#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания FileFix, являющаяся частью более широкой структуры атак "AllFix", использует продвинутую тактику фишинга с тщательно разработанным сайтом, который обманом заставляет жертв инициировать атаку. Все начинается с вводящего в заблуждение электронного письма с поддельным уведомлением о безопасности Facebook, что приводит к сильно запутанной платформе JavaScript. Атака использует сложный механизм, включающий команду PowerShell для доставки полезной нагрузки, скрытой в изображении, которая расшифровывается и выполняется загрузчиком, написанным на Go, что приводит к работе вредоносного ПО-похитителя информации под названием "StealC"..
-----

Исследователи из подразделения Acronis по исследованию угроз обнаружили сложную кампанию active FileFix, которая знаменует собой значительную эволюцию по сравнению с первоначальной проверкой концепции (POC). Эта кампания классифицируется под общим термином "атаки AllFix", которые охватывают различные методы, включая ClickFix и FileFix. Вариант FileFix заметно отличается по своему исполнению, демонстрируя тщательно созданный сайт фишинга, который побуждает жертв инициировать атаку.

Атака начинается с электронного письма с фишингом, которое выдает себя за систему безопасности Facebook, побуждая жертву посетить сайт фишинга. Платформа для фишинга использует продвинутый JavaScript, характеризующийся обширной системой запутывания для маскировки вредоносных действий, что увеличивает потенциальный успех атаки.

Фактическая доставка полезной нагрузки осуществляется с помощью сложного механизма. Все начинается с одной команды PowerShell, частично запутанной в Base64, что указывает на сложное отклонение от типичных структур атак, которые обычно используют более четкие полезные нагрузки. Эта начальная полезная нагрузка включает в себя стеганографический метод, при котором сценарий второго этапа расшифровывает исполняемую полезную нагрузку, скрытую в безобидном на вид изображении.

Второй этап атаки включает в себя извлечение и выполнение определенной полезной нагрузки, используя расшифровку RC4 для доступа к зашифрованным файлам внутри изображения. На этом этапе выполняется запутанный загрузчик, написанный на Go, который отвечает за загрузку шеллкода в память. Конечная полезная нагрузка, идентифицированная как "StealC", выполняет функцию похитителя и загрузчика информации.

Важно отметить, что кампания FileFix за короткий период продемонстрировала признаки быстрого развития. Первоначально в нем использовался одноступенчатый сценарий, но с тех пор он расширился, включив более сложную структуру с несколькими этапами и потенциальной дополнительной полезной нагрузкой. Расследования показали, что кампания не ограничивалась конкретным регионом, с признаками активности в разных странах, что подтверждается языковыми вариациями на сайте фишинга.

Сложные методы обфускации и стратегическое использование Стеганографии указывают на заметный сдвиг в методологиях атак, подчеркивая необходимость повышенной бдительности в отношении таких продвинутых угроз, которые стирают границы между вредоносным программным обеспечением и законным поведением.

#ParsedReport #CompletenessLow
16-09-2025

Self-replicating Shai-hulud worm spreads token-stealing malware on npm

https://www.reversinglabs.com/blog/shai-hulud-worm-npm

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Shai-hulud
Sobig
Wannacry
Eternal_petya

Victims:
Open source maintainers, Npm developers, Software development ecosystem

Industry:
Software_development

ChatGPT TTPs:
do not use without manual check
T1059.007, T1105, T1195, T1204, T1213, T1528, T1552, T1552.001, T1552.004, T1566, have more...

IOCs:
File: 3
Url: 1
Hash: 362

Soft:
Twitter

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ReversingLabs выявила нового самовоспроизводящегося червя под названием "Shai-hulud", который нацелен на пакеты npm, используя скомпрометированные учетные записи для внедрения вредоносных полезных нагрузок JavaScript. Этот червь, обнаруженный 15 сентября 2023 года, включает в себя функцию обновления пакетов с помощью своего вредоносного кода, что позволяет ему распространяться автономно. В первую очередь он извлекает конфиденциальную информацию, включая токены облачных сервисов, и имеет возможность преобразовывать частные репозитории GitHub в общедоступные, потенциально выявляя уязвимости в исходном коде.
-----

Исследователи из ReversingLabs обнаружили червя "Shai-hulud", первое самовоспроизводящееся вредоносное ПО, нацеленное на пакеты npm. Обнаруженный 15 сентября 2023 года червь использует скомпрометированные учетные записи npm, внедряя вредоносный код как в общедоступные, так и в частные пакеты. Несмотря на то, что истоки кампании "Шаи-хулуд" или ее акторов до конца не установлены, были проведены параллели с предыдущим компромиссом, известным как атака Nx. Обе кампании сосредоточены на популярных пакетах с открытым исходным кодом и направлены на сбор конфиденциальной информации из зараженных сред, используя учетные записи пользователей на GitHub для эксфильтрации данных.

Shai-hulud - это большая полезная нагрузка JavaScript, превышающая 3 МБ, состоящая в основном из вредоносного "bundle.js - файл. Он реализует поведение, подобное червю, автономно обновляя скомпрометированный пакет npm этим Вредоносным файлом с помощью функции, называемой updatePackage. Эта функция изменяет файл package.json, добавляя сценарий постустановки, который включает в себя bundle.js в упаковке, повышающей способность червя к размножению.

Помимо простого распространения, Shai-hulud обладает значительными возможностями для извлечения конфиденциальной информации разработчиков. В первую очередь он ориентирован на токены облачных сервисов, ориентируясь на токены npm, GitHub, AWS и Google Cloud Platform. Кроме того, он устанавливает Trufflehog, инструмент с открытым исходным кодом, предназначенный для обнаружения более 800 типов секретов, что значительно увеличивает его потенциал для кражи данных.

Еще одной тревожной особенностью этого червя является его способность "переносить" частные репозитории GitHub в общедоступные. Эта функция направлена на извлечение жестко закодированных секретов и исходного кода из частных хранилищ, что потенциально позволяет злоумышленникам анализировать код на наличие уязвимостей, которые могут быть использованы в будущих атаках. Первоначальный взлом был связан с пакетом npm "rxnt-аутентификация", а именно с версией 0.0.3, опубликованной незадолго до обнаружения Worm.

Существуют сходства с другими недавними кампаниями npm, в которых использовались методы фишинга и социальной инженерии для получения контроля над учетными записями разработчиков с открытым исходным кодом. Примечательно, что пострадали высокопоставленные разработчики npm, что подчеркивает тревожную тенденцию автоматического распространения вредоносного ПО в экосистемах с открытым исходным кодом.

В конечном счете, червь Shai-hulud поднимает важные вопросы о безопасности реестров с открытым исходным кодом. В отличие от традиционного вредоносного ПО, которое распространяется через взаимодействие с человеком или системные уязвимости, этот самовоспроизводящийся червь использует непрерывные процессы интеграции и доставки, что приводит к быстрому распространению. Необходимость в превентивных мерах, таких как механизм временной остановки публикации пакетов, может оказаться существенной для смягчения будущих угроз в таких средах. Для разработчиков и пользователей бдительность является ключевым фактором; они должны искать признаки заражения, такие как репозитории с описанием "Миграции Шаи-Хулуд" или ветви с именем "шаи-хулуд", чтобы выявить потенциальные компромиссы.

#ParsedReport #CompletenessHigh
17-09-2025

NGC6061: a series of phishing attacks on authorities

https://rt-solar.ru/solar-4rays/blog/6064/

Report completeness: High

Actors/Campaigns:
Ngc6061
Obstinate_mogwai
Red_delta

Threats:
Metasploit_tool
Dll_sideloading_technique
Darkgate

Victims:
Public sector

Geo:
Asian, Spanish, Russia, Russian, Russian federation

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1566

IOCs:
Command: 3
File: 23
Path: 17
Url: 6
IP: 7
Domain: 4
Coin: 1
Email: 7
Hash: 31

Soft:
Microsoft Word, OLLVM

Algorithms:
aes-128-ecb, xor, base64, sha1, sha256, md5

Functions:
Get-ChildItem

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С сентября 2024 года целенаправленные атаки фишинга, приписываемые злоумышленнику NGC6061, связанному с кластером Cybercrown, были сосредоточены на российских организациях государственного сектора. Эти попытки фишинга обычно связаны с вводящими в заблуждение электронными письмами, которые выдают себя за законных лиц, с целью обманом заставить получателей перейти по Вредоносным ссылкам или загрузить вредоносные вложения для компрометации конфиденциальных систем. Проводимые мероприятия подчеркивают, что фишинг является постоянной тактикой получения конфиденциальной информации и несанкционированного доступа к сети.
-----

С сентября 2024 года на российские организации государственного сектора была направлена серия целенаправленных атак с использованием фишинга, приписываемых злоумышленнику, который, как полагают, является частью кластера Cybercrown, обозначенного как NGC6061. Эта кампания демонстрирует устойчивый характер фишинга как тактики, используемой киберпреступниками для компрометации чувствительных правительственных систем.

Электронные письма с фишингом, используемые в этих атаках, обычно выдают себя за законных лиц, пытаясь обманом заставить получателей либо перейти по Вредоносным ссылкам, либо загрузить вредоносные вложения. Точная тактика и методы, используемые NGC6061, хотя и не детализированы полностью, предполагают стратегическое нацеливание на государственные органы с намерением получить конфиденциальную информацию или получить несанкционированный доступ к сетям.

Поскольку деятельность кластера NGC6061 продолжает разворачиваться, понимание методологий, лежащих в основе таких кампаний по фишингу, имеет решающее значение для усиления защитных механизмов в затронутых секторах. Организациям настоятельно рекомендуется сохранять бдительность и применять надежные стратегии обнаружения фишинга в рамках своей политики кибербезопасности, чтобы снизить риски, связанные с этими типами атак.

#ParsedReport #CompletenessHigh
17-09-2025

From the Depths: Analyzing the Cthulhu Stealer Malware for macOS

https://www.darktrace.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos

Report completeness: High

Actors/Campaigns:
Rhysida
Vice_society

Threats:
Cthulhu_stealer
Amos_stealer
Silversparrow
Keranger
Chainbreak_tool
Seo_poisoning_technique
Putty_tool
Oyster
Typosquatting_technique
Rhysida
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Macos users, It administrators

Industry:
E-commerce, Government

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 12
Hash: 6
IP: 4
Url: 4
Domain: 4

Soft:
macOS, Chrome, Telegram, Firefox, Gatekeeper, acOS St, Windows Scheduled Task, WordPress, curl

Wallets:
metamask, coinbase, wassabi, daedalus, electrum, atomicwallet, harmony_wallet, coinomi

Crypto:
enjin

Algorithms:
zip, md5

Languages:
golang, applescript, javascript

Platforms:
apple, arm

YARA: Found

Links:
https://github.com/n0fate/chainbreaker

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cthulhu Stealer - это вредоносное ПО для macOS, написанное на Go, предназначенное для кражи учетных данных и информации о криптовалюте путем Маскировки под законное программное обеспечение и использования инструмента "osascript" для запроса пароля пользователя. Он поддерживает как архитектуру x86_64, так и ARM и распространяется через подпольные рынки с партнерскими соглашениями. Бэкдор Oyster, обнаруженный в 2023 году, обеспечивает удаленный доступ и использует управление из командной строки; его доставка включает в себя Отравление поисковой оптимизации (SEO), маскировку полезной нагрузки под законное программное обеспечение и демонстрацию изощренной тактики уклонения.
-----

Cthulhu Stealer - это вредоносное ПО для macOS "как услуга", которое крадет учетные данные и информацию о криптовалюте.

Он написан на Go и маскируется под легальное программное обеспечение для сбора конфиденциальных пользовательских данных.

Вредоносное ПО распространяется путем аренды доступа через подпольные торговые площадки за 500 долларов в месяц.

Cthulhu Stealer поддерживает как архитектуру x86_64, так и ARM и поставляется в виде Apple DMG, содержащего два двоичных файла.

Вредоносное ПО использует "osascript" для запроса паролей пользователей, что указывает на потенциальную связь с Atomic Stealer.

В Cthulhu Stealer реализована партнерская модель распределения прибыли, основанная на успешных внедрениях.

Бэкдор Oyster, обнаруженный в середине 2023 года, представляет собой вредоносное ПО на C++, обеспечивающее удаленный доступ и управление из командной строки.

Oyster использует поисковую систему SEO poisoning (izesoizes) для доставки полезных данных, замаскированных под легальное программное обеспечение, такое как PuTTY.

Активность RDP была замечена после обмена данными с серверами Oyster C2, что указывает на перемещение внутри компании в сетях.

Зашифрованные строки пользовательского агента в сетевом трафике предполагают методы обфускации для лучшего сокрытия атрибуции.

Очевидна тенденция использования вредоносного ПО как услуги (MaaS), когда вредоносное ПО адаптируется для достижения целей операторов.

#ParsedReport #CompletenessMedium
17-09-2025

Going Underground: China-aligned TA415 Conducts U.S.-China Economic Relations Targeting Using VS Code Remote Tunnels

https://www.proofpoint.com/us/blog/threat-insight/going-underground-china-aligned-ta415-conducts-us-china-economic-relations

Report completeness: Medium

Actors/Campaigns:
Ta415 (motivation: cyber_espionage)
Winnti
Chengdu_404_leak (motivation: cyber_espionage)
I-soon_leak (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Voldemort
Whirlcoil

Victims:
United states government, Think tanks, Academic organizations, Aerospace sector, Chemicals sector, Insurance sector, Manufacturing sector

Industry:
Chemical, Government, Aerospace

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1204, T1219, T1566, T1566.002

IOCs:
File: 4
Path: 1
Coin: 1
Domain: 1
Email: 3
Url: 8
Hash: 11

Soft:
Visual Studio, Dropbox, OpenDrive, VSCode

Algorithms:
sha256, base64, zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года китайская хакерская группировка TA415 провела кампании spearphishing, нацеленные на правительственные учреждения США и академические институты, используя тактику Имперсонации, сосредоточенную вокруг американо-китайских экономических тем. Они перешли от использования бэкдора Voldemort к использованию запутанного загрузчика Python WhirlCoil, облегчающего заражение через удаленные туннели VS Code. TA415 связан с сетевой технологией Chengdu 404 и имеет связи с Министерством государственной безопасности Китая, что указывает на его причастность к спонсируемым государством усилиям по кибершпионажу в условиях меняющейся геополитической динамики.
-----

В июле и августе 2025 года хакерская группировка TA415, связанная с Китаем, проводила кампании spearphishing, направленные против правительственных структур США, аналитических центров и академических институтов. Тактика группы заключалась в том, чтобы выдавать себя за узнаваемых деятелей и организации, связанные с американо-китайскими отношениями, в частности, используя темы, связанные с экономической политикой и торговлей, для получения конфиденциальной информации от своих целей.

Следуя более ранним кампаниям, в которых использовался бэкдор Voldemort, который они поставили в августе 2024 года, TA415 адаптировала свои методы, интегрировав использование удаленных туннелей VS Code. К сентябрю 2024 года они изменили свою методологию заражения, внедрив запутанный загрузчик Python, известный как WhirlCoil, для облегчения удаленного туннелирования VS Code.

инфекции. В число объектов, подвергшихся атаке на этом этапе, входили организации из аэрокосмического, химического, страхового и производственного секторов, параллельно с деятельностью, о которой сообщила другая компания, Cyble, в октябре 2024 года.

Атрибуция этих кампаний связывает TA415 с частным подрядчиком под названием Chengdu 404 Network Technology, базирующимся в Чэнду, Китай. Исторические ассоциации предполагают, что эта группа сотрудничает с другими частными подрядчиками в рамках китайской системы кибершпионажа. Примечательно, что некоторые обвиняемые члены этой группы заявили о своей принадлежности к гражданской службе внешней разведки Китая, Министерству государственной безопасности (МГБ). Proofpoint с высокой степенью достоверности относит описанные действия к TA415, основываясь на установленных корреляциях с известной инфраструктурой, последовательных схемах таргетинга и используемых TTP, соответствующих интересам Китая.

Последствия этих целенаправленных атак подчеркивают динамичный ландшафт угроз, на который влияют геополитические сдвиги. Изменение целей указывает на возможную корректировку приоритетов разведки, отражающую развитие американо-китайских экономических и внешнеполитических отношений. Поскольку эти действия соответствуют государственным интересам Китая, характер целевых организаций и сроки проведения операций предполагают обдуманный ответ на текущие геополитические условия. Это служит напоминанием о постоянной и эволюционирующей киберугрозе, исходящей от акторов, связанных с государством, в сфере международных отношений.

#ParsedReport #CompletenessHigh
17-09-2025

Mapping the Infrastructure and Malware Ecosystem of MuddyWater

https://www.group-ib.com/blog/muddywater-infrastructure-malware/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Muddyrot
Stealthcache
Phoenix_keylogger
Fooder
Spear-phishing_technique
Liteinject
Atera_tool
Simplehelp_tool
Ehorus_tool
N-able_tool
Screenconnect_tool
Syncro_tool
Dchspy
Dll_sideloading_technique
Cannonrat
Udpgangster
Hackbrowser
Go-socks5_tool

Victims:
Telecommunications, Government, Energy, Defense, Critical infrastructure

Industry:
Government, Critical_infrastructure, Energy, Telco

Geo:
Iran, Israel, Middle east, Israeli, Hungary, Turkey, Iranian, Azerbaijan, Tehran, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1057, T1059.001, T1071.001, T1105, T1119, T1204.002, T1566.001, T1566.002, have more...

IOCs:
File: 17
Hash: 4
Domain: 2
Path: 5
Command: 1
Url: 9
IP: 12

Soft:
Dropbox, Android, macOS, Linux, Microsoft Office

Algorithms:
md5, exhibit, xor, aes, sha256

Functions:
DllEntryPoint

Win API:
setsockopt, CryptHashData, CryptDeriveKey, CryptDecrypt, GetLastError

Languages:
golang, powershell, python

Links:
https://github.com/moonD4rk/HackBrowserData
have more...
https://github.com/hashicorp/yamux
https://github.com/armon/go-socks5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группа по сложным целенаправленным атакам, с начала 2025 года активизировала свою деятельность, сосредоточившись на spear phishing и развертывании пользовательского вредоносного ПО против целей на Ближнем Востоке, в Европе и Соединенных Штатах. Ключевые варианты включают BugSleep, бэкдор C/C++ для выполнения команд и передачи файлов; StealthCache, который улучшает связь C2 через HTTP(ы); и Fooder, загрузчик, который выполняет полезные нагрузки в памяти. Группа использует разнообразную инфраструктуру, включая AWS и Cloudflare, для облегчения своей деятельности и поддержания операционной безопасности.
-----

MuddyWater, спонсируемая иранским государством группа по сложным целенаправленным атакам (Сложные целенаправленные атаки), с начала 2025 года проявляет все большую активность, в первую очередь нацеливаясь на организации по всему Ближнему Востоку, Европе и Соединенным Штатам. Операционная стратегия этой группы перешла от оппортунистических кампаний удаленного мониторинга и управления (RMM) к более целенаправленному spear phishing и внедрению пользовательского вредоносного ПО, что свидетельствует о более изощренном подходе.

Ключевые варианты вредоносного ПО, идентифицированные как часть арсенала MuddyWater's, включают BugSleep, StealthCache, Phoenix, Fooder и LiteInject. BugSleep, написанный на C/C++, служит пользовательским бэкдором, который облегчает выполнение команд и передачу файлов между скомпрометированными системами и серверами управления (C2). С середины 2024 года он был широко развернут, особенно на Ближнем Востоке и в Европе. StealthCache известен своими расширенными функциями и расширенными коммуникационными возможностями C2, использующими HTTP-запросы к конечной точке, где команды диктуют действия вредоносного ПО. Команды могут инициировать кражу файлов, проверку процессов на соответствие известным решениям безопасности и отправку сообщений обратно на сервер C2, что позволяет операторам сохранять осведомленность о мерах безопасности, применяемых в зараженных средах.

Phoenix - это еще один вариант вредоносного ПО, приписываемый MuddyWater, отличающийся минималистичной функциональностью бэкдора, в котором он расшифровывает встроенный PE-файл и запускает его. Fooder, функционирующий как загрузчик, предназначен для загрузки, расшифровки и выполнения полезных нагрузок вредоносного ПО, хранящихся в памяти, иногда используя методы DLL side-loading. Группа имеет большой опыт в использовании проектов Golang с открытым исходным кодом для улучшения своих операционных результатов.

Инфраструктура MuddyWater's разнообразна и использует такие сервисы, как AWS, Cloudflare и пуленепробиваемые хостинговые решения. Этот анализ инфраструктуры имеет решающее значение для понимания их методов работы и облегчает принятие упреждающих мер против их деятельности. Отслеживание регистраций доменов и действий хостинг-провайдера позволяет специалистам по кибербезопасности более эффективно выявлять атаки и отслеживать онлайн-присутствие MuddyWater's.

#ParsedReport #CompletenessHigh
17-09-2025

Tech Note - BeaverTail variant distributed via malicious repositories and ClickFix lure

https://gitlab-com.gitlab.io/gl-security/security-tech-notes/threat-intelligence-tech-notes/north-korean-malware-sept-2025/

Report completeness: High

Actors/Campaigns:
Contagious_interview
Famous_chollima

Threats:
Beavertail
Clickfix_technique
Invisibleferret
Fakecaptcha_technique
Golangghost
Flexibleferret
Ottercookie
Residential_proxy_technique

Victims:
Cryptocurrency sector, Retail sector, Marketing roles, Trader roles

Industry:
Retail, Education, E-commerce, Software_development

Geo:
North korean, Russian, Polish

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.004, T1059.006, T1059.007, T1105, T1140, T1204, T1548.003, T1555.003, have more...

IOCs:
Domain: 2
Url: 2
File: 3
IP: 15
Email: 2
Hash: 11

Soft:
curl, sudo, macOS, Linux, PyInstaller, payuniversal2, e, Chrome

Wallets:
tronlink, exodus_wallet, binancechain, enkrypt, unisat

Crypto:
ethereum

Algorithms:
sha256, 7zip, base64, exhibit

Languages:
visual_basic, javascript, golang, python

Links:
https://github.com/vercel/pkg
https://github.com/nvm-sh/nvm
have more...
https://github.com/pyinstaller/pyinstaller

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года исследователи обнаружили спонсируемых государством северокорейских акторов, распространяющих два варианта вредоносного ПО, BeaverTail и InvisibleFerret, нацеленных на криптовалютный сектор и розничную торговлю. BeaverTail, вредоносное ПО на JavaScript, которое крадет конфиденциальную информацию, было доставлено с помощью приманок ClickFix и использовало мошенническую платформу для найма персонала. Эта кампания ознаменовала собой изменение тактики, в ходе которой был применен конкретный таргетинг на определенные расширения браузера и продемонстрирован более простой масштаб операций при низких показателях обнаружения, наблюдаемых на ранних этапах развертывания.
-----

В мае 2025 года исследователи кибербезопасности выявили инфраструктуру, связанную с распространением двух вариантов вредоносного ПО, BeaverTail и InvisibleFerret, которые приписываются спонсируемым государством злоумышленникам из Северной Кореи, известным под такими идентификаторами, как Contagious Interview и Famous Chollima. Эти варианты вредоносного ПО были нацелены на роли маркетологов и трейдеров в секторах криптовалют и розничной торговли, отличаясь от предыдущих ролей разработчиков программного обеспечения. Эта кампания продемонстрировала изменение тактики злоумышленника, использующего приманки ClickFix для манипулирования соискателями, чтобы заставить их запускать вредоносное ПО BeaverTail, которое было скомпилировано в исполняемые файлы, а не доставлялось в виде сценариев, что указывает на меньший масштаб операции на данном этапе.

BeaverTail, признанный вредоносным ПО на JavaScript, ранее скрывался в Репозиториях кода вредоносных программ, предназначенных для разработчиков программного обеспечения, под видом возможностей трудоустройства. После проникновения он крадет конфиденциальные данные, включая информацию о кошельке криптовалюты, системные учетные данные и данные браузера, прежде чем развернуть вторичную полезную нагрузку, известную как InvisibleFerret, средство для кражи информации и удаленного доступа.

Приманка ClickFix направляла пользователей на мошенническую платформу для найма персонала, разработанную на хостинговом сервисе Vercel, которая предназначалась для поиска соискателей работы и запросов об инвестициях. Что касается механизмов доставки, кампании были дифференцированы на разных платформах. Для macOS команда ClickFix извлекает исправленный установочный пакет, который выполняет сценарий предварительной установки. Напротив, для Windows она загружала архивный файл, содержащий необходимые компоненты вредоносного ПО, в то время как для систем Linux команда использовала wget для получения сценария, передаваемого в bash для выполнения, что приводило к установке вредоносного ПО.

Вариант BeaverTail, запущенный в рамках этой кампании, демонстрирует заметное упрощение, ориентируясь только на восемь конкретных расширений браузера, в отличие от обычных двадцати двух. Его целевой подход отражает сужение фокуса на менее распространенных криптовалютных кошельках при одновременной интеграции минимальных методов запутывания. Злоумышленник, по-видимому, использовал IP-адреса, связанные с российскими телекоммуникационными компаниями, и, возможно, полагался на адреса, внесенные в список разрешенных, чтобы защитить себя от непреднамеренного заражения своей операционной среды.

Ранние наблюдения показывают, что разработка этой операции началась в начале 2025 года, а первые тестовые развертывания состоялись в мае. Показатели указывают на то, что кампания еще не достигла широкомасштабного распространения, о чем свидетельствуют минимальное присутствие в "песочницах" вредоносного ПО и низкие показатели обнаружения, наряду с остатками разработки, обнаруженными в коде вредоносного ПО, и заметными недостатками в используемой тактике социальной инженерии.