#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Zloader, модульный троян, созданный на основе исходного кода Zeus, эволюционировал и вернулся с новыми версиями и возможностями. Впервые он был обнаружен в 2016 году, нацеленный на немецкие банки, и с тех пор перешел от банковского мошенничества к атакам с использованием программ-вымогателей. Последняя версия Zloader включает в себя новые методы запутывания, обновленный алгоритм генерации домена (DGA), шифрование RSA для сетевых коммуникаций и встроенную поддержку 64-разрядных систем Windows. Троянец использует различные методы антианализа, чтобы затруднить анализ вредоносных программ, а его конфигурация и методы связи были изменены. Возвращение Zloader после удаления указывает на сохраняющуюся угрозу и потенциал для новых атак программ-вымогателей. Облачная платформа безопасности Zscaler обнаруживает индикаторы, связанные с Zloader, используя многоуровневые механизмы защиты.
-----

Важные факты из текста:.

Zloader - это модульный троян, созданный на основе просочившегося исходного кода Zeus.

Впервые он был обнаружен в ходе целенаправленной кампании против немецких банков в 2016 году, но начал действовать уже в августе 2015 года.

После паузы в активности в начале 2018 года она вновь появилась в конце 2019 года под названием Silent Night и с тех пор эволюционировала до версии 2.0.0.0 к сентябрю 2021 года.

Zloader перешел от банковского мошенничества к атакам с использованием программ-вымогателей.

В апреле 2022 года исследователи безопасности провели операцию по удалению ботнета Zloader, в результате чего наступил период бездействия.

Zloader вернулся в новой версии, разработка которой началась в сентябре 2023 года и включает в себя новые методы запутывания, обновленный алгоритм генерации домена (DGA), шифрование RSA для сетевых коммуникаций и встроенную поддержку 64-разрядных систем Windows.

В последних версиях Zloader используются методы антианализа, такие как хэширование импорта API, нежелательный код, проверка имен файлов и запутывание строк.

Статическая конфигурация Zloader зашифрована с помощью RC4 с жестко закодированным ключом, а открытый ключ RSA заменяет старый ключ RC4 для сетевого шифрования.

Zloader взаимодействует со своим сервером управления (C2) с помощью HTTP POST-запросов и использует 1024-битное шифрование RSA с алгоритмами визуального шифрования RC4 и Zeus для сетевого шифрования.

Возвращение Zloader после операции удаления указывает на то, что он остается серьезной угрозой, потенциально приводящей к новым атакам программ-вымогателей.

Облачная платформа безопасности Zscaler обнаруживает индикаторы, связанные с Zloader, на различных уровнях, используя многоуровневые механизмы защиты.

#ParsedReport #CompletenessLow
22-01-2024

Apache ActiveMQ Vulnerability Leads to Stealthy Godzilla Webshell

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/apache-activemq-vulnerability-leads-to-stealthy-godzilla-webshell

Report completeness: Low

Threats:
Godzilla_webshell
Mimikatz_tool
Meterpreter_tool

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: 9.4
X-Force: Patch: Official fix
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1486, T1078, T1068, T1505.003

IOCs:
File: 1
Hash: 6

Soft:
ActiveMQ

Algorithms:
sha256, md5

Languages:
java

Links:
https://github.com/X1r0z/ActiveMQ-RCE
https://github.com/BeichenDream/Godzilla

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что участились кибератаки, нацеленные на уязвимости в хостах Apache ActiveMQ. Эти атаки используют критическую уязвимость, связанную с небезопасными методами десериализации в протоколе OpenWire. Злоумышленники используют эксплойт, который стал общедоступным в октябре 2023 года, и используют его для распространения различных типов вредоносной полезной нагрузки, включая криптомайнеров, руткиты, программы-вымогатели и трояны удаленного доступа. Trustwave SpiderLabs обнаружила, что вредоносный код встроен в файл, исходящий из веб-оболочки Godzilla, который трудно обнаружить с помощью стандартного сканирования безопасности. Trustwave создала правило YARA, помогающее обнаруживать экземпляры веб-оболочки Godzilla. В статье также кратко упоминается перенаправление URL-адресов при фишинговых атаках как еще один распространенный метод, используемый киберпреступниками.
-----

Компания Trustwave, занимающаяся кибербезопасностью, обнаружила значительный рост числа атак, нацеленных на уязвимости в хостингах Apache ActiveMQ. Эти атаки используют критическую уязвимость, обозначенную как CVE-2023-46604, которая связана с небезопасными методами десериализации в протоколе OpenWire. Используя эту уязвимость, субъекты угроз могут выполнять произвольные команды оболочки и потенциально получать несанкционированный доступ к целевым системам.

Эксплойт для этой уязвимости стал общедоступным в октябре 2023 года, и с тех пор киберпреступники используют его для распространения различных типов вредоносных программ. Эти полезные программы включают криптомайнеры, руткиты, программы-вымогатели и трояны удаленного доступа. Злоумышленники помещают вредоносный файл в папку admin каталога установки ActiveMQ, который содержит серверные скрипты для административной консоли ActiveMQ и веб-консоли управления.

В ходе расследования Trustwave SpiderLabs обнаружила, что вредоносный код, встроенный в файл, исходит из веб-оболочки с открытым исходным кодом, известной как Godzilla Webshell. Эта веб-оболочка скрыта в неизвестном двоичном типе, что затрудняет ее обнаружение с помощью стандартного сканирования безопасности. Удивительно, но Jetty JSP engine, интегрированный в Apache ActiveMQ, анализирует, компилирует и выполняет Java-код, встроенный в двоичный файл.

После развертывания на целевом веб-сервере веб-оболочка Godzilla предоставляет ряд функциональных возможностей. Эти функциональные возможности выходят за рамки базовых возможностей веб-оболочки и включают такие функции, как выполнение команд, управление файлами, выполнение кода с протоколированием нажатий клавиш, обратные подключения к оболочке и многое другое.

Чтобы помочь идентифицировать экземпляры веб-оболочки Godzilla, Trustwave создала правило YARA, которое можно использовать для целей обнаружения. YARA - широко используемый инструмент для идентификации и классификации вредоносных программ на основе шаблонов или сигнатур, обнаруженных в файлах или памяти.

В дополнение к уязвимости Apache ActiveMQ и использованию веб-оболочки Godzilla, в статье кратко затрагивается распространенность перенаправления URL-адресов при фишинговых атаках. Перенаправление URL-адресов - это метод, используемый киберпреступниками для маскировки вредоносных ссылок, увеличивающий шансы на успешные попытки фишинга.

Автор статьи также упоминает их личный подход к исследованиям в области безопасности, решив не сразу проводить поиск в Google, чтобы избежать предвзятости и обеспечить непредвзятые выводы.

#ParsedReport #CompletenessMedium
22-01-2024

Jamf Threat Labs discovers new malware embedded in pirated applications

https://www.jamf.com/blog/jtl-malware-pirated-applications

Report completeness: Medium

Threats:
Zuru
Khepri
Beacon

Victims:
Macos users

Geo:
China, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1106, T1003, T1059.006, T1140, T1562.001, T1105, T1065, T1565.002

IOCs:
Domain: 7
File: 13
Hash: 30
Url: 3
IP: 5

Soft:
macOS, vscode, Gatekeeper

Algorithms:
sha1, xor

Languages:
python

Platforms:
apple

Links:
https://github.com/themittenmac/TrueTree
https://github.com/geemion/Khepri
https://github.com/geemion/Khepri/blob/main/src/teamclient/client/beacon/beacon\_req.h

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследователи из Jamf Threat Labs обнаружили вредоносное ПО в пиратских приложениях для macOS. Вредоносное ПО, аналогичное вредоносному ПО ZuRu, способно загружать и выполнять множество полезных нагрузок для компрометации компьютеров без ведома пользователя. Пиратские приложения были обнаружены на китайских пиратских веб-сайтах и были модифицированы для взаимодействия с инфраструктурой злоумышленника. Вредоносное ПО использует передовые методы, такие как подключение вредоносного ПО через вредоносный dylib, который нарушает сигнатуру приложения, что приводит к распространению неподписанных приложений. Исследователи предоставили подробный анализ поведения вредоносного ПО и его сходства с предыдущими версиями вредоносных программ. Они советуют пользователям воздерживаться от загрузки пиратских приложений и полагаться на законные источники, чтобы свести к минимуму риск заражения вредоносным ПО. Jamf Threat Labs по-прежнему стремится обнаруживать и предотвращать такие угрозы с помощью функции предотвращения угроз в Jamf Protect.
-----

Исследователи из Jamf Threat Labs обнаружили вредоносное ПО в пиратских приложениях для macOS, найденных на китайских пиратских веб-сайтах.

Вредоносная программа, аналогичная вредоносному ПО ZuRu, загружает и выполняет множество полезных загрузок без ведома пользователя.

Вредоносная программа была скрыта в скрытом исполняемом файле с именем ".fseventsd", который не подписан Apple и не показал никаких признаков вредоносности в VirusTotal.

Было обнаружено, что три пиратских приложения, размещенных на китайском веб-сайте "macyy.cn", были заражены одним и тем же вредоносным ПО.

Вредоносная программа использует передовые методы, такие как подключение вредоносного ПО через вредоносный dylib, для компрометации систем macOS.

Он заменяет аргументы командной строки законных процессов, чтобы гармонировать с операционной системой.

Вредоносная программа включает в себя постоянный загрузчик, расположенный по адресу "/Users/Shared/.fseventsd", который может выполнять произвольные полезные загрузки с сервера злоумышленника.

Наблюдается сходство между этой вредоносной программой и вредоносным ПО ZuRu, включая таргетинг на пиратские приложения, измененные команды загрузки и связь с китайскими IP-адресами.

Пользователи, устанавливающие пиратские приложения, могут пропускать предупреждения системы безопасности, что увеличивает риск заражения вредоносными программами.

Jamf Threat Labs предоставляет индикаторы, связанные с пиратскими приложениями, и призывает пользователей полагаться на законные источники, чтобы минимизировать риск.

#ParsedReport #CompletenessLow
22-01-2024

Coldriver threat group targets high-ranking officials to obtain credentials

https://www.malwarebytes.com/blog/news/2024/01/coldriver-threat-group-targets-high-ranking-officials-to-obtain-credentials

Report completeness: Low

Actors/Campaigns:
Seaborgium

Threats:
Spear-phishing_technique
Spica

Victims:
Ngos, Former intelligence and military officials, Nato governments

Industry:
Government, Military, Logistic, Ngo

Geo:
Ukraine, Russian

ChatGPT TTPs:
do not use without manual check
T1566.002, T1027, T1566.003, T1203, T1552, T1071, T1086

Soft:
Outlook, Chrome, Opera

Languages:
rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что Coldriver - спонсируемая государством хакерская группа, связанная с российским правительством. Они нацелены на высокопоставленных лиц и организации, занимающиеся международными делами и обороной. Их тактика включает в себя скрытый фишинг и социальную инженерию, и они используют различные методы, чтобы завоевать доверие своих целей. Известно, что Coldriver использует бэкдор под названием Spica и имеет множество вариантов, адаптированных к конкретным документам-приманкам. Группа анализа угроз (TAG) разработала правило YARA для обнаружения Spica. Аналитикам по кибербезопасности важно быть в курсе деятельности таких хакерских групп, чтобы внедрять эффективные меры безопасности и снижать риски.
-----

Coldriver - спонсируемая государством хакерская группа, которая, как полагают, связана с российским правительством. Они нацелены на высокопоставленных лиц в НПО, бывших сотрудников разведки и военных, а также правительства стран НАТО. Группа использует точечные фишинговые атаки и методы социальной инженерии, чтобы обманом заставить своих жертв открыть вредоносные документы или загрузить вредоносное ПО.

В декабре 2023 года двум российским лицам, предположительно связанным с Coldriver, США предъявили обвинения во взломе правительственных аккаунтов. Microsoft идентифицирует группу как Star Blizzard и отслеживает их деятельность. Их мишенями являются частные лица и организации, занимающиеся международными делами, обороной, материально-технической поддержкой Украины, научными кругами, компаниями по информационной безопасности и другими организациями, связанными с интересами российского государства.

Чтобы завоевать доверие своих жертв, Coldriver создает учетные записи для подражания, использует платформы социальных сетей и профессиональные маркетинговые системы. Они собирают информацию для создания профилей своих жертв. Группа обычно использует адреса веб-почты от различных провайдеров и регистрирует вредоносные домены, имитирующие законные организации.

В последнее время Coldriver использует документы-приманки, которые устанавливают определенный бэкдор под названием Spica в систему жертвы. Spica закодирован на языке программирования Rust и устанавливает постоянство с помощью запутанной команды PowerShell, называемой CalendarChecker. Группа анализа угроз (TAG) подозревает, что существует несколько вариантов Spica, адаптированных к каждому документу-приманке, отправляемому целям.

Чтобы облегчить идентификацию, TAG разработала правило YARA, инструмент, широко используемый исследователями безопасности для классификации вредоносных программ, который может помочь обнаружить присутствие бэкдора Spica. Это правило позволяет идентифицировать файлы, соответствующие определенным условиям, связанным с Spica.

Как аналитику по кибербезопасности, крайне важно быть в курсе деятельности спонсируемых государством хакерских групп, таких как Coldriver. Понимание их тактики, методов и процедур позволяет организациям разрабатывать и внедрять эффективные меры безопасности для защиты критически важных активов и снижения потенциальных рисков. Регулярное обновление средств безопасности и внедрение надежных программ обучения сотрудников фишинговым атакам и социальной инженерии имеют важное значение для предотвращения успешных вторжений.

#ParsedReport #CompletenessLow
22-01-2024

Remcos RAT Distributed via Webhards

https://asec.ahnlab.com/en/60270

Report completeness: Low

Threats:
Remcos_rat
Udprat
Njrat
Trojan/win.injector.r630725
Trojan/win.injector.r630726
Trojan/vbs.runner.sc195782
Trojan/vbs.runner.sc195783
Trojan/bat.agent.sc195781
Trojan/bat.agent.sc195785
Trojan/vbs.runner.sc195786
Trojan/vbs.runner.sc195787
Trojan/vbs.runner.sc195784

Victims:
South korean online game users

Geo:
Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1189, T1204, T1071

IOCs:
File: 13
Hash: 10

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 4, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что вредоносное ПО Remcos RAT распространяется в Южной Корее под видом игр для взрослых через веб-сайты, которые являются платформами, обычно используемыми для распространения вредоносных программ. Пользователей обманом заставляют загружать вредоносное ПО, маскируя его под законные программы, такие как игры или контент для взрослых. Вредоносная программа распространяется через различные игры, где пользователи запускают файл с именем Game.exe, который выглядит как обычный игровой лаунчер, но на самом деле выполняет вредоносные скрипты VBS. Поток заражения вредоносной программы начинается, когда выполняется Game.exe, загружающий Remcos RAT с сервера управления и контроля и пытающийся выполнить дополнительные вредоносные действия, внедряясь в процесс под названием ServiceModelReg.exe. Отчет предупреждает пользователей проявлять осторожность при запуске исполняемых файлов, загруженных с веб-серверов, и рекомендует загружать программы только с официальных веб-сайтов, чтобы снизить риск заражения вредоносными программами.
-----

Недавний отчет аналитического центра безопасности AhnLab (ASEC) показывает, что вредоносная программа Remcos RAT распространяется в Южной Корее под видом игр для взрослых через webhards, которые обычно используются для распространения вредоносных программ. Злоумышленники часто маскируют легкодоступные вредоносные программы, такие как njRAT и UDP RAT, под законные программы, такие как игры или контент для взрослых, чтобы обманом заставить пользователей загрузить их.

Подобный метод распространения наблюдался ранее неоднократно. Вредоносная программа обычно распространяется через различные игры, используя аналогичный подход. Пользователям предлагается запустить файл с именем Game.exe, который, по-видимому, является обычным игровым лаунчером. Однако сам игровой файл запускается отдельно, и вместе с ним выполняются вредоносные скрипты VBS. На рисунке 5 показано, что эти вредоносные скрипты находятся в папке www\js\plugins.

Когда файл Game.exe выполняется, начинается процесс заражения вредоносной программой. Внедренная вредоносная программа загружает Remcos RAT с сервера управления (C&C) (показано на рисунке 9) и пытается выполнить дополнительные вредоносные действия, внедряясь в процесс под названием ServiceModelReg.exe.

В отчете подчеркивается активное распространение вредоносных программ через корейские веб-серверы и сайты обмена файлами, подчеркивается необходимость соблюдать осторожность при запуске исполняемых файлов, загруженных с этих платформ. Пользователям рекомендуется загружать программы только с официальных веб-сайтов, чтобы снизить риск заражения вредоносными программами.

#ParsedReport #CompletenessLow
22-01-2024

Enter The Gates: An Analysis of the DarkGate AutoIt Loader

https://www.splunk.com/en_us/blog/security/enter-the-gates-an-analysis-of-the-darkgate-autoit-loader.html

Report completeness: Low

Threats:
Darkgate
Dll_sideloading_technique
Basupportvnc_tool
Cobalt_strike

Victims:
Russian government organizations, Splunk

TTPs:

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1485, T1059, T1552, T1027, T1107, T1060, T1118, T1170, have more...

IOCs:
File: 14
Path: 1
Hash: 3

Soft:
PSEXEC, Windows Security, Windows PowerShell, Windows registry, Windows Error Reporting, Slack

Algorithms:
base64, xor, zip

Win API:
EnumWindows

Languages:
autoit, powershell

Links:
https://github.com/splunk/security-content/releases/tag/v3.12.0
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 4, code: 8, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что исследовательская группа Splunk Threat сосредоточена на понимании и анализе угроз кибербезопасности, таких как вредоносное ПО DarkGate, с целью улучшения предложений Splunk по обеспечению безопасности. Они предоставляют результаты исследований, которые могут быть использованы службами безопасности с целью стать отраслевым стандартом для обнаружения SIEM. DarkGate - это сложное вредоносное ПО, представляющее значительную угрозу из-за своих методов обхода и сохранения в скомпрометированных системах. Для защиты от DarkGate команда разработала и протестировала средства обнаружения Splunk и поощряет совместный обмен информацией об угрозах между сообществами безопасности. Раннее обнаружение и непрерывный мониторинг имеют решающее значение для эффективного смягчения последствий и защиты от DarkGate.
-----

Команда исследователей угроз Splunk фокусируется на понимании и анализе угроз, действующих лиц и уязвимостей для улучшения предложений Splunk по обеспечению безопасности.

DarkGate - это вредоносная программа, которая используется с 2008 года и представляет значительную угрозу из-за своих методов обхода и сохранения в скомпрометированных системах.

DarkGate использует многоступенчатую полезную нагрузку и запутанные сценарии автоматического запуска, что затрудняет их обнаружение традиционными методами, основанными на сигнатурах.

Были выявлены кампании, использующие загрузчик для запуска DarkGate на скомпрометированных хостингах, часто использующие вредоносные PDF-файлы и CAB-файлы.

DarkGate использует несколько компонентов, включая wndbg.exe, модуль DLL и два файла .BIN, для выполнения полезной нагрузки вредоносного ПО.

DarkGate использует различные тактики и приемы, такие как кейлоггинг, удаленные подключения, сохранение с помощью ключей запуска реестра, кража информации из браузера, передача команд и контроля, повышение привилегий, боковое перемещение, установка вредоносного ПО CryptoMiner и манипулирование конфигурациями RDP.

Исследовательская группа Splunk Threat проанализировала соответствующие обнаружения и пометила их в аналитической статье DarkGate, чтобы помочь аналитикам безопасности выявлять действия DarkGate.

Раннее обнаружение имеет решающее значение для сдерживания и устранения последствий DarkGate, и поощряется сотрудничество и обмен информацией об угрозах между сообществами безопасности.

Постоянный мониторинг и обновленные защитные механизмы необходимы, чтобы идти в ногу с эволюционирующей тактикой DarkGate и обеспечивать надежную защиту.

#ParsedReport #CompletenessLow
22-01-2024

Cracked software beats gold: new macOS backdoor stealing cryptowallets

https://securelist.com/new-macos-backdoor-crypto-stealer/111778

Report completeness: Low

Actors/Campaigns:
Sea_turtle

Threats:
Trojan-proxy
Omni
Applescript

Victims:
Macos ventura 13.6 and later users

ChatGPT TTPs:
do not use without manual check
T1071, T1204, T1190, T1071.001, T1008, T1068, T1220, T1550.004, T1082, T1539, have more...

IOCs:
Coin: 1
Domain: 4
Hash: 47

Soft:
macOS

Wallets:
exodus_wallet

Crypto:
bitcoin

Algorithms:
cbc, base64, aes, md5, zip

Functions:
check_exodus_and_hash, check_btccore_and_hash

Languages:
python, javascript

Platforms:
intel, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики по кибербезопасности обнаружили взломанные приложения, зараженные вредоносными программами, включая новое семейство вредоносных программ для macOS. Вредоносное ПО использовало различные методы, такие как скрытие скриптов Python в текстовых записях DNS и использование агентов запуска, для заражения и компрометации компьютеров пользователей. Вредоносная программа нацелилась на популярные криптовалютные кошельки, похитив конфиденциальную информацию и отправив ее на сервер управления. Кампания все еще продолжается и развивается.
-----

Взломанные приложения, зараженные троянским прокси, были обнаружены на пиратских сайтах.

Предварительно взломанные приложения были переупакованы в PKG-файлы со встроенным троянским прокси и постустановочным скриптом.

Было обнаружено новое семейство вредоносных программ для macOS, нацеленных на пользователей более новых версий операционной системы на процессорах Intel и компьютерах Apple silicon.

Вредоносная программа использовала программу под названием Activator и установщик Python, а также файл Mach-O с именем "tool".

Активатор использовал AuthorizationExecuteWithPrivileges для запроса пароля администратора и установки Python, если он не найден.

Вредоносная программа исправила загруженное приложение, чтобы оно выглядело так, как будто оно работает, но на самом деле оно было отключено.

Вредоносная программа обратилась к серверу управления (C2) за зашифрованным сценарием.

URL-адрес C2 был получен путем объединения слов из жестко закодированных списков и добавления случайной последовательности в качестве домена третьего уровня.

Вредоносная программа сделала запрос DNS, чтобы получить текстовую запись для домена, и собрала полное сообщение.

Основной целью вредоносного ПО было выполнение команд с помощью закодированных скриптов Python, полученных с сервера C2.

Вредоносная программа не получала никаких команд в ходе расследования, что указывает на продолжающуюся кампанию.

Вредоносная программа скомпрометировала кошельки Exodus и Bitcoin-Qt, похитив пользовательские данные и отправив их в C2.

Злоумышленники использовали взломанные приложения для получения привилегий пользователя во время установки.

Вредоносная программа использовала хитроумные методы, такие как сокрытие скриптов Python внутри доменных TXT-записей на DNS-серверах.

Вредоносная программа добавляла себя в startup agents для доставки обновлений и действовала как бэкдор с правами администратора.