#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SmokeLoader, загрузчик вредоносного ПО, был обновлен до версий 2025 alpha и 2025, расширив возможности доставки полезной нагрузки, включая трояны, программы-вымогатели и похитители информации. Ключевые технические изменения включают в себя более эффективный этап, который предотвращает избыточные инъекции основного модуля и использует проверки мьютексов, наряду с измененными идентификаторами и сетевыми протоколами, которые используют шифрование XOR для запутывания и улучшенные методы обхода. Несмотря на усилия по смягчению последствий, SmokeLoader продолжает активно использоваться различными злоумышленниками, что подчеркивает его постоянную угрозу.
-----

SmokeLoader, загрузчик вредоносного ПО, впервые появившийся в 2011 году, был обновлен, чтобы расширить его возможности по доставке различных полезных нагрузок второго этапа, включая трояны, программы-вымогатели и похитители информации. Недавние наблюдения выявили две новые версии, называемые версией 2025 alpha и версией 2025, которые направлены на устранение проблем с производительностью и улучшение защиты от механизмов обнаружения. Вредоносное ПО использует модульную структуру, которая позволяет выполнять различные функции, такие как сбор учетных записей, перехват браузера и майнинг криптовалют.

Обе версии включают значительные технические изменения, особенно в их компонентах stager и основного модуля. Роль stager заключается в том, чтобы запутывать действия вредоносного ПО, обнаруживать виртуальные среды и внедрять основной модуль в легитимную среду. explorer.exe процесс. Предыдущие версии сталкивались со снижением производительности из-за запланированной задачи, которая запускала stager каждые десять минут без подтверждения того, активен ли основной модуль. Это привело к чрезмерному потреблению ресурсов и созданию новых потоков, что усугубило трудности анализа. Последние обновления включают проверку мьютекса в stager, которая предотвращает многократные инъекции основного модуля, завершая работу, если обнаруживает, что мьютекс уже существует, тем самым повышая эффективность.

Различные идентификаторы и строки в коде были изменены. Соглашение об именовании мьютексов изменилось с фиксированного формата на переменную длину, сгенерированную с помощью псевдослучайного алгоритма, заданного идентификатором бота. Это увеличивает сложность идентификации во время анализа. Кроме того, имя запланированной задачи, которая устанавливает закрепление вредоносного ПО, переключилось с идентификатора, связанного с Firefox, на имя, связанное с обновлениями Microsoft Edge, что еще больше запутывает ее присутствие.

Также был изменен протокол сетевой связи, при этом первоначальный формат ответа был скрыт с помощью XOR-шифрования с ключом RC4. Эти изменения не только оптимизируют производительность, но и усиливают защиту от статических и поведенческих методов обнаружения.

Несмотря на воздействие значительных операций, направленных на срыв его деятельности, SmokeLoader остается функциональным и используется различными злоумышленниками. Поскольку версия 2025 alpha активно внедряется и обратно совместима с более ранними системами командования и контроля (C2), само собой разумеется, что в предстоящей версии 2025 также может увеличиться использование. Усовершенствования SmokeLoader's подтверждают, что он продолжает развиваться как значительная угроза в среде вредоносного ПО.

#ParsedReport #CompletenessHigh
16-09-2025

Inside Maranho Stealer: Node.js-Powered InfoStealer Using Reflective DLL Injection

https://cyble.com/blog/inside-maranhao-stealer-node-js-powered-infostealer/

Report completeness: High

Threats:
Dll_injection_technique
Maranho
Credential_harvesting_technique
Process_injection_technique

Victims:
Consumers, Gaming users

Industry:
Telco, Entertainment

TTPs:
Tactics: 10
Technics: 12

IOCs:
File: 17
Url: 5
Domain: 2
Hash: 33
Path: 1
Registry: 1
IP: 1

Soft:
Node.js, Chrome, PsExec, Google Chrome, Microsoft Edge, Opera, Google Chrome, Chromium, Mozilla Firefox, Waterfox, Pale Moon, have more...

Wallets:
electrum, atomicwallet, coinomi, guarda_wallet

Algorithms:
zip, sha1, sha256

Functions:
Win32, CreateThreadEx

Win API:
NtAllocateVirtualMemory, NtWriteProcessMemory

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Maranho Stealer - это известная кампания по распространению вредоносного ПО, выявленная за использование социальной инженерии, в основном распространяемая через сайты с пиратским программным обеспечением. Это вредоносное ПО на основе Node.js использует отражающее DLL Injection для извлечения конфиденциальных пользовательских данных, обходя защиту шифрования, и устанавливает закрепление с помощью разделов реестра и запланированных задач. Он выполняет детальную разведку хоста и взаимодействует со своими серверами командования и контроля для передачи украденной информации, что указывает на сложный подход к эксфильтрации данных злоумышленниками.
-----

Maranho Stealer стал серьезной киберугрозой, идентифицированной Cyble Research & Intelligence Labs (CRIL) как активная кампания вредоносного ПО, использующая тактику социальной инженерии. Распространяемый в основном через веб-сайты, предлагающие пиратское программное обеспечение, взломанные игровые лаунчеры и читы, Maranho работает на Node.js и упакован как установщик Inno Setup. Это отражает растущую тенденцию в деятельности киберпреступников, которые используют передовые методы распространения, повышающие сложность и скрытность вредоносного ПО.

Вредоносное ПО использует отражающий DLL Injection для извлечения конфиденциальной информации от пользователей, такой как учетные данные, файлы cookie, история посещенных страниц и данные криптовалютного кошелька. Примечательна его способность обходить традиционные средства защиты от шифрования, такие как шифрование в приложениях, с помощью этого метода внедрения, что позволяет ему работать в браузерах незамеченным. Кроме того, процесс установки обеспечивает закрепление в зараженных системах с помощью разделов реестра запуска и запланированных задач, в то же время он также скрывает свои полезные нагрузки в виде скрытых атрибутов системного уровня, чтобы избежать обнаружения.

После запуска Maranho Stealer проводит тщательную разведку зараженного хоста, собирая информацию о спецификациях Аппаратного обеспечения, сетевых средах и геолокации. Такое подробное профилирование облегчает целенаправленную эксфильтрацию данных. После успешной компрометации системы вредоносное ПО подключается обратно к своей инфраструктуре управления, которая включает в себя несколько выделенных конечных точек API (например, maranhaogang.fun). Это сообщение имеет решающее значение для злоумышленников, поскольку оно передает важную информацию, такую как уникальный идентификатор жертвы, IP-адрес, географическое местоположение и сведения об операционной системе, что эффективно позволяет злоумышленникам отслеживать заражение и отслеживать украденные данные.

Кампания Maranho Stealer, действующая с мая 2025 года, подчеркивает постоянное использование методов социальной инженерии злоумышленниками, особенно посредством распространения незаконного программного обеспечения, демонстрируя эволюционирующую тактику, которая использует поведение потребителей. Последствия такого вредоносного ПО подчеркивают необходимость повышения осведомленности и защиты от угроз, связанных с взаимодействием с сомнительным онлайн-контентом, что усиливает важность надежных методов кибергигиены.

#ParsedReport #CompletenessHigh
16-09-2025

APT28 Operation Phantom Net Voxel

https://blog.sekoia.io/apt28-operation-phantom-net-voxel/

Report completeness: High

Actors/Campaigns:
Phantom_net_voxel (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)
Double_tap

Threats:
Beardshell_tool
Covenant_tool
Spear-phishing_technique
Slimagent_tool
Steganography_technique
Grunt
Com_hijacking_technique

Victims:
Military, Government administration

Industry:
Logistic, Military, Healthcare

Geo:
Russian, Ukrainian, Tajikistan, French, Ukraine, Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.005, T1071.001, T1082, T1102.003, T1105, T1106, T1117, have more...

IOCs:
File: 45
Hash: 40
Registry: 2
Path: 5

Soft:
NET Framework, Windows CryptoAPI

Algorithms:
sha256, chacha20, sha1, base64, aes, aes-cbc, poly1305, chacha20-poly1305, aes-256, xor

Functions:
GetImageResolution, b, bb, DllMain, main

Win API:
GetFileAttributesW, CreateProcessW, DllInstall, GetModuleFileNameW, LoadLibrary, GetProcAddress, SafeArrayAccessData, GetCurrentHwProfileW, NetWkstaGetInfo, NetWkstaUserGetInfo, have more...

Languages:
powershell, visual_basic, python

Platforms:
x64

YARA: Found

Links:
https://github.com/naacbin/CovenantDecryptor?tab=readme-ov-file#how-covenant-communication-works
have more...
https://github.com/cobbr/Covenant/tree/master/Covenant/Data/Tasks
https://github.com/cobbr/Covenant

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года была проанализирована активность APT28 в области вредоносного ПО, в результате чего были выявлены два инструмента, BeardShell и Covenant, связанные с группой, демонстрирующие их эволюцию в разработке вредоносного ПО. Цепочка заражения использует spearphishing с вредоносными документами Office, содержащими макросы, которые загружают HTTP-Grunt Stager платформы Covenant, который выполняется через CLR. APT28 использует облачную инфраструктуру Koofr для обмена данными управления и использует сложные методы запутывания для своих бэкдоров, включая однобайтовые шифры XOR и механизмы загрузки, подобные прокси, в своих компонентах.
-----

В начале 2025 года деятельность APT28's была тщательно изучена Sekoia.io Команда по обнаружению угроз и реагированию на них (TDR) после получения двух ранее невидимых образцов вредоносного ПО, связанных с группой. Вслед за этим CERT-UA опубликовала отчет о двух вредоносных инструментах, BeardShell и Covenant, приписав их APT28. Детальный анализ показал, что образцы, полученные с помощью Sekoia.io и те, которые обсуждались CERT-UA, были идентичны, демонстрируя непрерывную эволюцию группы в разработке вредоносного ПО.

Цепочка заражения в основном действует с помощью тактики spearphishing, при которой злоумышленник выдает себя за коллегу или начальника, чтобы заставить получателя открыть вредоносный документ Office. В этом документе используются макросы Visual Basic, которые инициируют заражение. Один идентифицированный образец содержит макрос, который вызывает шелл-код, предназначенный для загрузки нового переносимого исполняемого файла (PE), в частности модуля HTTP Grunt Stager платформы Covenant. Этот модуль инициализирует среду выполнения Common Language Runtime (CLR) для выполнения ее функциональных возможностей.

Примечательный прием в этой кампании связан с использованием законной облачной инфраструктуры Koofr, которую APT28 использовал для обмена данными управления. После установления соединения с жестко запрограммированной учетной записью Koofr вредоносное ПО проверяет наличие определенных каталогов, создавая их, если они отсутствуют. Коммуникационная модель включает гибридное шифрование для безопасного обмена ключами, позволяющее загружать зашифрованные данные в хранилище Koofr. Более того, вредоносное ПО регулярно опрашивает сервер на наличие новых команд, что указывает на систематический и методичный подход к поддержанию закрепления и расширению операционных возможностей.

Бэкдор BeardShell, созданный на C++, в основном выполняет команды PowerShell и работает через аналогичный зашифрованный способ связи с использованием учетной записи icdrive. Его архитектура в значительной степени опирается на информацию о типе во время выполнения (RTTI) и реализует ряд команд, закодированных в формате JSON. Интересно, что в нем используется механизм загрузки, который добавляет сложности и запутывания, демонстрируя использование однобайтовых шифров XOR для шифрования строк.

Операция также вводит библиотеку DLL с именем SlimAgent, удаленную вместе с BeardShell, которая демонстрирует структурное сходство с вышеупомянутыми вредоносными библиотеками. Примечательно, что как SlimAgent, так и библиотека DLL второго этапа используют механизм загрузки, подобный прокси-серверу, основанный на процессе размещения, что предполагает согласованную методологию работы этих вариантов вредоносного ПО.

#ParsedReport #CompletenessHigh
16-09-2025

FileFix in the wild! New FileFix campaign goes beyond POC and leverages steganography

https://www.acronis.com/en-us/tru/posts/filefix-in-the-wild-new-filefix-campaign-goes-beyond-poc-and-leverages-steganography/

Report completeness: High

Threats:
Filefix_technique
Steganography_technique
Clickfix_technique
Stealc
Promptfix_technique
Fakecaptcha_technique

Victims:
Facebook users, General internet users

Industry:
Entertainment

Geo:
Japanese, German, Bangladesh, Dominican republic, Russian, Tunisia, Peru, Polish, Nepal, Spanish, China, Germany, Philippines, Chinese, French, Serbia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036, T1059.001, T1105, T1140, T1204.001, T1497.001, T1566.002, T1566.003, have more...

IOCs:
File: 2
Domain: 7
IP: 1
Hash: 9
Url: 4

Soft:
Chrome, FireFox, Maxthon, Electrum-LTC, Ledger Live, Telegram, Discord, Pidgin, OLLVM

Wallets:
daedalus, mainnet, wassabi, electrum, electron_cash, multidoge, jaxx, atomicwallet, coinomi, guarda_wallet, have more...

Crypto:
bitcoin, dogecoin, ethereum, binance

Algorithms:
base64, gzip, xor, rc4

Functions:
getNtAllocateVirtualMemory, getEnumDisplayDevicesA

Win API:
decompress, EnumDisplayDevicesA, NtAllocateVirtualMemory

Languages:
javascript, powershell

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-05-16-IOCs-on-recent-ClickFix-activity.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания FileFix, являющаяся частью более широкой структуры атак "AllFix", использует продвинутую тактику фишинга с тщательно разработанным сайтом, который обманом заставляет жертв инициировать атаку. Все начинается с вводящего в заблуждение электронного письма с поддельным уведомлением о безопасности Facebook, что приводит к сильно запутанной платформе JavaScript. Атака использует сложный механизм, включающий команду PowerShell для доставки полезной нагрузки, скрытой в изображении, которая расшифровывается и выполняется загрузчиком, написанным на Go, что приводит к работе вредоносного ПО-похитителя информации под названием "StealC"..
-----

Исследователи из подразделения Acronis по исследованию угроз обнаружили сложную кампанию active FileFix, которая знаменует собой значительную эволюцию по сравнению с первоначальной проверкой концепции (POC). Эта кампания классифицируется под общим термином "атаки AllFix", которые охватывают различные методы, включая ClickFix и FileFix. Вариант FileFix заметно отличается по своему исполнению, демонстрируя тщательно созданный сайт фишинга, который побуждает жертв инициировать атаку.

Атака начинается с электронного письма с фишингом, которое выдает себя за систему безопасности Facebook, побуждая жертву посетить сайт фишинга. Платформа для фишинга использует продвинутый JavaScript, характеризующийся обширной системой запутывания для маскировки вредоносных действий, что увеличивает потенциальный успех атаки.

Фактическая доставка полезной нагрузки осуществляется с помощью сложного механизма. Все начинается с одной команды PowerShell, частично запутанной в Base64, что указывает на сложное отклонение от типичных структур атак, которые обычно используют более четкие полезные нагрузки. Эта начальная полезная нагрузка включает в себя стеганографический метод, при котором сценарий второго этапа расшифровывает исполняемую полезную нагрузку, скрытую в безобидном на вид изображении.

Второй этап атаки включает в себя извлечение и выполнение определенной полезной нагрузки, используя расшифровку RC4 для доступа к зашифрованным файлам внутри изображения. На этом этапе выполняется запутанный загрузчик, написанный на Go, который отвечает за загрузку шеллкода в память. Конечная полезная нагрузка, идентифицированная как "StealC", выполняет функцию похитителя и загрузчика информации.

Важно отметить, что кампания FileFix за короткий период продемонстрировала признаки быстрого развития. Первоначально в нем использовался одноступенчатый сценарий, но с тех пор он расширился, включив более сложную структуру с несколькими этапами и потенциальной дополнительной полезной нагрузкой. Расследования показали, что кампания не ограничивалась конкретным регионом, с признаками активности в разных странах, что подтверждается языковыми вариациями на сайте фишинга.

Сложные методы обфускации и стратегическое использование Стеганографии указывают на заметный сдвиг в методологиях атак, подчеркивая необходимость повышенной бдительности в отношении таких продвинутых угроз, которые стирают границы между вредоносным программным обеспечением и законным поведением.

#ParsedReport #CompletenessLow
16-09-2025

Self-replicating Shai-hulud worm spreads token-stealing malware on npm

https://www.reversinglabs.com/blog/shai-hulud-worm-npm

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Shai-hulud
Sobig
Wannacry
Eternal_petya

Victims:
Open source maintainers, Npm developers, Software development ecosystem

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1059.007, T1105, T1195, T1204, T1213, T1528, T1552, T1552.001, T1552.004, T1566, have more...

IOCs:
File: 3
Url: 1
Hash: 362

Soft:
Twitter

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ReversingLabs выявила нового самовоспроизводящегося червя под названием "Shai-hulud", который нацелен на пакеты npm, используя скомпрометированные учетные записи для внедрения вредоносных полезных нагрузок JavaScript. Этот червь, обнаруженный 15 сентября 2023 года, включает в себя функцию обновления пакетов с помощью своего вредоносного кода, что позволяет ему распространяться автономно. В первую очередь он извлекает конфиденциальную информацию, включая токены облачных сервисов, и имеет возможность преобразовывать частные репозитории GitHub в общедоступные, потенциально выявляя уязвимости в исходном коде.
-----

Исследователи из ReversingLabs обнаружили червя "Shai-hulud", первое самовоспроизводящееся вредоносное ПО, нацеленное на пакеты npm. Обнаруженный 15 сентября 2023 года червь использует скомпрометированные учетные записи npm, внедряя вредоносный код как в общедоступные, так и в частные пакеты. Несмотря на то, что истоки кампании "Шаи-хулуд" или ее акторов до конца не установлены, были проведены параллели с предыдущим компромиссом, известным как атака Nx. Обе кампании сосредоточены на популярных пакетах с открытым исходным кодом и направлены на сбор конфиденциальной информации из зараженных сред, используя учетные записи пользователей на GitHub для эксфильтрации данных.

Shai-hulud - это большая полезная нагрузка JavaScript, превышающая 3 МБ, состоящая в основном из вредоносного "bundle.js - файл. Он реализует поведение, подобное червю, автономно обновляя скомпрометированный пакет npm этим Вредоносным файлом с помощью функции, называемой updatePackage. Эта функция изменяет файл package.json, добавляя сценарий постустановки, который включает в себя bundle.js в упаковке, повышающей способность червя к размножению.

Помимо простого распространения, Shai-hulud обладает значительными возможностями для извлечения конфиденциальной информации разработчиков. В первую очередь он ориентирован на токены облачных сервисов, ориентируясь на токены npm, GitHub, AWS и Google Cloud Platform. Кроме того, он устанавливает Trufflehog, инструмент с открытым исходным кодом, предназначенный для обнаружения более 800 типов секретов, что значительно увеличивает его потенциал для кражи данных.

Еще одной тревожной особенностью этого червя является его способность "переносить" частные репозитории GitHub в общедоступные. Эта функция направлена на извлечение жестко закодированных секретов и исходного кода из частных хранилищ, что потенциально позволяет злоумышленникам анализировать код на наличие уязвимостей, которые могут быть использованы в будущих атаках. Первоначальный взлом был связан с пакетом npm "rxnt-аутентификация", а именно с версией 0.0.3, опубликованной незадолго до обнаружения Worm.

Существуют сходства с другими недавними кампаниями npm, в которых использовались методы фишинга и социальной инженерии для получения контроля над учетными записями разработчиков с открытым исходным кодом. Примечательно, что пострадали высокопоставленные разработчики npm, что подчеркивает тревожную тенденцию автоматического распространения вредоносного ПО в экосистемах с открытым исходным кодом.

В конечном счете, червь Shai-hulud поднимает важные вопросы о безопасности реестров с открытым исходным кодом. В отличие от традиционного вредоносного ПО, которое распространяется через взаимодействие с человеком или системные уязвимости, этот самовоспроизводящийся червь использует непрерывные процессы интеграции и доставки, что приводит к быстрому распространению. Необходимость в превентивных мерах, таких как механизм временной остановки публикации пакетов, может оказаться существенной для смягчения будущих угроз в таких средах. Для разработчиков и пользователей бдительность является ключевым фактором; они должны искать признаки заражения, такие как репозитории с описанием "Миграции Шаи-Хулуд" или ветви с именем "шаи-хулуд", чтобы выявить потенциальные компромиссы.

#ParsedReport #CompletenessHigh
17-09-2025

NGC6061: a series of phishing attacks on authorities

https://rt-solar.ru/solar-4rays/blog/6064/

Report completeness: High

Actors/Campaigns:
Ngc6061
Obstinate_mogwai
Red_delta

Threats:
Metasploit_tool
Dll_sideloading_technique
Darkgate

Victims:
Public sector

Geo:
Asian, Spanish, Russia, Russian, Russian federation

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1566

IOCs:
Command: 3
File: 23
Path: 17
Url: 6
IP: 7
Domain: 4
Coin: 1
Email: 7
Hash: 31

Soft:
Microsoft Word, OLLVM

Algorithms:
aes-128-ecb, xor, base64, sha1, sha256, md5

Functions:
Get-ChildItem

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С сентября 2024 года целенаправленные атаки фишинга, приписываемые злоумышленнику NGC6061, связанному с кластером Cybercrown, были сосредоточены на российских организациях государственного сектора. Эти попытки фишинга обычно связаны с вводящими в заблуждение электронными письмами, которые выдают себя за законных лиц, с целью обманом заставить получателей перейти по Вредоносным ссылкам или загрузить вредоносные вложения для компрометации конфиденциальных систем. Проводимые мероприятия подчеркивают, что фишинг является постоянной тактикой получения конфиденциальной информации и несанкционированного доступа к сети.
-----

С сентября 2024 года на российские организации государственного сектора была направлена серия целенаправленных атак с использованием фишинга, приписываемых злоумышленнику, который, как полагают, является частью кластера Cybercrown, обозначенного как NGC6061. Эта кампания демонстрирует устойчивый характер фишинга как тактики, используемой киберпреступниками для компрометации чувствительных правительственных систем.

Электронные письма с фишингом, используемые в этих атаках, обычно выдают себя за законных лиц, пытаясь обманом заставить получателей либо перейти по Вредоносным ссылкам, либо загрузить вредоносные вложения. Точная тактика и методы, используемые NGC6061, хотя и не детализированы полностью, предполагают стратегическое нацеливание на государственные органы с намерением получить конфиденциальную информацию или получить несанкционированный доступ к сетям.

Поскольку деятельность кластера NGC6061 продолжает разворачиваться, понимание методологий, лежащих в основе таких кампаний по фишингу, имеет решающее значение для усиления защитных механизмов в затронутых секторах. Организациям настоятельно рекомендуется сохранять бдительность и применять надежные стратегии обнаружения фишинга в рамках своей политики кибербезопасности, чтобы снизить риски, связанные с этими типами атак.

#ParsedReport #CompletenessHigh
17-09-2025

From the Depths: Analyzing the Cthulhu Stealer Malware for macOS

https://www.darktrace.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos

Report completeness: High

Actors/Campaigns:
Rhysida
Vice_society

Threats:
Cthulhu_stealer
Amos_stealer
Silversparrow
Keranger
Chainbreak_tool
Seo_poisoning_technique
Putty_tool
Oyster
Typosquatting_technique
Rhysida
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Macos users, It administrators

Industry:
E-commerce, Government

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 12
Hash: 6
IP: 4
Url: 4
Domain: 4

Soft:
macOS, Chrome, Telegram, Firefox, Gatekeeper, acOS St, Windows Scheduled Task, WordPress, curl

Wallets:
metamask, coinbase, wassabi, daedalus, electrum, atomicwallet, harmony_wallet, coinomi

Crypto:
enjin

Algorithms:
zip, md5

Languages:
golang, applescript, javascript

Platforms:
apple, arm

YARA: Found

Links:
https://github.com/n0fate/chainbreaker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cthulhu Stealer - это вредоносное ПО для macOS, написанное на Go, предназначенное для кражи учетных данных и информации о криптовалюте путем Маскировки под законное программное обеспечение и использования инструмента "osascript" для запроса пароля пользователя. Он поддерживает как архитектуру x86_64, так и ARM и распространяется через подпольные рынки с партнерскими соглашениями. Бэкдор Oyster, обнаруженный в 2023 году, обеспечивает удаленный доступ и использует управление из командной строки; его доставка включает в себя Отравление поисковой оптимизации (SEO), маскировку полезной нагрузки под законное программное обеспечение и демонстрацию изощренной тактики уклонения.
-----

Cthulhu Stealer - это вредоносное ПО для macOS "как услуга", которое крадет учетные данные и информацию о криптовалюте.

Он написан на Go и маскируется под легальное программное обеспечение для сбора конфиденциальных пользовательских данных.

Вредоносное ПО распространяется путем аренды доступа через подпольные торговые площадки за 500 долларов в месяц.

Cthulhu Stealer поддерживает как архитектуру x86_64, так и ARM и поставляется в виде Apple DMG, содержащего два двоичных файла.

Вредоносное ПО использует "osascript" для запроса паролей пользователей, что указывает на потенциальную связь с Atomic Stealer.

В Cthulhu Stealer реализована партнерская модель распределения прибыли, основанная на успешных внедрениях.

Бэкдор Oyster, обнаруженный в середине 2023 года, представляет собой вредоносное ПО на C++, обеспечивающее удаленный доступ и управление из командной строки.

Oyster использует поисковую систему SEO poisoning (izesoizes) для доставки полезных данных, замаскированных под легальное программное обеспечение, такое как PuTTY.

Активность RDP была замечена после обмена данными с серверами Oyster C2, что указывает на перемещение внутри компании в сетях.

Зашифрованные строки пользовательского агента в сетевом трафике предполагают методы обфускации для лучшего сокрытия атрибуции.

Очевидна тенденция использования вредоносного ПО как услуги (MaaS), когда вредоносное ПО адаптируется для достижения целей операторов.