#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - инцидент с программой-вымогателем BlackCat, которая была нацелена на одного из клиентов Центра управления безопасностью AT&T Managed Detection and Response (MDR). AT&T SOC совместно с AT&T Alien Labs успешно обнаружили и устранили атаку. Программа-вымогатель BlackCat написана на Rust и может работать как в операционных системах Windows, так и Linux. Она использует методы шифрования и дешифрования, боковое перемещение по сети, библиотеку Impacket Python для манипулирования сетевыми протоколами и удаления теневых копий. В тексте также содержатся рекомендации по обнаружению и смягчению последствий такого типа атак.
-----

BlackCat - известная разновидность вредоносного ПО, связанная с вредоносной программой REvil и имеющая связи с российскими операторами.

BlackCat написан на языке Rust, известном своей производительностью и экономичностью.

BlackCat нацелен на различные отрасли, включая здравоохранение и развлечения.

Компания AT&T SOC успешно обнаружила и устранила атаку программы-вымогателя BlackCat на одного из своих клиентов.

Атака включала в себя вход пользователя в сеть клиента с помощью lsass.exe и шифрование нескольких файлов.

AT&T SOC использовала инструмент глубокой видимости SentinelOne для расследования инцидента.

Программа-вымогатель BlackCat написана на Rust и может работать в операционных системах Windows и Linux.

Вредоносная программа использует методы шифрования и дешифрования, чтобы запутать свои строки.

BlackCat использует расшифрованные учетные данные для перемещения по сети и использует библиотеку Impacket Python для манипулирования сетевыми протоколами.

Он создает и запускает службу на удаленном компьютере с помощью двоичного файла программы-вымогателя.

Он удаляет теневые копии Windows и использует утилиты LOLBAS для удаления файлов теневых копий.

Мониторинг новых групп или администраторов, инициирование сброса паролей, проверка установленного программного обеспечения и смена паролей Kerberos - вот рекомендуемые шаги для обнаружения и смягчения последствий атак BlackCat.

Внесение файла-вымогателя в черный список и восстановление зараженных контроллеров домена являются важными шагами.

Скомпрометированные пароли пользователей, полученные из Alien Labs, могут помочь выявить потенциальные нарушения безопасности.

#ParsedReport #CompletenessLow
12-01-2024

Financial Fraud APK Campaign

https://unit42.paloaltonetworks.com/malicious-apks-steal-pii-from-chinese-users

Report completeness: Low

Threats:
Wildfire

Victims:
Chinese android users

Industry:
Financial

Geo:
Japanese, Chinese, Apac, Emea, Japan, China, America

ChatGPT TTPs:
do not use without manual check
T1192, T1371, T1137, T1406, T1003, T1071

IOCs:
Domain: 1
IP: 4
Url: 4
Hash: 5

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе семейства вредоносных файлов Android Package Kit (APK), нацеленных на китайских пользователей. Злоумышленники выдают себя за сотрудников правоохранительных органов и обманом заставляют жертв загружать вредоносное приложение, которое затем запрашивает конфиденциальную личную информацию для опустошения банковских счетов жертв. Метод доставки, по-видимому, является социальной инженерией, и злоумышленники используют тактику, обычно применяемую участниками угроз в Китае. Решения Palo Alto Networks в области кибербезопасности, такие как брандмауэр следующего поколения с облачными службами безопасности, обеспечивают защиту от этого вредоносного APK. В статье подчеркивается важность отказа от загрузки сторонних приложений из ненадежных источников и обмена конфиденциальной информацией с неизвестными источниками. Результаты были переданы Альянсу по борьбе с киберугрозами (CTA), чтобы обеспечить быстрое развертывание средств защиты и сбоев в работе против субъектов киберугроз.
-----

В тексте подчеркивается обнаружение семейства вредоносных файлов Android Package Kit (APK), предназначенных для китайских пользователей. Злоумышленники выдают себя за сотрудников правоохранительных органов и обманом заставляют жертв загружать вредоносное приложение под предлогом расследования их банковских транзакций. После установки приложение запрашивает конфиденциальную личную информацию, включая данные платежной карты, которую злоумышленники затем используют для обналичивания банковских счетов жертв. Активность, связанная с этими вредоносными APK-приложениями, была впервые обнаружена в ноябре 2022 года и резко возросла в сентябре 2023 года.

Образцы вредоносного ПО, вероятно, были получены жертвами из неофициальных сторонних источников, поскольку они не соответствовали официальным стандартам app Store. Методом доставки, скорее всего, была социальная инженерия, аналогичная тактике, используемой злоумышленниками в Китае. Вредоносное приложение под названием "Security Protection" запрашивало разрешение на совершение телефонных звонков и получение SMS-сообщений, эффективно блокируя любые оповещения о финансовом мошенничестве из законных источников.

Чтобы убедить жертв в легитимности приложения, злоумышленники предоставили номер судебного дела и сгенерировали поддельный юридический документ с именем жертвы. Затем они направляли жертв к загрузке полезной нагрузки следующего этапа, утверждая, что это необходимо для расследования их банковских транзакций и источника средств. Приложение поддерживало различные банковские учреждения, чтобы выглядеть более аутентично. Блокировка входящих звонков и сообщений затрудняла финансовым учреждениям контакт с жертвами и увеличивала вероятность того, что жертвы попадутся на удочку мошенников.

Брандмауэр нового поколения Palo Alto Networks с облачными службами безопасности, включая расширенный WildFire, защиту DNS и расширенную фильтрацию URL-адресов, обеспечил защиту от этого вредоносного APK. Песочница WildFire перехватила и предотвратила это конкретное семейство вредоносных программ, в то время как журналы динамического анализа выявили исходящие HTTP-соединения с удаленными конечными точками, связанными с вредоносным ПО. Множественные подключения к этим вредоносным IP-адресам и доменам в течение короткого периода времени служили индикаторами командно-контрольного трафика (C2), способствуя обнаружению и смягчению последствий.

Чтобы защититься от этой угрозы, в статье рекомендуется не загружать сторонние приложения из ненадежных источников и не делиться конфиденциальной информацией с неизвестными источниками. Клиенты Palo Alto Networks лучше защищены благодаря своим продуктам безопасности, которые включают расширенное предотвращение угроз и расширенную фильтрацию URL. Полученные результаты были переданы Альянсу по борьбе с киберугрозами (CTA) для содействия быстрому внедрению средств защиты и сбоев в работе от злоумышленников в киберпространстве.

#ParsedReport #CompletenessLow
12-01-2024

Rimasuta New Variant Switches to ChaCha20 Encryption Algorithm. Timeline

https://blog.xlab.qianxin.com/rimasuta-new-variant-switches-to-chacha20-encryption-en

Report completeness: Low

Threats:
Mirai

ChatGPT TTPs:
do not use without manual check
T1190, T1022, T1094, T1133, T1498, T1095

IOCs:
Hash: 1

Algorithms:
chacha20

Win Services:
bits

Languages:
javascript

Links:
https://github.com/rurban/fast-hash/blob/master/fasthash.c?ref=blog.xlab.qianxin.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - анализ ботнета Rimasuta, разновидности вредоносного ПО Mirai. Ботнет эволюционировал и претерпел значительные изменения в структуре кода и функциональности. Он использует уязвимости, проводит DDoS-атаки и использует уникальные методы распространения. Конечная цель Rimasuta неясна, но, возможно, это создание своей прокси-сети. Пользователям рекомендуется отслеживать исходящий трафик по IP-адресу прокси-сервера Rimasuta и анализировать данные о трафике для домена Tor Rimasuta, чтобы обнаружить заражение. В анализе также обсуждается временная шкала Rimasuta и ее коммуникационный дизайн, включающий SOCKS5 с использованием метода Tor Proxy.
-----

Анализ сосредоточен на эволюции ботнета Rimasuta, который является разновидностью вредоносного ПО Mirai. Первоначально он назывался Mirai_ptea, но позже был изменен на Mirai_ptea_Rimasuta из-за недовольства автора. Было замечено, что ботнет использует уязвимости, проводит DDoS-атаки и использует уникальные методы распространения.

Анализ показывает, что Rimasuta претерпела значительные изменения в структуре кода и функциональности. Компания переработала свой алгоритм шифрования, теперь используя алгоритм ChaCha20, и обновила свой протокол связи Command and Control (C2). Ботнет также внес изменения в свою таблицу строк и включил сбор информации о пользователях в фазу согласования ключей. Конечная цель Rimasuta неясна, но, возможно, это создание своей прокси-сети.

Чтобы обнаружить заражение, пользователям рекомендуется отслеживать исходящий трафик по IP-адресу прокси-сервера Rimasuta и анализировать данные о трафике для домена Tor Rimasuta. Для этой цели приведен пример правила Snort.

В анализе обсуждается временная шкала Rimasuta, отмечается, что она была обнаружена в июне 2021 года и считалась недолговечной сетью зомби. Однако недавно она всплыла на поверхность с изменениями в алгоритмах шифрования, форматах протоколов и других аспектах. Ботнет по-прежнему использует прокси-сервер Tor для связи и использует протокол STUN для сбора информации о пользователях.

Коммуникационный дизайн Rimasuta предполагает непрямую связь с C2 с использованием метода "SOCKS5 с прокси-сервером Tor". Бот подключается к прокси-серверу и запрашивает подключение к случайно выбранному домену Tor из списка Tor. Согласование ключей происходит для шифрования и отправки пользовательской информации с использованием шифрования ChaCha20. C2 может расшифровать полученную информацию.

#ParsedReport #CompletenessHigh
12-01-2024

The Rising Threat of Pikabot

https://www.esentire.com/blog/the-rising-threat-of-pikabot

Report completeness: High

Threats:
Pikabot
Process_hollowing_technique
Anydesk_tool

Victims:
Manufacturing companies, Business service companies

Geo:
Russian, Emea, Africa, America, Apac, Ukrainian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1566, T1059.007, T1560.001, T1083, T1005, T1016, T1082, T1055.012, T1012, T1190, have more...

IOCs:
File: 4
Path: 1
Domain: 3
Url: 6
IP: 20
Hash: 2

Soft:
curl, Slack, Zoom

Algorithms:
zip, base64, aes, rc4

Languages:
python, javascript

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/PikaBot/Pikabot\_1-2-2024.yar
https://github.com/esThreatIntelligence/iocs/blob/main/PikaBot/PikaBot-1-2-2024.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что eSentire Threat Response Unit (TRU) - это специализированная команда, нацеленная на повышение устойчивости организаций к киберугрозам. Они идентифицировали вредоносную программу Pikabot, которая распространяется через фишинговые электронные письма, содержащие вредоносные ZIP-архивы, и использует различные методы, такие как удаление процесса и шифрование. Пользователям важно быть осторожными при загрузке вложений и доступе к веб-сайтам, чтобы предотвратить использование злоумышленниками, которые часто используют целенаправленные подходы. TRU предоставляет правила Yara и индикаторы компрометации (IOCS), которые помогают обнаруживать и удалять заражения Pikabot.
-----

eSentire TRU - это команда, специализирующаяся на повышении устойчивости организаций к киберугрозам.

TRU состоит из квалифицированных охотников за угрозами и исследователей, которые вносят свой вклад в разработку моделей обнаружения угроз.

Команда проводит проактивную охоту за угрозами и использует глобальные проверки угроз, расследования и оригинальные исследования.

Они идентифицировали вредоносную программу Pikabot, которая распространяется через вложения электронной почты в виде ZIP-архивов.

Pikabot использует запутанный JavaScript и встроенное шифрование RC4, чтобы избежать анализа.

Вредоносная программа внедряется в процесс SearchProtocolHost.exe, используя удаление процесса.

Pikabot собирает информацию о хост-системе и передает ее на сервер управления.

Если системным языком является русский или украинский, Pikabot воздерживается от выполнения дальнейшего кода, предлагая целенаправленный подход.

Вредоносная программа создает значение мьютекса, чтобы предотвратить повторное заражение хоста.

Было замечено, что Pikabot распространяется путем бесплатной загрузки с вредоносного веб-сайта.

Вредоносная программа выдает себя за легальное программное обеспечение, такое как AnyDesk, Slack и Zoom, для распространения через вредоносную рекламу.

Злоумышленники используют социальную инженерию с помощью фишинговых писем с вредоносными ссылками для распространения Pikabot.

Важно информировать пользователей о рисках, связанных с нежелательными электронными письмами, и осторожной загрузке вложений.

Использование доверия представляет собой значительный риск, поскольку злоумышленники выдают себя за законные ресурсы.

Правила и индикаторы компрометации Yara (IOCs) могут помочь в обнаружении и удалении заражений Pikabot.

#ParsedReport #CompletenessHigh
12-01-2024

CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer Campaign

https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phemedrone-steal.html

Report completeness: High

Threats:
Phemedrone
Dll_sideloading_technique
Vmprotect_tool
Donut

Industry:
Entertainment

CVEs:
CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: 8.8
X-Force: Patch: Official fix
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows server 2012 (r2, -)
- microsoft windows server 2016 (-)
- microsoft windows server 2019 (-)
- microsoft windows server 2022 (-)
have more...

TTPs:

ChatGPT TTPs:
do not use without manual check
T1298, T1547, T1078, T1043, T1213, T1027, T1073, T1548, T1218.017, T1055, have more...

IOCs:
File: 16
Path: 3
Hash: 45
Url: 31
IP: 1

Soft:
Windows Defender SmartScreen, Telegram, Discord, Microsoft Windows Defender SmartScreen, Windows PowerShell, LastPass, KeePass, Telegram.Telegram

Wallets:
jaxx, electrum, guarda_wallet

Algorithms:
crc-32, lznt1, zip, base64, xor, rc4

Win API:
GetModuleHandleExW, GetModuleFileNameW, GetProcAddress, LoadLibraryA, lstrcatW, CreateDirectoryW, CreateFileW, GetFileSize, LocalAlloc, ReadFile, have more...

Languages:
jscript, powershell

Links:
https://github.com/TheWover/donut

#ParsedReport #ExtractedSchema

Classified images:
windows: 22, schema: 1, code: 10, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание кампании Phemedrone Stealer, угрозы кибербезопасности, использующей уязвимость CVE-2023-36025. Этот похититель нацелен на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями, делая снимки экрана и собирая системную информацию, которая затем отправляется злоумышленникам. Phemedrone Stealer - это инструмент с открытым исходным кодом, доступный на GitHub и Telegram, что делает его широко доступным для злоумышленников. Несмотря на то, что уязвимость была исправлена, она по-прежнему используется различными вредоносными кампаниями. В статье подчеркивается важность использования комплексных решений для обеспечения безопасности и многоуровневой стратегии защиты для снижения этих рисков кибербезопасности.
-----

Важные факты из текста:.

Кампания по краже Phemedrone использует уязвимость CVE-2023-36025.

Уязвимость позволяет обходить предупреждения и проверки в SmartScreen Защитника Windows.

Компания Trend Micro обнаружила свидетельства активного использования этой уязвимости.

Phemedrone Stealer нацелен на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями.

Он делает снимки экрана, собирает системную информацию и отправляет украденные данные злоумышленникам.

Phemedrone Stealer - это программа для кражи данных с открытым исходным кодом, поддерживаемая на GitHub и Telegram.

Корпорация Майкрософт исправила эту уязвимость, но она все еще используется.

Вектор атаки включает размещение вредоносных файлов быстрого доступа к Интернету на таких платформах, как Discord или облачные сервисы, и обман пользователей с целью их открытия.

Загрузчик запутывается и загружает ZIP-файл с GitHub для выполнения следующего этапа атаки.

Файл wer.dll имеет решающее значение для функциональности загрузчика и упакован и защищен, чтобы избежать обнаружения.

Второй этап загрузки включает в себя расшифровку защищенного pdf-файла и использование загрузчика второго этапа под названием Donut.

Phemedrone Stealer нацелен на множество приложений и служб, собирая конфиденциальную информацию и отправляя ее злоумышленникам.

Несмотря на то, что уязвимость была исправлена, злоумышленники продолжают использовать ее в различных кампаниях вредоносного ПО.

Организациям рекомендуется использовать комплексные решения для обеспечения безопасности и многоуровневую стратегию защиты для снижения киберрисков.

#ParsedReport #CompletenessLow
12-01-2024

"Kyivstar debt", "SBU request": new UAC-0050 attack using RemcosRAT (CERT-UA#8338)

https://cert.gov.ua/article/6276824

Report completeness: Low

Actors/Campaigns:
Uac-0050

Threats:
Remcos_rat

Victims:
Kyivstar subscribers, Ukrainian government organizations

Industry:
Government

Geo:
Malaysian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001, T1059.001, T1106, T1204, T1560, T1219, T1021, T1021.002

IOCs:
File: 16
Hash: 59
IP: 16
Registry: 4
Path: 3
Command: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что киберпреступники используют фишинговые электронные письма для распространения программы дистанционного управления RemcosRAT. Эти электронные письма имеют разные темы, такие как ссылки на долги или запросы СБУ, чтобы обманом заставить получателей открыть вредоносные вложения. После активации вредоносная программа позволяет злоумышленникам получить несанкционированный доступ к зараженным компьютерам. Пользователям следует проявлять осторожность при открытии вложений электронной почты, использовать решения для фильтрации электронной почты и обновлять системы с помощью исправлений безопасности. Отслеживание и мониторинг действий злоумышленников может помочь идентифицировать их инфраструктуру и предотвратить будущие атаки.
-----

21.12.2023 Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) обнаружила крупномасштабную кампанию по электронной почте, включающую сообщения под названием "Долги по контракту Киевстар". Эти электронные письма содержали вложение с именем "Абонент debt.zip". При активации код макроса во вложении загружал и выполнял файл с именем "GB.exe", используя протокол SMB и проводник Windows (explorer.exe).

Файл "GB.exe", архив SFX, содержал пакетный скрипт, который был разработан для загрузки файла из сервиса bitbucket и запуска запутанного исполняемого файла под названием "wsuscr.exe". Этот исполняемый файл, защищенный с помощью SmartAssembly .NET, предназначен для расшифровки и запуска программы удаленного управления RemcosRAT. Идентификатор лицензии для этой конкретной версии RemcosRAT - 5639D40461DCDD07011A2B87AD3C9EDD.

В другой рассылке, за которой наблюдал CERT-UA, содержались строки темы, указывающие на запрос СБУ (Службы безопасности Украины). Эти электронные письма содержали вложение с именем "Documents.zip". Этот архив был защищен паролем и разделен на три RAR-архива, один из которых назывался "Request.rar". Внутри "Request.rar" находился исполняемый файл под названием "Request.exe". Открытие этого архива и запуск исполняемых файлов внутри потенциально может привести к заражению компьютера той же программой RemcosRAT, идентифицированной по идентификатору лицензии 5639D40461DCDD07011A2B87AD3C9EDD.

В дополнение к типичному расположению серверов управления RemcosRAT на техническом сайте малазийского хостинг-провайдера Shinjiru (AS44477), они также были обнаружены в автономной системе AS44477, принадлежащей STARK INDUSTRIES SOLUTIONS LTD.

Анализируя предоставленную информацию, становится очевидным, что киберпреступники используют фишинговые электронные письма для распространения вредоносных вложений, содержащих программу дистанционного управления RemcosRAT. Использование различных строк темы, таких как ссылки на долги или запросы СБУ, направлено на то, чтобы заманить ничего не подозревающих получателей к открытию этих вложений. После активации вредоносная программа устанавливает возможности удаленного управления, позволяя злоумышленникам получить несанкционированный доступ к зараженным компьютерам.

Пользователям крайне важно проявлять осторожность при открытии вложений электронной почты, особенно из неизвестных источников или с подозрительными строками темы. Использование решений для фильтрации электронной почты и информирование пользователей о методах фишинга может значительно снизить риск стать жертвой таких атак. Кроме того, обеспечение того, чтобы системы были обновлены с помощью последних исправлений безопасности, имеет важное значение для снижения эффективности таких угроз.

Кроме того, отслеживание и мониторинг деятельности злоумышленников, участвующих в распространении и эксплуатации вредоносного ПО RemcosRAT, может помочь в выявлении их инфраструктуры, предотвращении будущих атак и потенциальном сотрудничестве с правоохранительными органами для дальнейшего расследования и судебного преследования.

#ParsedReport #CompletenessLow
10-01-2024

Atomic Stealer rings in the new year with updated version

https://www.malwarebytes.com/blog/threat-intelligence/2024/01/atomic-stealer-rings-in-the-new-year-with-updated-version

Report completeness: Low

Threats:
Amos_stealer
Fakebat

Victims:
Mac users

ChatGPT TTPs:
do not use without manual check
T1078, T1041

IOCs:
Domain: 4
Hash: 2
IP: 1

Soft:
Telegram, MacOs, Slack

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что в последнее время были проведены кампании по распространению вредоносного ПО, нацеленные на пользователей Mac, в частности, через вредоносную рекламу и скомпрометированные веб-сайты. В центре внимания этих кампаний находится вредоносная программа под названием Atomic Stealer (AMOS), которая постоянно обновляется и имеет высокую арендную плату в размере 3000 долларов в месяц. Разработчики Atomic Stealer внесли обновления, позволяющие избежать обнаружения, такие как шифрование полезной нагрузки и скрытие определенных строк, используемых для обнаружения. Вредоносное ПО распространяется через программные взломы и вредоносную рекламу, а недавняя кампания по вредоносной рекламе нацелена на пользователей Mac. Вредоносная программа запрашивает у пользователей системный пароль, что позволяет ей собирать пароли и конфиденциальные файлы. Разработчики также уделяют особое внимание краже файлов cookie браузера для несанкционированного доступа к учетным записям. Соответствующие стороны были уведомлены о вредоносной рекламе и инфраструктуре, связанной с Atomic Stealer.
-----

В прошлом году было проведено множество кампаний по распространению вредоносных программ, нацеленных на пользователей Mac с помощью вредоносной рекламы и скомпрометированных веб-сайтов. Одна из популярных распространяемых вредоносных программ называется Atomic Stealer (AMOS). Разработчики этого stealer постоянно обновляли его и добавляли новые функции, чтобы оправдать его высокую арендную плату в размере 3000 долларов в месяц.

Примерно в декабре 2023 года Atomic Stealer был обновлен с помощью шифрования полезной нагрузки, чтобы избежать обнаружения. Некоторые образцы обновленной версии были найдены на VirusTotal, после чего в январе 2024 года была замечена кампания по вредоносной рекламе. Цель этого поста в блоге - рассмотреть последние изменения в Atomic Stealer и его распространение с помощью вредоносной рекламы в поисковой системе Google.

В декабре разработчики Atomic Stealer предложили специальную праздничную скидку на свой Telegram-канал, снизив стоимость подписки до 2000 долларов до 31 декабря. Примерно 17 декабря код Atomic Stealer был изменен, чтобы скрыть определенные строки, которые ранее использовались для обнаружения и идентификации его сервера управления.

Существует два основных канала распространения Atomic Stealer: программные взломы и вредоносная реклама. Клиенты, использующие программные взломы, потенциально имели ранний доступ к обновленной версии Atomic Stealer. Во время праздничных каникул активность недобросовестной рекламы снизилась, включая кампании, проводимые с помощью поисковой рекламы Google. Однако 8 января была выявлена вредоносная рекламная кампания, нацеленная на пользователей Mac с обновленной версией Atomic Stealer, использующая аналогичную тактику, наблюдавшуюся в предыдущих кампаниях по распространению FakeBat.

Вредоносный файл DMG, связанный с Atomic Stealer, содержит инструкции для пользователей по открытию файла и предлагает им ввести свой системный пароль. Это позволяет Atomic Stealer собирать пароли и другие конфиденциальные файлы в обход ограничений доступа. Код Atomic Stealer был запутан, что затрудняет идентификацию определенных строк, раскрывающих природу полезной нагрузки и сервера управления.

Кража файлов cookie браузера также находится в центре внимания разработчиков Atomic Stealer, поскольку это может обеспечить несанкционированный доступ к учетным записям с помощью токенов сеанса, что может быть более ценным, чем просто кража паролей. Разработчики анонсировали функцию файлов cookie в канун Рождества.

О вредоносной рекламе и инфраструктуре, связанных с Atomic Stealer, было сообщено соответствующим сторонам для устранения последствий.