам безопасности мгновенно выявлять затронутые машины без необходимости полагаться на самоотчеты разработчиков. Этот подход также обеспечивает видимость в различных IDE, тем самым повышая возможности обнаружения аналогичных угроз Цепочка поставок в будущем.
#ParsedReport #CompletenessHigh
20-06-2026
Fortibleed: Anatomy of the FortiBleed campaign based on the server that the attackers themselves left exposed.
https://zenox.ai/en/fortibleed-anatomy-of-the-fortibleed-campaign-based-on-the-server-that-the-attackers-themselves-left-exposed/
Report completeness: High
Actors/Campaigns:
Fortibleed
Threats:
Hashcat_tool
Password_spray_technique
Impacket_tool
Credential_harvesting_technique
Kerberoasting_technique
As-rep_roasting_technique
Cyberstrikeai_tool
Hackbrowserdata_tool
Victims:
Fortinet fortigate organizations, Microsoft sql server hosts, Active directory domains
Industry:
Logistic, E-commerce
Geo:
Japan, Vietnam, Taiwan
CVEs:
CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortinac-f (<7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
have more...
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 17
Hash: 1
Soft:
Active Directory, Telegram, Microsoft SQL Server, MSSQL, MySQL, curl, Chromium, Anthropic, OpenAI, Ollama, have more...
Algorithms:
rc4, md5, ed25519, aes-256, pbkdf2, sha256, aes
Languages:
typescript, python
20-06-2026
Fortibleed: Anatomy of the FortiBleed campaign based on the server that the attackers themselves left exposed.
https://zenox.ai/en/fortibleed-anatomy-of-the-fortibleed-campaign-based-on-the-server-that-the-attackers-themselves-left-exposed/
Report completeness: High
Actors/Campaigns:
Fortibleed
Threats:
Hashcat_tool
Password_spray_technique
Impacket_tool
Credential_harvesting_technique
Kerberoasting_technique
As-rep_roasting_technique
Cyberstrikeai_tool
Hackbrowserdata_tool
Victims:
Fortinet fortigate organizations, Microsoft sql server hosts, Active directory domains
Industry:
Logistic, E-commerce
Geo:
Japan, Vietnam, Taiwan
CVEs:
CVE-2026-24858 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortianalyzer (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortimanager (le7.0.15, le7.2.11, <7.4.10, <7.6.6)
- fortinet fortinac-f (<7.6.6)
- fortinet fortiproxy (le7.0.22, le7.2.15, le7.4.12, le7.6.4)
- fortinet fortiweb (le7.4.11, le7.6.6, le8.0.3)
have more...
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 17
Hash: 1
Soft:
Active Directory, Telegram, Microsoft SQL Server, MSSQL, MySQL, curl, Chromium, Anthropic, OpenAI, Ollama, have more...
Algorithms:
rc4, md5, ed25519, aes-256, pbkdf2, sha256, aes
Languages:
typescript, python
ZenoX - Artificial Intelligence for Cyber Security
Fortibleed: Anatomy of the FortiBleed campaign based on the server that the attackers themselves left exposed.
Executive Summary: In June 19 2026 we received access to the contents of an internet-exposed directory, left open by the operators themselves of a campaign the press named FortiBleed. It was not a victim leak. It was the attacker command post:...
CTT Report Hub
#ParsedReport #CompletenessHigh 20-06-2026 Fortibleed: Anatomy of the FortiBleed campaign based on the server that the attackers themselves left exposed. https://zenox.ai/en/fortibleed-anatomy-of-the-fortibleed-campaign-based-on-the-server-that-the-attackers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания FortiBleed, раскрытая в июне 2026 года, включала масштабную операцию по краже учетных данных, нацеленную на межсетевые экраны Fortinet FortiGate, затронувшую 73 932 уникальных URL-адреса в 194 странах. Атакующие использовали структурированный четырехэтапный подход, включающий массовое сканирование, извлечение учетных данных, сложное взламывание хешей с использованием таких инструментов, как Hashtopolis, и перемещение внутри компании в сети, применяя автоматизацию и искусственный интеллект для повышения эффективности. Эта кампания завершилась значительными компрометациями административного доступа в нескольких организациях из-за критического сбоя в операционной безопасности, который привел к разглашению конфиденциальных файлов в интернете.
-----
Кампания FortiBleed включает кражу учётных данных, нацеленную на межсетевые экраны Fortinet FortiGate.
Операция выявила 318 файлов из раскрытого командного пункта, содержащих информацию о методах атак.
Оно охватывало 73 932 уникальных URL-адреса межсетевого экрана в 194 странах, что указывает на деятельность крупного масштаба.
Атакующие использовали четырехэтапный подход: массовое сканирование, извлечение учетных данных, взлом хешей и перемещение внутри компании.
Начальное сканирование включало региональные целевые списки и несколько одновременных потоков доступа, что дало положительный результат.
Сбор учетных записей использовал инструменты веб-автоматизации для захвата данных сеанса.
Был создан конвейер данных для обработки захваченных учетных данных с целью облегчения эксплуатации.
Для взлома хешей использовалась распределённая архитектура с Hashtopolis и арендованными GPU-ресурсами.
Злоумышленники управляли задачами взлома через бота Телеграм, поддерживающего несколько типов хешей, таких как NetNTLMv2 и Kerberos.
Инфраструктура позволяла нацеливаться не только на устройства Fortinet, но и на различные базы данных и сети.
Тактики постэксплуатации использовали Python-скрипты для действий во внутренней сети, таких как распыление пароля против Active Directory.
Расширенная проверка учётных записей пользователей и аудит привилегий продемонстрировали высокий уровень автоматизации в атаках.
Атакующие также использовали инструмент на базе искусственного интеллекта CyberStrike для автоматизации задач тестирования на проникновение.
Сбой в области операционной безопасности (OPSEC) привёл к раскрытию критически важных инструментов и ключей доступа из-за наличия файлов, доступных в интернете.
В результате кампании был получен несанкционированный доступ к тысячам межсетевых экранов и зафиксированы нарушения безопасности в нескольких доменах Active Directory.
Рекомендуемые меры защиты включают предположение о компрометации устройств FortiGate, подвергшихся воздействию, и обеспечение многофакторной аутентификации (MFA).
Дополнительные меры включают ротацию административных учетных данных и мониторинг аномальной активности, указывающей на доступ через бэкдор.
Дело FortiBleed иллюстрирует изменяющийся ландшафт киберугроз, подчеркивая интеграцию ИИ в атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания FortiBleed, раскрытая в июне 2026 года, включала масштабную операцию по краже учетных данных, нацеленную на межсетевые экраны Fortinet FortiGate, затронувшую 73 932 уникальных URL-адреса в 194 странах. Атакующие использовали структурированный четырехэтапный подход, включающий массовое сканирование, извлечение учетных данных, сложное взламывание хешей с использованием таких инструментов, как Hashtopolis, и перемещение внутри компании в сети, применяя автоматизацию и искусственный интеллект для повышения эффективности. Эта кампания завершилась значительными компрометациями административного доступа в нескольких организациях из-за критического сбоя в операционной безопасности, который привел к разглашению конфиденциальных файлов в интернете.
-----
Кампания FortiBleed включает кражу учётных данных, нацеленную на межсетевые экраны Fortinet FortiGate.
Операция выявила 318 файлов из раскрытого командного пункта, содержащих информацию о методах атак.
Оно охватывало 73 932 уникальных URL-адреса межсетевого экрана в 194 странах, что указывает на деятельность крупного масштаба.
Атакующие использовали четырехэтапный подход: массовое сканирование, извлечение учетных данных, взлом хешей и перемещение внутри компании.
Начальное сканирование включало региональные целевые списки и несколько одновременных потоков доступа, что дало положительный результат.
Сбор учетных записей использовал инструменты веб-автоматизации для захвата данных сеанса.
Был создан конвейер данных для обработки захваченных учетных данных с целью облегчения эксплуатации.
Для взлома хешей использовалась распределённая архитектура с Hashtopolis и арендованными GPU-ресурсами.
Злоумышленники управляли задачами взлома через бота Телеграм, поддерживающего несколько типов хешей, таких как NetNTLMv2 и Kerberos.
Инфраструктура позволяла нацеливаться не только на устройства Fortinet, но и на различные базы данных и сети.
Тактики постэксплуатации использовали Python-скрипты для действий во внутренней сети, таких как распыление пароля против Active Directory.
Расширенная проверка учётных записей пользователей и аудит привилегий продемонстрировали высокий уровень автоматизации в атаках.
Атакующие также использовали инструмент на базе искусственного интеллекта CyberStrike для автоматизации задач тестирования на проникновение.
Сбой в области операционной безопасности (OPSEC) привёл к раскрытию критически важных инструментов и ключей доступа из-за наличия файлов, доступных в интернете.
В результате кампании был получен несанкционированный доступ к тысячам межсетевых экранов и зафиксированы нарушения безопасности в нескольких доменах Active Directory.
Рекомендуемые меры защиты включают предположение о компрометации устройств FortiGate, подвергшихся воздействию, и обеспечение многофакторной аутентификации (MFA).
Дополнительные меры включают ротацию административных учетных данных и мониторинг аномальной активности, указывающей на доступ через бэкдор.
Дело FortiBleed иллюстрирует изменяющийся ландшафт киберугроз, подчеркивая интеграцию ИИ в атаки.
#ParsedReport #CompletenessMedium
17-06-2026
Five npm Packages That Hide a Windows Binary Dropper
https://safedep.io/procwire-npm-windows-dropper-campaign/
Report completeness: Medium
Threats:
Bitsadmin_tool
Motw_bypass_technique
Lolbin_technique
Victims:
Software supply chain, Windows users
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1036.005, T1059.001, T1059.003, T1059.007, T1082, T1105, T1140, T1195.001, have more...
IOCs:
File: 13
Url: 3
Email: 2
Path: 1
Command: 3
Domain: 1
Soft:
Node.js, curl
Algorithms:
xor
Functions:
createServer
Languages:
powershell
17-06-2026
Five npm Packages That Hide a Windows Binary Dropper
https://safedep.io/procwire-npm-windows-dropper-campaign/
Report completeness: Medium
Threats:
Bitsadmin_tool
Motw_bypass_technique
Lolbin_technique
Victims:
Software supply chain, Windows users
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1036.005, T1059.001, T1059.003, T1059.007, T1082, T1105, T1140, T1195.001, have more...
IOCs:
File: 13
Url: 3
Email: 2
Path: 1
Command: 3
Domain: 1
Soft:
Node.js, curl
Algorithms:
xor
Functions:
createServer
Languages:
powershell
SafeDep - Real-time Open Source Software Supply Chain Security
Five npm Packages That Hide a Windows Binary Dropper
Five npm packages published in a 12-minute burst split a Windows binary dropper across a fake utility toolkit. The loader hides in a preinstall hook, decodes its C2 from a helper package, and fetches a payload from catbox.moe.
CTT Report Hub
#ParsedReport #CompletenessMedium 17-06-2026 Five npm Packages That Hide a Windows Binary Dropper https://safedep.io/procwire-npm-windows-dropper-campaign/ Report completeness: Medium Threats: Bitsadmin_tool Motw_bypass_technique Lolbin_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена сложная кампания кибератак, нацеленная на системы Windows, в рамках которой задействованы пять вредоносных пакетов npm, среди которых ключевыми являются procwire@1.3.0 (дропер бинарных файлов Windows) и routecraft@4.2.0 (включающий procwire). Атака использует хук preinstall в procwire для выполнения скрытых полезной нагрузки через XOR-кодированные URL-адреса C2 и применяет различные методы загрузки и выполнения для уклонения от обнаружения. Тактики обфускации, используемые в описаниях пакетов и механизмах выполнения, подчеркивают необходимость мониторинга поведения установки, а не полагаться на репутацию пакетов для обнаружения.
-----
Сложная кампания атак с использованием пяти пакетов npm была запущена 16 июня 2026 года, нацеленная на системы Windows. Двумя основными оружием являются пакеты procwire@1.3.0, который является загрузчиком для Windows, и routecraft@4.2.0, маскирующийся под клон Express. Три дополнительных пакета выполняют вспомогательные функции: bytecraft (утилита XOR), endpointmap (кодирует URL-адреса управления (C2)) и staticlayer (компонент серверной части для загрузчика).
Процесс эксплуатации начинается с хука предварительной установки в procwire во время выполнения npm install, который декодирует конечную точку C2, хранящуюся в виде массивов байтов, закодированных с помощью XOR, из endpointmap, что позволяет загружать и выполнять полезную нагрузку без обнаружения. Применяются различные методы произвольного выполнения бинарных файлов в Windows, включая Node.js HTTPS, curl.exe и bitsadmin для загрузки; прямой запуск, cmd.exe и PowerShell для выполнения.
Архитектура вредоносного ПО позволяет ему избегать обнаружения путем обхода защитных механизмов Mark-of-the-Web и маскировки своих полезной нагрузки под легитимные обновления программного обеспечения, такие как msedge_update и chrome_installer. Каждый пакет npm содержит убедительные описания для интеграции в экосистему npm. Конструкция URL-адреса C2 является сложной, использует шифрование XOR и имя пакета в качестве секретного ключа, что затрудняет анализ функциональности статическими методами.
Дроппер инициирует загрузку полезной нагрузки через HTTP GET-запрос, имитирующий механизмы доставки Microsoft, и отключает проверку TLS для предотвращения обнаружения. Методы резервного копирования обеспечивают успешную загрузку независимо от средств защиты. Поддельный альтернативный поток данных Zone.Identifier используется для обхода предупреждений SmartScreen.
Пакет staticlayer работает как сервер для самостоятельного размещения и распределения полезной нагрузки, требуя от клиента совпадения с User-Agent загрузчика для ограничения воздействия. Эта кампания демонстрирует передовые тактики уклонения, распределяя вредоносные функции по незаметным компонентам, что подчеркивает необходимость мониторинга поведения установки, а не полагаться исключительно на репутацию пакетов для обнаружения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Выявлена сложная кампания кибератак, нацеленная на системы Windows, в рамках которой задействованы пять вредоносных пакетов npm, среди которых ключевыми являются procwire@1.3.0 (дропер бинарных файлов Windows) и routecraft@4.2.0 (включающий procwire). Атака использует хук preinstall в procwire для выполнения скрытых полезной нагрузки через XOR-кодированные URL-адреса C2 и применяет различные методы загрузки и выполнения для уклонения от обнаружения. Тактики обфускации, используемые в описаниях пакетов и механизмах выполнения, подчеркивают необходимость мониторинга поведения установки, а не полагаться на репутацию пакетов для обнаружения.
-----
Сложная кампания атак с использованием пяти пакетов npm была запущена 16 июня 2026 года, нацеленная на системы Windows. Двумя основными оружием являются пакеты procwire@1.3.0, который является загрузчиком для Windows, и routecraft@4.2.0, маскирующийся под клон Express. Три дополнительных пакета выполняют вспомогательные функции: bytecraft (утилита XOR), endpointmap (кодирует URL-адреса управления (C2)) и staticlayer (компонент серверной части для загрузчика).
Процесс эксплуатации начинается с хука предварительной установки в procwire во время выполнения npm install, который декодирует конечную точку C2, хранящуюся в виде массивов байтов, закодированных с помощью XOR, из endpointmap, что позволяет загружать и выполнять полезную нагрузку без обнаружения. Применяются различные методы произвольного выполнения бинарных файлов в Windows, включая Node.js HTTPS, curl.exe и bitsadmin для загрузки; прямой запуск, cmd.exe и PowerShell для выполнения.
Архитектура вредоносного ПО позволяет ему избегать обнаружения путем обхода защитных механизмов Mark-of-the-Web и маскировки своих полезной нагрузки под легитимные обновления программного обеспечения, такие как msedge_update и chrome_installer. Каждый пакет npm содержит убедительные описания для интеграции в экосистему npm. Конструкция URL-адреса C2 является сложной, использует шифрование XOR и имя пакета в качестве секретного ключа, что затрудняет анализ функциональности статическими методами.
Дроппер инициирует загрузку полезной нагрузки через HTTP GET-запрос, имитирующий механизмы доставки Microsoft, и отключает проверку TLS для предотвращения обнаружения. Методы резервного копирования обеспечивают успешную загрузку независимо от средств защиты. Поддельный альтернативный поток данных Zone.Identifier используется для обхода предупреждений SmartScreen.
Пакет staticlayer работает как сервер для самостоятельного размещения и распределения полезной нагрузки, требуя от клиента совпадения с User-Agent загрузчика для ограничения воздействия. Эта кампания демонстрирует передовые тактики уклонения, распределяя вредоносные функции по незаметным компонентам, что подчеркивает необходимость мониторинга поведения установки, а не полагаться исключительно на репутацию пакетов для обнаружения.