#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развитии угрозы, исходящей от вредоносного ПО ViperSoftX, которое используется для распространения других вредоносных программ, таких как Quasar RAT и TesseractStealer. Злоумышленники используют тактику, подобную использованию Tesseract для извлечения текста из изображений, для кражи конфиденциальной информации и подчеркивают важность бдительности и активных мер кибербезопасности для снижения рисков, связанных с этими угрозами.
-----

Аналитический центр безопасности AhnLab (ASEC) недавно выявил новую тактику, применяемую злоумышленником ViperSoftX, который использовал Tesseract, распознавательный движок с открытым исходным кодом, для кражи файлов изображений пользователей. ViperSoftX - это стойкая вредоносная программа, которая работает в скомпрометированных системах, облегчая выполнение вредоносных команд и кражу данных, связанных с криптовалютой. Эта последняя версия ViperSoftX использовала Tesseract для извлечения текста из изображений, хранящихся в зараженных системах. Если бы извлеченный текст содержал ссылки на пароли или адреса криптовалютных кошельков, изображение было бы удалено злоумышленником.

ViperSoftX, вредоносное ПО, распространяющееся уже несколько лет, выполняет основные функции по выполнению команд и сбору информации, связанной с криптовалютой. Примечательно, что злоумышленники использовали ViperSoftX для внедрения новых вредоносных программ в различные системы. Некоторые примеры вредоносного программного обеспечения, распространяемого через ViperSoftX, включают Quasar RAT и TesseractStealer.

Quasar RAT, троян с открытым исходным кодом для удаленного доступа (RAT), разработанный в .NET, предоставляет широкий спектр функциональных возможностей, типичных для RATs, таких как системные операции, удаленное выполнение команд и утечка данных. Кроме того, он предлагает функции для ведения кейлоггинга и сбора информации об учетной записи для кражи данных из зараженных систем и позволяет осуществлять контроль в режиме реального времени с помощью удаленного доступа к рабочему столу. Было замечено, что злоумышленники распространяют Quasar RAT через ViperSoftX, внедряя это вредоносное ПО в многочисленные системы, а не нацеливаясь на конкретные объекты. Недавние случаи указывают на резкий рост числа установок Quasar RAT, причем в некоторых случаях используется сеть Tor для связи с серверами командования и контроля (C&C).

В дополнение к Quasar RAT злоумышленники внедрили TesseractStealer, вредоносную программу для кражи информации, которая использует Tesseract для извлечения текста из изображений. TesseractStealer инициализирует необходимые библиотечные файлы и файлы обучающих данных для извлечения строк из изображений, а затем тщательно проверяет содержимое на наличие определенных текстовых строк, связанных с конфиденциальной информацией. В случае обнаружения скомпрометированные изображения отправляются злоумышленником на сервер C&C.

Недавняя активизация деятельности ViperSoftX, приведшая к установке Quasar RAT и TesseractStealer, подчеркивает повышенный риск, связанный с этим меняющимся ландшафтом угроз. Пользователям рекомендуется проявлять осторожность при загрузке исполняемых файлов из ненадежных источников и приобретать программное обеспечение исключительно у официальных дистрибьюторов. Кроме того, поддержание актуальности программного обеспечения для обеспечения безопасности имеет решающее значение для превентивной защиты от заражения вредоносными программами.

Использование сценариев PowerShell, разработка командных структур для поддержки распространения вредоносных программ и установка дополнительных вредоносных кодов подчеркивают сложность и постоянство этих киберугроз. Бдительность и превентивные меры кибербезопасности имеют решающее значение для снижения рисков, связанных с ViperSoftX и связанными с ним вариантами вредоносных программ.

#ParsedReport #CompletenessLow
01-05-2024

Stories from the SOC - Combating "Security Alert" Scams

https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-combating-security-alert-scams

Report completeness: Low

Victims:
Windows users, Apple users

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1595, T1584, T1219

IOCs:
Domain: 2
Hash: 1

Soft:
Microsoft Teams

Algorithms:
zip

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - описание аферы "Security Alert", мошенничества с технической поддержкой, нацеленного на пользователей Windows и Apple с помощью поддельных всплывающих предупреждений и мошеннических телефонных номеров с целью кражи личных данных и вымогательства денег. В тексте подчеркиваются трудности борьбы с этим мошенничеством, важность обучения конечных пользователей и взаимодействия с ИТ-отделами, а также использования анализа угроз, индикаторов компрометации и мониторинга для предотвращения попадания в руки таких мошенников. В нем также освещаются конкретные меры и инструменты, рекомендуемые для защиты от растущей угрозы мошенничества "Security Alert" и аналогичных киберугроз.
-----

Мошенничество с "предупреждениями о безопасности" - это распространенное мошенничество с технической поддержкой, которое нацелено как на пользователей Windows, так и на Apple, выдавая себя за официальные сайты поддержки и используя поддельные всплывающие предупреждения, чтобы вызвать срочность и подтолкнуть пользователей звонить по мошенническим телефонным номерам. Мошенники стремятся получить удаленный доступ к системе жертвы, чтобы украсть личные данные и вымогать деньги. Борьба с этим мошенничеством является сложной задачей из-за того, что злоумышленники используют недавно зарегистрированные домены, что затрудняет их обнаружение. Они часто устанавливают средства протокола удаленного рабочего стола (RDP) после того, как пользователи обращаются в службу поддержки мошенников, обходя традиционные методы обнаружения.

Обучение конечных пользователей и взаимодействие с ИТ-подразделениями имеют решающее значение для эффективной борьбы с фишингом и мошенничеством. Компания AT&T Cybersecurity активно оповещает о вредоносных доменах и предоставляет аналитическую информацию об угрозах через сообщество Open Threat Exchange (OTX), чтобы помочь организациям защитить себя. Индикаторы компрометации (IOCs), связанные с мошенничеством, включают поддельные страницы McAfee, размещение мошеннических веб-сайтов и конкретные хэши файлов, которые могут быть использованы для обнаружения потенциальных угроз.

Поисковики угроз сосредотачиваются на выявлении URL-запросов, связанных с мошенническими страницами поддержки, и отфильтровывают законные домены, используемые организацией. Использование таких инструментов, как изолированные среды, помогает выявлять вредоносные домены. Возможности инвентаризации приложений SentinelOne позволяют отслеживать успешные совпадения URL-адресов и отслеживать скомпрометированные системы. Постоянный мониторинг и оповещение о вредоносных доменах, а также обучение пользователей и блокировка брандмауэром являются рекомендуемыми мерами для предотвращения попадания в руки подобных мошенников.

Команда Alien Labs по анализу угроз добавила выявленные вредоносные домены в OTX pulse для непрерывного мониторинга. Важно сохранять бдительность, поскольку злоумышленники могут менять тактику, сохраняя те же активные домены. Регулярное обучение пользователей, мониторинг сетевой активности и блокировка вредоносных доменов являются ключевыми шагами в защите от растущего числа мошеннических действий "Security Alert" и аналогичных угроз.

#ParsedReport #CompletenessLow
02-05-2024

Dissecting REMCOS RAT: An in- depth analysis of a widespread 2024 malware, Part Three

https://www.elastic.co/security-labs/dissecting-remcos-rat-part-three

Report completeness: Low

Threats:
Remcos_rat
Uac_bypass_technique

ChatGPT TTPs:
do not use without manual check
T1092, T1562, T1059, T1012, T1548, T1113, T1041, T1555, T1552

IOCs:
Coin: 2
Command: 1
File: 1
Registry: 1

Soft:
FoxMail

Algorithms:
rc4

Functions:
GetHostGeolocation, GetOfflineKeyloggerInformation, DeleteKeyloggerDataThenUploadIfAnythingNewInbetween, SetClipboardToSpecificData, SetBotnetName, SetWindowTextThenListProcessesWindow

Win API:
TerminateProcess, CloseWindow, DeleteFile, MessageBox, ShowWindow, ReadFile, WriteFile, ShellExecuteW

Languages:
visual_basic

Links:
https://github.com/jacobsoo/FoxmailRecovery
https://github.com/elastic/labs-releases/tree/main/extractors/remcos

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Текст представляет собой подробный анализ вредоносного ПО REMCOS, проведенный исследователями из Elastic Security Labs, с акцентом на структуру конфигурации, команды управления (C2) и разработку инструментов для анализа и извлечения конфигурации вредоносного ПО. В нем подробно описывается использование пользовательского отображения в полях конфигурации, исполняемые команды для C2, методы, используемые вредоносной программой, такие как поиск данных о геолокации и кейлоггинг, а также использование двоичных файлов Nirsoft для кражи паролей. Анализ также охватывает команду удаления, специфические команды, такие как перезапуск, и такие функции, как Dumpbrowserhistory с использованием NirSoft, ElevateProcess и обход контроля учетных записей. В заключении упоминается предстоящий обзор стратегий обнаружения и поиска для REMCO, использующих технологии Elastic.
-----

Текст представляет собой подробный анализ вредоносного ПО REMCOS, проведенный исследователями из Elastic Security Labs, с особым упором на структуру конфигурации и команды управления (C2). Исследователи разработали инструменты, помогающие в анализе вредоносных программ, таких как REMCOS, в том числе средство извлечения конфигурации вредоносного по, которое станет частью версии nightMARE module 0.7.

Поля конфигурации REMCOS широко изучены, что подчеркивает использование пользовательского сопоставления для определенных полей вместо строк, предоставляемых пользователем. Исследователи заменили доменные имена в списке на IP-адрес своего эмулятора C2, чтобы инициировать взаимодействие с образцом, переупаковать конфигурацию и обсудить выпуск инструмента для извлечения конфигурации.

Представлен список исполняемых команд для REMCOS C2, а также дополнительные сведения о некоторых конкретных командах. Вредоносная программа использует различные методы, такие как поиск данных о геолокации через geoplugin.net API, онлайн-кейлоггер, отправляющий данные в режиме реального времени на C2, и модуль DLL для записи с веб-камеры, получаемой с C2.

Кроме того, замечено, что REMCOS использует двоичные файлы Nirsoft для кражи паролей, при этом внедренные двоичные файлы получают инструкции для записи выходных данных в файлы, хранящиеся в папке установки вредоносного ПО и загружаемые на C2 перед удалением. Упоминается библиотека FoxMailRecovery DLL, вероятно, для сброса данных FoxMail. Подробно описана команда удаления, описывающая удаление всех файлов и разделов реестра, связанных с REMCOS, а также создание и выполнение скрипта Visual Basic для удаления файлов и завершения процесса.

Такие команды, как Restart, рассматриваются для завершения сторожевого процесса и бинарного перезапуска, в то время как такие функции, как DumpBrowserHistoryUsingNirsoft и ElevateProcess, связаны с кражей истории браузера и повышением привилегий процесса соответственно, с определенными манипуляциями с разделами реестра для обхода контроля учетных записей.

Текст завершается упоминанием о предстоящем освещении стратегий обнаружения и охоты для REMCO, использующих эластичные технологии, в заключительной части серии.

#ParsedReport #CompletenessMedium
03-05-2024

Scaly Wolf s new loader: the right tool for the wrong job

https://bi.zone/eng/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak

Report completeness: Medium

Actors/Campaigns:
Scaly_wolf

Threats:
In2al5d_p3in4er
Donut
Whitesnake_stealer
Snake_keylogger
Spear-phishing_technique
Process_injection_technique

Victims:
Russian organizations, Belarusian organizations

Industry:
Government

Geo:
Russia, Russian, Belarusian

TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 4
Path: 1
Command: 1
Domain: 1
Url: 27
Hash: 3

Soft:
Windows kernel, OpenSSH, task scheduler

Functions:
WinAPI

Win API:
NtQuerySystemInformation

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста - выявление и анализ новой кампании по борьбе с киберугрозами, нацеленной на российские и белорусские организации. Злоумышленники используют новые методы, в том числе фишинговые электронные письма, выдавая себя за государственные учреждения, и используют защищенные паролем архивы для распространения вредоносного ПО. Используемая вредоносная программа идентифицирована как White Snake stealer, что подчеркивает важность решений threat intelligence для обнаружения и устранения таких угроз.
-----

BI.ZONE Threat Intelligence обнаружила новую кампанию, направленную против российских и белорусских организаций. Участники этой кампании постоянно совершенствуют свои методы, включая в свой арсенал новые инструменты. Они используют защищенные паролем архивы для обхода средств защиты и успешного распространения вредоносных программ. Отправляя фишинговые электронные письма, выдавая себя за государственные учреждения, злоумышленники повышают вероятность взаимодействия жертв с вредоносными вложениями.

Фишинговые электронные письма выдаются за сообщения от федерального агентства и содержат законные документы в виде вложений. Цель этих электронных писем - обмануть получателей и убедить их открыть архивы, защищенные паролем. Имена вложений включают такие файлы, как "Пароль 120917.txt , " "Права и обязанности и порядок действий ст. 164, 170, 183 Уголовно-процессуального кодекса Российской Федерации.rtf" и "Материалы для запроса, с которыми обязательно ознакомиться и предоставить информацию - .exe.".

Вредоносный исполняемый файл с именем "in2al5d p3in4er (недействительный принтер)" действует как загрузчик, который вводит вредоносную полезную нагрузку в процесс explorer.exe после обхода проверок антивируса. Загрузчик также выполняет проверку идентификаторов производителей графических карт в системе, останавливая выполнение, если они не соответствуют известным маркам.

Во время выполнения загрузчик пытается открыть несуществующие случайные файлы и записать в них данные, что потенциально может помочь в обнаружении вредоносной активности. Он идентифицирует процесс explorer.exe, выделяет в нем память для полезной нагрузки и изменяет контекст процесса для выполнения введенного shell-кода, полученного с помощью утилиты Donut с открытым исходным кодом.

Вредоносное ПО, запускаемое загрузчиком, - это White Snake stealer версии 1.6.1.9, вредоносная программа для кражи данных, опубликованная в марте 2024 года. White Snake крадет конфиденциальные данные, а также может использовать такие сервисы, как serveo.net для загрузки и запуска OpenSSH.

В последних версиях кампании обновлены методы передачи украденных данных, демонстрирующие способность злоумышленников к адаптации. Правила BI.EDR для зоны безопасности помогают организациям выявлять такие вредоносные действия, подчеркивая важность получения информации о новых угрозах и использования решений для анализа угроз для усиления мер безопасности.

#ParsedReport #CompletenessLow
03-05-2024

DNS Early Detection - Breaking the GoldFamily Kill Chain

https://blogs.infoblox.com/threat-intelligence/dns-early-detection-breaking-the-goldfamily-kill-chain

Report completeness: Low

Threats:
Goldfamily
Goldpickaxe
Golddigger
Microsocks_tool

Victims:
Iphone and ipad users, Android users

Industry:
Government, Financial

Geo:
Thailand, Vietnam

ChatGPT TTPs:
do not use without manual check
T1566, T1565, T1595, T1090, T1608, T1590

IOCs:
Domain: 15

Soft:
Android

Platforms:
apple, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что недавно выявленная группа троянских программ GoldFamily представляет серьезную угрозу для пользователей iPhone и iPad, поскольку использует их данные для распознавания лиц для взлома банковских счетов. Группа вредоносных программ использует поддельные фотографии с использованием искусственного интеллекта, чтобы обманом заставить пользователей предоставлять конфиденциальную информацию, и нацелена на устройства Android и iOS с помощью тактики социальной инженерии. Программа раннего обнаружения DNS от Infoblox играет решающую роль в борьбе с этими угрозами, выявляя потенциально вредоносные домены на ранней стадии и предлагая превентивные меры защиты.
-----

GoldFamily - это недавно выявленная группа троянских программ, нацеленных на пользователей iPhone и iPad, которые используют поддельные фотографии с использованием искусственного интеллекта, чтобы обманом заставить пользователей предоставлять конфиденциальную информацию, такую как данные распознавания лиц и изображения удостоверений личности.

Используя технологию искусственного интеллекта, GoldFamily может обманывать процессы аутентификации, включая биометрические данные, создавая значительную угрозу для банковских счетов пользователей.

GoldFamily нацеливается на пользователей с помощью фишинговых электронных писем, SMS-сообщений или онлайн-приложений, выдавая себя за государственные учреждения.

Программа раннего обнаружения DNS от Infoblox использует уникальные методы для быстрого выявления потенциально вредоносных доменов, связанных с деятельностью GoldFamily, предлагая превентивные меры защиты до того, как они будут официально объявлены вредоносными в публикациях с открытым исходным кодом.

GoldFamily работает на устройствах Android и iOS, собирает данные о лицах, перехватывает SMS-сообщения и запрашивает изображения удостоверений личности, а также обменивается данными с сервером управления для отправки данных в облачную среду.

Infoblox предоставляет оповещения об угрозах в режиме реального времени и отчеты на основе данных о подозрительных доменах, которые позволяют организациям заблаговременно блокировать вредоносные домены и разрабатывать надежные стратегии защиты.

#ParsedReport #CompletenessLow
03-05-2024

Graph: Growing number of threats leveraging Microsoft API

https://symantec-enterprise-blogs.security.com/threat-intelligence/graph-api-threats

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)
Playful_taurus (motivation: cyber_espionage)

Threats:
Bluelight
Graphite
Spear-phishing_technique
Empire_loader
Siestagraph
Graphican
Ketrican
Bs2005
Cobalt_strike

Victims:
Organizations in ukraine, Governments in europe, Governments in asia, Foreign affairs ministries in the americas

Industry:
Government

Geo:
Asia, Ukraine, Korea, Americas, Russian

CVEs:
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2, -)
- microsoft windows 10 (1607, -, 1809, 1909, 2004)
- microsoft windows server 2016 (-, 2004, 20h2)
- microsoft windows rt 8.1 (-)
- microsoft windows server 2012 (-)
have more...

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1574.002, T1566.001

IOCs:
File: 5
Hash: 10

Soft:
Microsoft OneDrive

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей тенденции использования злоумышленниками Microsoft Graph API для установления связи с инфраструктурой управления (C&C), размещенной в облачных службах Microsoft, для осуществления вредоносных действий. Упоминаются многочисленные варианты вредоносных программ и шпионские группы, использующие Graph API, в частности, нацеленные на такие сервисы, как OneDrive, что указывает на растущее предпочтение этого канала связи среди участников угроз из-за его предполагаемой скрытности и экономичности. Эта тенденция подчеркивает необходимость того, чтобы организации усиливали бдительность и механизмы обнаружения угроз для противодействия этим эволюционирующим киберугрозам.
-----

Злоумышленники все чаще используют Microsoft Graph API для операций C&C, размещенных в облачных службах Microsoft.

Вредоносный вариант BirdyClient использовал Microsoft OneDrive для операций C&C.

BirdyClient маскировался под законную библиотеку DLL, связанную с указательными устройствами Alps.

Другие вредоносные программы, такие как Bluelight, Graphite, SiestaGraph и Backdoor.Graphican также использовал Graph API.

RedSiege разработала наборы инструментов для полезной нагрузки Cobalt Strike Beacon, чтобы использовать Graph API для C&C коммуникаций.

Злоумышленники находят Graph API привлекательным из-за его неприметности и интеграции с известными облачными сервисами, такими как OneDrive.

Тенденция использования Graph API подчеркивает необходимость повышения бдительности и создания механизмов обнаружения угроз в организациях.

#ParsedReport #CompletenessLow
03-05-2024

Mal.Metrica Redirects Users to Scam Sites

https://blog.sucuri.net/2024/05/mal-metrica-redirects-users-to-scam-sites.html

Report completeness: Low

Threats:
Balada_injector
Sign1

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1547

IOCs:
File: 3
Domain: 18

Soft:
WordPress, tagDiv

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается новая мошенническая программа перенаправления Mal.Metrica, нацеленная на взломанные веб-сайты и заставляющая пользователей нажимать на поддельную кнопку проверки подлинности, что приводит к вредоносным перенаправлениям. В нем рассказывается о тактике, используемой злоумышленниками, стоящими за кампанией, и об использовании ими уязвимостей в популярных плагинах WordPress. В результате совместной работы в 2024 году было выявлено 17 449 взломанных веб-сайтов, и была подчеркнута важность автоматических обновлений и брандмауэров веб-приложений для обеспечения безопасности. В тексте также рассказывается об аналитике по безопасности Бене Мартине, который специализируется на обнаружении вредоносных программ и тенденциях в области безопасности веб-сайтов.
-----

В тексте обсуждается новая афера с перенаправлением Mal.Metrica, которая была выявлена аналитиком на взломанных веб-сайтах. Эта афера обманывает пользователей, заставляя их нажимать на поддельную кнопку проверки подлинности пользователя, что приводит к перенаправлению на вредоносные веб-сайты. Вместо использования JavaScript-инъекций мошенники создают наложение изображения со ссылкой на вредоносный домен, rapid.tmediacontent.com.

Мошенничество, по-видимому, является частью новой кампании злоумышленников, создавших кампанию Mal.Metrica, известную тем, что она нацелена на уязвимости в популярных плагинах WordPress. Эти злоумышленники используют обнаруженные уязвимости для внедрения внешних скриптов, похожих на CDN или сервисы веб-аналитики, при этом вредоносное ПО внедряется в Яндекс.Скрипты Metrica для отслеживания эффективности их внедрения. Группа установила такие плагины, как tagDiv Composer, Popup Builder, WP Go Maps и красивый баннер согласия на использование файлов cookie. В 2024 году было выявлено 17 449 скомпрометированных веб-сайтов.

В последнем отчете PatchStack, опубликованном в рамках совместной работы, были выявлены участники угроз Mal.Metrica, подчеркивающие взаимосвязь между использованием уязвимостей и серьезными заражениями вредоносными программами. В тексте также упоминаются случаи заражения вредоносным ПО Sign1, о которых ранее сообщалось в блоге компании, подчеркивая важность того, чтобы владельцы веб-сайтов включали автоматическое обновление основных файлов, плагинов и тем, а также рассматривали брандмауэры веб-приложений для виртуального исправления известных уязвимостей.

Кроме того, в тексте рассказывается о Бене Мартине, аналитике по безопасности и исследователе, работающем в компании с 2013 года. Бен специализируется на выявлении новых необнаруженных вредоносных программ, изучении тенденций в области безопасности веб-сайтов и очистке зараженных веб-сайтов, уделяя особое внимание вредоносным программам для электронной коммерции и кражи кредитных карт. Помимо своей работы, Бен увлекается продюсированием музыки, садоводством и катанием на скейтборде в окрестностях Виктории.

#ParsedReport #CompletenessLow
03-05-2024

D3F@ck Loader, the New MaaS Loader

https://www.esentire.com/blog/d3f-ck-loader-the-new-maas-loader

Report completeness: Low

Threats:
Raccoon_stealer
Danabot

ChatGPT TTPs:
do not use without manual check
T1566, T1193, T1204, T1112, T1071, T1027, T1059, T1090, T1140

IOCs:
Command: 7
File: 7
Hash: 6
IP: 3
Url: 1

Soft:
Google Chrome, Windows Defender, scripting engine, curl, Windows Malicious Software Removal Tool

Algorithms:
md5, base64, zip

Languages:
java, pascal

Links:
https://github.com/esThreatIntelligence/iocs/blob/main/D3F%40ck\_Loader/iocs\_4-19-2024.txt