Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15
OysterLoader: загрузчик Rhysida с RC4-стеганографией в ICO и динамическим C2
#malware #rhysida #loader #c2
OysterLoader (Broomstick / CleanUp) - многоступенчатый C++ загрузчик из экосистемы Vanilla Tempest (ex-Vice Society / WIZARD SPIDER). Таскает Rhysida ransomware и Vidar. Проект живой - C2-протокол и обфускация меняются от версии к версии.
Вектор - не фишинг, а malvertising
Закупают Bing Ads для поддельных страниц PuTTY, WinSCP, MS Teams. Жертва сама ищет софт, кликает рекламу, получает подписанный MSI. В 2025 задействовано 40+ валидных сертификатов (Microsoft Trusted Signing, DigiCert, GlobalSign). Microsoft отозвала 200+.
4 стадии заражения
➡️ Stage 1 (TextShell): API hammering сотнями бессмысленных WinAPI-вызовов, dynamic API resolve через хеширование,
➡️ Stage 2: Кастомная LZMA без стандартных сигнатур, ручные релокации
➡️ Stage 3 (Downloader): < 60 процессов -> выход. Timing через
➡️ Stage 4 (Core): In-memory PE loader. На диск ничего.
Стеганография в ICO
C2 отдаёт валидный ICO. После маркера
C2 v2: динамический Base64
Endpoint
Gootloader connection
Huntress нашла идентичный TextShell в образцах Gootloader и OysterLoader. Схема: Storm-0494 (initial access через Gootloader) -> Vanilla Tempest (ransomware).
Инфраструктура двухуровневая: delivery-tier отдельно от C2. Заблокируешь дроппер-домен - управляющие серверы не вскроешь.
🔗 Полный разбор
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#malware #rhysida #loader #c2
OysterLoader (Broomstick / CleanUp) - многоступенчатый C++ загрузчик из экосистемы Vanilla Tempest (ex-Vice Society / WIZARD SPIDER). Таскает Rhysida ransomware и Vidar. Проект живой - C2-протокол и обфускация меняются от версии к версии.
Вектор - не фишинг, а malvertising
Закупают Bing Ads для поддельных страниц PuTTY, WinSCP, MS Teams. Жертва сама ищет софт, кликает рекламу, получает подписанный MSI. В 2025 задействовано 40+ валидных сертификатов (Microsoft Trusted Signing, DigiCert, GlobalSign). Microsoft отозвала 200+.
4 стадии заражения
MSI -> TextShell -> Shellcode + LZMA -> Downloader -> Core DLLIsDebuggerPresent() -> бесконечный цикл при отладке.E8/E9.Beep/Sleep цикл (14 итераций - ловит ускорение sandbox). C2-запрос с User-Agent WordPressAgent и хедером x-amz-cf-id.Стеганография в ICO
C2 отдаёт валидный ICO. После маркера
endico (65 6E 64 69 63 6F) - RC4-blob с payload. Ключ зашит в бинарнике. После расшифровки - PE.C2 v2: динамический Base64
Endpoint
/api/v2/facade возвращает "tk" - новый Base64-алфавит. Mersenne Twister + случайный shift, каждое сообщение кодируется уникально. Fingerprint хоста (ОС, AV/EDR, ПО, процессы, привилегии) решает, что прилетит жертве: Vidar или Rhysida.Gootloader connection
Huntress нашла идентичный TextShell в образцах Gootloader и OysterLoader. Схема: Storm-0494 (initial access через Gootloader) -> Vanilla Tempest (ransomware).
Инфраструктура двухуровневая: delivery-tier отдельно от C2. Заблокируешь дроппер-домен - управляющие серверы не вскроешь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3⚡2
🤝 Немного честного пиара
Что раздражает в Telegram больше всего? Каналы, которые все на одно лицо — один и тот же рерайт с Хабра, одна и та же интонация усталого контент-менеджера.
Поэтому когда находишь авторов, у которых есть голос — это ценно.
Мы собрали папку каналов, за которыми сами следим. Там нет случайных людей. Каждый канал — это свой стиль, своя подача, своя экспертиза. Кто-то пишет сухо и по делу. Кто-то с иронией. Кто-то копает глубже, чем хотелось бы среднестатистическому безопаснику перед дедлайном.
Тематики разные — но уровень примерно одинаковый: выше среднего по больнице.
Если хочешь разбавить ленту чем-то, что реально читаешь, а не скроллишь мимо — заходи:
👉 Открыть папку с каналами
Один клик — и у тебя сразу много авторов, которым есть что сказать.
Что раздражает в Telegram больше всего? Каналы, которые все на одно лицо — один и тот же рерайт с Хабра, одна и та же интонация усталого контент-менеджера.
Поэтому когда находишь авторов, у которых есть голос — это ценно.
Мы собрали папку каналов, за которыми сами следим. Там нет случайных людей. Каждый канал — это свой стиль, своя подача, своя экспертиза. Кто-то пишет сухо и по делу. Кто-то с иронией. Кто-то копает глубже, чем хотелось бы среднестатистическому безопаснику перед дедлайном.
Тематики разные — но уровень примерно одинаковый: выше среднего по больнице.
Если хочешь разбавить ленту чем-то, что реально читаешь, а не скроллишь мимо — заходи:
Один клик — и у тебя сразу много авторов, которым есть что сказать.
Please open Telegram to view this post
VIEW IN TELEGRAM
👎27
Обзор типичного ФИШИНГОВОГО сайта
https://www.youtube.com/watch?v=poMR8IAIlHE
Попался интересный видос где подробно разбирают фишинговый сайт. Вспомнился случай когда в чате обсуждали скам сайт, который мне скидывали из схемы "антикино" и некоторые люди сделали схожий анализ сайта🙂
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
Видео создано в образовательных целях.
Разбираем внутренности интересного экземпляра фишингового движка, который работает без сервера на чистых Google Sheets и Telegram.
https://www.youtube.com/watch?v=poMR8IAIlHE
Попался интересный видос где подробно разбирают фишинговый сайт. Вспомнился случай когда в чате обсуждали скам сайт, который мне скидывали из схемы "антикино" и некоторые люди сделали схожий анализ сайта
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡4🔥2