#technique

Havoc Framework 0.6 update

https://github.com/HavocFramework/Havoc/pull/371

#technique

TunnelCrack, a combination of two widespread security vulnerabilities in VPNs. Although a VPN is supposed to protect all data that a user transmits, our attacks can bypass the protection of a VPN. For instance, an adversary can abuse our vulnerabilities to leak and read user traffic, steal user information, or attack user devices.

https://tunnelcrack.mathyvanhoef.com/details.html

#technique

A simple tool based on ImGui which intercepts STUN traffic in order to disclose telegram users IP address.
Currently the Loader only supports Telegram but the option to inject into other applications such as Signal will be added in the next update.

https://websec.nl/downloads

#technique

Feeding Sliver — Extension Guide

https://medium.com/@l4rry/feeding-sliver-extension-guide-1c14fae42a2a

#ParsedReport #CompletenessLow
12-08-2023

Old exploit kits still kicking around in 2023

https://www.malwarebytes.com/blog/threat-intelligence/2023/08/old-exploit-kits-still-kicking-around-in-2023

Report completeness: Low

Threats:
Rig_tool
Purplefox
Lumma_stealer

Victims:
Internet explorer users

ChatGPT TTPs:
do not use without manual check
T1565.001

IOCs:
Domain: 5
IP: 1
Hash: 2

Soft:
internet explorer

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Наборы эксплойтов - это вредоносные инструменты, используемые киберпреступниками для распространения вредоносного ПО, и двумя примерами таких наборов являются наборы эксплойтов RIG и PurpleFox. Для отдельных пользователей и организаций важно обеспечить защиту своих систем от подобных атак.
-----

В 2023 году Internet Explorer все еще используется, а злоумышленники по-прежнему применяют наборы эксплойтов для распространения вредоносного ПО. Одним из таких наборов эксплойтов является набор эксплойтов RIG, который используется одним угрожающим агентом, использующим схемы трафика для взрослых. Последний экземпляр RIG был использован для распространения Lumma Stealer.

PurpleFox - это более сложная система, чем просто набор эксплойтов. Это полноценный фреймворк с возможностями руткита. Этот набор эксплойтов используется для доставки вредоносной программы PurpleFox.

Наборы эксплойтов - это вредоносные инструменты, используемые киберпреступниками для распространения вредоносного ПО. Эти наборы создаются для использования уязвимостей в системах и программах, позволяющих злоумышленникам получить доступ к компьютеру объекта атаки и развернуть вредоносное ПО.

В качестве примера можно привести набор эксплойтов RIG, который используется для доставки вредоносных программ через схемы трафика для взрослых. Последний экземпляр RIG был использован для распространения Lumma Stealer.

Еще одним примером набора эксплойтов является PurpleFox, представляющий собой более совершенный инструмент, чем RIG. Он представляет собой полноценный фреймворк с возможностями руткита и используется для доставки вредоносной программы PurpleFox.

Наборы эксплойтов - опасные инструменты в руках киберпреступников, с их помощью можно быстро распространить вредоносное ПО на большой территории. Поэтому частным лицам и организациям важно следить за тем, чтобы на их системах были установлены последние исправления безопасности и антивирусное программное обеспечение для защиты от вредоносных атак.

#ParsedReport #CompletenessLow
14-08-2023

FortiGuard AI Detects Continued OSS Supply Chain Hidden in Python Package Index

https://www.fortinet.com/blog/threat-research/continued-oss-supply-chain-attacks-hidden-in-pypi

Report completeness: Low

Threats:
Supply_chain_technique

IOCs:
Email: 1
Hash: 6
Url: 3

Soft:
discord

Languages:
python

#ParsedReport #CompletenessHigh
14-08-2023

LummaC Stealer Leveraging Amadey Bot to Deploy SectopRAT

https://cyble.com/blog/lummac-stealer-leveraging-amadey-bot-to-deploy-sectoprat

Report completeness: High

Threats:
Lumma_stealer
Amadey
Sectop_rat
Ammyyadmin_tool
Gandcrab
Ammyyrat
Lockbit
Themida_tool
Process_injection_technique
Credential_dumping_technique

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 7
Technics: 21

IOCs:
File: 12
Hash: 20
Url: 10
Path: 4
IP: 1

Soft:
telegram, sysinternals, chromium, chrome, mozilla firefox, microsoft edge

Wallets:
electrum, mainnet, tronlink, metamask

Crypto:
binance

Algorithms:
sha1, sha256, zip

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 1, windows: 1, dump: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: LummaC Stealer - это вредоносная угроза, распространяемая через фишинговые сайты и письма с целью кражи конфиденциальных данных, по крайней мере, с 2022 года. Кроме того, он распространяется через YouTube и интегрируется с другими вредоносными программами для осуществления различных вредоносных действий. Недавно была обнаружена новая итерация LummaC Stealer, способная устанавливать бота Amadey, который используется для распространения программ-вымогателей и кражи данных с различных криптовалютных кошельков.
-----

Злоумышленники, создавшие LummaC Stealer, активно распространяют вредоносную программу через фишинговые сайты и spear-phishing emails как минимум с 2022 года. Цель угрозы - похитить конфиденциальные данные, такие как криптовалютные кошельки, расширения для браузеров, коды двухфакторной аутентификации и различные файлы. Недавно был обнаружен новый подход к распространению SectopRAT, который заключается в доставке полезной нагрузки с помощью вредоносной программы Amadey bot, получаемой от похитителя LummaC.

ZIP-файлы, содержащие вредоносную программу LummaC Stealer, распространяются в рамках кампании на YouTube под видом файлов настройки программного обеспечения. После выполнения файл Setup.exe становится полезной нагрузкой для исполняемого файла LummaC Stealer, который представляет собой 32-битный исполняемый файл .NET Reactor с графическим интерфейсом. Эта вредоносная программа специализируется на перехвате данных из браузеров на базе Chromium и Mozilla, включая более 70 криптовалют и расширений 2FA. Кроме того, он собирает важные системные данные, такие как версия операционной системы, идентификаторы оборудования, характеристики процессора, данные об оперативной памяти, разрешении экрана и языке системы.

Более того, новая итерация LummaC Stealer способна загружать другие вредоносные файлы в то время, когда на системе жертвы исполняется основная вредоносная программа, похищающая информацию. Такая интеграция позволяет ТА осуществлять целый ряд вредоносных действий, начиная от первоначального взлома и заканчивая извлечением данных и возможным удаленным доступом к системе.

В данной кампании LummaC Stealer используется для получения и установки бота Amadey, который связан с группировкой LOCKBIT и используется для распространения программ-вымогателей. Бот Amadey обладает различными возможностями, включая оценку системы, кражу данных и развертывание дополнительных вредоносных полезных нагрузок. Затем он выполняет загрузку SectopRAT, троянца удаленного доступа .NET, который имеет механизмы Anti-VM и Anti-Emulator для обхода обнаружения. Он способен извлекать конфиденциальные данные из более чем 35 веб-браузеров, игровых платформ и других программных приложений, а также похищать информацию из различных криптовалютных кошельков.

#ParsedReport #CompletenessLow
14-08-2023

Evasive Phishing Campaign Steals Cloud Credentials Using Cloudflare R2 and Turnstile

https://www.netskope.com/blog/evasive-phishing-campaign-steals-cloud-credentials-using-cloudflare-r2-and-turnstile

Report completeness: Low

Industry:
Financial

Geo:
Asia, America

ChatGPT TTPs:
do not use without manual check
T1566.003, T1591.001, T1595.003, T1564.005

IOCs:
Url: 65
File: 1

Links:
https://github.com/fingerprintjs/BotD

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Злоумышленники используют сервис статического хостинга Cloudflare R2 для размещения фишинговых страниц, направленных на различные облачные приложения. Чтобы избежать обнаружения, злоумышленники используют две технологии, а специалисты лаборатории Netskope Threat Labs отмечают 61-кратное увеличение трафика на эти страницы с февраля 2023 года. Для блокирования таких атак Netskope использует встроенные и внеполосные системы обнаружения фишинга на основе ML и системы анализа угроз.
-----

С мая 2022 года Cloudflare R2 предлагает услугу статического хостинга на минимальной и бесплатной основе. Этот сервис использовался злоумышленниками для размещения фишинговых страниц, направленных на Microsoft, Adobe, Dropbox и другие облачные приложения. Эти атаки были направлены преимущественно на жертв в Северной Америке и Азии, в основном в технологическом, финансовом и банковском секторах.

Злоумышленники используют две примечательные технологии для обхода обнаружения. Во-первых, они используют Cloudflare Turnstile для защиты страниц с помощью CAPTCHA, что не позволяет сканерам и анализаторам посещать URL-адреса и просматривать их содержимое, в то время как жертвы получают свободный доступ к страницам. Во-вторых, многие страницы загружают вредоносное содержимое только в том случае, если оно было передано другим вредоносным ссылающимся сайтом. Это позволяет гарантировать, что фишинговое содержимое будет передано только тем, для кого оно предназначено.

Кроме того, для обнаружения ботов на странице злоумышленники используют Fingerprint BotD, библиотеку обнаружения ботов с открытым исходным кодом. В случае обнаружения бота на странице отображается пользовательское сообщение об ошибке.

Специалисты лаборатории Netskope Threat Labs зафиксировали 61-кратное увеличение трафика на фишинговые страницы, размещенные на Cloudflare R2, начиная с февраля 2023 года. Для блокирования подобных фишинговых попыток Netskope использует встроенные и внеполосные системы обнаружения фишинга на основе технологии ML и системы анализа угроз. Пользователи также могут обнаружить похожие фишинговые страницы, размещенные на R2, проверив URL-адрес на наличие шаблона pub-*.r2.dev.

#ParsedReport #CompletenessLow
14-08-2023

Analysis of APT attack cases targeting web services of domestic companies

https://asec.ahnlab.com/ko/56062

Report completeness: Low

Actors/Campaigns:
Dalbit
Kimsuky
Lazarus

Threats:
Meterpreter_tool
Metasploit_tool
Kisa
Potato_tool
Ladon_tool
Netcat_tool
Mimikatz_tool
Juicypotato_tool
Rottenpotato_tool
Sweetpotato_tool
Badpotato_tool
Godpotato_tool
Petitpotato_tool
Printnotifypotato_tool
Sharpefspotato_tool
Vmprotect_tool
Printspoofer_tool
Procdump_tool
Powerladon_tool
Dropper/win32.agent.c106924
Malware/win.generic.c4432989
Trojan/win.agent.c5418231
Trojan/win.agent.c5418232
Trojan/win.escalation.r524707
Trojan/win.generic.c4491018
Trojan/win.generic.c5228587
Trojan/win.generic.r529888
Mamut
Trojan/win.userclone.c5192153
Trojan/win32.hdc.c111465
Malware/mdp.systemmanipulation.m1471
Efspotato_tool

Victims:
Hotels, Telecommunications equipment manufacturers, Online shopping malls, Foreign manufacturers

Industry:
Telco

Geo:
Chinese, Korea

CVEs:
CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1709, 1803, 1809, 1903, 1909)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 1803, 1903, 1909)
have more...
CVE-2019-1405 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows 10 (1607, -, 1709, 1803, 1809, 1903)
- microsoft windows 8.1 (-)
- microsoft windows server 2016 (-, 1803, 1903)
have more...
CVE-2019-1322 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: 7
X-Force: Patch: Official fix
Soft:
- microsoft windows 10 (1803, 1809, 1903)
- microsoft windows server 2016 (1803, 1903)
- microsoft windows server 2019 (-)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1543.001, T1203.001, T1558.003, T1078.002, T1486, T1041.007, T1562.003, T1485, T1569, T1071, have more...

IOCs:
Path: 85
File: 10
Command: 2
Registry: 1
Hash: 67

Soft:
jboss, nginx, ms-sql, sy_runas, task scheduler, efspotato, windows defender, sysinternals, runascs

Functions:
EtwpCreateEtwThread

Win API:
CreateFiber

Win Services:
sqlservr

Languages:
java

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Недавняя серия APT-атак на веб-серверы отечественных компаний продолжается уже несколько лет, и известно, что для получения доступа к системе злоумышленник использует вредоносные коды, хакерские инструменты с открытым кодом и легитимные программы. Администратору следует принять меры по защите от этих атак.
-----

Недавняя серия APT-атак на веб-серверы, принадлежащие отечественным компаниям, продолжается уже несколько лет. В большинстве зараженных систем злоумышленники используют учетную запись под именем 'tripod', и это один из немногих признаков, по которым их можно идентифицировать. Большинство целей - веб-серверы Windows IIS, ранее атакованные китайской группой Dalbit, группой Kimsuky, группой Lazarus и другими.

Предполагается, что целью этих атак является вставка рекламы в обычные веб-сервисы, однако, судя по журналам последних атак, к ним могут добавляться и другие цели, например, установка выкупного ПО. Первоначальный путь проникновения для этих атак - установка веб-оболочки, которая обычно осуществляется путем атаки на веб-сервер, который неправильно управляется или не был исправлен на предмет уязвимостей. Известно, что злоумышленник использует уязвимости загрузки файлов на домашней странице компании для загрузки веб-оболочки в виде вложения, а затем загружает вторую веб-оболочку, используя первую.

Известно, что для получения прав администратора злоумышленник использует такие вредоносные коды, как Potato malware, UserClone и Mimikatz. Вредоносная программа Potato в основном используется в атаках на веб-серверы IIS или серверы баз данных MS-SQL, а UserClone - это инструмент, создающий учетную запись в группе администраторов или копирующий привилегии определенной учетной записи в другую учетную запись. Mimikatz - инструмент, поддерживающий функцию извлечения учетной информации в среде операционной системы Windows. Он не только извлекает пароли в открытом виде или хэш-информацию, существующую в системе Windows, но и поддерживает атаки бокового перемещения с использованием полученной учетной информации. Известно также, что злоумышленник использует WinRAR для установки веб-оболочки в процессе персистенции, а также ProcDump, легитимную программу от Sysinternals, для обхода обнаружения продуктами безопасности. Вредоносные коды типа Runas, такие как RunasCs или Sy_Runas, также используются для выполнения команд с полномочиями конкретного пользователя.

Кроме того, в процессе атаки злоумышленник использовал Ladon, инструмент для взлома с открытым исходным кодом. Ladon поддерживает различные функции, необходимые в процессе атаки, поэтому после получения контроля над целевой системой злоумышленник может выполнять различные вредоносные действия, такие как сканирование, повышение привилегий и кража учетной информации. Известно также, что злоумышленник установил NetCat для использования в качестве обратной оболочки.

Администратор должен предпринять меры по защите от этих атак, например, проверить уязвимость загрузки файлов, существующую в веб-сервере, чтобы заранее предотвратить загрузку веб-оболочки, реагировать на атаки "бокового перемещения", периодически меняя пароли и настраивая контроль доступа, а также обновить V3 до последней версии, чтобы блокировать заражение вредоносным кодом.

#ParsedReport #CompletenessLow
14-08-2023

Monti Ransomware Unleashes a New Encryptor for Linux. Introduction

https://www.trendmicro.com/en_us/research/23/h/monti-ransomware-unleashes-a-new-encryptor-for-linux.html

Report completeness: Low

Threats:
Monti
Conti
Ransom.linux

Victims:
Institutions in the legal and government fields

Industry:
Healthcare, Government, Financial

ChatGPT TTPs:
do not use without manual check
T1193, T1486, T1490, T1543

IOCs:
File: 3
Hash: 1
Url: 2

Soft:
openssl

Algorithms:
aes-256-ctr, salsa20

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Коллективная программа-вымогатель Monti возобновила работу и внесла существенные изменения в свой код и алгоритм шифрования, чтобы избежать обнаружения. Организациям следует принимать упреждающие меры по защите своих систем от атак ransomware, внедряя эффективные стратегии защиты, такие как протоколы защиты данных и создание процедур резервного копирования и восстановления.
-----

Группа разработчиков вымогательского ПО Monti возобновила свою деятельность, сосредоточившись на учреждениях юридической и правительственной сферы. Одновременно с этим появился новый вариант Monti, основанный на платформе Linux и имеющий заметные отличия от предыдущих Linux-версий. Новый вариант использует параметр -type=soft для завершения работы виртуальных машин в системе и добавляет байт MONTI, за которым следуют дополнительные 256 байт, связанные с ключом шифрования. Также используется шифрование AES-256-CTR с использованием evp_enc из библиотеки OpenSSL вместо Salsa20. Кроме того, он содержит расширение .monti для зашифрованных файлов и помещает в каждый каталог заметку о выкупе readme.txt.

Было замечено, что группа Монти подражает тактике, технике и процедурам (ТТП) группы Конти, о чем свидетельствуют некоторые схожие функции. Однако они внесли существенные изменения в код, особенно в алгоритм шифрования, чтобы повысить его способность к уклонению от обнаружения. Поэтому организациям следует принимать упреждающие меры по защите своих систем от атак ransomware путем внедрения эффективных стратегий защиты. К ним относятся протоколы защиты данных и процедуры резервного копирования и восстановления.

При сравнении нового варианта со старым с помощью программы BinDiff уровень сходства составил 29%, в то время как уровень сходства старых вариантов и Conti составил 99%. На VirusTotal только три поставщика безопасности отметили этот образец как вредоносный, что свидетельствует об изощренности атаки. Кроме того, прежде чем приступить к шифрованию, программа-вымогатель проверяет определенные условия. В первую очередь проверяется, не превышает ли размер файла 261 байт, и если это условие выполняется, то начинается процесс заражения. Если нет, то проверяется последний 261 байт файла на наличие строки "MONTI". Если эта строка обнаружена, то файл будет пропущен, что свидетельствует о том, что он уже был зашифрован.

Операторы программы Monti подделали файлы /etc/motd и index.html, заменив их содержимое запиской с сообщением об успешном проникновении на сервер. Отметим, что MOTD (или Message of the Day) - это текстовое сообщение, отображаемое при входе пользователя в операционную систему Linux. Мы также обнаружили код дешифровки, который позволяет предположить, что угрожающий агент тестировал его работоспособность. Однако на данный момент код расшифровки неэффективен, поскольку для его использования требуется закрытый ключ, известный только автору вредоносной программы и не имеющий отношения к ее рутине.

#ParsedReport #CompletenessLow
14-08-2023

Phishing with hacked sites

https://securelist.com/phishing-with-hacked-sites/110334

Report completeness: Low

Threats:
Phisher

Victims:
Services and organization whose users are most frequently targeted by phishing pages on hacked websites, including netflix, european banks and popular delivery services

Industry:
Financial

Geo:
Chinese, French

IOCs:
File: 1

Soft:
telegram, wordpress

Languages:
php

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Киберпреступники все чаще используют сложные методы воздействия на легитимные сайты, такие как фишинговые наборы, взлом, брутфорсинг и использование уязвимостей, для создания фишинговых ловушек. Такие ловушки часто содержат вредоносное содержимое, а URL-адреса можно определить по определенным признакам. Данные, вводимые посетителями, сохраняются в панели управления, и доступ к ним возможен, если установлена веб-оболочка.
-----

Киберпреступники используют все более изощренные методы организации фишинговых ловушек. Одна из них заключается в том, что на легитимные сайты, как активно поддерживаемые, так и давно не посещаемые, помещается вредоносный контент. Это особенно эффективно для небольших сайтов, у которых, возможно, нет средств для поддержания надежных мер безопасности или найма специалиста по безопасности.

Количество взломанных сайтов, используемых в фишинговых целях, стремительно растет. В период с середины мая по середину июня наши системы обнаружили около семи тысяч уникальных сайтов, которые были взломаны и использовались в фишинговых целях. В качестве примера можно привести использование средств автоматизации, таких как фишинговые наборы или боты Telegram, взлом сайтов и размещение на них вредоносного контента, а также перебор слабых паролей или использование утечки учетных данных для получения доступа к учетной записи администратора сайта.

Сайты WordPress особенно уязвимы для таких атак из-за большого количества сторонних плагинов, предназначенных для расширения функциональности этой популярной платформы. Регулярно обнаруживаются новые уязвимости, используемые хакерами, как в плагинах, так и в самом WordPress.

Для выявления фишинговых страниц, размещенных на взломанных сайтах, следует обратить внимание на несколько очевидных признаков: URL-адреса, содержащие такие папки, как /wp-content/, /wp-admin/ и /wp-includes/, а также веб-страницы с расширением .php. Кроме того, содержимое главной страницы может выглядеть не связанным с фишинговой страницей, а URL-адрес будет содержать правильное (или измененное) название сервиса, который мошенники пытаются имитировать, но это название не имеет ничего общего с названием самого сайта.

Такие данные, как учетные данные для входа на сайт, реквизиты банковской карты, включая CVV, или другая личная информация, в зависимости от типа мошенничества, будут сохранены в панели управления, если будут введены посетителем на поддельной странице. Если на сайте также установлена веб-оболочка и любой желающий может получить доступ к ее содержимому, то данные жертвы будут видны всем желающим.

#ParsedReport #CompletenessHigh
14-08-2023

Unwanted Guests: Mitigating Remote Access Trojan Infection Risk

https://www.uptycs.com/blog/remote-access-trojan-qwixx-telegram

Report completeness: High

Threats:
Telegramrat
Qwixxrat
Process_hacker_tool
Netstat_tool
Steamgrabber
Grabdesktop
Forkbomb

Industry:
Financial

Geo:
Russian

IOCs:
Hash: 2
File: 16
Url: 7
Domain: 1

Soft:
telegram, discord, virtualbox, chromium opera, epic privacy browser amigo vivaldi orbitum, kometa, torch, slimjet, maxthon3, nichrome, have more...

Crypto:
monero, ethereum, bitcoin

Algorithms:
zip

Functions:
GetModuleHandle, GetPropertyValue, GetSystemVersion, GetActiveWindowTitle, GetPasswords, GetCreditCards, GetHistory, GetBookmarks, GetCookies, GetDesktop, have more...

Win API:
MoveFile, CopyFile, MessageBox, BlockInput

Platforms:
x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 4, schema: 1

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: QwixxRAT - вредоносный троянец удаленного доступа, распространяемый через платформы Telegram и Discord и предназначенный для сбора обширной информации - от истории браузера и данных кредитных карт до сведений о клавиатурных ошибках. Он имеет 19 отдельных функций, включая функцию конфигурирования, механизм самоуничтожения, механизм мониторинга процессов, функцию обратного вызова клавиатурного крючка и механизм кражи cookie-файлов.
-----

QwixxRAT - вредоносный троянец удаленного доступа (RAT), недавно обнаруженный командой Uptycs Threat Research. Он распространяется через платформы Telegram и Discord, что позволяет злоумышленникам удаленно контролировать RAT и управлять его работой. QwixxRAT предназначен для сбора обширной информации - от историй браузеров и данных кредитных карт до сведений о клавиатурах, что делает его грозной угрозой. Угроза предлагает инструмент на продажу, указывая его стоимость, и дополнительно предоставляет ограниченную бесплатную версию.

Файл RAT представляет собой скомпилированный на языке C# двоичный файл, функционирующий как 32-разрядный исполняемый файл, предназначенный для работы на процессоре. Основная функция состоит из 19 отдельных функций, каждая из которых выполняет свою уникальную задачу. Она снабжена функцией конфигурирования, определяющей ее поведение на целевой машине, а также проверкой, работает ли текущее приложение в "песочнице". Кроме того, код содержит механизм самоуничтожения, механизм мониторинга процессов и функцию обратного вызова "клавиатурного крючка" для перехвата событий клавиатуры и записи их в файл. Кроме того, код выполняет функции механизма кражи cookie и поиска каталога установки Steam.