#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последние недели специалисты SentinelLabs заметили, что семейство вымогательских программ IceFire расширяет свои атаки на системы Linux. Этот стратегический сдвиг имеет большое значение, так как он объединяет их с другими группами вымогателей, которые также нацелены на системы Linux. Полезная нагрузка IceFire была развернута с помощью эксплойта для CVE-2022-47986, недавно исправленной уязвимости в программе обмена файлами IBM Aspera Faspex. Полезная нагрузка была размещена на дроплете DigitalOcean и была обнаружена 0/61 движками VirusTotal.

IceFire нацелен на незащищенные части файловой системы, для записи или модификации которых не требуются повышенные привилегии. Он шифрует файлы с расширением .ifire, добавляемым к имени файла, а также отправляет записку с требованием выкупа, содержащую закодированные имя пользователя и пароль для входа на платежный портал, расположенный на скрытом сервисе Tor.

Популярность Ransomware, нацеленных на Linux, растет с 2021 года, когда известные группы ransomware добавили в свой арсенал шифровальщиков Linux. Чтобы преодолеть трудности, связанные с развертыванием вредоносного ПО против систем Linux, злоумышленники прибегают к использованию уязвимостей приложений, таких как уязвимость IBM Aspera, использованная в этих атаках IceFire. Несмотря на атаку на сервер, клиенты все равно смогли загрузить файлы с зашифрованного сервера. Это означает, что разработчики IceFire тщательно выбирали, какие файлы шифровать.

Организациям важно знать об этих тенденциях и принимать меры предосторожности для защиты своих систем. Организациям следует регулярно обновлять свои системы, чтобы убедиться, что они не уязвимы для эксплойтов, следить за своими сетями на предмет вредоносной активности и развернуть антивирусное программное обеспечение для обнаружения и предотвращения атак ransomware.

#ParsedReport
09-03-2023

SpiderLabs Blog. A Noteworthy Threat: How Cybercriminals are Abusing OneNote Part 1

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-noteworthy-threat-how-cybercriminals-are-abusing-onenote-part-1

Threats:
Formbook
Credential_harvesting_technique
Pyarmor_tool
Asyncrat_rat

IOCs:
File: 6
Url: 2
Command: 1
Hash: 2

Softs:
onenote, microsoft onenote', pyinstaller, virtualbox, hyper-v

Algorithms:
zip

Languages:
python

Links:
https://github.com/extremecoders-re/pyinstxtractor

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

В последнее время угрозы используют возможности Microsoft OneNote по созданию встроенных файлов для проведения вредоносных атак. С помощью фишинговых писем и заманивания внутри документа OneNote ничего не подозревающих пользователей обманом заставляют загрузить и открыть файлы вредоносного ПО. Это может привести к краже данных или установке выкупного ПО на системы жертв. В декабре 2020 года была обнаружена вредоносная кампания, поставляющая Formbook через троянизированный документ OneNote. Отказ от использования документов с макросами связан с ужесточением компанией Microsoft мер безопасности для файлов, загружаемых из Интернета.

Поддельный PDF-запрос, содержащий исполняемый файл, используется для того, чтобы обмануть пользователей и заставить их думать, что открытый файл является легитимным. Исполняемый файл был создан с помощью PyInstaller, библиотеки, которая упаковывает программы Python в отдельные исполняемые файлы, а для извлечения его содержимого использовался pyinstxtractor. Сценарий с именем contain.pyc содержал основную полезную нагрузку, а также был загружен дополнительный ZIP-пакет, содержащий наборы инструментов ChromeCookiesView и MZCookiesView. Эти бесплатные программы, созданные компанией NirSoft, позволяют извлекать из веб-браузеров файлы cookie, данные истории и информацию о кэше, которые угрозы используют во вредоносных целях.

Угроза также использовала Python-скрипт soax.py, обфусцированный с помощью PyArmor, для сбора паролей веб-браузера и почтового клиента.

Эта угроза подчеркивает, как субъекты угроз используют для осуществления вредоносных атак легитимные открытые и бесплатные инструменты, которые обычно остаются незамеченными средствами защиты. Во второй части этой серии будет рассмотрена цепочка заражения, ведущая к появлению вредоносной программы AsyncRAT, а также обзор других заметных штаммов вредоносного ПО.

#ParsedReport
08-03-2023

ASEC Weekly Malware Statistics (February 27th, 2023 March 5th, 2023)

https://asec.ahnlab.com/en/49018

Actors/Campaigns:
Kimsuky

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Amadey
Smokeloader
Lockbit
Quasar_rat
Formbook
Clipboard_grabbing_technique

Industry:
Transport

IOCs:
Domain: 7
IP: 7
Email: 5
File: 16
Url: 18

Softs:
telegram

#ParsedReport
09-03-2023

Cisco Talos Intelligence Blog. Prometei botnet improves modules and exhibits new capabilities in recent updates

https://blog.talosintelligence.com/prometei-botnet-improves

Threats:
Prometei_botnet
Credential_harvesting_technique
Mimikatz_tool
Bluekeep_vuln
Miwalk

Geo:
Japan, Turkey, Brazil, Russian, Ukraine, Indonesia, Russia, Kazakhstan, Belarus

CVEs:
CVE-2019-0708 [Vulners]
CVSS V2: 10.0,
Vulners: Exploitation: True
X-Force: Risk: 9.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2003 (r2, -)
- microsoft windows 7 (-)
- microsoft windows vista (-)
- microsoft windows xp (-)
have more...

TTPs:
Tactics: 5
Technics: 12

IOCs:
File: 27
Path: 6
Url: 22
Domain: 11
IP: 11
Hash: 44

Softs:
postgressql, windows service

Algorithms:
base64, exhibit, xor

Functions:
PowerShell

Languages:
php, python

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Prometei - это высокомодульная бот-сеть с червеподобными возможностями, активная с 2016 года. В основном он используется для развертывания майнера криптовалюты Monero, и недавно компания Talos обнаружила модификации в цепочке выполнения, которые автоматизируют обновление компонентов и инфраструктуры и затрудняют анализ защитников. По оценкам, Prometei заразила более 10 000 систем по всему миру, распределяясь пропорционально численности населения - за исключением Бразилии, Индонезии и Турции, а Россия является единственной страной, исключенной из конфигурации Tor.

Ботнет имеет большой репертуар модулей и множество методов распространения, включая программу-распространитель, эксплойт уязвимости BlueKeep и сборку на базе .NET для бокового перемещения. Кроме того, операторы постоянно совершенствуют компоненты и возможности инфраструктуры, добавляя возможности бэкдора, механизм самообновления и веб-оболочку для сохранения. Полезная нагрузка майнера криптовалюты зашифрована в защищенном родительским паролем архиве 7-Zip, а его конфигурационные атрибуты предоставляются C2 через загруженный текстовый файл.

Talos выявил новые тактики, техники и процедуры (ТТП) Prometei, которые расширяют возможности ботнета и еще не были освещены в открытых источниках. К ним относятся алгоритм генерации доменов, расширенная возможность самообновления, дополнительные команды бота, версия веб-сервера Apache в комплекте с веб-оболочкой на базе PHP, а также служба Windows, созданная под именем KtmRmSvc, состоящая из автоматического запуска процесса для исполняемого файла в подкаталоге AppServ Apache2.2\bin\taskhost.exe.

Talos также заметил изменение в текущем поведении Prometeis, в результате которого этот агент теперь исключает только российские выходные узлы из своего модуля подключения Tor - возможно, в ответ на войну между Россией и Украиной - тогда как ранее он избегал нацеливаться на Россию и многие пограничные государства. Это может указывать на желание ограничить заражение и/или связь с любыми российскими узлами со стороны автора ботнета, и что ранее исключенные пограничные государства теперь являются честной игрой.

В целом, Prometei - это сложная бот-сеть, которая постоянно развивается и расширяет свои возможности, что делает ее все более опасной угрозой. Поэтому важно, чтобы пользователи и организации сохраняли бдительность и предпринимали необходимые шаги для защиты от этой угрозы, включая обновление программного обеспечения и мониторинг подозрительной активности в своих сетях.

#ParsedReport
09-03-2023

ASEC weekly malware statistics (20230227 \~ 20230305)

https://asec.ahnlab.com/ko/48847

Actors/Campaigns:
Ta505
Kimsuky

Threats:
Redline_stealer
Beamwinhttp_loader
Agent_tesla
Azorult
Amadey
Smokeloader
Lockbit
Gandcrab
Flawedammyy
Clop
Quasar_rat
Xrat_rat
Gold_dragon
Vidar_stealer
Formbook
Clipboard_grabbing_technique

Industry:
Transport

Geo:
Korea

IOCs:
Domain: 7
IP: 7
Email: 5
File: 16
Url: 18

Softs:
telegram, discord

Links:
https://github.com/tidusjar/xRAT

#ParsedReport
09-03-2023

SpiderLabs Blog. A Noteworthy Threat: How Cybercriminals are Abusing OneNote Part 2

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/a-noteworthy-threat-how-cybercriminals-are-abusing-onenote-part-2

Threats:
Asyncrat_rat
Qakbot
Remcos_rat
Html_smuggling_technique
Dbat_loader
Motw_bypass_technique

IOCs:
File: 4
Command: 1
IP: 5
Hash: 8
Url: 2

Softs:
onenote

Algorithms:
gzip, aes-256, cbc, aes, base64, aes-cbc

Functions:
ReadAllText

Win API:
GetProcAddress, LoadLibrary, VirtualProtect, AmsiScanBuffer, EtwEventWrite

Languages:
delphi

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Угрозы все чаще используют документы Microsoft OneNote для запуска вредоносных кампаний. Во второй части этой серии мы рассмотрим цепочку заражения AsyncRAT и изучим другие известные штаммы вредоносного ПО, такие как Qakbot и RemcosRAT.

Для начала загрузчик использует методы уклонения от защиты, чтобы обойти Antimalware Scan Interface (AMSI) и Event Trace for Windows (ETW). Записывая поддельный массив байтов в область памяти AMSI, он заставляет результат сканирования очиститься, позволяя вредоносному коду работать неограниченно. Аналогичным образом передается опкод для отключения функциональности ETW. Это гарантирует, что полезная нагрузка будет выполнена без обнаружения.

Вредоносной полезной нагрузкой является инструмент удаленного доступа (RAT) AsyncRAT с открытым исходным кодом на базе .NET. Его конфигурация шифруется с помощью AES-256 в режиме CBC и предоставляет такие возможности, как кейлоггинг и функции уклонения от защиты. Qakbot использует методы перехвата потока электронной почты для увеличения вероятности того, что пользователи нажмут на вредоносные ссылки или вложения, маскируясь под документ, пришедший из облака. Он также используется для доставки Remcos RAT, а ModiLoader применяется для исключения пути C:\Users из AV-сканирования.

Документы OneNote не включают защиту защищенного просмотра и MOTW (Mark-of-the-Web), что делает их привлекательными для киберпреступников. Поскольку субъекты угроз продолжают адаптироваться к новым методам, вполне вероятно, что в будущем можно будет увидеть больше кампаний, использующих OneNote.

#ParsedReport
09-03-2023

PlugX Malware Being Distributed via Vulnerability Exploitation

https://asec.ahnlab.com/en/49097

Actors/Campaigns:
Red_delta
Axiom
Red_sylvan

Threats:
Plugx_rat
Gh0st_rat
Sliver_tool
Xmrig_miner
Paradise_ransomware
Dll_sideloading_technique
Uac_bypass_technique
Netstat_tool
Malware/win.generic.c5387131
Trojan/win.loader.c5345891
Malware/mdp.download.m1197

Geo:
China, Chinese

CVEs:
CNVD-2022-10270 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- 上海贝锐信息科技股份有限公司 向日葵个人版for Windows 11. (0.0.33)

CNVD-2022-03672 [Vulners]
CVSS V2: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 8
Path: 1
Domain: 4
Hash: 3
Url: 2

Softs:
sunlogin, awesuns, sunlogins, awesun

Functions:
DllMain

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр экстренного реагирования на чрезвычайные ситуации безопасности AhnLab (ASEC) недавно обнаружил установку вредоносного ПО PlugX через две китайские программы удаленного управления, Sunlogin и AweSun. Уязвимость удаленного выполнения кода в Sunlogin (CNVD-2022-10270 и CNVD-2022-03672) была раскрыта и до сих пор используется для атак. Считается, что аналогичная уязвимость RCE существует и в AweSun. В обоих случаях угрозы использовали уязвимость RCE для выполнения Sliver C2, XMRig CoinMiner и Gh0st RAT. Кроме того, программа Paradise ransomware также распространялась через RCE-уязвимость Sunlogin.

PlugX - это крупный бэкдор, который используется китайскими группами Advanced Persistent Threat (APT). Это вредоносная программа на основе модулей с различными плагинами, которые могут быть использованы для вредоносных действий. Он использует метод боковой загрузки DLL, чтобы избежать обнаружения, и обычно распространяется в виде сжатого файла или дроппера. Команда обнаружила, что программа esetservice.exe имеет функцию, которая загружает файл http_dll.dll в том же каталоге, если выполняется без дополнительного аргумента. Это классический метод боковой загрузки DLL, и PlugX известен тем, что использует этот метод. PlugX распространяется в виде набора, содержащего обычную программу exe, загрузчик DLL и файл данных, содержащий собственно закодированную вредоносную программу.

При анализе кода было обнаружено, что файл http_dll.dll содержит процедуру чтения файла lang.dat, находящегося в том же каталоге, перед его расшифровкой и выполнением. Дроппер маскируется под путь обычных программ и создает вредоносное ПО по пути C:\ProgramData\Windows NT\Windows eset service. Он также использует настройки свойств, чтобы скрыть свое присутствие. В базе данных VirusTotal были найдены вредоносные программы, использующие те же файлы esetservice.exe и http_dll.dll. Этот дроппер создает esetservice.exe, http_dll.dll и lang.dat при выполнении, прежде чем запустить esetservice.exe для окончательной установки и выполнения PlugX.

PlugX постоянно обновляется, и Dr.Web опубликовал отчет о классификации и анализе различных вариантов PlugX в 2020 году. Кроме того, Security Joes рассказал о самых последних обнаруженных вариантах PlugX в 2022 году. Он может использоваться в различных режимах и способен обходить UAC. Он имеет два дополнительных плагина, один для кражи данных буфера обмена, а другой для распространения по RDP. Украденные данные сохраняются в разных файлах в зависимости от вредоносной программы.

Исходя из всего этого, пользователям важно обновить установленное программное обеспечение до последней версии и обновить V3 до последней версии, чтобы предотвратить заражение вредоносным ПО. Если не обновить программное обеспечение, незащищенные системы становятся уязвимыми для атак и могут привести к установке PlugX, который может быть использован для вредоносных действий, таких как регистрация вводимых клавиш, снятие скриншотов и установка дополнительного вредоносного ПО.

#ParsedReport
09-03-2023

CHM malware (Kimsuky) disguised questionnaires related to North Korea

https://asec.ahnlab.com/ko/48960

Actors/Campaigns:
Kimsuky

Geo:
Korea

TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 3
File: 2
Registry: 1
Url: 2
Hash: 4

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) недавно выявил новый тип вредоносного ПО, созданного группой Kimsuky. Вредоносная программа под названием CHM распространяется в виде вложений в электронные письма, замаскированные под запросы на интервью о Северной Корее. Она отображается как окно помощи с реальными вопросами, что затрудняет распознавание пользователем вредоносного файла. Вредоносные скрипты, содержащиеся в CHM-файле, выполняются, когда пользователь отвечает на письмо и открывает вложение. Команда, выполняемая через CHM-файл, сохраняется в двух разных файлах - Document.dat и Document.vbs - и затем регистрируется в ключе Run, чтобы постоянно выполнять код вредоносного сценария, найденный в hxxp://mpevalr.ria.monster/SmtInfo/demo.txt.

Анализ кода, содержащегося в CHM-файле, показал, что он имеет тот же формат, что и вредоносный код, о котором сообщалось в "Отчете об анализе вредоносного кода, распространяемого группой Kimsuky", опубликованном ATIP в прошлом году. Это подтверждает, что группа Kimsuky также распространяет фишинговые письма с прикрепленными к ним различными типами вредоносных файлов, таких как CHM-файлы.

Важно, чтобы пользователи знали об этой угрозе и принимали меры предосторожности против нее. Они не должны открывать подозрительные электронные письма или вложения и всегда должны обновлять свои компьютеры и другие устройства последними патчами безопасности. Кроме того, всегда следует использовать надежную антивирусную программу для проверки любых файлов перед их открытием. Выполняя эти простые действия, пользователи могут защитить себя от того, чтобы стать жертвами такого типа атак.

#ParsedReport
09-03-2023

Mallox ransomware spreading in Korea

https://asec.ahnlab.com/ko/48959

Threats:
Mallox_ransomware
Malware/mdp.inject.m218

Geo:
Korea, Ukraine, Belarus, Kazakhstan, Russia

IOCs:
Url: 3
File: 14
Hash: 4

Softs:
ms-sql, im msdtssrvr, &&taskkill, internet explorer, windows defender, asp.net

Algorithms:
base64

Win Services:
fdlauncher, askkill -f

Platforms:
intel

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Mallox ransomware с высокой скоростью распространяется на уязвимые MS-SQL-серверы, согласно данным Центра экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC). Он маскируется под программу, связанную с DirectPlay, и пытается загрузить дополнительный вредоносный код. Если она не может достичь определенного адреса, она зацикливается, пытаясь получить к нему доступ. Группа анализа ASEC идентифицировала то же доменное имя, что и у полученной в феврале программы Mallox ransomware, предполагая, что это основной сайт распространения ransomware.

Дополнительное вредоносное ПО, загружаемое Mallox ransomware, представляет собой файл данных в Base64-кодировке, который при декодировании и обратном преобразовании является DLL-файлом, созданным с использованием .Net. В зависимости от языковых настроек ПК он может исключать заражение определенных языковых сред. Чтобы предотвратить заражение от Mallox ransomware, люди должны с осторожностью относиться к запуску файлов из неизвестных источников и проверять подозрительные файлы с помощью вакцины. Они также должны убедиться, что их вакцины обновлены.

Чтобы защитить себя от Mallox ransomware, необходимо следовать лучшим практикам кибербезопасности, таким как избегать открытия вложений от неизвестных отправителей, использовать надежные пароли, регулярно создавать резервные копии важных данных, использовать двухфакторную аутентификацию и поддерживать системы и программное обеспечение в актуальном состоянии. Кроме того, важно быть в курсе новых угроз, поэтому обязательно подпишитесь на информационные бюллетени или блоги по безопасности.

#ParsedReport
07-03-2023

GlobeImposter Ransomware Being Distributed with MedusaLocker via RDP

https://asec.ahnlab.com/en/48940

Threats:
Globeimposter
Medusalocker
Credential_stealing_technique
Mimikatz_tool
Netpass_tool
Xmrig_miner
Filecoder
Trojan/win32.rl_coinminer.c4078402
Trojan/win32.rl_mimikatz.r366782
Ransom/mdp.event.m4428

Industry:
Healthcare

IOCs:
File: 13
Domain: 1
Coin: 1
Hash: 13
Url: 1

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Недавние кибератаки подчеркнули важность обеспечения надежных учетных данных и регулярно обновляемых протоколов безопасности. Группа угроз MedusaLocker является одним из таких злоумышленников, использующих протокол удаленного рабочего стола (RDP) в качестве основного вектора атаки для получения доступа к системам с неадекватными учетными данными. После получения доступа на систему устанавливаются программы-вымогатели и другие вредоносные инструменты, включая сканеры и инструменты для кражи учетных данных. Сканеры могут использоваться для выявления других уязвимых систем в сети, а инструменты для кражи учетных данных позволяют субъекту угрозы перемещаться по сети.

Также было обнаружено, что в последних случаях группа использует вымогательское ПО GlobeImposter вместо своего собственного варианта MedusaLocker. Кроме того, было обнаружено, что вместе с вымогательским ПО устанавливается вредоносное ПО XMRig CoinMiner. Использование RDP в качестве начального вектора атаки характерно для многих угроз, связанных с ростом числа вымогателей, поэтому пользователям следует принимать дополнительные меры предосторожности при его использовании. Рекомендуется отключать RDP, если он не используется, а если включен, всегда использовать сложный пароль и регулярно менять его для предотвращения атак методом перебора и по словарю. Кроме того, обновление V3 до последней версии поможет защитить от заражения вредоносным ПО.

#ParsedReport
09-03-2023

CHM Malware Disguised as Security Email from a Korean Financial Company: Redeyes (Scarcruft)

https://asec.ahnlab.com/en/49089

Actors/Campaigns:
Apt37

Threats:
M2rat

Industry:
Financial

Geo:
Korea, Korean

IOCs:
File: 2
Url: 3
Command: 2
Path: 1
Registry: 1
IP: 1
Hash: 2

Languages:
javascript

#ParsedReport #ChatGPT #Translated
Автотекст: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

Аналитическая группа Центра реагирования на чрезвычайные ситуации в области безопасности АнЛаб (ASEC) обнаружила вредоносное ПО, распространяемое среди корейских пользователей и предположительно связанное с угрожающей группой RedEyes, также известной как APT37 или ScarCruft. Вредоносная программа маскируется под письмо безопасности от корейской финансовой компании и использует для выполнения вредоносный скрипт, скрытый в CHM-файле. После выполнения вредоносный скрипт активирует объект ярлыка, который затем запускает серию закодированных команд PowerShell. Эти команды похожи на те, что использовались в атаке M2RAT, о которой сообщалось в феврале. Они могут использоваться для обеспечения устойчивости в системе, получения команд с сервера угрожающего субъекта и передачи результатов выполнения команд. Этот тип вредоносного ПО может нанести значительный ущерб, загружая файлы и похищая информацию по указанию угрожающего субъекта.

Для защиты от этого типа вредоносного ПО пользователям следует избегать открытия электронных писем из неизвестных источников и воздерживаться от выполнения вложений. Также важно регулярно сканировать устройства с помощью обновленных продуктов безопасности и поддерживать их в актуальном состоянии. Обеспечение безопасности систем путем выполнения этих шагов поможет защититься от злоумышленников, использующих вредоносное ПО, нацеленное на конкретных пользователей.

#ParsedReport
08-03-2023

Old Cyber Gang Uses New Crypter ScrubCrypt

https://www.fortinet.com/blog/threat-research/old-cyber-gang-uses-new-crypter-scrubcrypt

Actors/Campaigns:
8220_gang

Threats:
Scrubcrypt
Monero_miner
Kryptik_trojan

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 7
File: 6
Path: 1
Command: 1
Coin: 1
Domain: 2
Hash: 23

Softs:
oracle weblogic server, windows defender, event tracing for windows, process explorer

Algorithms:
base64, aes, cbc, xor, exhibit, zip

Win API:
EtwEventWrite

#ParsedReport
09-03-2023

DeepStreamer: Illegal movie streaming platforms hide lucrative ad fraud operation

https://www.malwarebytes.com/blog/threat-intelligence/2023/03/deepstreamer-illegal-movie-streaming-platforms-hide-lucrative-ad-fraud-operation

Threats:
Deepstreamer_resource
Popunder_technique
Magnitude

Industry:
Media

Geo:
Asia, California

IOCs:
Domain: 73
Hash: 10

Softs:
wordpress

Languages:
javascript

Platforms:
arm