#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Villager - это платформа для тестирования на проникновение, связанная с "Cyberspike", предназначенная для автоматизации задач атаки путем разбиения целей высокого уровня на более мелкие операционные задачи, выполняемые параллельно с помощью эфемерных контейнеров Kali Linux. Он включает в себя механизм генерации с дополненным поиском (RAG) для принятия решений, использующий элементы управления сеансом polymorphic, чтобы скрыть цифровые следы и свести к минимуму видимость судебной экспертизы. Его общедоступность и операционные возможности создают значительные риски для организаций с неадекватным контролем безопасности, потенциально сокращая время пребывания злоумышленников в сети и усиливая воздействие кибер-эксплойтов.
-----

Появление Villager, платформы для тестирования на проникновение, связанной с "Cyberspike", было освещено в отчете команды Straiker AI Research (STAR). Villager работает с помощью сложной высокоуровневой архитектуры, которая объединяет уровень принятия решений, основанный на модели, легкую систему координации и быстродействующий инструментарий. Это позволяет ИТ—отделу эффективно автоматизировать задачи по атакам, принимая во внимание цели высокого уровня, такие как выявление и использование уязвимостей, и разбивая их на более мелкие оперативные задачи, выполняемые параллельно с помощью распределенных инструментов.

Villager использует механизм генерации с дополненным поиском (RAG) для принятия решений, выбирая оптимальные подсказки из базы данных, чтобы направлять выбор инструмента и последующие действия. Фреймворк выполняет задачи в контейнерах Kali Linux по требованию, характеризующихся коротким сроком службы и эфемерными методами ведения журнала, что способствует снижению видимости в судебно-медицинской экспертизе. Кроме того, он поддерживает polymorphic элементы управления сеансами, которые включают рандомизированные SSH-порты и самоуничтожающиеся политики контейнеров, помогая скрыть цифровые следы.

В оперативных сценариях Villager автоматизирует внешнюю разведку, используя сканеры, специфичные для платформы, в контейнерах Kali для выявления уязвимостей и управления приоритетными целями для злоумышленников. Он также поддерживает использование API и браузера путем последовательной аутентификации и логических ошибок. Этапы проверки задачи гарантируют, что попытки эксплуатации будут подтверждены до эскалации, сводя к минимуму риски слепых эксплойтов.

Оценки рисков указывают на высокую вероятность неправильного использования Villager, прежде всего потому, что он общедоступен в виде пакета на PyPI и вызвал значительный интерес, о чем свидетельствуют тысячи загрузок. Для организаций, не имеющих надлежащего контроля безопасности, фреймворк создает значительные риски, сокращая время пребывания злоумышленников в сети и усиливая потенциальное воздействие кибер-эксплойтов.

Предлагаемые немедленные контрмеры включают мониторинг показателей, связанных с Villager и Cyberspike, применение строгих политик в отношении пакетов и ограничение разрешений для сетевых взаимодействий в средах разработки. В среднесрочной перспективе для повышения устойчивости к этим новым угрозам рекомендуется повысить безопасность реестров пакетов в supply chain, создать структуры управления для инструментов искусственного интеллекта и провести учения red team для имитации агентурных атак.

#ParsedReport #CompletenessLow
16-09-2025

The Return of El Dorado: Analyzing the Fast-Growing BlackLock Ransomware Group

https://asec.ahnlab.com/ko/90157/

Report completeness: Low

Threats:
Eldorado_ransomware
Shadow_copies_delete_technique
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m1785
Ransom/mdp.event.m4353
Ransom/mdp.event.m4428
Trojan/win.generic.c5775331

Victims:
Multiple industries and sectors

Industry:
Education, Government, Transport

Geo:
Japan, Korea

ChatGPT TTPs:
do not use without manual check
T1021.002, T1486

IOCs:
File: 3
Hash: 1

Soft:
Linux, ESXi

Algorithms:
xchacha20, ecdh, md5

Functions:
NewUnauthenticatedCipher, XORKeyStream

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlackLock, группа вымогателей, появившаяся в марте 2024 года, провела ребрендинг с ElDorado в сентябре 2024 года. Он использует язык программирования Go для обеспечения кроссплатформенных возможностей и сложного шифрования, используя уникальные ключи шифрования для каждого файла, защищенного общим ключом. Программа-вымогатель воздействие на среду Windows путем шифрования локальных и сетевых общих папок SMB, а также распространяет свое действие на системы Linux и платформы VMware ESXi, подчеркивая свой широкий потенциал для атак в разных секторах.
-----

BlackLock - это развивающаяся группа программ-вымогателей, которая возникла примерно в марте 2024 года и первоначально была известна как ElDorado до ребрендинга в сентябре 2024 года. Их присутствие стало публично признано в июне 2024 года, когда появился их выделенный сайт утечек (DLS), на котором были обнаружены многочисленные пострадавшие организации, что указывает на то, что их деятельность велась в течение нескольких месяцев до этого.

Программа-вымогатель BlackLock примечательна своей разработкой на языке программирования Go, который позволяет быстро создавать исполняемые файлы в нескольких операционных системах благодаря своим кроссплатформенным возможностям. Группа эффективно использует стандартную библиотеку Go для реализации сложных методов шифрования, используя встроенные пакеты для кодирования и криптографии, которые облегчают создание функций шифрования.

Одной из важнейших особенностей программы-вымогателя BlackLock является ее уникальный подход к шифрованию файлов. Каждому файлу присваивается отдельный ключ шифрования, который дополнительно защищается путем повторного шифрования с помощью общего ключа. Такая стратегия двухуровневого шифрования усложняет восстановление поврежденных файлов без ключей дешифрования. Более того, воздействие программы-вымогателя усиливается в средах Windows, где она может шифровать не только локальные файлы, но и сетевые общие папки SMB, что значительно увеличивает ущерб. Возможности группы распространяются на системы Linux и платформы VMware ESXi, расширяя область их атак и делая их серьезной угрозой для различных секторов. Поскольку BlackLock продолжает действовать, он остается одной из самых активных групп вымогателей, что требует от защитников повышенной бдительности в отношении таких изощренных угроз.

#ParsedReport #CompletenessMedium
16-09-2025

DIGITAL FRONTLINES : INDIA UNDER MULTI-NATION HACKTIVIST ATTACK

https://www.cyfirma.com/research/digital-frontlines-india-under-multi-nation-hacktivist-attack/

Report completeness: Medium

Actors/Campaigns:
Insane_pakistan (motivation: hacktivism)
Sylhetgang (motivation: hacktivism)
Vasudev_strike (motivation: hacktivism)
Ruskinet (motivation: hacktivism)
Trinetara (motivation: hacktivism)

Threats:
Spear-phishing_technique
Process_injection_technique

Victims:
Judicial sector, Defense ministry, Transport sector, Echallan portal users, Income tax department users, Ibn e sina university

Industry:
Education, Government

Geo:
Pakistani, China, Bangladesh, Indonesia, India, Turkey, Pakistan, Palestine, Russian, Chinese, Russia, Indian, Indonesian

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1078, T1190, T1204, T1204.002, T1491, T1498, T1499, T1565, have more...

IOCs:
IP: 2
File: 9
Path: 1
Url: 5
Hash: 2

Soft:
Windows file explorer

Algorithms:
sha256, zip

Functions:
CreateFile, CloseFile

Win API:
TerminateProcess, GetCurrentProcess, WaitForSingleObject, SendDlgItemMessageA, UpdateWindow, GetSystemDirectoryA, FindResourceA, GetModuleFileNameA, GetPrivateProfileStringA, WriteFile, have more...

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, windows: 5, schema: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с июля по август 2025 года Индия столкнулась с волной кибератак со стороны различных групп хактивистов, нацеленных на ее цифровую инфраструктуру, включая взлом серверов Верховного суда командой Insane Pakistan, в результате которого произошла утечка конфиденциальных данных. DDoS-атака Sylhet Gang-SG на сайт Министерства обороны Индии выявила уязвимости. Одновременно в кампании по фишингу использовалось вредоносное ПО с китайских ресурсов, что указывает на потенциальную причастность китайских злоумышленников и стирает границы между хактивизмом и киберпреступностью.
-----

С июля по август 2025 года в Индии произошел заметный рост числа кибератак, характеризующихся сочетанием тактик, применяемых различными многонациональными группами хактивистов. Эти атаки были нацелены на критически важные компоненты цифровой инфраструктуры Индии, включая правительственные веб-сайты и судебные серверы. Пакистанская группировка Team Insane Pakistan взяла на себя ответственность за взлом серверов Верховного суда, получив конфиденциальные данные, такие как записи дел и учетные данные пользователей. Кроме того, Sylhet Gang-SG провела DDoS-атаку на веб-сайт Министерства обороны Индии, продемонстрировав уязвимости в жизненно важных правительственных порталах.

В рамках ответного шага, известного как "Операция "Удар Васудева"", индийские хакерские группировки, включая Shadow Phantom и Team Red Eagle, провели контратаки, такие как взлом пакистанского университета Ибн-э-Сина. Индонезийская группа Raizo также участвовала в этих операциях, повредив индийский транспортный узел. Одновременно кампания по фишингу, имитирующая работу Департамента подоходного налога Индии, распространяла вредоносное ПО, примечательное тем, что включало упрощенные китайские ресурсы, что наводит на мысль о причастности китайских злоумышленников.

Эти инциденты свидетельствуют о многовекторной среде угроз, в которой стираются границы между хактивизмом и киберпреступностью. Скоординированный характер атак, включающий утечку данных, дефейс веб-сайтов и распространение вредоносного ПО, отражает стратегический подход, направленный на подрыв национальной безопасности Индии и общественного доверия. Эта растущая тенденция подчеркивает необходимость усиления сбора информации об угрозах и координации между службами безопасности для эффективного снижения рисков, связанных с многонациональными киберугрозами. Эскалация, наблюдаемая в ходе этих событий, знаменует значительный сдвиг в сторону организованных киберопераций, направленных на критически важную цифровую инфраструктуру Индии, что требует срочного внимания и действий в рамках системы кибербезопасности.

#ParsedReport #CompletenessLow
16-09-2025

SmokeLoader Rises From the Ashes

https://www.zscaler.com/blogs/security-research/smokeloader-rises-ashes

Report completeness: Low

Threats:
Smokeloader
Credential_harvesting_technique
Smokebuster

Victims:
Multiple sectors

Geo:
Russian, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1053.005, T1055, T1105, T1132, T1496, T1497.001, T1518.001, T1562.001, T1573, have more...

IOCs:
File: 3
Coin: 1
Hash: 5
Url: 13

Soft:
Firefox

Algorithms:
md5, crc-32, xor, rc4

Win API:
NtCreateSection

Languages:
python

Links:
https://github.com/ThreatLabz/smokebuster

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SmokeLoader, загрузчик вредоносного ПО, был обновлен до версий 2025 alpha и 2025, расширив возможности доставки полезной нагрузки, включая трояны, программы-вымогатели и похитители информации. Ключевые технические изменения включают в себя более эффективный этап, который предотвращает избыточные инъекции основного модуля и использует проверки мьютексов, наряду с измененными идентификаторами и сетевыми протоколами, которые используют шифрование XOR для запутывания и улучшенные методы обхода. Несмотря на усилия по смягчению последствий, SmokeLoader продолжает активно использоваться различными злоумышленниками, что подчеркивает его постоянную угрозу.
-----

SmokeLoader, загрузчик вредоносного ПО, впервые появившийся в 2011 году, был обновлен, чтобы расширить его возможности по доставке различных полезных нагрузок второго этапа, включая трояны, программы-вымогатели и похитители информации. Недавние наблюдения выявили две новые версии, называемые версией 2025 alpha и версией 2025, которые направлены на устранение проблем с производительностью и улучшение защиты от механизмов обнаружения. Вредоносное ПО использует модульную структуру, которая позволяет выполнять различные функции, такие как сбор учетных записей, перехват браузера и майнинг криптовалют.

Обе версии включают значительные технические изменения, особенно в их компонентах stager и основного модуля. Роль stager заключается в том, чтобы запутывать действия вредоносного ПО, обнаруживать виртуальные среды и внедрять основной модуль в легитимную среду. explorer.exe процесс. Предыдущие версии сталкивались со снижением производительности из-за запланированной задачи, которая запускала stager каждые десять минут без подтверждения того, активен ли основной модуль. Это привело к чрезмерному потреблению ресурсов и созданию новых потоков, что усугубило трудности анализа. Последние обновления включают проверку мьютекса в stager, которая предотвращает многократные инъекции основного модуля, завершая работу, если обнаруживает, что мьютекс уже существует, тем самым повышая эффективность.

Различные идентификаторы и строки в коде были изменены. Соглашение об именовании мьютексов изменилось с фиксированного формата на переменную длину, сгенерированную с помощью псевдослучайного алгоритма, заданного идентификатором бота. Это увеличивает сложность идентификации во время анализа. Кроме того, имя запланированной задачи, которая устанавливает закрепление вредоносного ПО, переключилось с идентификатора, связанного с Firefox, на имя, связанное с обновлениями Microsoft Edge, что еще больше запутывает ее присутствие.

Также был изменен протокол сетевой связи, при этом первоначальный формат ответа был скрыт с помощью XOR-шифрования с ключом RC4. Эти изменения не только оптимизируют производительность, но и усиливают защиту от статических и поведенческих методов обнаружения.

Несмотря на воздействие значительных операций, направленных на срыв его деятельности, SmokeLoader остается функциональным и используется различными злоумышленниками. Поскольку версия 2025 alpha активно внедряется и обратно совместима с более ранними системами командования и контроля (C2), само собой разумеется, что в предстоящей версии 2025 также может увеличиться использование. Усовершенствования SmokeLoader's подтверждают, что он продолжает развиваться как значительная угроза в среде вредоносного ПО.

#ParsedReport #CompletenessHigh
16-09-2025

Inside Maranho Stealer: Node.js-Powered InfoStealer Using Reflective DLL Injection

https://cyble.com/blog/inside-maranhao-stealer-node-js-powered-infostealer/

Report completeness: High

Threats:
Dll_injection_technique
Maranho
Credential_harvesting_technique
Process_injection_technique

Victims:
Consumers, Gaming users

Industry:
Telco, Entertainment

TTPs:
Tactics: 10
Technics: 12

IOCs:
File: 17
Url: 5
Domain: 2
Hash: 33
Path: 1
Registry: 1
IP: 1

Soft:
Node.js, Chrome, PsExec, Google Chrome, Microsoft Edge, Opera, Google Chrome, Chromium, Mozilla Firefox, Waterfox, Pale Moon, have more...

Wallets:
electrum, atomicwallet, coinomi, guarda_wallet

Algorithms:
zip, sha1, sha256

Functions:
Win32, CreateThreadEx

Win API:
NtAllocateVirtualMemory, NtWriteProcessMemory

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Maranho Stealer - это известная кампания по распространению вредоносного ПО, выявленная за использование социальной инженерии, в основном распространяемая через сайты с пиратским программным обеспечением. Это вредоносное ПО на основе Node.js использует отражающее DLL Injection для извлечения конфиденциальных пользовательских данных, обходя защиту шифрования, и устанавливает закрепление с помощью разделов реестра и запланированных задач. Он выполняет детальную разведку хоста и взаимодействует со своими серверами командования и контроля для передачи украденной информации, что указывает на сложный подход к эксфильтрации данных злоумышленниками.
-----

Maranho Stealer стал серьезной киберугрозой, идентифицированной Cyble Research & Intelligence Labs (CRIL) как активная кампания вредоносного ПО, использующая тактику социальной инженерии. Распространяемый в основном через веб-сайты, предлагающие пиратское программное обеспечение, взломанные игровые лаунчеры и читы, Maranho работает на Node.js и упакован как установщик Inno Setup. Это отражает растущую тенденцию в деятельности киберпреступников, которые используют передовые методы распространения, повышающие сложность и скрытность вредоносного ПО.

Вредоносное ПО использует отражающий DLL Injection для извлечения конфиденциальной информации от пользователей, такой как учетные данные, файлы cookie, история посещенных страниц и данные криптовалютного кошелька. Примечательна его способность обходить традиционные средства защиты от шифрования, такие как шифрование в приложениях, с помощью этого метода внедрения, что позволяет ему работать в браузерах незамеченным. Кроме того, процесс установки обеспечивает закрепление в зараженных системах с помощью разделов реестра запуска и запланированных задач, в то же время он также скрывает свои полезные нагрузки в виде скрытых атрибутов системного уровня, чтобы избежать обнаружения.

После запуска Maranho Stealer проводит тщательную разведку зараженного хоста, собирая информацию о спецификациях Аппаратного обеспечения, сетевых средах и геолокации. Такое подробное профилирование облегчает целенаправленную эксфильтрацию данных. После успешной компрометации системы вредоносное ПО подключается обратно к своей инфраструктуре управления, которая включает в себя несколько выделенных конечных точек API (например, maranhaogang.fun). Это сообщение имеет решающее значение для злоумышленников, поскольку оно передает важную информацию, такую как уникальный идентификатор жертвы, IP-адрес, географическое местоположение и сведения об операционной системе, что эффективно позволяет злоумышленникам отслеживать заражение и отслеживать украденные данные.

Кампания Maranho Stealer, действующая с мая 2025 года, подчеркивает постоянное использование методов социальной инженерии злоумышленниками, особенно посредством распространения незаконного программного обеспечения, демонстрируя эволюционирующую тактику, которая использует поведение потребителей. Последствия такого вредоносного ПО подчеркивают необходимость повышения осведомленности и защиты от угроз, связанных с взаимодействием с сомнительным онлайн-контентом, что усиливает важность надежных методов кибергигиены.

#ParsedReport #CompletenessHigh
16-09-2025

APT28 Operation Phantom Net Voxel

https://blog.sekoia.io/apt28-operation-phantom-net-voxel/

Report completeness: High

Actors/Campaigns:
Phantom_net_voxel (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)
Double_tap

Threats:
Beardshell_tool
Covenant_tool
Spear-phishing_technique
Slimagent_tool
Steganography_technique
Grunt
Com_hijacking_technique

Victims:
Military, Government administration

Industry:
Logistic, Military, Healthcare

Geo:
Russian, Ukrainian, Tajikistan, French, Ukraine, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.005, T1071.001, T1082, T1102.003, T1105, T1106, T1117, have more...

IOCs:
File: 45
Hash: 40
Registry: 2
Path: 5

Soft:
NET Framework, Windows CryptoAPI

Algorithms:
sha256, chacha20, sha1, base64, aes, aes-cbc, poly1305, chacha20-poly1305, aes-256, xor

Functions:
GetImageResolution, b, bb, DllMain, main

Win API:
GetFileAttributesW, CreateProcessW, DllInstall, GetModuleFileNameW, LoadLibrary, GetProcAddress, SafeArrayAccessData, GetCurrentHwProfileW, NetWkstaGetInfo, NetWkstaUserGetInfo, have more...

Languages:
powershell, visual_basic, python

Platforms:
x64

YARA: Found

Links:
https://github.com/naacbin/CovenantDecryptor?tab=readme-ov-file#how-covenant-communication-works
have more...
https://github.com/cobbr/Covenant/tree/master/Covenant/Data/Tasks
https://github.com/cobbr/Covenant

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года была проанализирована активность APT28 в области вредоносного ПО, в результате чего были выявлены два инструмента, BeardShell и Covenant, связанные с группой, демонстрирующие их эволюцию в разработке вредоносного ПО. Цепочка заражения использует spearphishing с вредоносными документами Office, содержащими макросы, которые загружают HTTP-Grunt Stager платформы Covenant, который выполняется через CLR. APT28 использует облачную инфраструктуру Koofr для обмена данными управления и использует сложные методы запутывания для своих бэкдоров, включая однобайтовые шифры XOR и механизмы загрузки, подобные прокси, в своих компонентах.
-----

В начале 2025 года деятельность APT28's была тщательно изучена Sekoia.io Команда по обнаружению угроз и реагированию на них (TDR) после получения двух ранее невидимых образцов вредоносного ПО, связанных с группой. Вслед за этим CERT-UA опубликовала отчет о двух вредоносных инструментах, BeardShell и Covenant, приписав их APT28. Детальный анализ показал, что образцы, полученные с помощью Sekoia.io и те, которые обсуждались CERT-UA, были идентичны, демонстрируя непрерывную эволюцию группы в разработке вредоносного ПО.

Цепочка заражения в основном действует с помощью тактики spearphishing, при которой злоумышленник выдает себя за коллегу или начальника, чтобы заставить получателя открыть вредоносный документ Office. В этом документе используются макросы Visual Basic, которые инициируют заражение. Один идентифицированный образец содержит макрос, который вызывает шелл-код, предназначенный для загрузки нового переносимого исполняемого файла (PE), в частности модуля HTTP Grunt Stager платформы Covenant. Этот модуль инициализирует среду выполнения Common Language Runtime (CLR) для выполнения ее функциональных возможностей.

Примечательный прием в этой кампании связан с использованием законной облачной инфраструктуры Koofr, которую APT28 использовал для обмена данными управления. После установления соединения с жестко запрограммированной учетной записью Koofr вредоносное ПО проверяет наличие определенных каталогов, создавая их, если они отсутствуют. Коммуникационная модель включает гибридное шифрование для безопасного обмена ключами, позволяющее загружать зашифрованные данные в хранилище Koofr. Более того, вредоносное ПО регулярно опрашивает сервер на наличие новых команд, что указывает на систематический и методичный подход к поддержанию закрепления и расширению операционных возможностей.

Бэкдор BeardShell, созданный на C++, в основном выполняет команды PowerShell и работает через аналогичный зашифрованный способ связи с использованием учетной записи icdrive. Его архитектура в значительной степени опирается на информацию о типе во время выполнения (RTTI) и реализует ряд команд, закодированных в формате JSON. Интересно, что в нем используется механизм загрузки, который добавляет сложности и запутывания, демонстрируя использование однобайтовых шифров XOR для шифрования строк.

Операция также вводит библиотеку DLL с именем SlimAgent, удаленную вместе с BeardShell, которая демонстрирует структурное сходство с вышеупомянутыми вредоносными библиотеками. Примечательно, что как SlimAgent, так и библиотека DLL второго этапа используют механизм загрузки, подобный прокси-серверу, основанный на процессе размещения, что предполагает согласованную методологию работы этих вариантов вредоносного ПО.

#ParsedReport #CompletenessHigh
16-09-2025

FileFix in the wild! New FileFix campaign goes beyond POC and leverages steganography

https://www.acronis.com/en-us/tru/posts/filefix-in-the-wild-new-filefix-campaign-goes-beyond-poc-and-leverages-steganography/

Report completeness: High

Threats:
Filefix_technique
Steganography_technique
Clickfix_technique
Stealc
Promptfix_technique
Fakecaptcha_technique

Victims:
Facebook users, General internet users

Industry:
Entertainment

Geo:
Japanese, German, Bangladesh, Dominican republic, Russian, Tunisia, Peru, Polish, Nepal, Spanish, China, Germany, Philippines, Chinese, French, Serbia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036, T1059.001, T1105, T1140, T1204.001, T1497.001, T1566.002, T1566.003, have more...

IOCs:
File: 2
Domain: 7
IP: 1
Hash: 9
Url: 4

Soft:
Chrome, FireFox, Maxthon, Electrum-LTC, Ledger Live, Telegram, Discord, Pidgin, OLLVM

Wallets:
daedalus, mainnet, wassabi, electrum, electron_cash, multidoge, jaxx, atomicwallet, coinomi, guarda_wallet, have more...

Crypto:
bitcoin, dogecoin, ethereum, binance

Algorithms:
base64, gzip, xor, rc4

Functions:
getNtAllocateVirtualMemory, getEnumDisplayDevicesA

Win API:
decompress, EnumDisplayDevicesA, NtAllocateVirtualMemory

Languages:
javascript, powershell

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-05-16-IOCs-on-recent-ClickFix-activity.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4