CTT Report Hub
3.39K subscribers
9.58K photos
6 videos
67 files
13.2K links
Threat Intelligence Report Hub
Download Telegram
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 STOCKSTAY Another Day: The Latest Addition to Turla’s Intelligence Gathering Apparatus https://cloud.google.com/blog/topics/threat-intelligence/stockstay-turla-intelligence-gathering/ Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор STOCKSTAY — это сложный инструмент кибершпионажа, приписываемый связанному с Россией злоумышленнику Turla, нацеленному на государственные и военные сектора, особенно в Украине. Он использует многокомпонентную архитектуру для обеспечения функциональности, включая модули для связи через WebSocket и управления конфигурацией, а также техники обфускации для уклонения от обнаружения. Методы развертывания эволюционировали, чтобы включать тактики фишинга с вредоносными файлами RDP и использование скомпрометированных легитимных сервисов, что подчеркивает адаптивность Turla в операциях против чувствительных целей.
-----

Бэкдор STOCKSTAY, идентифицированный Группой разведки угроз Google (GTIG) как инструмент кибершпионажа, разработанный связанным с Россией злоумышленником Turla, постоянно улучшается с момента первоначального развертывания в конце 2022 года. Это ВПО нацелено на правительственные и военные организации, особенно в Украине, и демонстрирует значительные сходства в коде с набором инструментов KAZUAR от Turla. STOCKSTAY работает через многокомпонентную архитектуру, состоящую из различных модулей, которые обеспечивают связь и функциональность ВПО.

Основными компонентами STOCKSTAY являются STOCKSTAY.STOCKBROKER — прокси-ориентированный туннелизатор, управляющий связью с серверами управления (управление) через WebSocket-соединения, и STOCKSTAY.STOCKMARKET, выступающий в качестве точки оркестровки ВПО, обрабатывающей конфигурацию и выполнение команд. Файлы конфигурации, созданные для имитации легитимных, содержат зашифрованные данные, критически важные для поддержания функционирования ВПО, такие как сведения о сервере управления. Эти файлы используют использование ключей на основе окружения, благодаря чему механизм дешифрования привязан к конкретному хосту или сети, что усложняет обнаружение ВПО.

Методы развертывания STOCKSTAY эволюционировали, включая тактики фишинга с использованием вредоносных файлов конфигурации RDP для установления соединений с инфраструктурой актора. Например, GTIG наблюдал фишинговые письма, якобы от академических учреждений, которые содержали вложения в виде файлов RDP, что позволяло развернуть ВПО после успешных соединений. Кроме того, ВПО было связано с использованием скомпрометированных легитимных сервисов для размещения вредоносных загрузок.

Недавние обновления STOCKSTAY включают внедрение техники обфускации строк K1MORPHER, повышающей его возможности по уклонению от средств обнаружения. Эта техника опирается на алгоритм генерации псевдослучайных чисел, который способствует динамической обфускации различных типов данных в коде ВПО.

STOCKSTAY демонстрирует характерный шаблон развертывания, часто совпадающий с нацеливанием на украинские организации на фоне продолжающихся политических напряжений с Россией. Операционные методы злоумышленника также распространяются на нацеливание на европейские структуры, особенно те, которые имеют интересы в сфере внешних связей, хотя эти операции подтверждаются реже. Общая архитектура и эволюционирующий характер STOCKSTAY подчеркивают постоянную сложность кибершпионских усилий Turla, отражая их давние тактики и адаптивность при нацеливании на чувствительные государственные структуры.
#ParsedReport #CompletenessHigh
25-06-2026

Millenium: A RAT Rewritten, A Threat Multiplied

https://www.group-ib.com/blog/millenium-rat-maas/

Report completeness: High

Actors/Campaigns:
Y2k_operators
Shinyenigma

Threats:
Milleniumrat
Redeemer
Procmon_tool
Phantomkyc_tool
Xworm_rat
Njrat

Victims:
Windows users, Gaming community, Cryptocurrency users, Cybersecurity enthusiasts, Cybercrime actors, Global users

Industry:
Entertainment, Financial

Geo:
Russian

TTPs:
Tactics: 10
Technics: 29

IOCs:
Url: 16
Registry: 2
File: 28
Domain: 1
Hash: 39

Soft:
Telegram, NET framework, discord, Chromium, Steam, INSTAGRAM, Roblox, Microsoft Defender, Windows defender

Algorithms:
xor, base64

Functions:
Windows, getUpdates

Win API:
messagebox

Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Millenium: A RAT Rewritten, A Threat Multiplied https://www.group-ib.com/blog/millenium-rat-maas/ Report completeness: High Actors/Campaigns: Y2k_operators Shinyenigma Threats: Milleniumrat Redeemer Procmon_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RAT Millenium версии 4.* — это троянская программа для удалённого доступа, написанная на C++, которая использует Telegram Bot API для управления, маскируя свой трафик под обычную переписку для уклонения от обнаружения. По состоянию на начало 2026 года она заразила более 62 000 конечных точек по всему миру и распространяется группой Y2K Operators по модели ВПО как услуга. ВПО выполняет различные функции с помощью стандартных вызовов Windows API, полагаясь на социальную инженерию для доставки и запросы контроля учётных записей пользователей для повышения привилегий, не применяя продвинутых методов для получения повышенного доступа.
-----

Millenium RAT версии 4.* представляет собой значительную эволюцию в возможностях этого троянской программы, которая перешла от создания на основе фреймворк .NET к нативному приложению на C++. Этот сдвиг не только повышает устойчивость ВПО, но и устраняет зависимость от .NET, упрощая его развертывание в различных средах. RAT использует API бота Телеграм для своей инфраструктуры управления (C2), что позволяет осуществлять связь, маскируя вредоносный трафик под нормальную активность в мессенджере, что потенциально может позволить ему обойти традиционные меры обнаружения.

По состоянию на начало 2026 года заразность Millenium RAT резко возросла: по сообщениям, под угрозой оказались более 62 000 конечных точек в более чем 160 странах, при этом 39 730 заражений произошло только в первом квартале 2026 года. Вредоносное ПО активно распространяется хакерской группировкой Y2K Operators, возглавляемой разработчиком, использующим псевдоним shinyenigma. Модель распространения разработчика работает на базе фреймворка Malware-as-a-Service (MaaS), предлагая RAT за $50 за первый месяц и по $10 за последующие месяцы, либо за единовременную плату в $90 за пожизненный доступ.

При запуске Millenium RAT загружает свою конфигурацию из встроенного ресурса, закодированного в Base64, обеспечивая скрытность за счет обфускации. Операционная логика вредоносного ПО включает либо немедленное уведомление операторов через Телеграм, либо процедуру самоинсталляции для обеспечения закрепления на зараженной машине. Этот процесс включает создание директории в папке appdata пользователя и установку записи в реестре автозагрузки для содействия повторному выполнению.

Схема коммуникации RAT активно использует стандартные вызовы API Windows для выполнения своих функций, включая эксфильтрацию данных, создание скриншотов, регистрацию нажатий клавиш и выполнение произвольных команд. Примечательно, что RAT не использует продвинутые техники повышения привилегий; вместо этого он полагается на легитимные запросы контроля учетных записей (UAC) для получения административных привилегий от пользователей.

Первоначальная доставка Millenium RAT часто использует тактики социальной инженерии, применяя заманчивые имена файлов и темы, чтобы соблазнить жертв на выполнение зараженных файлов. Распространение вредоносного ПО не ограничивается обычными пользователями; было зафиксировано, что оно заражает других киберпреступников, внедряясь в популярные инструменты взлома и эксплойт-наборы, обманывая потенциальных злоумышленников и заставляя их заражать свои системы.
#ParsedReport #CompletenessHigh
25-06-2026

Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access

https://www.microsoft.com/en-us/security/blog/2026/06/25/photo-zip-campaign-targeting-hospitality-industry-delivers-node-js-implant-persistent-access/

Report completeness: High

Threats:
Spear-phishing_technique
Deathransom
Tonrat
Purerat

Victims:
Hospitality industry, Hotel industry

Industry:
Entertainment, Financial

Geo:
Dutch, French, Spanish, Asia, Polish, Czech, Danish, Japanese

TTPs:
Tactics: 6
Technics: 15

IOCs:
File: 17
Path: 10
Url: 4
Domain: 74
Command: 11
Registry: 1
IP: 5
Hash: 21

Soft:
Node.js, Microsoft Defender, SendGrid, Cloudflare Turnstile, ode.js, js, Microsoft Defender for Endpoint, icrosoft Defender An

Algorithms:
zip, xor, sha256

Languages:
powershell, javascript
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access https://www.microsoft.com/en-us/security/blog/2026/06/25/photo-zip-campaign-targeting-hospitality-industry-delivers…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С апреля 2026 года сообщается о многоэтапной хакерской кампании, нацеленной на гостиничный сектор, которая использует фишинговые письма с вводящим в заблуждение контентом, связанным с отелями, для доставки вредоносных, запутанных ZIP-файлов. Эти файлы содержат скрипты PowerShell и внедрение Node.js для закрепления, используя ключи реестра Windows для поддержания контроля после попыток обнаружения. Атака развивается через конкретные соглашения об именовании файлов и выполняет динамические .NET DLL, что указывает на наличие злоумышленника, сосредоточенного на уклонении и поддержании возможностей управления.
-----

Microsoft Threat Intelligence сообщила о многоэтапной хакерской кампании, направленной на гостиничный сектор с апреля 2026 года, использующей обманные ZIP-архивы с тематикой фотографий для начала атак. ZIP-архивы содержат зашифрованные скрипты PowerShell и внедрение Node.js, предназначенное для закрепления доступа. Атака использует двойной механизм закрепления через ключи реестра Windows, позволяя злоумышленнику сохранять контроль даже после некоторых обнаружений средствами защиты, такими как Microsoft Defender.

Первоначальный доступ осуществляется через фишинговые письма с вводящим в заблуждение содержанием, связанным с работой отелей, например, жалобами гостей, которые отправляются через легитимные платформы, такие как Calendly, для обхода проверок аутентификации электронной почты. Письма используют общие шаблоны на различных языках, полагаясь на срочность, чтобы побудить пользователей выполнять вредоносные ZIP-файлы. Приманки продолжают эволюционировать, с различными вариациями в именовании файлов (изначально использовались IMG, а затем произошел переход на PHOTO) для оптимизации доставки.

Последующая цепочка атаки остается неизменной в рамках кампании, переходя от выполнения скриптов PowerShell к загрузке динамических библиотек .NET во второй волне, которые генерируются с использованием компилятора C# (csc.exe). Эта адаптация демонстрирует фокус злоумышленника на тактиках уклонения, позволяющих скрытно загружать компоненты непосредственно в систему пользователя. Внедренный модуль Node.js после развертывания изменяет настройки Windows Defender, чтобы снизить уровень контроля за своей деятельностью.

После компрометации кампания активно использует каналы управления (C2) для связи с различными доменами. Это включает сканирование среды для сбора информации о системе, что дополнительно поддерживает оперативные цели оператора. Механизмы закрепления демонстрируют сложный подход, использующий как ключи реестра, так и другие методы, чтобы обеспечить восстановление внедренного компонента даже после частичного прерывания его работы.

Применяемые техники демонстрируют хорошо спланированную стратегию, основанную на социальной инженерии и многоуровневой обфускации, что указывает на продвинутого противника, способного адаптироваться к усилиям по смягчению обнаружения. Microsoft рекомендует комплексную стратегию устранения последствий, направленную как на механизмы закрепления, так и на оповещение об их индикаторах компрометации (IOCs) для эффективной защиты от подобных угроз. Кампания демонстрирует четкую эволюцию тактик и операционной зрелости, вызывая обеспокоенность по поводу ландшафта угроз в гостиничной индустрии, поскольку она становится все более целевой для сложных киберугроз.
#ParsedReport #CompletenessHigh
25-06-2026

Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and GitHub Actions, Expands to the Go Ecosystem

https://socket.dev/blog/miasma-mini-shai-hulud-hits-leoplatform-npm-packages-go-ecosystem

Report completeness: High

Actors/Campaigns:
Mini_shai-hulud

Threats:
Miasma
Supply_chain_technique
Hades
Dead_drop_technique
Phantom_gyp_technique
Tanium_tool

Victims:
Leoplatform, Rstreams, Github actions, Verana blockchain

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.004, T1059.007, T1083, T1102.001, T1105, T1140, T1195.001, T1204, have more...

IOCs:
File: 7
Hash: 18

Soft:
Claude, Slack, Docker, Kubernetes, Microsoft Defender, Dependabot

Algorithms:
sha256, aes-gcm

Functions:
eval

Win API:
lockfile

Languages:
javascript

Links:
https://socket.dev/go/package/github.com/verana-labs/verana-blockchain?version=v0.10.1-dev.20
https://socket.dev/go/package/github.com/verana-labs/verana-blockchain?section=files&version=v0.10.1-dev.20&path=.claude%2Findex.js
CTT Report Hub
#ParsedReport #CompletenessHigh 25-06-2026 Miasma Mini Shai-Hulud Hits LeoPlatform npm Packages and GitHub Actions, Expands to the Go Ecosystem https://socket.dev/blog/miasma-mini-shai-hulud-hits-leoplatform-npm-packages-go-ecosystem Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Согласно последним данным разведданных, наблюдается волна атак на Цепочку поставок с использованием вредоносного ПО Mini Shai-Hulud, Miasma и Hades, нацеленных на пакеты npm, GitHub Actions и экосистему Go. Ключевые тактики включают отравление реестра npm, где вредоносные файлы binding.gyp выполняются во время установки пакета для запуска зашифрованных JavaScript-полезных нагрузок, использующих дешифровку ROT и AES-GCM. Кампания, в частности, эксплуатирует среды разработки для сбора конфиденциальной информации и расширила свой фокус на экосистему Go, что указывает на сложную эволюцию стратегий атак.
-----

Согласно последним данным разведки, наблюдается новая волна атак на цепочку поставок, связанных с семействами ВПО Mini Shai-Hulud, Miasma и Hades, которые нацелены на пакеты npm, GitHub Actions и экосистему Go. В рамках этой кампании были зафиксированы вредоносные выпуски в нескольких пакетах npm, в частности затронувшие LeoPlatform и RStreams, при этом аккаунт czirker служил основной точкой распространения. Атака также включает несколько дополнительных вредоносных пакетов, опубликованных другим пользователем, llxlr.

Тактики, используемые в этих атаках, включают отравление реестра npm и методы эксплуатации, такие как установка файлов binding.gyp, что позволяет выполнять скрытый код на этапе сборки пакета. При установке затронутого пакета npm автоматически выполняет команды, указанные в файле binding.gyp, обеспечивая скрытый запуск большого зашифрованного полезного груза на JavaScript. Этот полезный груз использует сложные методы дешифровки, начиная с шифрования в стиле ROT и заканчивая дешифровкой AES-GCM, а также применяет стратегии обфускации JavaScript для уклонения от обнаружения.

Злоумышленники используют среды разработки, нацеливаясь на секреты в различных контекстах кода и непрерывной интеграции (CI), включая сбор конфиденциальной информации, такой как токены GitHub, учетные данные облачных сервисов и другие важные конфигурационные данные. ВПО проявляет особую склонность к несанкционированному использованию GitHub Actions, включая тактики злоупотребления рабочими процессами, которые публикуют пакеты или получают секреты от исполнителей CI.

Значимым аспектом этой кампании является её эволюция в сторону использования Bun, более новой среды выполнения JavaScript, что позволяет злоумышленникам обходить некоторые традиционные средства защиты, менее внимательные к среде выполнения Bun. Кроме того, вредоносное ПО связывается с предыдущими атаками через операционные индикаторы, такие как «RevokeAndItGoesKaboom», маркер, связывающий инциденты на нескольких платформах.

Недавние выводы расширяют эту область атак за пределы npm в экосистему Go, выявляя скомпрометированные модули в проекте Verana Blockchain. Паттерн атаки указывает на то, что вредоносные загрузки полагаются на триггеры среды VS Code, а не на обычные процессы сборки Go, что демонстрирует сложную адаптацию в нацеливании на инструменты разработчиков и рабочие процессы, а не на прямые уязвимости пакетного менеджера.

Защитные меры требуют не только удаления затронутых версий этих пакетов, но и проведения обширного криминалистического анализа, включая аудит репозиториев на предмет вредоносных изменений и защиту всех учетных данных, которые могли быть раскрыты. Основной акцент делается на защите практик разработки и мониторинге конфигураций GitHub Actions для сдерживания распространения таких сложных атак на Цепочку поставок. Атака подчеркивает изменяющийся ландшафт угроз, нацеленный на тонкости сред разработки и сопутствующие средства защиты.
#ParsedReport #CompletenessMedium
26-06-2026

Anatomy of a WHQL-Signed Windows Filtering Platform (WFP) Kernel-Resident Network Backdoor

https://www.nextron-systems.com/2026/06/26/anatomy-of-a-whql-signed-windows-filtering-platform-wfp-kernel-resident-network-backdoor/

Report completeness: Medium

Threats:
Process_hacker_tool
Process_injection_technique

Industry:
Software_development

Geo:
China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1040, T1055, T1059.003, T1071.001, T1095, T1553.002, T1573.001

IOCs:
File: 7
Hash: 1
Command: 1

Soft:
Windows kernel-mode driver, Linux

Algorithms:
hmac, xor, sha256

Functions:
WorkerRoutine

Win API:
RtlCreateUserThread, KeStackAttachProcess, ZwCreateFile

Languages:
python
CTT Report Hub
#ParsedReport #CompletenessMedium 26-06-2026 Anatomy of a WHQL-Signed Windows Filtering Platform (WFP) Kernel-Resident Network Backdoor https://www.nextron-systems.com/2026/06/26/anatomy-of-a-whql-signed-windows-filtering-platform-wfp-kernel-resident-network…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
wskmon.sys — это драйвер-бэкдор для Windows, работающий в режиме ядра без компонентов пользовательского режима и интегрирующийся с платформой фильтрации Windows (Windows Filtering Platform) для перехвата TCP-трафика. Он обменивается зашифрованными командами, аутентифицированными с помощью HMAC-SHA256, и выполняет команды на уровне NT AUTHORITY SYSTEM, внедряя их в svchost.exe, что затрудняет обнаружение. Его подписанный характер и опора на низкоуровневые взаимодействия с ядром подчеркивают значительные риски и необходимость улучшения мониторинга поведения драйверов и аномалий сетевого трафика.
-----

wskmon.sys — это сложный 64-битный драйвер режима ядра Windows, функционирующий как бэкдор для удалённого доступа, появившийся 15 июня 2026 года. Это ВПО отличается от традиционных руткитов тем, что устраняет необходимость в интерфейсе IOCTL или агенте пользовательского режима, полагаясь исключительно на один .sys-файл. Оно интегрируется с платформой фильтрации Windows (WFP), регистрируя потоковый вызов для перехвата входящего трафика TCP. Его коммуникация защищена зашифрованными командами, аутентифицированными с помощью HMAC-SHA256, что обеспечивает выполнение полностью на уровне ядра. Примечательно, что его сертификат Authenticode связывает его с компанией Shenzhen Aolian Information Security Technology Co., Ltd., предоставляя ему легитимность в рамках экосистемы подписи драйверов Microsoft.

Драйвер спроектирован для обнаружения команд, встроенных в HTTP POST-запросы, путем идентификации последовательности магических байтов (7F 4E 54 46). Аутентификация команд использует 32-байтовый тег HMAC-SHA256, который вычисляется с использованием жестко закодированного 256-битного секретного ключа, встроенного в драйвер. Этот тщательный метод не только обеспечивает целостность команд, но и защищает от несанкционированного выполнения.

Одна из основных функций драйвера wskmon.sys — выполнение команд от имени NT AUTHORITY SYSTEM на целевых машинах. Он работает путем расшифровки полезной нагрузки команды, поиска запущенного экземпляра svchost.exe и внедрения команд непосредственно в его адресное пространство, создавая потоки без отображения каких-либо окон на рабочем столе пользователя из-за изоляции сеанса Windows 0.

Демонстрации показывают, что типичные сетевые приложения могут использоваться в качестве транспортных каналов, при этом команды отправляются незамеченными, пока WFP не перехватит и не обработает их. Возникающие в результате процессы, хотя и являются исполняемыми, привязываются к svchost.exe, что делает их менее заметными для криминалистический анализ, отслеживающих общую пользовательскую активность.

Возможности для обнаружения этого бэкдора включают мониторинг нерегулярных регистраций вызовов потоков WFP и наблюдение за необычными шаблонами загрузки драйверов, особенно касающимися низко-распространенных подписанных драйверов, взаимодействующих с сетевой или процессной активностью. Выявление трафика, содержащего признаки протокола NTF, особенно магической последовательности, также может помочь в распознавании его операций. Кроме того, аномалии, такие как запуск svchost.exe неожиданных дочерних процессов или выполнение команд, таких как cmd.exe в Сессии 0, могут сигнализировать о наличии бэкдора.

Архитектура wskmon.sys подчеркивает значительные последствия для безопасности в отношении доверия к ядру, акцентируя срочную необходимость более строгой проверки драйверов ядра и улучшения механизмов обнаружения вредоносной активности в пространстве ядра. ВПО инкапсулирует комплексный фреймворк удаленного доступа в подписанный драйвер, тем самым обходя распространенные методы обнаружения в пользовательском режиме и усиливая необходимость бдительного мониторинга ядра в стратегиях киберзащиты.
#ParsedReport #CompletenessLow
26-06-2026

Malware steals Chrome session cookies to take over your accounts

https://www.malwarebytes.com/blog/news/2026/06/malware-steals-chrome-session-cookies-to-take-over-your-accounts

Report completeness: Low

Victims:
Chrome users

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.007, T1059.001, T1059.007, T1083, T1176, T1217, T1539, T1559, have more...

IOCs:
File: 4
BrowserExtension: 1
Domain: 1

Soft:
Chrome

Languages:
powershell, javascript
CTT Report Hub
#ParsedReport #CompletenessLow 26-06-2026 Malware steals Chrome session cookies to take over your accounts https://www.malwarebytes.com/blog/news/2026/06/malware-steals-chrome-session-cookies-to-take-over-your-accounts Report completeness: Low Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака с использованием вредоносного программного обеспечения (ВПО) осуществляется через фишинговые письма, доставляющие зашифрованный JavaScript-код, замаскированный под PDF-файл. Этот файл активирует бэкдор на системах Windows и использует скрипт PowerShell для установки вредоносного расширения Chrome, которое обходит разрешения пользователя, собирает конфиденциальные данные и служит удаленным каналом команд для выполнения команд и запуска скриптов. Атака использует механизм Chrome Native Messaging для взаимодействия с хост-системой, что повышает скрытность и позволяет избегать обнаружения.
-----

В недавнем анализе киберугроз подробно описывается сложная атака с использованием ВПО, нацеленная на пользователей через вредоносные расширения Chrome. Атака начинается с фишингового письма, содержащего вложение, которое маскируется под PDF-файл, но на самом деле представляет собой обфусцированный JavaScript-код с вводящим в заблуждение расширением .pfd.js. После выполнения этот JavaScript-файл запускает Windows-бэкдор, размещая дополнительные файлы во временной папке системы.

В основе атаки лежит скрипт PowerShell, который настраивает расширение Chrome и изменяет политики браузера для разрешения установки расширения. Этот метод позволяет вредоносному ПО маскироваться под развертывание, контролируемое администратором, обходя обычные разрешения пользователей. После установки расширение работает внутри браузера, собирая конфиденциальные данные, такие как куки-файлы сессий, открытые вкладки, URL-адреса, языковые настройки и информацию о цифровом отпечатке устройства. Кроме того, злоумышленники используют эту настройку в качестве канала удаленных команд, позволяющего им отправлять команды для выполнения скриптов PowerShell и перечисления файлов на хост-системе, особенно на диске C:.

Ключевой особенностью этого ВПО является использование им Chrome Native Messaging — легитимной функции браузера, которая позволяет расширениям взаимодействовать с нативными приложениями на хост-системе. Используя эту функциональность, злоумышленники обеспечивают возможность расширения выступать в роли контроллера для выполнения локального кода без прямого запуска PowerShell непосредственно из самого расширения. Вместо этого вредоносное расширение отправляет сообщения зарегистрированному нативному хосту, который затем взаимодействует с PowerShell, тем самым эффективно вписывая атаку в ожидаемые рабочие процессы и минимизируя риски обнаружения.

Стратегии смягчения последствий имеют решающее значение для пользователей, чтобы защититься от таких угроз. Пользователям рекомендуется тщательно проверять расширения файлов, использовать актуальные и работающие в реальном времени решения антивирусной защиты от вредоносного ПО, а также контролировать установленные расширения Chrome, удаляя любые подозрительные или неиспользуемые. Дополнительные меры предосторожности включают выход из критически важных учетных записей после использования, чтобы аннулировать любые потенциальные сессионные файлы cookie, которые могли быть скомпрометированы, а также регулярную проверку истории входов в учетную запись для выявления несанкционированного доступа.