QR не открылся? Напишите в поддержку 🆘

В середине января группа киберразведки PT ESC зафиксировала фишинговую кампанию под видом уведомлений от государственных ведомств.

1️⃣ Жертве приходит письмо с PDF-документом: внутри — QR-код для получения документов и контакт технической поддержки в Telegram на случай проблем.

2️⃣ При сканировании QR-кода страница оказывается недоступной — и это часть сценария: пользователя подталкивают перейти в диалог с мошенниками.

3️⃣ В переписке запрашивают ФИО и телефон отправителя, а затем выдают новую ссылку — якобы для оплаты доставки.

4️⃣ Сайт визуально копирует интерфейсы легитимных сервисов, но деньги уходят злоумышленникам 💰

В статье на Хабре подробно разобрали мошенническую схему и собрали простые рекомендации для быстрой проверки легитимности письма.

#TI #Phishing
@ptescalator

pip install teligram 🧐 (лучше не запускайте)

Восьмого февраля была опубликована библиотека teligram.

Ее описание гласит: Telegram-based friendly library.

Увы, как обычно у нас в постах, чудес не бывает — библиотека представлена самописным Remote Access Tool (RAT).

Его особенности:

• Есть следы использования LLM.

• Содержит в себе одну большую функцию khelo, в которой реализованы 16 подфункций.

• Присутствуют следы индийского языка (khelo переводится как «играть»; выбранное имя разработчика Om Devendra — индийское).

• Код не обфусцирован, и приветствие бота, отправляемое при использовании команд /help и /start администратором, отражает возможности:

Available commands:
pwd - Show current directory
ls or ls -la - List files
cd <directory> - Change directory
whoami - Show current user
date - Show date and time

TAKE COMMANDS:
1. take <number> - Get the nth file
   Example: take 1

2. take <file_name> - Get file by name
   Example: take myfile.txt

3. take .<extension> - Get all files with extension
   Example: take .jpg or take .py

4. take all - Get ALL non-empty files

5. /send - Upload files to current directory

Special features:
- Working directory saved between commands
- Empty files automatically skipped

Версия 1.0.0 не обладает функционалом запуска после установки. Остальные версии не успели выйти — пакет был отправлен в карантин, хотя и просуществовал 19 часов.

💬 К слову, читать ESCalator можно теперь и в MAX. И это не скам.

#pypi #ti #scs #pyanalysis
@ptescalator

Клик-ловушка: не только для пользователей, но и для анализаторов ссылок 🐭

При ручном разборе ссылок мы, как правило, задаем себе лишь один вопрос — «безопасна ли она?» ✔️❌

Перенести подобный подход в потоковую среду для анализа нельзя: действия, инициируемые переходом по ссылке, могут привести к возникновению новых проблем. Так, приглашения из почтовых сообщений могут автоматически приниматься или отклоняться, производиться автоматическая отписка и/или подписка на корреспонденцию и так далее. В случае если подобное действие вызывает на сервисе отправку нового письма с подобными ссылками, то автоматический переход по ним вызовет непрекращающуюся «лавину» сообщений, что может привести к снижению производительности защитных решений или просто к раздражению пользователей.

🫵 Для решения этой проблемы можно предложить подход, логически схожий с процессом выбора ссылок при ручном анализе: какие-то ссылки нам кажутся крайне подозрительными или однозначно требующими дополнительного контекста для анализа, а какие-то — точно безопасными или, как в предыдущей ситуации, вызывающими определенные действия на сервисах (или вообще одноразовыми). Подход, где система определяет набор признаков «точно нужно переходить» и набор признаков «точно не нужно переходить», называется принятием решений на основе правил (rule-based decision system). Какие признаки можно предложить для реализации подобной системы?

В наборе условий, предотвращающих переход по ссылке, можно рассмотреть:

• наличие паттернов в URL-пути, семантически указывающих на возможное действие при активации, например, /(un)subscribe/, /login/, /exit/, /action/, /track/ и т.д.;

• наличие параметров запроса token, key, uid со значениями, по формату совпадающими с UUID или JWT;

• наличие параметров запроса ts или expires, указывающих на время жизни ссылки;

• если ссылка пришла из почтового сообщения, можно проверить ее наличие в отдельных заголовках подписки/отписки от корреспонденции — List-(Un)Subscribe:;

• при наличии поставки потоков данных с набором «белых» доменов можно рассмотреть отключение анализа содержащих их URL-ссылок. С подобной опцией нужно быть осторожнее, поскольку даже самые популярные и известные сервисы и домены могут использоваться в сценариях с перенаправлением контента.

В наборе условий, вызывающих переход по ссылке, можно рассмотреть:

• ссылки с явным указанием IP-адреса и/или нестандартного порта;

• ссылки с недавно зарегистрированным доменом;

• при наличии категоризатора web-ресурсов с подобной классификацией — ссылки на сервисы-shortener'ы. В случае отсутствия можно рассмотреть условие с короткой длиной URL-ссылки;

• ссылки с указанием в URL-пути файлов с конкретными статическими расширениями, например, *.pdf, *.exe и т.д.;

• ссылки на сервисы объектных хранилищ, например на S3- или IPFS-хранилища.

🧐 Что остается делать со ссылками из анализируемого объекта, которые не попали ни под один из перечней? Здесь можно опираться на реальную картину, которая получается после работы подобного алгоритма: если позволяет производительность системы или время анализа не превышает допустимый SLA на обработку объектов, можно отправлять все «серые» ссылки на получение контента. Либо же ввести ограничение на количество одновременно анализируемых ссылок у одного объекта.

Также для URL-ссылок, не прокатегоризированных системой принятия решений, можно предусмотреть «осторожный» алгоритм получения дополнительного контекста для анализа: переходить по ссылке методом HEAD без получения контента. Таким образом можно получить дополнительную информацию из HTTP-заголовков, применимую как внутри вышеописанного алгоритма, так и в целом для принятия решения о вредоносности ссылки.

#tip #url #mail
@ptescalator
💬 X 💬 Max

UnsolicitedBooker: этот непрошеный боксер с 1 репорта ляжет 🥊

Осенью 2025 года команда Threat Intelligence экспертного центра кибербезопасности Positive Technologies обнаружила атаки на телекоммуникационные компании Кыргызстана. Злоумышленники рассылали тематические фишинговые письма, которые содержали вредоносные документы с макросом. Уже на этом этапе внимание привлекло использование необычных инструментов китайского происхождения в самих документах.

В качестве вредоносного ПО атакующие использовали два бэкдора. Первый — MarsSnake — ранее упоминался лишь в квартальном отчете ESET. Второй — LuciDoor, который мы назвали так из-за необычной особенности настройки шрифта Lucida Console 11x18 для корректного отображения текста в терминале.

👋 В 2026 году злоумышленники снова объявились, но в этот раз с атаками на телекоммуникационные компании Таджикистана. Саму активность мы атрибутируем восточноазиатской группировке UnsolicitedBooker. Ранее, по наблюдениям исследователей, группировка атаковала Саудовскую Аравию.

В нашей статье мы подробно рассказали об обнаруженных атаках, полностью разобрали функционал LuciDoor и MarsSnake и показали, какой общий инструмент используют UnsolicitedBooker и Mustang Panda 🐼

#TI #APT #Malware
@ptescalator
💬 X 💬 Max

Блокчейн Solana на службе хакеров 🪙

В январе специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) обнаружили атаку с использованием вредоносного XLL-файла.

📂 Внутри него находилась цепочка обфусцированных JavaScript-файлов, работающих на платформе NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (Remote Access Trojan) с широким набором доступных команд.

Среди особенностей вредоносного кода было выявлено использование SNS-записей (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временные рамки атаки: вредоносная активность зафиксирована с середины октября 2025 года и продолжается до сих пор.

Подробности — в нашем материале на Хабре 👉

#TI #Phishing #Malware
@ptescalator (X, Max)