#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО с поддержкой LLM, такое как MalTerminal и APT28's LameHug (PROMPTSTEAL), создает проблемы при обнаружении киберугроз за счет динамической генерации вредоносного поведения во время выполнения. Это вредоносное ПО использует передовые технологии, включающие большие языковые модели (LLM), для выполнения системных команд и эксфильтрации данных, используя модуль Paramiko SSH для передачи файлов. Стратегии обнаружения эволюционировали, сосредоточившись на выявлении уникальных артефактов, таких как ключи API и структуры подсказок, что ознаменовало значительный сдвиг в методологиях поиска угроз.
-----

Вредоносное ПО с поддержкой LLM создает значительные проблемы для обнаружения киберугроз и реагирования на них из-за его способности динамически генерировать вредоносное поведение во время выполнения, а не полагаться исключительно на предварительно внедренный код. Недавнее исследование, проведенное SentinelLabs, выявило этот тип вредоносного ПО с помощью сопоставления шаблонов для обнаружения встроенных ключей API и специфических структур запросов в вредоносном программном обеспечении. Ключевым открытием является ранний пример такого вредоносного ПО под названием MalTerminal, наряду с множеством других вредоносных приложений LLMs, которые включают инструменты, предназначенные для оценки red team и внедрения уязвимостей в код.

Поскольку противники используют большие языковые модели (LLM), взаимосвязь между этими передовыми инструментами искусственного интеллекта и вредоносным ПО иллюстрирует разнообразное и гибкое использование вредоносных программ. Примечательным среди них является LameHug от APT28's, также известный как PROMPTSTEAL, который включает в себя LLMS для создания и выполнения команд системной оболочки, облегчая сбор конфиденциальной информации. Это вредоносное ПО использует модуль Paramiko SSH на Python, используя жестко закодированный IP-адрес для передачи украденных файлов.

Для защитников внедрение возможностей LLM во вредоносное программное обеспечение сопряжено с конкретными операционными последствиями. В отличие от традиционного вредоносного ПО, которое может быть запутано или замаскировано, присущие LLM требования к доступу и оперативному вводу данных приводят к обнаруживаемым зависимостям. Исследователи разработали правила YARA для обнаружения API-ключей от авторитетных поставщиков LLM, таких как OpenAI и Anthropic, используя уникальные шаблоны идентификаторов, такие как те, которые содержатся в структурах ключей API, и подстроки в кодировке Base64, присутствующие в ключах OpenAI.

Поиск подсказок стал еще одним важным методом обнаружения, позволяющим аналитикам безопасности выполнять поиск жестко закодированных структур подсказок в скриптах и двоичных файлах. Эти подсказки не только указывают на интеграцию возможностей LLM, но и часто раскрывают предполагаемое операционное поведение авторов вредоносного ПО. Этот подход знаменует собой сдвиг в стратегиях поиска угроз: от создания сигнатур конкретного кода к идентификации определенных подсказок, характерных для вредоносного ПО с расширением LLM.

В исследовании подчеркивается, что появление вредоносного ПО с поддержкой LLM представляет собой качественную трансформацию тактики противостояния, усложняющую существующий ландшафт для защитников. Однако это одновременно создает новые возможности для поиска угроз, фокусируясь на уникальных артефактах, таких как встроенные ключи API и подсказки. С помощью этих методов SentinelLabs смогла обнаружить незарегистрированные образцы вредоносного ПО с поддержкой LLM, что указывает на более широкие последствия для практики кибербезопасности в условиях меняющейся среды угроз.

#ParsedReport #CompletenessMedium
19-09-2025

Banker Trojan Targeting Indonesian and Vietnamese Android Users

https://dti.domaintools.com/banker-trojan-targeting-indonesian-and-vietnamese-android-users/

Report completeness: Medium

Threats:
Anubis_stealer

Victims:
Android users, Banking customers

Industry:
Telco, Financial, Government

Geo:
Indonesian, Vietnamese, Asia, Portuguese

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1204.002, T1566.002, T1583.001, T1583.004, T1588.004, T1608.004

IOCs:
Domain: 11
File: 6
Hash: 19
Url: 1

Soft:
Android, Google Play, nginx

Algorithms:
sha256, exhibit

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С августа 2024 года хакерская группировка нацелена на пользователей Android в Индонезии и Вьетнаме с помощью банковских троянов, замаскированных под законные приложения. Вредоносное ПО использует отличительные схемы регистрации доменов, повторно использует сертификаты TLS и работает в основном в дневное время в Восточной Азии, используя инфраструктуру, связанную с интернет-провайдером Alibaba и Cloudflare. Кампания, отражающая особенности финансово мотивированных групп, включает манипулирование магазином Google Play и обход мер сетевой безопасности, что указывает на скоординированные усилия, а не на случайные атаки.
-----

С августа 2024 года хакерская группировка активно атакует пользователей Android в Индонезии и Вьетнаме с помощью банковских троянов, замаскированных под законные приложения, включая платежные системы и государственные службы идентификации. Эти трояны используют различные схемы регистрации доменов, при этом злоумышленники часто повторно используют сертификаты TLS и объединяют домены для доступа к общим IP-адресам. Их деятельность, по-видимому, сосредоточена преимущественно в дневные часы в Восточной Азии, что предполагает индивидуальный подход к максимальному вовлечению местных жителей.

Операция была раскрыта в результате мониторинга подозрительных элементов, связанных с Google Play Store, что указывало на потенциальные поддельные веб-сайты, используемые для доставки вредоносного ПО. Ключевые технические детали включают использование интернет-провайдера Alibaba и Cloudflare с особым акцентом на регионы SG и ID. Вредоносное ПО работает под такими известными названиями, как “Identitas Kependudukan Digital", демонстрируя намеренную имитацию законных приложений. Кроме того, злоумышленники используют сервер типа nginx и зарегистрировали свои домены на Gname.com Пте. Ооо. Похоже, они используют серверы имен из share-dns.net и Cloudflare, создавая узнаваемую инфраструктуру.

Злоумышленники внедрили стратегии обхода мер сетевой безопасности, которые могли бы предотвратить прямую загрузку или избежать обнаружения сканерами безопасности статических URL-адресов. Однако некоторым браузерам удается помечать эти загрузки как подозрительные, подчеркивая жизненно важные механизмы защиты пользователей от подобных угроз. Кампания демонстрирует характеристики, обычно присущие менее изощренным, финансово мотивированным группам, такие как манипулирование Google Play Store для доставки своего вредоносного ПО. Тем не менее, согласованность в использовании ими конкретных интернет-провайдеров, регистраторов и серверов имен в рамках операций свидетельствует о более скоординированных усилиях, чем можно было бы ожидать от злоумышленников низкого уровня.

Наличие смешанного языкового кода на некоторых поддельных сайтах в сочетании с общей финансовой мотивацией кампании позволяет предположить, что злоумышленники, скорее всего, действуют на региональном уровне. Такой организованный подход к распространению вредоносного ПО и использование общей тактики сигнализируют о растущей угрозе для пользователей в целевых регионах, что требует постоянной бдительности и принятия ответных мер для противодействия таким киберугрозам, обусловленным финансами.

#ParsedReport #CompletenessLow
19-09-2025

How AI-Native Development Platforms Enable Fake Captcha Pages

https://www.trendmicro.com/en_us/research/25/i/ai-development-platforms-enable-fake-captcha-pages.html

Report completeness: Low

Threats:
Fakecaptcha_technique
Credential_harvesting_technique

Victims:
Email users, Online service users

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566.002, T1584.006

IOCs:
Domain: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют платформы разработки на базе искусственного интеллекта, такие как Vercel, Netlify и Lovable, для создания вводящих в заблуждение страниц с капчей для фишингов -кампаний. Эта тактика усилилась с января, используя простоту использования платформ и заслуживающий доверия брендинг, чтобы ввести пользователей в заблуждение. Фишинг обычно начинается со спам-писем, побуждающих к взаимодействию с fake CAPTCHAs, в то время как автоматические сканеры безопасности могут идентифицировать только видимую капчу, пропуская фактический сайт фишинга, стоящий за ней, где собираются учетные данные.
-----

Киберпреступники все чаще используют платформы разработки на базе искусственного интеллекта, такие как Vercel, Netlify и Lovable, для создания и размещения вводящих в заблуждение страниц с капчей, предназначенных для кампаний фишинга. Trend Micro сообщает о заметном росте применения этой тактики с января, поскольку злоумышленники используют простоту развертывания, недорогие варианты хостинга и заслуживающий доверия бренд, связанный с этими платформами, чтобы ввести пользователей в заблуждение и обойти системы обнаружения.

Стратегия фишинга обычно начинается со спам-писем, которые содержат срочные предупреждения, такие как "Требуется сброс пароля" или "Уведомление USPS об изменении адреса". Эти сообщения побуждают цели использовать интерфейс fake captcha, создавая ощущение срочности и снижая их защиту. Важно отметить, что автоматические сканеры безопасности могут обнаруживать только видимую капчу, не распознавая лежащую в основе перенаправления на фактический веб-сайт фишинга, на котором собираются учетные данные пользователя.

Злоумышленникам легко создавать убедительные сайты с fake captcha благодаря удобным интерфейсам таких платформ, как Lovable, где они могут использовать "вибрационное кодирование" для создания вводящего в заблуждение контента. Netlify и Vercel облегчают включение помощников по кодированию с использованием искусственного интеллекта в свои процессы непрерывной интеграции и непрерывного развертывания (CI/CD), что позволяет киберпреступникам быстро создавать и развертывать эти страницы для фишинга. Кроме того, наличие бесплатных уровней на этих платформах значительно снижает финансовые барьеры для запуска таких операций. Доверие, связанное с такими доменами, как *.vercel.app и *.netlify.app, также придает этим страницам видимость легитимности, еще больше вводя в заблуждение ничего не подозревающих пользователей.

Рост числа случаев фишинга с помощью fake captcha свидетельствует о тревожном прогрессе в тактике социальной инженерии, позволяющей злоумышленникам использовать современные технологические инструменты для злонамеренных целей. Защитникам настоятельно рекомендуется принимать многоуровневые меры безопасности, информировать сотрудников о фишинге на основе captcha и постоянно отслеживать злоупотребления доменами доверенного хостинга, стремясь таким образом снизить риски, связанные с этими развивающимися угрозами.

#ParsedReport #CompletenessMedium
19-09-2025

DeerStealer Malware Campaign: Stealth, Persistence, and Rootkit-Like Capabilities

https://www.cyfirma.com/research/deerstealer-malware-campaign-stealth-persistence-and-rootkit-like-capabilities/

Report completeness: Medium

Actors/Campaigns:
Luciferxfiles

Threats:
Deerstealer
Xfiles_stealer
Icmluautil_tool
Uac_bypass_technique

Geo:
Chinese

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 11
Path: 9
Domain: 3
Hash: 12
IP: 3

Soft:
Telegram

Algorithms:
md5, zip, sha256

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, code: 4, table: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeerStealer - это сложное вредоносное ПО, нацеленное на конфиденциальную информацию с помощью передовых методов уклонения и многоэтапного процесса заражения. Он распространяется через ZIP-архивы, содержащие PE-файлы, используя доверенный COM-объект для bypass UAC и выполнения его полезных функций, включая Grid-Electr.exe для сбора данных. Вредоносное ПО обеспечивает закрепление за запланированными задачами и может адаптироваться путем смены серверов управления, функционируя скрытно, чтобы избежать обнаружения средствами безопасности.
-----

DeerStealer - это сложное вредоносное ПО, специально разработанное для кражи конфиденциальной информации из зараженных систем. Активно продвигаемый на форумах dark-web и через Telegram-каналы, DeerStealer использует передовые методы, чтобы избежать обнаружения и постоянно работать в скомпрометированных средах. Его архитектура позволяет ему маскироваться под законное программное обеспечение, обманывая пользователей и заставляя их запускать вредоносное ПО, в то время как он тайно собирает различные формы конфиденциальных данных, включая личные и финансовые данные.

Механизм доставки вредоносного ПО включает упаковку его полезной нагрузки в ZIP-архив, содержащий PE-файлы и дополнительные компоненты. После установки DeerStealer использует доверенный COM-объект с автоматическим повышением уровня (ICMLuaUtil) с помощью DllHost.exe чтобы запустить его установочный файл, Reader_en_install.exe , обходя запросы контроля учетных записей пользователей (UAC) с помощью установленных методов, предназначенных для предотвращения обнаружения. Пользовательское действие, вызываемое msiexec.exe впоследствии выполняет другую полезную нагрузку, Grid-Electr.exe , который выполняет основные вредоносные операции.

DeerStealer демонстрирует многоэтапную функциональность, которая включает в себя использование подписанных исполняемых файлов и законных библиотек динамической компоновки (DLL) для дальнейшего противодействия мерам безопасности. Чтобы обеспечить закрепление, вредоносное ПО создает несколько записей о запланированных задачах, которые позволяют ему автоматически активироваться после перезагрузки системы и поддерживать постоянную связь с серверами управления (C2). Собранные данные отфильтровываются на назначенные серверы C2, такие как сервер, указанный по адресу telluricaphelion.com .

Вредоносное ПО известно своей адаптивностью, ему удается переключать серверы C2, чтобы избежать обнаружения. Эта адаптивность сочетается с возможностями, подобными руткиту, что позволяет ему работать незамеченным даже под пристальным вниманием инструментов пользовательского режима и программного обеспечения безопасности. В целом, DeerStealer обладает заметной широтой возможностей, которые позиционируют его как серьезную угрозу для отдельных лиц и организаций, поскольку он угрожает скомпрометировать широкий спектр конфиденциальных данных, оставаясь скрытым в течение длительного времени.

#ParsedReport #CompletenessHigh
19-09-2025

Unmasking Akira: The ransomware tactics you cant afford to ignore

https://zensec.co.uk/blog/unmasking-akira-the-ransomware-tactics-you-cant-afford-to-ignore/

Report completeness: High

Actors/Campaigns:
Play_ransomware

Threats:
Akira_ransomware
Conti
Advanced-port-scanner_tool
Netscan_tool
Credential_dumping_technique
Cobalt_strike_tool
Anydesk_tool
Ligolo-ng_tool
Rclone_tool
Powerview_tool
Sharefinder_tool
Sharpshares_tool
Grixba
Playcrypt
Pingcastle_tool
Bloodhound_tool
Rvtools_tool
Password_spray_technique
Mimikatz_tool
Dcsync_technique
Kerberoasting_technique
Passthehash_technique
Netexec_tool
Impacket_tool
Mobaxterm_tool
Bitvise_ssh_tool

Victims:
Retail, Finance, Manufacturing, Medical organisations, Uk businesses

Industry:
Retail, Healthcare, Financial

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-3259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-27532 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-20269 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 63
Domain: 1
Hash: 9

Soft:
OpenSSH, WinSCP, Active Directory, ESXi, Hyper-V, Chrome, Linux, PsExec, Sysinternals, Windows Defender, have more...

Algorithms:
base64

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Akira - группа программ-вымогателей, нацеленная на британские предприятия с 2023 года, что напоминает тактику, используемую организацией Conti. Они используют уязвимости в брандмауэрах Cisco ASA (CVE-2023-20269, CVE-2020-3259) и продуктах Veeam (CVE-2023-27532, CVE-2024-40711) для получения несанкционированного доступа и повышения привилегий, часто используя ранее существовавшие учетные данные Active Directory. Их операции включают командование и контроль через AnyDesk и OpenSSH, используя RDP для перемещения внутри компании, и они систематически сжимают и извлекают данные, полностью шифруя их перед публикацией украденной информации на сайте onion.
-----

Akira - группа вымогателей, которая нацелена на британские предприятия как минимум с 2023 года, используя ряд тактик, напоминающих прежнюю организацию по борьбе с киберпреступностью Conti. Их деятельность в основном сосредоточена на таких секторах, как розничная торговля, финансы, производство и медицинские организации, причем, согласно мероприятиям по реагированию на инциденты, проведенным ZenSec, пострадали более 30 предприятий.

Одной из основных точек входа для атак Akira's было использование брандмауэров Cisco ASA, в частности, из-за отсутствия Многофакторной аутентификации (MFA) и известных уязвимостей, таких как CVE-2023-20269 и CVE-2020-3259, которые облегчают несанкционированный доступ. Оказавшись внутри сети, Akira часто использует уже существующие учетные данные Active Directory (AD) или использует уязвимости в продуктах Veeam, в частности CVE-2023-27532 и CVE-2024-40711, для повышения привилегий.

Для управления (C2) Akira часто использует инструмент удаленного управления AnyDesk, который упоминается более чем в 43% случаев инцидентов, в то время как OpenSSH использовался примерно в 18,75%. Распространенный метод перемещения внутри компании включает в себя Протокол удаленного рабочего стола (RDP), используемый во всех зарегистрированных случаях. Защищаясь, Akira обычно отключает или удаляет продукты безопасности, как только они получают права администратора, часто используя простые действия на Панели управления для удаления антивирусов или решений для обнаружения конечных точек и реагирования (EDR). Это включает в себя ручное или автоматическое отключение Защитника Windows, причем в известных случаях для обхода мер защиты используются команды PowerShell.

Что касается сбора данных, Akira придерживается структурированного подхода, часто сжимая файлы в идентифицируемые RAR-архивы с указанием целевых каталогов на файловом сервере жертвы. Скорость эксфильтрации данных в значительной степени зависит от пропускной способности жертвы при загрузке: в ответах на инциденты отмечается, что эксфильтрация была завершена всего за три часа. Наблюдения во время реагирования на инциденты указывают на полное шифрование данных во всех случаях с Akira, с общими командами выполнения для их полезной нагрузки программы-вымогателя в системах ESXi, включая "chmod +x" для установки разрешений на выполнение перед запуском процесса шифрования, обычно выполняемого либо через PowerShell, либо через командную строку на компьютерах с Windows.

В случае утечки данных Akira публикует украденную информацию на специальном сайте onion, обеспечивая видимость своей деятельности по вымогательству. Каждый инцидент оставляет после себя отслеживаемые криминалистические артефакты, такие как файлы журналов, связанные с выполнением программы-вымогателя, тем самым подчеркивая операционные схемы и потенциальные меры противодействия, которые организации могут внедрить для снижения риска, связанного с такими угрозами.

#ParsedReport #CompletenessHigh
20-09-2025

Gamaredon X Turla collab

https://www.welivesecurity.com/en/eset-research/gamaredon-x-turla-collab/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Turla (motivation: cyber_espionage)
Invisimole
Oilrig
Sidecopy (motivation: cyber_espionage)
Spiceyhoney (motivation: cyber_espionage)

Threats:
Kazuar
Pteroodd
Pteropaste
Pterographin
Pterolnk
Pterostew
Pteroeffigy
Spear-phishing_technique
Andromeda
Amadey
Dll_sideloading_technique

Victims:
Government organizations, Diplomatic entities, Defense industry

Industry:
Telco, Government

Geo:
Middle east, Asia, Ukrainian, Iran, Pakistan, Russia, Kyrgyzstan, Crimea, Ukraine, Russian

TTPs:
Tactics: 6
Technics: 17

IOCs:
Url: 11
Command: 1
File: 4
Domain: 9
Registry: 1
Path: 2
IP: 8
Hash: 11

Soft:
Telegram, WordPress

Algorithms:
3des, base64, xor

Win Services:
WebClient, ekrn

Languages:
powershell

Platforms:
x86

Links:
https://github.com/eset/malware-ioc/tree/master/turla

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2025 года группы сложных целенаправленных атак Gamaredon и Turla, связанные с ФСБ, сотрудничали в проведении киберопераций против высокопоставленных украинских объектов. Gamaredon использовал множество инструментов, включая PteroGraphin, загрузчик, который использует Telegra.ph сервис для доставки зашифрованных полезных данных, в то время как Turla внедрила имплантат Kazuar v3 для эксплуатации. Это партнерство демонстрирует их обмен ресурсами для проведения изощренной шпионской деятельности с акцентом на украинские правительственные учреждения в условиях геополитической напряженности.
-----

В феврале 2025 года было задокументировано сотрудничество в области киберугроз между двумя печально известными группами сложных целенаправленных атак, связанными с ФСБ, Gamaredon и Turla, особенно в контексте нацеливания на высокопоставленные организации в Украине. Gamaredon, действующая с 2013 года и известная своими операциями против украинских правительственных учреждений, наряду с Turla, которая считается действующей с 2004 года, была вовлечена в многочисленные масштабные кибершпионажные мероприятия, затрагивающие правительства и дипломатические организации в различных регионах.

Обнаруженные совместные операции включали использование различных инструментов Gamaredon, таких как PteroLNK, PteroStew, PteroOdd, PteroEffigy и PteroGraphin, при этом Turla в основном использовала имплантат Kazuar v3. Временная шкала показала, что Gamaredon скомпрометировал несколько машин до Turla's развертывания Kazuar, что указывает на скоординированные усилия, когда Gamaredon первоначально предоставил доступ, а затем Turla's использовала созданный плацдарм.

Одним из центральных элементов этих мероприятий является инструмент PteroGraphin, идентифицируемый как загрузчик, предназначенный для доставки зашифрованных полезных данных через Telegra.ph обслуживание. Этот метод позволяет удаленно манипулировать контентом, отправляемым на скомпрометированные компьютеры, - тактика, которую можно легко использовать, если токен доступа попадет не в те руки, что подчеркивает потенциальные риски, связанные с сотрудничеством.

Kazuar v3, который представляет собой шпионский имплантат на C#, используемый исключительно Turla с момента его первого появления в 2016 году, претерпел различные модификации, сохранив при этом свою основную функциональность. Обнаруженные последовательности действий — особенно загрузка и выполнение Kazuar v3 через PteroOdd и PteroGraphin — иллюстрируют сложные методы, используемые при таких компромиссах.

Еще одним свидетельством продолжающегося партнерства стали последующие операции, в ходе которых 18 апреля и 6 июня 2025 года произошло дальнейшее развертывание Kazuar с помощью других штаммов вредоносного ПО, таких как PteroOdd и PteroPaste. Эти результаты свидетельствуют о растущем сотрудничестве между Gamaredon и Turla, предполагая, что они обменивались ресурсами и методологиями для расширения своих соответствующих кибернетических возможностей, нацеливаясь на украинскую инфраструктуру в условиях продолжающейся геополитической напряженности.

#ParsedReport #CompletenessLow
16-09-2025

Satori Threat Intelligence Alert: SlopAds Covers Fraud with Layers of Obfuscation

https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-slopads-covers-fraud-with-layers-of-obfuscation/

Report completeness: Low

Actors/Campaigns:
Slopads
Badbox

Threats:
Steganography_technique
Fatmodule

Victims:
Digital advertising ecosystem

Geo:
Brazil, India

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1041, T1059.007, T1071.001, T1102, T1105, T1106, T1204.002, T1583.001, have more...

IOCs:
Domain: 290

Soft:
Google Play, Android

Algorithms:
zip, exhibit

Languages:
java, javascript

Links:
https://github.com/packing-box/awesome-executable-packing

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 11, chart: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4