#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Kasablanka - это APT-организация, идентифицированная компанией Cisco, которая недавно атаковала Нагорно-Карабахский регион с помощью фишинговых писем, содержащих вредоносные документы. Документы содержат код для загрузки и выполнения вредоносной программы VenomRAT, которая позволяет использовать функции кейлоггинга для кражи секретов.
-----

Kasablanka - это APT-организация, выявленная компанией Cisco и известная своими атаками на Ближний Восток, Центральную Азию, Восточную Европу и другие регионы. Недавно институт 360 Advanced Threat Research Institute обнаружил фишинговые атаки, которые могли исходить от этой группы, направленные на регион Нагорного Карабаха. Этот регион является спорной территорией между Азербайджаном и Арменией, двумя странами, которые находятся в состоянии конфликта уже много лет.

Злоумышленник использовал версию VenomRAT под названием Venom RAT + HVNC + Stealer + Grabber v6.0.3, которая основана на последнем публичном исходном коде. IP-адрес C&C связан с организацией Kasablanka, а документы-приманки и информация в теле письма написаны на армянском языке, что указывает на то, что атака, скорее всего, была направлена на подразделения или людей в регионе Нагорного Карабаха.

Злоумышленник рассылал фишинговые письма с прикрепленными вредоносными документами, которые побуждали жертву включить макросы. В версиях ниже Office 2016 код макроса удалялся из данных потока PROJECT документа, что затрудняло его обнаружение. На данный момент только три движка на VT могут обнаружить и уничтожить этот образец. Основная функция вредоносного макроса - сохранить часть кода Powershell в виде bat-файла и скрыть его выполнение. Этот код используется для загрузки вредоносной полезной нагрузки с удаленного конца и ее выполнения.

Вредоносная полезная нагрузка представляет собой исполняемый файл на языке C#, который используется для расшифровки полезной нагрузки и ее выполнения. Полезная нагрузка представляет собой VenomRAT версии v6.0.3, который создает мьютекс "ajmlxbvgoegjpkevdnz" для поддержания его работы и включает функции кейлоггинга для кражи секретов. Сервер может выпускать различные плагины, которые охватывают управление файлами, поиск файлов, удаленный рабочий стол, удаленную камеру, загрузку/выгрузку файлов, управление процессами, управление реестром, кражу паролей в браузере и антивирусное ПО.

#ParsedReport #CompletenessLow
18-12-2023

xorbot: A Stealthy Botnet Family That Defies Detection

https://nsfocusglobal.com/xorbot-a-stealthy-botnet-family-that-defies-detection

Report completeness: Low

Threats:
Xorbot
Junk_code_technique
Mirai
Udpflood_technique
Tcpflood_technique
Synflood_technique
Ackflood_technique

Victims:
European and united states countries

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 1
Hash: 2

Soft:
crontab

Algorithms:
xor

Functions:
_libc_connect, _libc_recv

Platforms:
mips, x86, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Xorbot - это новое и очень скрытное семейство ботнетов, обнаруженное системой NSFOCUS Global Threat Hunting System. Его отличает сильная скрытность и способность не поддаваться обнаружению основными антивирусными системами. Xorbot построен на совершенно новой архитектуре, и его разработчики пожертвовали эффективностью распространения ради лучшей маскировки. Вероятно, за ним стоит профессиональная атакующая группа с независимыми инструментами распространения.
-----

Xorbot - это новое семейство ботнетов, недавно обнаруженное системой NSFOCUS Global Threat Hunting System. Его отличает сильная скрытность и способность не поддаваться обнаружению основными антивирусными системами. Xorbot был создан с нуля на основе совершенно новой архитектуры, и его разработчики уделили большое внимание маскировке троянских коней, даже пожертвовав эффективностью распространения ради лучшего эффекта маскировки.

В первоначальном варианте распространения размер файла составлял около 30 КБ, но в более позднем варианте разросся до 1200 КБ за счет добавления нежелательных кодов для маскировки вредоносных ветвей. Xorbot взаимодействует с помощью функций _libc_connect() и _libc_recv() библиотеки libc, а основные функциональные блоки остаются неизменными.

Xorbot также поддерживает постоянство, добавляя crontab и маскируя имя вредоносного файла под ld-unixdev.so.6 (похожее на название системной динамической библиотеки). При взаимодействии с C&C он использует набор алгоритмов шифрования и дешифрования, заимствующих исходный код Mirai. При получении команд от сервера данные перед использованием расшифровываются этим алгоритмом.

Данные, отправляемые сервером в первый раз, генерируются случайным образом, и обычно длина пакета, возвращаемого сервером в первом раунде, составляет 0x62, 0x68, 0xAC или 0x40. Xorbot начинает DDoS-атаки различными способами в зависимости от количества подстрок, разделенных пробелами, и длины первой подстроки на основе полученных данных. Цели атак в основном выбираются из стран Европы и США.

Текущая версия Xorbot охватывает различные архитектуры процессоров, такие как x86, MIPS, Renesas SH и ARM. Хотя у него нет встроенного модуля распространения, вполне вероятно, что за ним стоит профессиональная атакующая группа, обладающая независимыми инструментами распространения. Xorbot хорошо скрыт как со стороны файлов, так и со стороны трафика, и на момент публикации процент обнаружения троянца основными антивирусными системами все еще был близок к 0. Это делает его угрозой, к которой мы должны оставаться бдительными.

#ParsedReport #CompletenessHigh
18-12-2023

#StopRansomware: Play Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a

Report completeness: High

Threats:
Playcrypt
Proxynotshell_vuln
Adfind_tool
Grixba
Gmer_tool
Iobit_tool
Powertool_tool
Systembc
Mimikatz_tool
Winpeas_tool
Bloodhound_tool
Cobalt_strike
Nltest_tool
Nekto
Process_hacker_tool
Plink_tool
Credential_dumping_technique

Victims:
Businesses and critical infrastructure in north america, south america, and europe

Industry:
Financial

Geo:
Australia, America, Australian

CVEs:
CVE-2022-41082 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 7.5
X-Force: Patch: Official fix
Soft:
- fortinet fortios (le5.6.7, le6.0.4)

CVE-2022-41040 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 6.5
X-Force: Patch: Official fix
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2020-12812 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 5.3
X-Force: Patch: Official fix
Soft:
- fortinet fortios (<6.2.4, 6.4.0, <6.0.10)


TTPs:
Tactics: 2
Technics: 15

IOCs:
File: 1
Hash: 9

Soft:
Microsoft Exchange, Active Directory, Microsoft Defender, PsExec, WinSCP, macOS, Outlook

Crypto:
bitcoin

Algorithms:
sha256

Languages:
powershell

Platforms:
cross-platform

Links:
https://github.com/cisagov/Decider/
https://github.com/cisagov/cset/releases/tag/v10.3.0.0

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Группа вымогателей Play атакует предприятия и критически важную инфраструктуру с июня 2022 года и использует двойную модель вымогательства. Организациям следует уделять первоочередное внимание устранению известных уязвимостей, использовать многофакторную аутентификацию, ставить заплатки и обновлять программное обеспечение и приложения, а также регулярно проводить оценку уязвимостей для предотвращения атак. ФБР и CISA предоставляют ресурсы для борьбы с ransomware и ищут информацию о действующих лицах, платежах и файлах-расшифровщиках.
-----

Группа вымогателей Play действует с июня 2022 года и поражает предприятия и критически важные объекты инфраструктуры по всему миру. Действующие лица Play ransomware используют модель двойного вымогательства, шифруя системы после извлечения данных. Чтобы предотвратить атаку, организациям следует в первую очередь устранять известные уязвимости, по возможности использовать многофакторную аутентификацию, регулярно ставить заплатки и обновлять программное обеспечение и приложения до последних версий, а также регулярно проводить оценку уязвимостей.

Разработчики вымогательских программ получают первоначальный доступ к сетям жертв с помощью действующих учетных записей и использования общедоступных приложений. Они используют такие внешние сервисы, как AdFind и Grixba, и такие инструменты, как PsExec и PowerTool, для бокового перемещения и выполнения файлов. Они также используют Mimikatz credential dumper для получения доступа администратора домена, Windows Privilege Escalation Awesome Scripts для поиска дополнительных путей, WinRAR для сжатия файлов и WinSCP для передачи данных. Затем файлы шифруются гибридным шифрованием AES-RSA с использованием прерывистого шифрования.

Выкуп выплачивается в криптовалюте на адреса кошельков, предоставленные актерами Play. Они также угрожают опубликовать полученные данные на своем сайте утечки в сети Tor и используют IOBit для отключения антивирусного программного обеспечения.

Stopransomware.gov - это инициатива ФБР, CISA и ASD's ACSC, которая предоставляет ресурсы и предупреждения об атаках вымогательского ПО. Ресурсы включают руководство #StopRansomware Guide, а также бесплатные услуги по кибергигиене.

ФБР также ищет информацию, которой можно поделиться, например пограничные журналы, заметки о выкупе, переписка с игроками, информация о кошельке Bitcoin, файлы-дешифраторы и/или доброкачественный образец зашифрованного файла. Однако ФБР и CISA не рекомендуют платить выкуп, поскольку оплата не гарантирует восстановления файлов жертвы и может побудить других преступников заняться распространением ransomware. Организациям следует сообщать о случаях заражения вымогательским ПО в местное отделение ФБР, в Центр жалоб на интернет-преступления ФБР или в круглосуточный оперативный центр CISA. Австралийским организациям следует обратиться в ACSC КАН или отправить сообщение на сайт cyber.gov.au.

#cyberthreattech

В канале с трендами добавили саммари на базе YandexGPT.
Теперь публикуется не просто ссылка на отчет, но и сгенерированое саммари на русском.

#ParsedReport #CompletenessMedium
18-12-2023

BianLian Ransomware: Victimology and TTPs. Malware, Toolset & TTPs

https://cyberint.com/blog/research/bianlian-ransomware-victimology-and-ttps

Report completeness: Medium

Actors/Campaigns:
Bianlian

Threats:
Bianlian_ransomware
Spear-phishing_technique
Atera_tool
Teamviewer_tool
Splashtop_tool
Anydesk_tool
Sharpshares_tool
Pingcastle_tool
Supply_chain_technique

Victims:
Businesses, government entities, healthcare institutions, and educational organizations

Industry:
Education, Healthcare, Government, Entertainment, Biotechnology, Financial

Geo:
America, Asia, Indonesia, Canada, Chinese

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 2

Soft:
Windows Defender, SoftPerfect Network Scanner, Local Security Authority, Active Directory, PsExec, Windows firewall, Android

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что BianLian - это сложный и адаптивный агент угроз, который стал крупным игроком в мире киберпреступности, используя взломанные учетные данные протокола Remote Desktop Protocol (RDP) и атакуя предприятия, государственные структуры, медицинские учреждения и образовательные организации. Организациям важно сохранять бдительность и принимать необходимые меры для защиты от этой постоянно развивающейся угрозы.
-----

BianLian - это сложный и адаптивный агент угроз, который управляет вымогательским ПО BianLian. Впервые появившись в 2019 году в виде банковского трояна для Android, BianLian с тех пор переключила свою деятельность на атаки с целью выкупа, впервые появившись в качестве штамма вымогательского ПО в июле 2022 года. Эта группировка завоевала репутацию быстро развивающейся, совершенствующей свои тактики, код и диверсифицирующей методы атак, чтобы избежать обнаружения и противодействия защитным мерам.

Для первоначального доступа к сетям BianLian часто использует скомпрометированные учетные данные протокола удаленного рабочего стола (RDP). Командование и контроль (C2) осуществляется с помощью пользовательских бэкдоров, закодированных в Go, и программ удаленного управления и доступа, таких как TeamViewer, Atera Agent, SplashTop и AnyDesk. BianLian использует PowerShell и Windows Command Shell для отключения антивирусных инструментов, в частности, Windows Defender и Anti-Malware Scan Interface (AMSI). Для обнаружения используются такие инструменты, как Advanced Port Scanner, SoftPerfect Network Scanner (netscan . exe), SharpShares и PingCastle. Доступ к учетным данным осуществляется с помощью командной оболочки Windows для поиска незащищенных учетных данных на локальной машине, сбора учетных данных из памяти службы Local Security Authority Subsystem Service (LSASS), загрузки RDP Recognizer на систему жертвы и попытки доступа к базе данных домена Active Directory (NTDS.dit).

Попадая в сеть, BianLian ransomware шифрует данные жертвы, а затем требует выкуп за восстановление доступа. Операции BianLian имеют глобальный охват: чаще всего атаки происходят в Северной Америке, затем в Азии и Европе. Приблизительно 60 % целей BianLian находятся в США, за ними следуют Великобритания (10 %) и Канада (7 %). Изначально BianLian использовала модель двойного вымогательства, но затем перешла к модели, основанной на эксфильтрации. В октябре, ноябре и декабре 2023 года BianLian атаковал множество организаций, включая Dow Golub Remels & Beverly, Low Keng Huat, Prasan Enterprises, Akumin и AMCO Proteins.

BianLian - сложный объект угроз, и его адаптивность позволила ему стать крупным игроком в мире киберпреступности. Его основной целью являются предприятия, государственные структуры, медицинские учреждения и образовательные организации - секторы с конфиденциальными данными и финансовыми возможностями для удовлетворения значительных требований о выкупе. Этот субъект угроз продолжает совершенствовать свою тактику, улучшать код и диверсифицировать методы атак, чтобы опередить все возможные средства защиты. Поэтому организациям важно сохранять бдительность и принимать необходимые меры для защиты от этой постоянно развивающейся угрозы.

#ParsedReport #CompletenessLow
19-12-2023

Malware leveraging public infrastructure like GitHub on the rise

https://www.reversinglabs.com/blog/malware-leveraging-public-infrastructure-like-github-on-the-rise

Report completeness: Low

Threats:
W4sp
Seroxen_rat
Iamreboot
Supply_chain_technique

IOCs:
Hash: 16

Soft:
Discord, Microsoft OneDrive, NuGet

Algorithms:
base64

Languages:
python

Links:
https://docs.github.com/en/get-started/writing-on-github/editing-and-sharing-content-with-gists/creating-gists

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея текста заключается в том, что злоумышленники используют публичные сервисы, такие как Google Drive, Microsoft OneDrive, GitHub, Dropbox и Discord, для создания и запуска двухэтапных вредоносных программ и получения адресов своих C2-серверов. Команда исследователей угроз ReversingLabs обнаружила два новых типа вредоносных программ, использующих возможности GitHub. Разработчики и команды безопасности приложений должны уметь различать вредоносные и легитимные пакеты на этих платформах, чтобы защитить свои системы от дальнейших атак.
-----

Публичные сервисы, такие как Google Drive, Microsoft OneDrive, GitHub, Dropbox и Discord, уже давно используются злоумышленниками для размещения двухэтапных вредоносных программ и получения адресов своих C2-серверов. Эти сервисы привлекательны для злоумышленников, поскольку их проще настроить и запустить, чем собственный сервер, а связь с ними вызывает меньше подозрений, чем связь с непонятным доменом или IP-адресом.

Недавно команда исследователей угроз ReversingLabs обнаружила два новых типа вредоносных программ, использующих возможности GitHub. Первая использует Gists GitHub, кодируя вредоносные URL в Base64. Скрывая вредоносный код в файле setup.py, автор вредоносной программы затрудняет его обнаружение средствами безопасности. Эта техника встречается нечасто.

Второй обнаруженный тип вредоносного ПО использует возможности системы контроля версий и был обнаружен в PyPI-пакете easyhttprequest. После установки на компьютер жертвы вредоносный код клонирует определенный git-репозиторий с GitHub и проверяет, содержит ли головной коммит этого репозитория сообщение о коммите, начинающееся с определенной строки. Если это так, он удаляет эту магическую строку и декодирует остальную часть сообщения о фиксации в Base64-кодировке, выполняя ее как команду Python в новом процессе.

Авторы вредоносных программ становятся все более искусными в их внедрении, поэтому разработчикам и командам безопасности приложений необходимо уметь отличать вредоносные пакеты от легитимных на этих платформах. Современные инструменты, использующие сложный бинарный анализ, могут обеспечить комплексную безопасность цепочки поставок программного обеспечения. Несмотря на удаление этих вредоносных пакетов с PyPI, ожидается, что в ближайшее время на GitHub появятся новые подобные трюки.

#ParsedReport #CompletenessLow
19-12-2023

Inhospitality malspam campaign targets hotel industry

https://news.sophos.com/en-us/2023/12/19/inhospitality-malspam-campaign-targets-hotel-industry

Report completeness: Low

Threats:
Grief
Rude
Vidar_stealer
Redline_stealer
Quantum_locker

Victims:
Hospitality industry

Industry:
Retail, Healthcare, Financial

IOCs:
IP: 4
Hash: 84

Soft:
Discord, Telegram

Algorithms:
sha256, zip

Links:
https://github.com/sophoslabs/IoCs/blob/master/Troj-Agent-BKJE.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: Компания Sophos X-Ops предупреждает представителей гостиничного бизнеса о кампании по краже паролей, направленной на отели по всему миру с использованием социальной инженерии и вредоносной полезной нагрузки, которая обычно представляет собой разновидности Redline Stealer или Vidar Stealer. Отелям следует принять меры по защите от этой атаки и внедрить дополнительные меры безопасности.
-----

Sophos X-Ops предупреждает представителей гостиничного бизнеса о том, что кампания по краже паролей с помощью вредоносного ПО использует социальную инженерию для атак на отели по всему миру. Угрожающий агент рассылает электронные письма, выдавая их за жалобы на проблемы с обслуживанием или запросы информации, в надежде завоевать доверие получателя. После того как представитель отеля отвечает на первоначальный запрос, в ответ приходит вредоносная полезная нагрузка, замаскированная под документацию или доказательства и упакованная в защищенный паролем архивный файл.

Вредоносная полезная нагрузка обычно представляет собой сжатые архивы Zip или Rar, в которых используется список паролей. В письмах содержатся жалобы на то, что гости заразились различными заболеваниями, получили аллергическую реакцию на чистящие средства, отравились в отеле и т. д., а также просьбы о размещении или помощи гостям с ограниченной подвижностью или доступом к технике. Архивы составлены таким образом, чтобы затруднить сканирование или обнаружение вредоносного содержимого, а сама вредоносная программа обладает характеристиками, которые также помогают ей избежать немедленного обнаружения.

Большинство образцов представляют собой варианты Redline Stealer или Vidar Stealer. Код вредоносной программы прикрепляется к концу больших файлов с помощью команд перехода и подключается к URL-адресу в сервисе обмена зашифрованными сообщениями Telegram для управления. Он отправляет телеметрию на сервер C2, включая информацию об учетной записи и скриншоты рабочего стола, но не сохраняется на хост-машине. Sophos X-Ops обнаружила более 50 уникальных образцов из облачного хранилища, которые практически не были обнаружены в Virustotal, но были обнаружены продуктами Sophos для защиты конечных точек как Troj/Agent-BKJE. Для блокирования попыток эксфильтрации используется Creds_2D.

Вредоносные атаки особенно актуальны в напряженный сезон праздничных поездок в конце года, поэтому отели должны знать об этой угрозе и принять необходимые меры для защиты своих гостей и данных. Отели должны убедиться, что их персонал обучен тому, как распознавать подозрительные электронные письма и ссылки, а также принять соответствующие меры безопасности для обнаружения и защиты от вредоносного контента. Кроме того, им следует рассмотреть возможность внедрения дополнительных мер безопасности, таких как двухфакторная аутентификация, для защиты учетных записей пользователей.

#ParsedReport #CompletenessLow
19-12-2023

Behind the Scenes: JaskaGO s Coordinated Strike on macOS and Windows

https://cybersecurity.att.com/blogs/labs-research/behind-the-scenes-jaskagos-coordinated-strike-on-macos-and-windows

Report completeness: Low

Threats:
Jaskago

Victims:
Windows and macos users

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 6
Hash: 17

Soft:
macOS, Anyconnect, VirtualBox, Chrome, Windows Terminal, Gatekeeper, Windows Service

Algorithms:
sha256

Languages:
powershell, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Google Translate|DeepL)

------
Основная идея: JaskaGO - это сложный штамм вредоносного ПО, основанный на языке программирования Go и представляющий серьезную угрозу для операционных систем Windows и macOS, использующий такие стратегии, как обман, антивирусная тактика и механизмы персистенции для утечки конфиденциальной информации от ничего не подозревающих жертв.
-----

Обнаруженный недавно JaskaGO, сложный штамм вредоносного ПО для кражи данных на языке программирования Go, представляет серьезную угрозу для операционных систем Windows и macOS. Вредоносная программа оснащена обширным набором команд, поступающих с командно-контрольного сервера (C&C), и отлично справляется с похищением ценной информации, такой как учетные данные браузера, данные криптовалютного кошелька и другие конфиденциальные файлы пользователя. Простота, эффективность и кросс-платформенные возможности Go делают его привлекательным выбором для авторов вредоносных программ, стремящихся создать универсальные и сложные угрозы.

Исторически сложилось так, что пользователи macOS считали свои системы неуязвимыми для вредоносного ПО из-за относительной редкости угроз, направленных на macOS, по сравнению с другими платформами. Однако JaskaGO служит ярким напоминанием о том, что и пользователи Windows, и пользователи macOS постоянно подвергаются риску атак вредоносного ПО. Использование им имен файлов, напоминающих такие известные приложения, как Capcut_Installer_Intel_M1.dmg и Anyconnect.exe, говорит о распространенной стратегии распространения вредоносных программ под видом легального ПО на веб-страницах пиратских приложений.

При первом запуске вредоносная программа выдает обманчивое окно с сообщением об ошибке, утверждая, что файл отсутствует. Это стратегически рассчитано на то, чтобы ввести пользователя в заблуждение и заставить его поверить, что вредоносный код не удалось запустить. Затем вредоносная программа проводит тщательную проверку, чтобы определить, работает ли она на виртуальной машине (ВМ). Если обнаружение ВМ не удалось, JaskaGO приступает к сбору информации о жертве и устанавливает соединение с командным пунктом для дальнейших действий. Среди возможных команд - создание устойчивости вредоносной программы, кража функций, таких как сбор информации с зараженного устройства и передача ее на сервер, пинг командно-контрольного пункта, выполнение команд оболочки, вывод предупреждающих сообщений, получение списка запущенных процессов, выполнение файлов на диске или в памяти, запись в буфер обмена, выполнение случайных задач, загрузка и выполнение дополнительной полезной нагрузки, а также инициирование процесса на выход (self) или удаление себя.

JaskaGO также оснащен функцией эксфильтрации данных, которая сохраняет полученные данные в специально созданной папке и отправляет их агенту угроз. В Windows вредоносная программа устанавливает постоянство с помощью создания служб и профилей Windows Terminal. В macOS вредоносная программа использует многоступенчатый процесс для обеспечения постоянства, включая выполнение от имени root, отключение Gatekeeper, создание LaunchDaemon и LaunchAgent.

JaskaGO является ярким примером эволюционирующего ландшафта угроз, подчеркивая общую уязвимость систем Windows и macOS. Используя сложную тактику борьбы с виртуальными машинами, JaskaGO обходит автоматический анализ, что делает его сложной задачей для обнаружения. Механизмы сохранения вируса свидетельствуют о его решительных усилиях по внедрению в системы, а возможности кражи превращают вредоносную программу в опасную угрозу, вытягивающую конфиденциальную информацию из ничего не подозревающих жертв. Поэтому пользователям следует сохранять бдительность и принимать меры предосторожности для защиты от этой и других вредоносных программ.