CTT Report Hub
3.39K subscribers
9.57K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
#ParsedReport #CompletenessLow
16-06-2026

From a VHDX File to a Remcos RAT

https://dshield.org/diary/From+a+VHDX+File+to+a+Remcos+RAT/33080/

Report completeness: Low

Threats:
Remcos_rat

Victims:
German speaking victims

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1027, T1047, T1055, T1059.001, T1059.007, T1105, T1140, T1547.001, T1620

IOCs:
Hash: 3
File: 5
Url: 2
Domain: 1
Registry: 1
Path: 1

Algorithms:
sha256, base64, xor, zip

Functions:
ConnectServer

Languages:
powershell, javascript
CTT Report Hub
#ParsedReport #CompletenessLow 16-06-2026 From a VHDX File to a Remcos RAT https://dshield.org/diary/From+a+VHDX+File+to+a+Remcos+RAT/33080/ Report completeness: Low Threats: Remcos_rat Victims: German speaking victims Geo: German ChatGPT TTPs: do not…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний инцидент в области кибербезопасности связан с ZIP-архивом, содержащим VHDX-файл с вредоносным JavaScript-кодом, нацеленным на немецкоязычных жертв. ВПО использует трехэтапный процесс с применением WMI для запуска закодированного PowerShell-скрипта, который восстанавливает код из произвольных строк для избежания обнаружения и в конечном итоге внедряет полезную нагрузку, идентифицированную как Remcos — троянская программа для удаленного доступа (RAT). Этот подход включает методы обхода мер безопасности и закрепления через модификации системного реестра.
-----

Недавний инцидент в области кибербезопасности связан с вредоносным ZIP-архивом, который после извлечения содержит VHDX-файл, а при его монтировании обнаруживается вредоносный JavaScript-файл. ВПО использует продвинутые техники для обхода начальных мер безопасности, эксплуатируя формат VHDX — подход, который, хотя и встречался ранее, в последнее время стал менее распространенным. JavaScript-файл, идентифицированный как Partnerschaft_fur_neue_Angebotsanfrage.js, нацелен преимущественно на немецкоязычных жертв и содержит обфусцированный код вместе с избыточными комментариями для сокрытия его функциональности.

Вредоносный JavaScript работает в три этапа. На начальном этапе он использует WMI (Инструментарий управления Windows) для запуска скрипта PowerShell. Этот метод предназначен для обхода средств обнаружения и реагирования на конечных точках (EDR) путем создания менее контролируемого канала: от JavaScript к WMI, а затем к PowerShell, избегая более распространенной и обнаруживаемой прямой связи от JavaScript к PowerShell.

Скрипт PowerShell интригующе закодирован, поскольку он восстанавливает операционный код из различных конкатенированных строк, расположенных в каталоге %LOCALAPPDATA%, а именно в файле с именем Tamale. Этот процесс включает выбор каждого четвертого символа из группы произвольных строк, что дополнительно усложняет анализ. Кроме того, скрипт использует метод дешифрования, который применяет кодировку Base64 и ключ XOR "Identificational", остающийся неизменным для связанных скриптов.

После успешного извлечения скрипт PowerShell выполняет свой третий этап, который функционирует как отражательный загрузчик .NET на PowerShell. Этот этап характерен для поведения ВПО, использующего метод System.Reflection.Assembly.Load() для получения полезной нагрузки. Затем эта полезная нагрузка внедряется в запущенный процесс, обозначенный как backgroundTaskHost.exe, который устанавливает связь с сервером управления (C2).

Анализ показывает, что финальный полезный груз представляет собой Remcos, известную троянскую программу для удаленного доступа (RAT). Для закрепления вредоносная операция регистрирует ключ Run, который позволяет загрузчику PowerShell выполняться автоматически, обеспечивая сохранение активности ВПО даже после перезагрузки системы. Этот многогранный подход, использующий различные техники обфускации и продвинутые методы скриптования, демонстрирует текущие тенденции в киберугрозах, направленные на эксплуатацию уязвимостей в злонамеренных целях.
#ParsedReport #CompletenessLow
15-06-2026

Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software

https://securityboulevard.com/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious-software/

Report completeness: Low

Threats:
Etherrat
Msi_loader

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1059.001, T1059.003, T1059.007, T1102.001, T1105, T1112, T1140, T1204.001, have more...

IOCs:
File: 13
Command: 5
Path: 3
Coin: 2
Url: 1

Soft:
Node.js, curl

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
xor

Languages:
jscript, powershell, php, javascript
CTT Report Hub
#ParsedReport #CompletenessLow 15-06-2026 Inside a malicious infrastructure delivering EtherRAT, phishing pages, and malicious software https://securityboulevard.com/2026/06/inside-a-malicious-infrastructure-delivering-etherrat-phishing-pages-and-malicious…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе недавних поисков угроз была выявлена инфраструктура, распространяющая EtherRAT — Троянская программа на базе Node.js, позволяющая злоумышленникам управлять зараженными машинами через сервер управления, используя блокчейн Ethereum для получения IP-адресов с целью предотвращения отключения. Распространение осуществляется через MSI-установщики и скрипты PowerShell, при этом ВПО способно выполнять произвольные команды, изменять систему и способствовать эксфильтрации данных, одновременно динамически маскируя себя для предотвращения обнаружения. Связанные кампании фишинг используют вредоносные документы для заманивания пользователей, раскрывая части фишинговых наборов для дальнейшего анализа их тактик.
-----

В ходе недавних операций по поиску угроз была обнаружена вредоносная инфраструктура, занимающаяся распространением вредоносного ПО EtherRAT, фишинговых страниц и различных типов вредоносного программного обеспечения. EtherRAT, Троянская программа (RAT), созданная на Node.js, позволяет злоумышленникам полностью контролировать зараженные машины и выполнять произвольные команды, полученные с сервера управления (C2). Отличительной особенностью EtherRAT является использование блокчейна Ethereum для получения адреса сервера управления, что повышает его устойчивость к попыткам отключения.

Обнаружение началось с открытой директории, которая распространяла MSI-установщики и скрипты PowerShell, предназначенные для загрузки EtherRAT. Эти инструменты имели последовательную нумерацию версий от v1 до v10, что указывало на эволюционирующую технику распространения. Злоумышленнические веб-сайты, связанные с этой инфраструктурой, часто имели хакерскую тематику и размещали несколько папок с ВПО и фишинг-контентом, что отражало более широкую экосистему злонамеренной деятельности.

Распространение EtherRAT в основном происходит через MSI-файлы или скрипты PowerShell, которые инициируют установку ВПО. Загрузчик MSI извлекает необходимые файлы в папку со случайным именем в %LOCALAPPDATA% пользователя. Затем он выполняет команды посредством серии шагов, включающих использование Node.js, который он загружает при отсутствии, и поиск полезной нагрузки EtherRAT для её выполнения. Этот RAT может выполнять произвольный JavaScript-код с сервера C2, что позволяет осуществлять операции с файлами, модификации реестра и эксфильтрацию данных.

Загрузчик PowerShell работает аналогичным образом, имея собственные варианты, которые изменяют имена функций и алгоритмы шифрования, но в конечном итоге следуют тому же потоку операций по установке и выполнению EtherRAT. После запуска вредоносное ПО связывается с сервером C2, отправляя свой исходный код и получая взамен новую зашифрованную версию, что гарантирует генерацию другого хеша файла при каждом выполнении, усложняя усилия по обнаружению.

Базовая архитектура этой вредоносной инфраструктуры выглядит интегрированной и динамичной, возможно, общей для нескольких злоумышленников. Ранее на ней размещались многочисленные фишинговые кампании, которые обычно начинались с писем, содержащих вредоносные документы, такие как PDF-файлы или файлы Excel. Эти документы побуждали пользователей переходить по ссылкам, ведущим на дополнительные фишинговые или вредоносные страницы. Кроме того, были обнаружены ошибки конфигурации, которые открывали доступ к частям фишинговых наборов, позволяя анализировать тактики, применяемые в этих кампаниях.
🔥1
#ParsedReport #CompletenessLow
23-06-2026

PixelSmash – Critical FFmpeg Vulnerability Turns Media Files into Weapons

https://jfrog.com/blog/pixelsmash-critical-ffmpeg-vulnerability-turns-media-files-into-weapons/

Report completeness: Low

Threats:
Pixelsmash_vuln
Supply_chain_technique
Lumma_stealer

Victims:
Media processing applications, Media servers, Cloud storage platforms, Cloud transcoding services, Chat platforms, Network attached storage appliances, Smart televisions, Photo management platforms, Artificial intelligence and machine learning infrastructure, Linux desktop environments, have more...

Industry:
Media, Iot

CVEs:
CVE-2026-8461 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1190, T1203, T1204.002, T1499.004

IOCs:
File: 5

Soft:
MagicYUV, Linux, Jellyfin, Slack, Discord, Telegram, Ubuntu, Debian, Fedora, Alpine, have more...

Functions:
system, free
CTT Report Hub
#ParsedReport #CompletenessLow 23-06-2026 PixelSmash – Critical FFmpeg Vulnerability Turns Media Files into Weapons https://jfrog.com/blog/pixelsmash-critical-ffmpeg-vulnerability-turns-media-files-into-weapons/ Report completeness: Low Threats: Pixelsmash_vuln…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость CVE-2026-8461 в декодере MagicYUV FFmpeg позволяет выполнять Удаленное Выполнение Кода с помощью специально созданных медиафайлов, затрагивая такие приложения, как Kodi и Jellyfin. Ошибка возникает из-за записи за пределами кучи (heap out-of-bounds write) вследствие неправильной проверки высоты среза (slice height), что позволяет злоумышленникам эксплуатировать её, просто доставляя вредоносные файлы для обработки. Эта уязвимость представляет значительные риски, так как может быть активирована без взаимодействия с пользователем, приводя к сбоям приложений и потенциальному произвольному выполнению кода в различном программном обеспечении, использующем FFmpeg.
-----

Критическая уязвимость в декодере MagicYUV FFmpeg, обозначенная как CVE-2026-8461, позволяет осуществлять Удаленное Выполнение Кода через созданные медиафайлы.

Уязвимость возникает из-за записи за пределами кучи с оценкой CVSS 8.8.

Затронутые приложения включают Kodi, Jellyfin и Nextcloud, которые используют FFmpeg.

Для эксплуатации злоумышленник должен доставить вредоносный файл AVI, MKV или MOV в программное обеспечение, декодирующее видео с использованием libavcodec от FFmpeg.

Атака может произойти через открытие пользователем вредоносных файлов или автоматическую обработку на медиа-серверах.

Для выполнения задачи не требуются расширенные права или дальнейшее взаимодействие с пользователем, помимо первоначальной доставки файла.

Уязвимость вызвана несоответствием округления в коде обработки срезов декодера MagicYUV.

Некорректная проверка высоты среза позволяет злоумышленникам манипулировать памятью буфера.

Успешные эксплойты в Jellyfin продемонстрировали произвольное выполнение команд через обычное сканирование медиатеки.

Уязвимость классифицируется как риск цепочки поставок из-за широкого внедрения FFmpeg в различные приложения.

Многие разработчики пренебрегают тщательной проверкой реализаций кодеков FFmpeg, что позволяет скрыто распространять уязвимости.

Автоматическое извлечение метаданных при загрузке медиафайлов может привести к скрытой эксплуатации без уведомления администраторов.

Скомпрометированные системы могут оставаться незамеченными, создавая значительные операционные риски и потенциал для неэффективной с точки зрения затрат эксплуатации.

Новые поверхности атак в инфраструктурах ИИ/МО, обрабатывающих видеовход, указывают на необходимость расследования аналогичных уязвимостей.

Для систем, использующих FFmpeg, критически важно обновиться до исправленных версий или отключить уязвимый декодер MagicYUV для снижения рисков.
#ParsedReport #CompletenessHigh
22-06-2026

GhostShell (MB-0009): Targeting Ukraine’s UAV Operations and Defense Supply Chain

https://blog.synapticsystems.de/ghostshell-mb-0009-targeting-ukraines-uav-operations-and-defense-supply-chain/

Report completeness: High

Actors/Campaigns:
Uac-0244
Gamaredon

Threats:
Supply_chain_technique
Ghostshell
Kraken_cryptor
Mantis_botnet
Metasploit_tool
Process_injection_technique
Xray_tool
Native_loader
Vidar_stealer
Dead_drop_technique
Antidebugging_technique
Spear-phishing_technique

Victims:
Ukraine, Uav operations, Drone supply chain, Military units, Technical personnel, Procurement staff, Volunteer organizations, Defense sector partners

Industry:
Military, Healthcare

Geo:
Spain, Ukrainian, Russia, German, Ukraine, Moldova, Kazakhstan, Germany, Ukraines

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 15
Domain: 2
Url: 7
Hash: 17
IP: 6
Path: 1

Soft:
WinHTTP, Windows Security, Telegram, Discord, Steam, Outlook, curl, nginx

Algorithms:
base64, gzip, ecdsa, xor, sha256, md5, aes-256-cbc, ecdh, aes-256-gcm

Functions:
GetComputerName, GetUserName, CreateFile, GetTempPath

Win API:
VirtualAlloc, VirtualProtect, LoadLibrary, GetProcAddress, WinHttpSetOption, GdiplusStartup, GetDC, CreateCompatibleBitmap, BitBlt, CreateProcess, have more...

Win Services:
bits

Languages:
golang, visual_basic, python

Platforms:
x64
CTT Report Hub
#ParsedReport #CompletenessHigh 22-06-2026 GhostShell (MB-0009): Targeting Ukraine’s UAV Operations and Defense Supply Chain https://blog.synapticsystems.de/ghostshell-mb-0009-targeting-ukraines-uav-operations-and-defense-supply-chain/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GhostShell (MB-0009) нацелена на операции беспилотных летательных аппаратов (БПЛА) и цепочки поставок обороны Украины, используя уязвимости CVE-2025-8088 и CVE-2025-6218 для доставки полезной нагрузки, скрытой в архиве RAR. Она включает многоэтапный процесс заражения, инициируемый сценарием Visual Basic Script (VBS), который обеспечивает закрепление и загрузку исполняемых файлов, включая 122.exe и update.exe, каждый из которых использует передовые методы обхода обнаружения и криптографические меры. Кроме того, компонент под названием 22.exe доставляет стиллер Vidar v2, предназначенный для эксфильтрации конфиденциальных пользовательских данных, что указывает на сложную и стратегическую угрозу для операционных и разведывательных структур в секторе обороны Украины.
-----

Вредоносная кампания GhostShell (MB-0009) нацелена на операции беспилотных летательных аппаратов и Цепочку поставок обороны Украины с февраля 2026 года.

Этот злоумышленник действует с уникальной атакованной инфраструктурой и методологиями, не связанными с известными группами.

ВПО использует уязвимости CVE-2025-8088 и CVE-2025-6218.

Вредоносные полезная нагрузка доставляется в архиве RAR с именем «Besomar_documentation.rar», имитируя легитимную документацию украинского производителя дронов Besomar.

Основные цели включают военные подразделения и персонал оборонного сектора.

ВПО имеет многоэтапный процесс заражения, использующий Visual Basic Script (VBS) для закрепления через папку автозагрузки Windows.

Файл VBS загружает исполняемые файлы 122.exe и update.exe с домена управления (C2) cloudaxis.cc.

Векторы атак используют техники уклонения, такие как обнаружение песочницы и взаимная TLS (mTLS) связь с сервером C2.

Исполняемый файл 122.exe действует как загрузчик, использующий механизм наложения CRPT XOR для выполнения имплантата второго этапа в памяти.

Второй этап внедрения проходит аутентификацию с помощью встроенного клиентского сертификата mTLS на основе эллиптической кривой.

update.exe функционирует как загрузчик в памяти, выполняя маскировку под Службу Windows, проводя проверки на антианализ и загружая полезную нагрузку.

Ещё один компонент, 22.exe, работает как многоступенчатый загрузчик, использующий шифрование AES-256-GCM для своей конфигурации, и действует как скрытый транспортный слой.

exe доставляет Vidar v2, стиллер, нацеленный на конфиденциальные пользовательские данные, включая пароли и информацию о криптовалюте.

Кампания указывает на стратегическую направленность на эксплуатацию уязвимостей цепочки поставок высокого уровня, связанных с обороной Украины.

Использование Телеграм для разрешения C2-хоста демонстрирует современную адаптивность угроз и усложняет усилия по атрибуции.

Идентификаторы, такие как "GhostShell Implant CA", могут помочь в будущей детекции и анализе этой угрозы.
#ParsedReport #CompletenessHigh
23-06-2026

An Income Tax Assessment Notice Phishing Campaign Delivering Malware

https://www.cyfirma.com/research/an-income-tax-assessment-notice-phishing-campaign-delivering-malware/

Report completeness: High

Threats:
Confuserex_tool
Dll_sideloading_technique
Xworm_rat
Spear-phishing_technique

Victims:
Users in india, Organizations in india

Industry:
Government

Geo:
India, Indian, Hong kong, China

TTPs:
Tactics: 8
Technics: 22

IOCs:
Domain: 1
File: 2
IP: 3
Hash: 8

Algorithms:
sha256, zip, md5

Functions:
SetAutoRun, GetWindowsVersion, GetIdleTime

Win API:
DllEntry, GetSecurityInfo

YARA: Found
CTT Report Hub
#ParsedReport #CompletenessHigh 23-06-2026 An Income Tax Assessment Notice Phishing Campaign Delivering Malware https://www.cyfirma.com/research/an-income-tax-assessment-notice-phishing-campaign-delivering-malware/ Report completeness: High Threats: Confuserex_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя вредоносная кампания использует фишинговую приманку на тему индийской налоговой службы доходов для доставки Троянской программы (RAT) через фишинговый веб-сайт harivo.vip. Жертв обманом заставляют загрузить ZIP-архив, содержащий вредоносный образ диска с исполняемым файлом Portable Executable и DLL, оба из которых зашифрованы для уклонения от обнаружения. RAT создает бэкдор для удаленного выполнения команд, взаимодействуя с жестко закодированным C2-сервером, в то время как злоумышленники применяют тактики социальной инженерии для максимизации уровня заражения.
-----

Недавняя вредоносная кампания, выявленная CYFIRMA, использует фишинговую приманку на тему индийского Департамента доходов с целью доставки сложного вредоносного кода, похожего на Троянскую программу. Атака в основном использует фишинговый веб-сайт, размещенный на домене harivo.vip, который имитирует подлинную правительственную коммуникацию, тем самым побуждая жертв загрузить вредоносное программное обеспечение, выполняющее Маскировка под официальное уведомление о налоговой оценке. Приманка включает юридический язык и срочность соблюдения требований для повышения достоверности, побуждая пользователей загрузить ZIP-архив с названием Tax_Assessment_0609.zip.

После извлечения этот архив содержит вредоносный образ диска с именем Tax_Assessment.img, в котором находятся несколько компонентов ВПО, включая исполняемый файл (PE) Tax_Assessment.exe, выступающий в роли загрузчика, и библиотеку (DLL) libsvcs.dll. Технический анализ показывает, что Tax_Assessment.exe использует рефлексию .NET для динамической загрузки DLL, тем самым скрывая свои вредоносные намерения и усложняя попытки статического анализа. Оба компонента были обфусцированы с помощью ConfuserEx, что дополнительно усложняет обнаружение и делает обратную разработку сложной задачей.

Вредоносный модуль libsvcs.dll демонстрирует типичные функции RAT, включая методы обеспечения постоянного доступа через бэкдор, сбора системной информации и включения удаленного выполнения команд посредством зашифрованных каналов связи. Бинарный файл настроен на подключение к жестко заданному серверу Command-and-Control (C2) по адресу 103.231.12.27:4444, используя встроенный 32-байтовый ключ шифрования для безопасной коммуникации.

Злоумышленники, стоящие за этой кампанией, оцениваются как мотивированные финансовой выгодой, использующие тактики социальной инженерии для обмана целей. Оперативный дизайн отражает структурированную методологию заражения с несколькими этапами доставки полезной нагрузки, максимизируя гибкость при одновременном минимизировании рисков обнаружения. Это включает использование вводящих в заблуждение документов, а также техник, скрывающих поведение выполнения и модифицирующих системные реестры.

Хотя инфраструктура C2 указывает на географическое положение в Гонконге, важно отметить, что такая информация не является окончательным указанием на происхождение злоумышленников, поскольку противники часто используют скомпрометированные системы и сторонний хостинг для сокрытия своих следов. Несмотря на соблазнительные региональные индикаторы, полная атрибуция остается неопределенной.

Организациям настоятельно рекомендуется усилить возможности мониторинга в отношении фишинговых атак на тему налогов, укрепить меры безопасности вокруг исполняемых файлов и улучшить механизмы обнаружения подозрительного поведения, связанного с операциями загрузчиков и DLL, особенно в ответ на недавно наблюдаемые коммуникации и потенциально вредоносную инфраструктуру.
#ParsedReport #CompletenessMedium
22-06-2026

A VBScript campaign distributed through WhatsApp deploying RMM software

https://securelist.com/whatsapp-vbs-rmm-campaign/120290/

Report completeness: Medium

Threats:
Bitsadmin_tool
Gh0st_rat
Valleyrat

Victims:
Individual users, Whatsapp users, Consumers

Industry:
Financial

Geo:
Portuguese, Australia, French, India, Spain, Malaysia, Taiwan, Russia, Vietnam, Singapore, German, Mexico, Chinese, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1036.003, T1059.001, T1059.005, T1105, T1204.002, T1219, T1553.005, T1564.001, T1566.003, have more...

IOCs:
File: 41
Path: 1
IP: 6
Hash: 41
Domain: 8

Soft:
WhatsApp, curl

Algorithms:
zip

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 22-06-2026 A VBScript campaign distributed through WhatsApp deploying RMM software https://securelist.com/whatsapp-vbs-rmm-campaign/120290/ Report completeness: Medium Threats: Bitsadmin_tool Gh0st_rat Valleyrat Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2026 года вредоносная кампания преимущественно затронула пользователей в Малайзии и других странах, эксплуатируя вредоносные VBScript-файлы, распространяемые через сообщения WhatsApp. Вектором заражения выступали WhatsApp Desktop и Web, где использовались обманные имена файлов, побуждающие пользователей выполнять вложения, что приводило к многоэтапному заражению, завершающемуся установкой программного обеспечения для удаленного мониторинга и управления (RMM). Злоумышленники использовали скомпрометированные аккаунты для распространения, применяя тактики социальной инженерии и демонстрируя потенциальные связи с вредоносным ПО, таким как ValleyRAT и Gh0st RAT, что указывает на возможное участие актора, говорящего на китайском языке.
-----

В июне 2026 года появилась вредоносная кампания, использующая вредоносные файлы VBScript, распространяемые через прямые сообщения в WhatsApp. Кампания преимущественно затронула пользователей в Малайзии, среди других затронутых регионов — Бразилия, Индия, Мексика, Сингапур, Великобритания, Испания, Тайвань, Австралия, Россия и Вьетнам. Основным вектором заражения были WhatsApp Desktop и WhatsApp Web, где обманные имена файлов, имитирующие легитимные бизнес-документы, побуждали пользователей выполнять вложения. VBScript запускает многоэтапный процесс заражения, завершающийся установкой программного обеспечения для удаленного мониторинга и управления (RMM), что позволяет злоумышленникам получать удаленный доступ к системе жертвы.

Анализ показал, что злоумышленники скомпрометировали несколько аккаунтов WhatsApp, используя эти украденные учетные данные для распространения ВПО через контакты. Вредоносные вложения отправлялись без дополнительного контекста, что повышало вероятность взаимодействия пользователя. Имена файлов часто имели финансовый характер и были предназначены для эксплуатации уязвимостей социальной инженерии — в примерах встречались такие термины, как счета, выписки по счетам и уведомления о задолженности, локализованные на различные языки.

Начальный этап атаки включает VBScript, который при запуске через Windows Script Host (WScript.exe) создает рабочую директорию в C:\Users\Public\Documents. Он загружает дополнительные вредоносные компоненты из источников, контролируемых злоумышленниками. Ранние варианты ВПО использовали утилиты Windows, такие как curl.exe и bitsadmin.exe, при этом файлы переименовывались для имитации DLL с целью минимизации обнаружения пользователем. На дополнительных этапах начальный скрипт загружает еще два VBScript-файла; один из них пытается изменить настройки контроля учетных записей (UAC), а другой загружает ZIP-архив, содержащий установочный пакет программного обеспечения для удаленного управления (RMM). Каждый загрузчик создает свою директорию со случайными именами и часто применяет скрытые атрибуты для сокрытия содержимого от пользователя.

Процесс установки использует административные привилегии для обеспечения успешного развертывания агента RMM, что указывает на высокий уровень планирования со стороны злоумышленников. Примечательно, что инфраструктура кампании продемонстрировала потенциальные связи с ранее выявленными ВПО, такими как ValleyRAT и Gh0st RAT, хотя окончательная атрибуция остается неопределенной. В ходе анализа были замечены последовательные комментарии на китайском языке в скриптах, что предполагает участие возможного китайскоязычного злоумышленника; однако доказательства недостаточно надежны для окончательной атрибуции.

Данные о жертвах указывают на то, что кампания преимущественно нацелена на отдельных пользователей, а не на организации, с проявлением широкого и оппортунистического подхода. Пользователям рекомендуется проявлять осторожность с неожиданными вложениями, даже от известных контактов, особенно с типами файлов скриптов или исполняемых файлов, которые следует открывать только после проверки их подлинности.