#ParsedReport #CompletenessLow
02-07-2026
SOCRadar Links FortiBleed Campaign to INC and Lynx Ransomware Operations
https://socradar.io/blog/fortibleed-inc-lynx-ransomware-link/
Report completeness: Low
Threats:
Fortibleed_vuln
Lynx
Credential_harvesting_technique
Fortigatesniffer_tool
Inc_ransomware
Victims:
Organizations running fortigate firewalls, Fortigate portals
ChatGPT TTPs:
T1040, T1078, T1078.002, T1133, T1486, T1595
Soft:
FortiGate
Languages:
golang
02-07-2026
SOCRadar Links FortiBleed Campaign to INC and Lynx Ransomware Operations
https://socradar.io/blog/fortibleed-inc-lynx-ransomware-link/
Report completeness: Low
Threats:
Fortibleed_vuln
Lynx
Credential_harvesting_technique
Fortigatesniffer_tool
Inc_ransomware
Victims:
Organizations running fortigate firewalls, Fortigate portals
ChatGPT TTPs:
do not use without manual checkT1040, T1078, T1078.002, T1133, T1486, T1595
Soft:
FortiGate
Languages:
golang
SOCRadar® Cyber Intelligence Inc.
SOCRadar Links FortiBleed Campaign to INC and Lynx Ransomware Operations
SOCRadar's Threat Research Unit has linked the FortiBleed credential-harvesting campaign to the INC Ransom and Lynx ransomware operations...
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2026 SOCRadar Links FortiBleed Campaign to INC and Lynx Ransomware Operations https://socradar.io/blog/fortibleed-inc-lynx-ransomware-link/ Report completeness: Low Threats: Fortibleed_vuln Lynx Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания FortiBleed представляет собой серьезную киберугрозу, связанную с операцией по сбору учетных записей, нацеленной на более чем 430 000 межсетевых экранов FortiGate по всему миру. Используя собственный инструмент на Golang под названием FortigateSniffer, злоумышленник, идентифицированный как брокер первоначального доступа, перехватывает трафик аутентификации, получая доступ на уровне администратора к нескольким целям и способствуя развертыванию программ-вымогателей. Расследования связали эту операцию с группами программ-вымогателей, выявив структурированный подход с участием нескольких лиц, занимающихся управлением доступом и выполнением атак.
-----
Кампания FortiBleed проявилась как значительная киберугроза, характеризующаяся масштабной операцией по сбору учетных записей, нацеленной на более чем 430 000 межсетевых экранов FortiGate по всему миру. Злоумышленник, участвующий в операции, функционирует как брокер первоначального доступа, используя собственный инструмент на Golang под названием FortigateSniffer для пассивного перехвата аутентификационного трафика. Этот инструмент использует команду diagnose sniffer packet в FortiOS и работает через различные протоколы. Операция является как масштабной, так и мотивированной финансовой выгодой, что ставит под сомнение конечное назначение похищенных учетных данных до тех пор, пока недавние расследования не выявили связи с деятельностью программ-вымогателей.
В деталях, широкая операция сканирования была отслежена против примерно 11 250 порталов FortiGate в более чем 150 странах, что подтвердило доступ на уровне администратора к 409 целям. Кроме того, актор завершил полную цепочку атаки, включая компрометацию VPN и доступ к контроллеру домена, на 354 из этих целей. STRU подтвердила, что этот доступ привел как минимум к 12 развертываниям программ-вымогателей, затронувших сотни конечных точек.
Прорыв в расследовании произошел, когда STRU обнаружила упущение в операционной безопасности (OPSEC) в инфраструктуре злоумышленника, что дало возможность увидеть внутренние файлы и журналы, включая взаимодействия с панелями переговоров как INC Ransom, так и Lynx. Эта связь показывает, что один и тот же оператор управлял требованиями выкупа для обоих программ-вымогателей, что указывает на эффективное использование учетных данных, собранных во время кампании FortiBleed, для развертывания программ-вымогателей.
Кроме того, анализ пересечения жертв дополнительно подтвердил связь между операцией FortiBleed и связанными группами вымогателей. STRU сопоставил данные о целях и жертвах из FortiBleed с открытым каталогом, связанным с INC, подтвердив, что одни и те же организации отслеживались обеими операциями.
Расследование также выявило внутренний документ, описывающий управление организацией целями FortiGate, включая записи об использовании учетных данных, доступе к сетям и случаях развертывания программ-вымогателей. Это указывает на многоуровневую операцию, состоящую примерно из 20 человек, включая основных операторов, осуществляющих большинство вторжений с высоким воздействием, и дополнительных специалистов, поддерживающих эти усилия.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания FortiBleed представляет собой серьезную киберугрозу, связанную с операцией по сбору учетных записей, нацеленной на более чем 430 000 межсетевых экранов FortiGate по всему миру. Используя собственный инструмент на Golang под названием FortigateSniffer, злоумышленник, идентифицированный как брокер первоначального доступа, перехватывает трафик аутентификации, получая доступ на уровне администратора к нескольким целям и способствуя развертыванию программ-вымогателей. Расследования связали эту операцию с группами программ-вымогателей, выявив структурированный подход с участием нескольких лиц, занимающихся управлением доступом и выполнением атак.
-----
Кампания FortiBleed проявилась как значительная киберугроза, характеризующаяся масштабной операцией по сбору учетных записей, нацеленной на более чем 430 000 межсетевых экранов FortiGate по всему миру. Злоумышленник, участвующий в операции, функционирует как брокер первоначального доступа, используя собственный инструмент на Golang под названием FortigateSniffer для пассивного перехвата аутентификационного трафика. Этот инструмент использует команду diagnose sniffer packet в FortiOS и работает через различные протоколы. Операция является как масштабной, так и мотивированной финансовой выгодой, что ставит под сомнение конечное назначение похищенных учетных данных до тех пор, пока недавние расследования не выявили связи с деятельностью программ-вымогателей.
В деталях, широкая операция сканирования была отслежена против примерно 11 250 порталов FortiGate в более чем 150 странах, что подтвердило доступ на уровне администратора к 409 целям. Кроме того, актор завершил полную цепочку атаки, включая компрометацию VPN и доступ к контроллеру домена, на 354 из этих целей. STRU подтвердила, что этот доступ привел как минимум к 12 развертываниям программ-вымогателей, затронувших сотни конечных точек.
Прорыв в расследовании произошел, когда STRU обнаружила упущение в операционной безопасности (OPSEC) в инфраструктуре злоумышленника, что дало возможность увидеть внутренние файлы и журналы, включая взаимодействия с панелями переговоров как INC Ransom, так и Lynx. Эта связь показывает, что один и тот же оператор управлял требованиями выкупа для обоих программ-вымогателей, что указывает на эффективное использование учетных данных, собранных во время кампании FortiBleed, для развертывания программ-вымогателей.
Кроме того, анализ пересечения жертв дополнительно подтвердил связь между операцией FortiBleed и связанными группами вымогателей. STRU сопоставил данные о целях и жертвах из FortiBleed с открытым каталогом, связанным с INC, подтвердив, что одни и те же организации отслеживались обеими операциями.
Расследование также выявило внутренний документ, описывающий управление организацией целями FortiGate, включая записи об использовании учетных данных, доступе к сетям и случаях развертывания программ-вымогателей. Это указывает на многоуровневую операцию, состоящую примерно из 20 человек, включая основных операторов, осуществляющих большинство вторжений с высоким воздействием, и дополнительных специалистов, поддерживающих эти усилия.
#ParsedReport #CompletenessLow
01-07-2026
PolinRider: North Korea-Linked Supply Chain Campaign Expands Across Open Source Ecosystems
https://socket.dev/blog/polinrider-north-korea-linked-supply-chain-campaign-expands
Report completeness: Low
Actors/Campaigns:
Polinrider
Contagious_interview
Famous_chollima
Dev_popper
Threats:
Supply_chain_technique
Omnistealer
Victims:
Open source ecosystems, Developer environments, Github repositories, Package registries
Industry:
Financial
Geo:
North korean, North korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036.008, T1059.007, T1071, T1078, T1105, T1140, T1195.001, T1204
IOCs:
File: 3
BrowserExtension: 1
Soft:
Chrome, Node.js, Kubernetes, Docker, Slack
Wallets:
tron
Crypto:
aptos
Algorithms:
xor
Functions:
eval
Win API:
lockfile
Languages:
python, javascript
Links:
have more...
01-07-2026
PolinRider: North Korea-Linked Supply Chain Campaign Expands Across Open Source Ecosystems
https://socket.dev/blog/polinrider-north-korea-linked-supply-chain-campaign-expands
Report completeness: Low
Actors/Campaigns:
Polinrider
Contagious_interview
Famous_chollima
Dev_popper
Threats:
Supply_chain_technique
Omnistealer
Victims:
Open source ecosystems, Developer environments, Github repositories, Package registries
Industry:
Financial
Geo:
North korean, North korea
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.008, T1059.007, T1071, T1078, T1105, T1140, T1195.001, T1204
IOCs:
File: 3
BrowserExtension: 1
Soft:
Chrome, Node.js, Kubernetes, Docker, Slack
Wallets:
tron
Crypto:
aptos
Algorithms:
xor
Functions:
eval
Win API:
lockfile
Languages:
python, javascript
Links:
https://github.com/Xpos587?tab=repositorieshave more...
https://socket.dev/go/package/github.com/Xpos587/git2md?version=v0.0.0-20260503100027-79bdb26ca95dSocket
PolinRider: North Korea-Linked Supply Chain Campaign Expands...
PolinRider expands across npm, Packagist, Go modules, and Chrome extensions, using hidden loaders to target developer environments.
CTT Report Hub
#ParsedReport #CompletenessLow 01-07-2026 PolinRider: North Korea-Linked Supply Chain Campaign Expands Across Open Source Ecosystems https://socket.dev/blog/polinrider-north-korea-linked-supply-chain-campaign-expands Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания PolinRider, приписываемая северокорейским акторам, расширилась на различные экосистемы с открытым исходным кодом, скомпрометировав учетные записи сопровождающих и изменив репозитории для распространения 162 вредоносных артефактов на таких платформах, как npm, Go-модули и Packagist. Атакующие техники включают внедрение зашифрованных JavaScript-загрузчиков в легитимные пакеты, при этом полезная нагрузка в основном подключается к блокчейн-сервисам для дальнейших злонамеренных операций, таких как кража учетных данных. Несмотря на усилия по устранению в некоторых пакетах, остатки ВПО сохраняются, что указывает на продолжающиеся угрозы в этих экосистемах.
-----
Кампания PolinRider, приписываемая северокорейским злоумышленникам, продемонстрировала значительное расширение в экосистемах открытого исходного кода. Изначально появившись в npm, кампания теперь проникла на платформы, включая Go-модули, Packagist и даже расширения Chrome, с общим количеством 162 выявленных вредоносных артефактов, распределенных по 108 уникальным пакетам. Эти злоумышленники применяют тактики, такие как компрометация учетных записей сопровождающих, модификация репозиториев и публикация вредоносных версий пакетов, что позволяет осуществлять постоянную доставку дополнительного ВПО по мере появления новых пакетов.
Метод работы PolinRider заключается во внедрении зашифрованных JavaScript-загрузчиков в легитимные репозитории. Эти загрузчики обычно маскируют свое присутствие с помощью таких техник, как добавление пробелов или маскировка вредоносных полезной нагрузки под безобидные шрифтовые файлы .woff2. Исполнение часто инициируется через инструменты разработчика, такие как Visual Studio Code, с использованием файлов задач, настроенных на запуск при открытии папки. Эта техника позволяет злоумышленникам манипулировать историей Git репозитория, применяя методы, такие как принудительные push-операции и коммиты с подделкой даты, чтобы скрыть вредоносные изменения, что приводит к ненадежной истории коммитов, способной ввести защитников в заблуждение.
Пейлоады, доставляемые этими лоадерами, в основном основаны на JavaScript и подключаются к блокчейн-сервисам, таким как TRON и BNB Smart Chain, для получения дополнительных зашифрованных пейлоадов. Известные пейлоады включают DEV#POPPER и OmniStealer, которые обеспечивают выполнение команд, кражу учетных данных и эксфильтрацию кошельков. Эволюционный характер конструкции на основе лоадеров указывает на возможность доставки нового ВПО по мере развития кампании.
В недавних операциях также наблюдается заметное расширение на Packagist, где множество скомпрометированных пакетов связано с организацией 7span. Очистительные усилия этой организации позволили устранить некоторые вредоносные payloads; однако, остатки зашифрованного JavaScript остаются из-за незавершенного характера восстановительных работ, что подчеркивает необходимость комплексных стратегий обнаружения и реагирования. Примечательно, что кампания пока не затронула Python Package Index (PyPI), что может указывать на то, что злоумышленники не имеют необходимых учетных данных или доступа для публикации вредоносных версий там.
Для защиты от угроз, связанных с PolinRider, организациям необходимо рассматривать системы с установленными затронутыми пакетами как потенциально скомпрометированные. Криминалистический анализ должен быть сохранен, а системы — пересобраны из чистых источников с одновременной ротацией любых потенциально скомпрометированных учетных данных. Регулярные аудиты сред разработки, конфигурационных файлов и журналов активности GitHub необходимы для выявления любых признаков компрометации или принудительных изменений, которые могут включать вредоносный код. Непрерывный характер кампании указывает на то, что бдительность имеет первостепенное значение, поскольку новые артефакты, вероятно, будут появляться постоянно.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания PolinRider, приписываемая северокорейским акторам, расширилась на различные экосистемы с открытым исходным кодом, скомпрометировав учетные записи сопровождающих и изменив репозитории для распространения 162 вредоносных артефактов на таких платформах, как npm, Go-модули и Packagist. Атакующие техники включают внедрение зашифрованных JavaScript-загрузчиков в легитимные пакеты, при этом полезная нагрузка в основном подключается к блокчейн-сервисам для дальнейших злонамеренных операций, таких как кража учетных данных. Несмотря на усилия по устранению в некоторых пакетах, остатки ВПО сохраняются, что указывает на продолжающиеся угрозы в этих экосистемах.
-----
Кампания PolinRider, приписываемая северокорейским злоумышленникам, продемонстрировала значительное расширение в экосистемах открытого исходного кода. Изначально появившись в npm, кампания теперь проникла на платформы, включая Go-модули, Packagist и даже расширения Chrome, с общим количеством 162 выявленных вредоносных артефактов, распределенных по 108 уникальным пакетам. Эти злоумышленники применяют тактики, такие как компрометация учетных записей сопровождающих, модификация репозиториев и публикация вредоносных версий пакетов, что позволяет осуществлять постоянную доставку дополнительного ВПО по мере появления новых пакетов.
Метод работы PolinRider заключается во внедрении зашифрованных JavaScript-загрузчиков в легитимные репозитории. Эти загрузчики обычно маскируют свое присутствие с помощью таких техник, как добавление пробелов или маскировка вредоносных полезной нагрузки под безобидные шрифтовые файлы .woff2. Исполнение часто инициируется через инструменты разработчика, такие как Visual Studio Code, с использованием файлов задач, настроенных на запуск при открытии папки. Эта техника позволяет злоумышленникам манипулировать историей Git репозитория, применяя методы, такие как принудительные push-операции и коммиты с подделкой даты, чтобы скрыть вредоносные изменения, что приводит к ненадежной истории коммитов, способной ввести защитников в заблуждение.
Пейлоады, доставляемые этими лоадерами, в основном основаны на JavaScript и подключаются к блокчейн-сервисам, таким как TRON и BNB Smart Chain, для получения дополнительных зашифрованных пейлоадов. Известные пейлоады включают DEV#POPPER и OmniStealer, которые обеспечивают выполнение команд, кражу учетных данных и эксфильтрацию кошельков. Эволюционный характер конструкции на основе лоадеров указывает на возможность доставки нового ВПО по мере развития кампании.
В недавних операциях также наблюдается заметное расширение на Packagist, где множество скомпрометированных пакетов связано с организацией 7span. Очистительные усилия этой организации позволили устранить некоторые вредоносные payloads; однако, остатки зашифрованного JavaScript остаются из-за незавершенного характера восстановительных работ, что подчеркивает необходимость комплексных стратегий обнаружения и реагирования. Примечательно, что кампания пока не затронула Python Package Index (PyPI), что может указывать на то, что злоумышленники не имеют необходимых учетных данных или доступа для публикации вредоносных версий там.
Для защиты от угроз, связанных с PolinRider, организациям необходимо рассматривать системы с установленными затронутыми пакетами как потенциально скомпрометированные. Криминалистический анализ должен быть сохранен, а системы — пересобраны из чистых источников с одновременной ротацией любых потенциально скомпрометированных учетных данных. Регулярные аудиты сред разработки, конфигурационных файлов и журналов активности GitHub необходимы для выявления любых признаков компрометации или принудительных изменений, которые могут включать вредоносный код. Непрерывный характер кампании указывает на то, что бдительность имеет первостепенное значение, поскольку новые артефакты, вероятно, будут появляться постоянно.
#ParsedReport #CompletenessMedium
02-07-2026
An Analysis of ValleyRAT Infection Campaigns from Fake Installers, Japanese Malicious Emails
https://www.levelblue.com/blogs/spiderlabs-blog/an-analysis-of-valleyrat-infection-campaigns-from-fake-installers-japanese-malicious-emails
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Valleyrat
Byovd_technique
Supply_chain_technique
Process_injection_technique
Dll_sideloading_technique
Junk_code_technique
Donut
Victims:
Chinese speaking users, Japanese speaking users, Multinational corporations
Geo:
Japan, Hong kong, Japanese, Taiwan, Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036.003, T1055, T1105, T1140, T1204.001, T1204.002, T1497.001, T1497.003, T1547.001, have more...
IOCs:
Hash: 3
File: 7
Domain: 1
Url: 1
Soft:
Visual Studio
Algorithms:
rc4, base64, sha1, zip
Functions:
Sleep
Win API:
IsNativeVhdBoot, InternetOpenW, InternetReadFile, CreateProcessA, VirtualAllocEx, WriteProcessMemory, ResumeThread, GlobalMemoryStatusEx, GetTickCount, GetSystemInfo, have more...
Links:
02-07-2026
An Analysis of ValleyRAT Infection Campaigns from Fake Installers, Japanese Malicious Emails
https://www.levelblue.com/blogs/spiderlabs-blog/an-analysis-of-valleyrat-infection-campaigns-from-fake-installers-japanese-malicious-emails
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Valleyrat
Byovd_technique
Supply_chain_technique
Process_injection_technique
Dll_sideloading_technique
Junk_code_technique
Donut
Victims:
Chinese speaking users, Japanese speaking users, Multinational corporations
Geo:
Japan, Hong kong, Japanese, Taiwan, Chinese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.003, T1055, T1105, T1140, T1204.001, T1204.002, T1497.001, T1497.003, T1547.001, have more...
IOCs:
Hash: 3
File: 7
Domain: 1
Url: 1
Soft:
Visual Studio
Algorithms:
rc4, base64, sha1, zip
Functions:
Sleep
Win API:
IsNativeVhdBoot, InternetOpenW, InternetReadFile, CreateProcessA, VirtualAllocEx, WriteProcessMemory, ResumeThread, GlobalMemoryStatusEx, GetTickCount, GetSystemInfo, have more...
Links:
https://github.com/Logkiss/Rat-winos4.0-gh0st/tree/master/%E9%93%B6%E7%8B%90Winoshttps://github.com/volexity/donut-decryptorLevelblue
An Analysis of ValleyRAT Infection Campaigns from Fake Installers, Japanese Malicious Emails
LevelBlue has identified two distinct attack vectors associated with ValleyRAT: campaigns leveraging fake installers and campaigns initiated through malicious emails.
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 An Analysis of ValleyRAT Infection Campaigns from Fake Installers, Japanese Malicious Emails https://www.levelblue.com/blogs/spiderlabs-blog/an-analysis-of-valleyrat-infection-campaigns-from-fake-installers-japanese…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ValleyRAT, Троянская программа удаленного доступа, связанная с хакерской группировкой SilverFox, использует поддельные установщики и вредоносные электронные письма в качестве основных векторов атаки, целенаправленно атакуя пользователей, говорящих на китайском и японском языках. ВПО выполняет полезную нагрузку без использования файлов в памяти, применяя при этом передовые техники уклонения, такие как внедрение кода в процессы и обфускация, для предотвращения обнаружения. Его активность отмечается с 2023 года, при этом известные случаи заражения связаны с транснациональными корпорациями и использованием зашифрованных полезной нагрузки, что усложняет анализ и усилия по реагированию.
-----
ValleyRAT — это Троянская программа (RAT), связанная с различными кампаниями кибератак с 2023 года.
Два основных вектора распространения ValleyRAT — это поддельные установщики и вредоносные электронные письма, нацеленные на пользователей, говорящих на китайском и японском языках, соответственно.
Фальшивые установщики доставляют загрузчик, который извлекает и выполняет ValleyRAT; значительная активность зафиксирована с 2025 года, затрагивающая многонациональные корпорации.
ВПО использует техники противодействия анализу, такие как внедрение вредоносного кода в легитимные процессы, и применяет метод внедрения кода в процессы Pool Party Variant 7.
Злоумышленнические кампании с использованием электронной почты, впервые зафиксированные в 2026 году, используют ZIP-архивы, содержащие исполняемый файл EXE, который запускает DLL для загрузки ValleyRAT.
Одно из примерных писем, связанных с кадровыми изменениями, было написано на традиционном китайском языке; японская версия использовала тот же вредоносный домен, что указывает на скоординированные атаки.
ValleyRAT работает без файлов, выполняя полезную нагрузку в памяти для избежания обнаружения и применяя различные тактики противодействия анализу, такие как проверка системной памяти и процессора.
Используемая DLL содержит техники обфускации, включающие мусор-код, затрудняющий обратную разработку, а полезная нагрузка шифруется с помощью RC4 с ключом, встроенным в код.
Механизмы обнаружения были разработаны на основе имён модулей из утечки исходного кода для выявления активности ValleyRAT.
Рекомендации по предотвращению заражений ValleyRAT включают обучение сотрудников, эффективные меры безопасности электронной почты и развертывание систем обнаружения и реагирования на конечных точках (EDR) для распознавания подгрузки DLL.
В случае заражения организациям следует анализировать журналы на наличие вредоносной активности и разрабатывать стратегии реагирования на инциденты, обеспечивающие сохранение состояний систем.
Необходимы непрерывный мониторинг и обновление стратегий обнаружения для противодействия эволюционирующим тактикам кампаний ValleyRAT.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ValleyRAT, Троянская программа удаленного доступа, связанная с хакерской группировкой SilverFox, использует поддельные установщики и вредоносные электронные письма в качестве основных векторов атаки, целенаправленно атакуя пользователей, говорящих на китайском и японском языках. ВПО выполняет полезную нагрузку без использования файлов в памяти, применяя при этом передовые техники уклонения, такие как внедрение кода в процессы и обфускация, для предотвращения обнаружения. Его активность отмечается с 2023 года, при этом известные случаи заражения связаны с транснациональными корпорациями и использованием зашифрованных полезной нагрузки, что усложняет анализ и усилия по реагированию.
-----
ValleyRAT — это Троянская программа (RAT), связанная с различными кампаниями кибератак с 2023 года.
Два основных вектора распространения ValleyRAT — это поддельные установщики и вредоносные электронные письма, нацеленные на пользователей, говорящих на китайском и японском языках, соответственно.
Фальшивые установщики доставляют загрузчик, который извлекает и выполняет ValleyRAT; значительная активность зафиксирована с 2025 года, затрагивающая многонациональные корпорации.
ВПО использует техники противодействия анализу, такие как внедрение вредоносного кода в легитимные процессы, и применяет метод внедрения кода в процессы Pool Party Variant 7.
Злоумышленнические кампании с использованием электронной почты, впервые зафиксированные в 2026 году, используют ZIP-архивы, содержащие исполняемый файл EXE, который запускает DLL для загрузки ValleyRAT.
Одно из примерных писем, связанных с кадровыми изменениями, было написано на традиционном китайском языке; японская версия использовала тот же вредоносный домен, что указывает на скоординированные атаки.
ValleyRAT работает без файлов, выполняя полезную нагрузку в памяти для избежания обнаружения и применяя различные тактики противодействия анализу, такие как проверка системной памяти и процессора.
Используемая DLL содержит техники обфускации, включающие мусор-код, затрудняющий обратную разработку, а полезная нагрузка шифруется с помощью RC4 с ключом, встроенным в код.
Механизмы обнаружения были разработаны на основе имён модулей из утечки исходного кода для выявления активности ValleyRAT.
Рекомендации по предотвращению заражений ValleyRAT включают обучение сотрудников, эффективные меры безопасности электронной почты и развертывание систем обнаружения и реагирования на конечных точках (EDR) для распознавания подгрузки DLL.
В случае заражения организациям следует анализировать журналы на наличие вредоносной активности и разрабатывать стратегии реагирования на инциденты, обеспечивающие сохранение состояний систем.
Необходимы непрерывный мониторинг и обновление стратегий обнаружения для противодействия эволюционирующим тактикам кампаний ValleyRAT.
#ParsedReport #CompletenessMedium
02-07-2026
Analysis of Ongoing Ousaban Attacks Targeting the Iberian Peninsula
https://www.fortinet.com/blog/threat-research/analysis-of-ongoing-ousaban-attacks-targeting-the-iberian-peninsula
Report completeness: Medium
Threats:
Ousaban
Dll_sideloading_technique
Process_injection_technique
Metamorfo
Clipboard_injection_technique
Clickfix_technique
Victims:
Banking users, Banking sector, Iberian peninsula
Industry:
Financial
Geo:
Portugal, Brazil, Spanish, Latin american, Spain
ChatGPT TTPs:
T1027, T1027.003, T1027.016, T1036, T1056.001, T1059.005, T1059.007, T1070.004, T1102.001, T1105, have more...
IOCs:
Hash: 20
File: 1
Domain: 5
IP: 4
Soft:
Pastebin
Algorithms:
xor, md5, zip
Languages:
rust, javascript
02-07-2026
Analysis of Ongoing Ousaban Attacks Targeting the Iberian Peninsula
https://www.fortinet.com/blog/threat-research/analysis-of-ongoing-ousaban-attacks-targeting-the-iberian-peninsula
Report completeness: Medium
Threats:
Ousaban
Dll_sideloading_technique
Process_injection_technique
Metamorfo
Clipboard_injection_technique
Clickfix_technique
Victims:
Banking users, Banking sector, Iberian peninsula
Industry:
Financial
Geo:
Portugal, Brazil, Spanish, Latin american, Spain
ChatGPT TTPs:
do not use without manual checkT1027, T1027.003, T1027.016, T1036, T1056.001, T1059.005, T1059.007, T1070.004, T1102.001, T1105, have more...
IOCs:
Hash: 20
File: 1
Domain: 5
IP: 4
Soft:
Pastebin
Algorithms:
xor, md5, zip
Languages:
rust, javascript
Fortinet Blog
Analysis of Ongoing Ousaban Attacks Targeting the Iberian Peninsula
FortiGuard Labs analyzes a geofenced Ousaban campaign targeting Spain and Portugal with phishing PDFs, steganography, and evasive C2.…
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2026 Analysis of Ongoing Ousaban Attacks Targeting the Iberian Peninsula https://www.fortinet.com/blog/threat-research/analysis-of-ongoing-ousaban-attacks-targeting-the-iberian-peninsula Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В мае 2026 года была зафиксирована киберкампания, направленная против пользователей банков в Испании и Португалии, в которой участвовал банковский троян Ousaban, впервые обнаруженный в Бразилии. Атака инициируется через фишинговый PDF-файл, который перенаправляет жертв на вредоносную веб-страницу, где загружается VBS-скрипт, что в конечном итоге приводит к установке полезной нагрузки Ousaban, отслеживающей учетные данные банков. Вредоносное ПО использует динамическую генерацию доменов для связи с C2 и применяет такие техники, как DLL side-loading, Внедрение кода в процессы и проверки окружения, чтобы избежать обнаружения.
-----
В мае 2026 года лаборатория FortiGuard Labs сообщила о киберкампании, нацеленной на банковских пользователей в Испании и Португалии, с использованием банковского трояна Ousaban. Изначально обнаруженный в Бразилии, этот атака распространяется через загрузчик MSI, который выполняет вредоносную нагрузку, состоящую из файла DLL, посредством подгрузки DLL или Внедрение кода в процессы. Атака начинается с фишинг PDF-файла, предназначенного для того, чтобы заманить жертв на вредоносную веб-страницу, которая выполняет проверку геолокации, чтобы определить, находится ли пользователь в целевых странах. Если это подтверждается, веб-страница затем загружает файл VBS, который облегчает следующие этапы установки ВПО.
Фишинговый PDF-файл маскируется под повреждённый файл и предлагает пользователю обманчивое сообщение для его обновления. Этот PDF-файл содержит JavaScript для сокрытия своих целей и дополнительно перенаправляет жертв на вредоносную страницу. Веб-страница, выглядящая как легитимный ресурс для налоговых документов, применяет строгие средства контроля доступа, включая проверку IP-адресов для блокировки пользователей из Испании и Португалии, а также специальные меры для запрета подключений через VPN.
После прохождения серверных проверок загружается VBS-скрипт, который выглядит безобидно, но в конечном итоге извлекает стеганографическое изображение, замаскированное под иконку PDF, содержащее полезную нагрузку Ousaban, упакованную в ZIP-архив. После выполнения временные файлы немедленно удаляются для снижения следов криминалистический анализ. Сама полезная нагрузка Ousaban записывает запись в реестре для закрепление и расшифровывает учетные данные, связанные с банками, для мониторинга доступа пользователей к определенным банковским сервисам. Эти учетные данные зашифрованы с использованием метода, характерного для латиноамериканских банковских троянов.
Для связи с центром управления (C2) вредоносное ПО Ousaban разрешает доменные имена, которые ежедневно меняются. Оно достигает этого, извлекая текущую дату со страницы Google и генерируя MD5-хэш, используемый для формирования доменного имени, которое указывает на сервер, управляемый через DDNS. Хотя изначально вредоносное ПО ссылается на поддельную запись в Pastebin, чтобы скрыть свой настоящий механизм C2, его фактический командный трафик зашифрован с использованием давно существующего алгоритма.
Получаемые команды включают действия по захвату скриншотов, регистрации нажатий клавиш, манипулированию буфером обмена и симуляции активности пользователя для усиления обмана жертв. Атакующие используют два основных вектора для начального заражения: один предполагает метод ClickFix для обмана жертв с целью выполнения вредоносного кода через VBS, а другой перенаправляет их от PDF-файла на фишинговую веб-страницу, размещающую установщик MSI.
Эта продолжающаяся кампания демонстрирует искусность злоумышленника в эволюции методов доставки ВПО, применяя геофенсинг и проверку окружения для ограничения охвата и повышения уклонения от механизмов обнаружения. По мере развития угроз будут необходимы непрерывный мониторинг и защитные меры для противодействия тактикам Ousaban.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В мае 2026 года была зафиксирована киберкампания, направленная против пользователей банков в Испании и Португалии, в которой участвовал банковский троян Ousaban, впервые обнаруженный в Бразилии. Атака инициируется через фишинговый PDF-файл, который перенаправляет жертв на вредоносную веб-страницу, где загружается VBS-скрипт, что в конечном итоге приводит к установке полезной нагрузки Ousaban, отслеживающей учетные данные банков. Вредоносное ПО использует динамическую генерацию доменов для связи с C2 и применяет такие техники, как DLL side-loading, Внедрение кода в процессы и проверки окружения, чтобы избежать обнаружения.
-----
В мае 2026 года лаборатория FortiGuard Labs сообщила о киберкампании, нацеленной на банковских пользователей в Испании и Португалии, с использованием банковского трояна Ousaban. Изначально обнаруженный в Бразилии, этот атака распространяется через загрузчик MSI, который выполняет вредоносную нагрузку, состоящую из файла DLL, посредством подгрузки DLL или Внедрение кода в процессы. Атака начинается с фишинг PDF-файла, предназначенного для того, чтобы заманить жертв на вредоносную веб-страницу, которая выполняет проверку геолокации, чтобы определить, находится ли пользователь в целевых странах. Если это подтверждается, веб-страница затем загружает файл VBS, который облегчает следующие этапы установки ВПО.
Фишинговый PDF-файл маскируется под повреждённый файл и предлагает пользователю обманчивое сообщение для его обновления. Этот PDF-файл содержит JavaScript для сокрытия своих целей и дополнительно перенаправляет жертв на вредоносную страницу. Веб-страница, выглядящая как легитимный ресурс для налоговых документов, применяет строгие средства контроля доступа, включая проверку IP-адресов для блокировки пользователей из Испании и Португалии, а также специальные меры для запрета подключений через VPN.
После прохождения серверных проверок загружается VBS-скрипт, который выглядит безобидно, но в конечном итоге извлекает стеганографическое изображение, замаскированное под иконку PDF, содержащее полезную нагрузку Ousaban, упакованную в ZIP-архив. После выполнения временные файлы немедленно удаляются для снижения следов криминалистический анализ. Сама полезная нагрузка Ousaban записывает запись в реестре для закрепление и расшифровывает учетные данные, связанные с банками, для мониторинга доступа пользователей к определенным банковским сервисам. Эти учетные данные зашифрованы с использованием метода, характерного для латиноамериканских банковских троянов.
Для связи с центром управления (C2) вредоносное ПО Ousaban разрешает доменные имена, которые ежедневно меняются. Оно достигает этого, извлекая текущую дату со страницы Google и генерируя MD5-хэш, используемый для формирования доменного имени, которое указывает на сервер, управляемый через DDNS. Хотя изначально вредоносное ПО ссылается на поддельную запись в Pastebin, чтобы скрыть свой настоящий механизм C2, его фактический командный трафик зашифрован с использованием давно существующего алгоритма.
Получаемые команды включают действия по захвату скриншотов, регистрации нажатий клавиш, манипулированию буфером обмена и симуляции активности пользователя для усиления обмана жертв. Атакующие используют два основных вектора для начального заражения: один предполагает метод ClickFix для обмана жертв с целью выполнения вредоносного кода через VBS, а другой перенаправляет их от PDF-файла на фишинговую веб-страницу, размещающую установщик MSI.
Эта продолжающаяся кампания демонстрирует искусность злоумышленника в эволюции методов доставки ВПО, применяя геофенсинг и проверку окружения для ограничения охвата и повышения уклонения от механизмов обнаружения. По мере развития угроз будут необходимы непрерывный мониторинг и защитные меры для противодействия тактикам Ousaban.
#ParsedReport #CompletenessHigh
02-07-2026
MacSync Stealer: How a Google Ad Turned Install Claude Code into Full Mac Compromise
https://beelzebub.ai/blog/macsync-stealer-fake-claude-code-google-ads/
Report completeness: High
Threats:
Macc_stealer
Clickfix_technique
Installfix_technique
Credential_harvesting_technique
Victims:
Software development, Cryptocurrency
Geo:
Russian
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1020, T1027.010, T1036, T1041, T1056.002, T1059.002, T1059.004, T1070.004, T1071.001, have more...
IOCs:
File: 9
Hash: 4
Soft:
Claude, macOS, ger Live and, Electron, Chrome, Anthropic, Ledger Live, Chromium, OS Keyc, Claude macOS, have more...
Wallets:
ledger_wallet, trezor, metamask, coinbase, rabby, bybit, electrum, coinomi, wassabi, bitcoincore, have more...
Crypto:
binance, monero, dogecoin
Algorithms:
base64, zip, sha256, gzip
Functions:
setTimeout
Win API:
Arc, decompress
Languages:
javascript, applescript
Platforms:
apple, arm
YARA: Found
02-07-2026
MacSync Stealer: How a Google Ad Turned Install Claude Code into Full Mac Compromise
https://beelzebub.ai/blog/macsync-stealer-fake-claude-code-google-ads/
Report completeness: High
Threats:
Macc_stealer
Clickfix_technique
Installfix_technique
Credential_harvesting_technique
Victims:
Software development, Cryptocurrency
Geo:
Russian
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1020, T1027.010, T1036, T1041, T1056.002, T1059.002, T1059.004, T1070.004, T1071.001, have more...
IOCs:
File: 9
Hash: 4
Soft:
Claude, macOS, ger Live and, Electron, Chrome, Anthropic, Ledger Live, Chromium, OS Keyc, Claude macOS, have more...
Wallets:
ledger_wallet, trezor, metamask, coinbase, rabby, bybit, electrum, coinomi, wassabi, bitcoincore, have more...
Crypto:
binance, monero, dogecoin
Algorithms:
base64, zip, sha256, gzip
Functions:
setTimeout
Win API:
Arc, decompress
Languages:
javascript, applescript
Platforms:
apple, arm
YARA: Found
Beelzebub
MacSync Stealer: How a Google Ad Turned Install Claude Code into Full Mac Compromise | AI-Native security platform
AI-Native security platform: Deceive, Detect, Respond. “We turn that hard truth into your tactical advantage. Our AI-based decoys, built using our open-source framework, deceive attackers during lateral movement within the network. While intruders interact…
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 MacSync Stealer: How a Google Ad Turned Install Claude Code into Full Mac Compromise https://beelzebub.ai/blog/macsync-stealer-fake-claude-code-google-ads/ Report completeness: High Threats: Macc_stealer Clickfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MacSync Stealer, классифицируемый как claude1, — это ВПО, нацеленное на разработчиков macOS, использующее многоступенчатый загрузчик, который доставляет payload osascript для сбора конфиденциальных данных. Оно использует поддельный диалог Системных настроек для получения учетных данных входа в Mac, что обеспечивает доступ к Связке ключей. Кроме того, ВПО заменяет файлы app.asar в легитимных приложениях, таких как Ledger Live, внедряя код для незаконного захвата фраз восстановления и эксфильтрации данных в сжатых ZIP-файлах через незашифрованный HTTP.
-----
MacSync Stealer, идентифицированный с тегом сборки claude1, — это ВПО, появившееся в результате рекламной кампании Google, имитирующей CLI Claude Code, и нацеленное на разработчиков macOS. Механизм доставки ВПО включает многоступенчатый дроппер, который сначала загружает payload osascript, предназначенный для сбора широкого спектра конфиденциальных данных с скомпрометированных машин. Начальный этап атаки включает тройной закодированный дроппер, который выполняет команды в терминале пользователя, запрашивая ввод его административного пароля. Затем он собирает учетные данные из различных источников: профилей браузеров, расширений криптокошельков, ключей macOS, паролей iCloud, SSH-ключей и учетных данных AWS.
Вредоносный код osascript отличается особой изощренностью: он использует поддельный диалог «Системные настройки» для запроса у пользователей пароля входа в Mac. Получив этот пароль, злоумышленники могут разблокировать Связку ключей Mac и извлечь хранящиеся там конфиденциальные учетные данные. Даже если пользователи попытаются отказать в дополнительных разрешениях во время работы вредоносного ПО, их исходные учетные данные уже будут захвачены, что сделает попытки блокировки доступа неэффективными.
Это ВПО также включает второй этап, который заменяет файл app.asar в легитимных приложениях, таких как Ledger Live и Ledger Wallet. Внедрённый код, отмеченный отличительным русским комментарием, перенаправляет пользователей на поддельный процесс восстановления, предназначенный для кражи их фраз восстановления. Примечательно, что он спроектирован для обеспечения устойчивости; замена оригинального app.asar означает, что каждый будущий запуск этих приложений будет выполнять код злоумышленника, продолжая процесс эксфильтрации данных.
Извлечение данных выполняется порциями, при этом вредоносное ПО захватывает большой объем пользовательских данных, сжимает их в ZIP-файл для эксфильтрации по незашифрованному HTTP. Однако этот подход несет риск, поскольку ZIP-файл требует, чтобы все порции были целыми для успешной эксфильтрации, и любое прерывание может привести к потере данных.
Анализ данного ВПО, проведенный Caronte, подчеркивает эффективность автоматизированных платформ разведки угроз в построении реконструкций цепочек атак, указывая на тенденцию, при которой злоумышленники все чаще развертывают передовые техники и операции на основе искусственного интеллекта для оптимизации своих кампаний. Специфическая нацеленность на разработчиков и изощренность их механизмов заманивания подчеркивают изменяющийся ландшафт угроз кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MacSync Stealer, классифицируемый как claude1, — это ВПО, нацеленное на разработчиков macOS, использующее многоступенчатый загрузчик, который доставляет payload osascript для сбора конфиденциальных данных. Оно использует поддельный диалог Системных настроек для получения учетных данных входа в Mac, что обеспечивает доступ к Связке ключей. Кроме того, ВПО заменяет файлы app.asar в легитимных приложениях, таких как Ledger Live, внедряя код для незаконного захвата фраз восстановления и эксфильтрации данных в сжатых ZIP-файлах через незашифрованный HTTP.
-----
MacSync Stealer, идентифицированный с тегом сборки claude1, — это ВПО, появившееся в результате рекламной кампании Google, имитирующей CLI Claude Code, и нацеленное на разработчиков macOS. Механизм доставки ВПО включает многоступенчатый дроппер, который сначала загружает payload osascript, предназначенный для сбора широкого спектра конфиденциальных данных с скомпрометированных машин. Начальный этап атаки включает тройной закодированный дроппер, который выполняет команды в терминале пользователя, запрашивая ввод его административного пароля. Затем он собирает учетные данные из различных источников: профилей браузеров, расширений криптокошельков, ключей macOS, паролей iCloud, SSH-ключей и учетных данных AWS.
Вредоносный код osascript отличается особой изощренностью: он использует поддельный диалог «Системные настройки» для запроса у пользователей пароля входа в Mac. Получив этот пароль, злоумышленники могут разблокировать Связку ключей Mac и извлечь хранящиеся там конфиденциальные учетные данные. Даже если пользователи попытаются отказать в дополнительных разрешениях во время работы вредоносного ПО, их исходные учетные данные уже будут захвачены, что сделает попытки блокировки доступа неэффективными.
Это ВПО также включает второй этап, который заменяет файл app.asar в легитимных приложениях, таких как Ledger Live и Ledger Wallet. Внедрённый код, отмеченный отличительным русским комментарием, перенаправляет пользователей на поддельный процесс восстановления, предназначенный для кражи их фраз восстановления. Примечательно, что он спроектирован для обеспечения устойчивости; замена оригинального app.asar означает, что каждый будущий запуск этих приложений будет выполнять код злоумышленника, продолжая процесс эксфильтрации данных.
Извлечение данных выполняется порциями, при этом вредоносное ПО захватывает большой объем пользовательских данных, сжимает их в ZIP-файл для эксфильтрации по незашифрованному HTTP. Однако этот подход несет риск, поскольку ZIP-файл требует, чтобы все порции были целыми для успешной эксфильтрации, и любое прерывание может привести к потере данных.
Анализ данного ВПО, проведенный Caronte, подчеркивает эффективность автоматизированных платформ разведки угроз в построении реконструкций цепочек атак, указывая на тенденцию, при которой злоумышленники все чаще развертывают передовые техники и операции на основе искусственного интеллекта для оптимизации своих кампаний. Специфическая нацеленность на разработчиков и изощренность их механизмов заманивания подчеркивают изменяющийся ландшафт угроз кибербезопасности.
#ParsedReport #CompletenessHigh
02-07-2026
PamStealer: a Rust-based macOS infostealer that validates credentials through PAM
https://www.jamf.com/blog/pamstealer-macos-infostealer-applescript-rust/
Report completeness: High
Threats:
Pamstealer
Homoglyph_technique
Victims:
Information technology, Cryptocurrency, Macos users
Industry:
Financial
Geo:
Belarusian, Russian, Moscow, Minsk, Asia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1027, T1027.007, T1036, T1056.002, T1059.002, T1059.007, T1105, T1115, T1140, T1204.002, have more...
IOCs:
Domain: 3
File: 7
Url: 13
Coin: 1
Hash: 11
Soft:
macOS, curl, Gatekeeper
Crypto:
ethereum
Algorithms:
sha256, chacha20-poly1305
Functions:
chmod
Languages:
objective_c, rust, swift, javascript, applescript
Platforms:
intel, apple, arm
02-07-2026
PamStealer: a Rust-based macOS infostealer that validates credentials through PAM
https://www.jamf.com/blog/pamstealer-macos-infostealer-applescript-rust/
Report completeness: High
Threats:
Pamstealer
Homoglyph_technique
Victims:
Information technology, Cryptocurrency, Macos users
Industry:
Financial
Geo:
Belarusian, Russian, Moscow, Minsk, Asia
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.007, T1036, T1056.002, T1059.002, T1059.007, T1105, T1115, T1140, T1204.002, have more...
IOCs:
Domain: 3
File: 7
Url: 13
Coin: 1
Hash: 11
Soft:
macOS, curl, Gatekeeper
Crypto:
ethereum
Algorithms:
sha256, chacha20-poly1305
Functions:
chmod
Languages:
objective_c, rust, swift, javascript, applescript
Platforms:
intel, apple, arm
Jamf
PamStealer: macOS Malware Posing as Clipboard Manager App
Jamf Threat Labs uncovers PamStealer, a two-stage macOS infostealer by impersonating the Maccy clipboard app to deliver a Rust-based payload that steals data and validates passwords via PAM.
CTT Report Hub
#ParsedReport #CompletenessHigh 02-07-2026 PamStealer: a Rust-based macOS infostealer that validates credentials through PAM https://www.jamf.com/blog/pamstealer-macos-infostealer-applescript-rust/ Report completeness: High Threats: Pamstealer Homoglyph_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PamStealer — это macOS стиллер, замаскированный под менеджер буфера обмена Maccy, использующий двухэтапную атаку для сбора конфиденциальной информации. На первом этапе он применяет вредоносный AppleScript для загрузки Payload на базе Rust, избегая обнаружения с помощью техник антианализа и проверок окружения. Второй этап обеспечивает кражу содержимого буфера обмена и сбор учетных данных через PAM API, осуществляет связь с C2-концом с использованием зашифрованных HTTP-запросов и пытается обеспечить закрепление и более широкий доступ посредством тактик социальной инженерии.
-----
PamStealer — это сложный macOS стиллер, выявленный командой Jamf Threat Labs, маскирующийся под легитимный менеджер буфера обмена Maccy. Данное ВПО использует двухэтапный процесс атаки для скрытого сбора конфиденциальной информации, в частности, путем проверки учетных данных через Подключаемые модули аутентификации (PAM) macOS.
Начальный метод доставки включает скомпилированный AppleScript под названием Maccy.scpt, распространяемый в дисковом образе, который маскируется под легитимное приложение Maccy. Этот AppleScript служит дроппером, который выполняет самодостаточный загрузчик на языке JavaScript for Automation (JXA), используя нативные API macOS для загрузки фактического полезного груза на базе Rust без вызова типичных утилит командной строки, тем самым снижая риски обнаружения. Дроппер также использует сложные техники противодействия анализу, проверки окружения и региональные исключения, чтобы избежать выполнения в песочницах или нежелательных регионах, повышая свою скрытность.
После запуска дроппер выводит ключ на основе атрибутов хоста, который используется для разблокировки зашифрованной конфигурации, содержащей URL второго этапа. Вредоносная нагрузка маскируется внутри пакета приложения, имитирующего подлинные компоненты macOS, и запускается в фоновом режиме. Перед запуском дроппер выполняет несколько проверок на антиотладку и подписывает пакет ad-hoc подписью, что дополнительно способствует уклонению от обнаружения.
Второй этап представляет собой Mach-O-файл, написанный на Rust, который реализует различные функции, включая кражу данных из буфера обмена с помощью утилиты pbpaste, сбор учётных данных через обманчивый диалог ввода пароля, стилизованный под системный диалог, и эксфильтрацию конфиденциальных данных. Этот infostealer проверяет пароли напрямую через API PAM, что позволяет ему перехватывать их без создания лишних процессов — тем самым минимизируя возможности для обнаружения.
Для закрепления PamStealer регистрирует себя несколькими способами, включая создание объектов входа через современные и устаревшие API macOS. Кроме того, он пытается получить более широкий доступ, подделывая системные предупреждения, чтобы склонить пользователей к предоставлению полного доступа к диску. Эта тактика социальной инженерии включает отображение поддельных системных диалогов, которые ложно указывают на необходимость разрешений.
PamStealer также включает взаимодействие с узлом управления (управление), используя зашифрованные исходящие HTTP-запросы для эксфильтрации данных. Трафик упаковывается в JSON-обертку и шифруется с помощью ChaCha20-Poly1305, что добавляет еще один уровень защиты от сбоев. Среди конфигурационной информации, полученной из взаимодействий с узлом управления, находятся публичные конечные точки Ethereum JSON-RPC, что указывает на потенциально более широкий интерес к целевым данным криптовалюты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PamStealer — это macOS стиллер, замаскированный под менеджер буфера обмена Maccy, использующий двухэтапную атаку для сбора конфиденциальной информации. На первом этапе он применяет вредоносный AppleScript для загрузки Payload на базе Rust, избегая обнаружения с помощью техник антианализа и проверок окружения. Второй этап обеспечивает кражу содержимого буфера обмена и сбор учетных данных через PAM API, осуществляет связь с C2-концом с использованием зашифрованных HTTP-запросов и пытается обеспечить закрепление и более широкий доступ посредством тактик социальной инженерии.
-----
PamStealer — это сложный macOS стиллер, выявленный командой Jamf Threat Labs, маскирующийся под легитимный менеджер буфера обмена Maccy. Данное ВПО использует двухэтапный процесс атаки для скрытого сбора конфиденциальной информации, в частности, путем проверки учетных данных через Подключаемые модули аутентификации (PAM) macOS.
Начальный метод доставки включает скомпилированный AppleScript под названием Maccy.scpt, распространяемый в дисковом образе, который маскируется под легитимное приложение Maccy. Этот AppleScript служит дроппером, который выполняет самодостаточный загрузчик на языке JavaScript for Automation (JXA), используя нативные API macOS для загрузки фактического полезного груза на базе Rust без вызова типичных утилит командной строки, тем самым снижая риски обнаружения. Дроппер также использует сложные техники противодействия анализу, проверки окружения и региональные исключения, чтобы избежать выполнения в песочницах или нежелательных регионах, повышая свою скрытность.
После запуска дроппер выводит ключ на основе атрибутов хоста, который используется для разблокировки зашифрованной конфигурации, содержащей URL второго этапа. Вредоносная нагрузка маскируется внутри пакета приложения, имитирующего подлинные компоненты macOS, и запускается в фоновом режиме. Перед запуском дроппер выполняет несколько проверок на антиотладку и подписывает пакет ad-hoc подписью, что дополнительно способствует уклонению от обнаружения.
Второй этап представляет собой Mach-O-файл, написанный на Rust, который реализует различные функции, включая кражу данных из буфера обмена с помощью утилиты pbpaste, сбор учётных данных через обманчивый диалог ввода пароля, стилизованный под системный диалог, и эксфильтрацию конфиденциальных данных. Этот infostealer проверяет пароли напрямую через API PAM, что позволяет ему перехватывать их без создания лишних процессов — тем самым минимизируя возможности для обнаружения.
Для закрепления PamStealer регистрирует себя несколькими способами, включая создание объектов входа через современные и устаревшие API macOS. Кроме того, он пытается получить более широкий доступ, подделывая системные предупреждения, чтобы склонить пользователей к предоставлению полного доступа к диску. Эта тактика социальной инженерии включает отображение поддельных системных диалогов, которые ложно указывают на необходимость разрешений.
PamStealer также включает взаимодействие с узлом управления (управление), используя зашифрованные исходящие HTTP-запросы для эксфильтрации данных. Трафик упаковывается в JSON-обертку и шифруется с помощью ChaCha20-Poly1305, что добавляет еще один уровень защиты от сбоев. Среди конфигурационной информации, полученной из взаимодействий с узлом управления, находятся публичные конечные точки Ethereum JSON-RPC, что указывает на потенциально более широкий интерес к целевым данным криптовалюты.