#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm, троянец удаленного доступа на базе .NET (RAT) и бэкдор-вредоносное ПО, предназначенный как для предприятий, так и для частных лиц, обеспечивающий постоянный доступ и эксфильтрацию данных с помощью зашифрованных средств управления (C2). Он работает через децентрализованную инфраструктуру C2 с запутанными исполняемыми файлами, используя сложные методы запутывания и антианализа, чтобы избежать обнаружения. Вредоносное ПО использует шифрование AES для защиты трафика C2 и направляет телеметрические данные, включая идентификаторы версий, на такие каналы, как Telegram, что указывает на его сложность в управлении операциями.
-----

XWorm - это троян удаленного доступа (RAT) и бэкдор- вредоносное ПО, отличающееся универсальностью и уклончивостью, нацеленное как на предприятия, так и на отдельных пользователей. Разработанный в .NET, он продемонстрировал стабильную способность устанавливать постоянный доступ к зараженным системам, облегчать эксфильтрацию данных и использовать зашифрованные средства управления (C2). Недавний анализ вредоносного ПО включал изучение двух сильно запутанных .ЧИСТЫЕ исполняемые файлы.

Вредоносное ПО использует децентрализованную инфраструктуру C2, которая использует множество IP-адресов, доменов и даже каналов Telegram. Эта избыточность усложняет простые стратегии смягчения последствий, поскольку простые методы блокировки IP-адресов оказываются недостаточными для нарушения работы XWorm's. Кроме того, вредоносное ПО использует сложные методы обфускации, полагаясь на строковое шифрование и методы упаковки, чтобы эффективно избежать обнаружения с помощью мер безопасности, основанных на сигнатурах.

Для защиты своего трафика C2 XWorm использует алгоритм шифрования AES (в частности, управляемый Rijndael, работающий в режиме CBC), позволяющий скрывать конфиденциальные данные во время эксфильтрации. Сбор телеметрии с помощью XWorm направляется в Telegram и включает идентификаторы версий, такие как XWorm V5.0, который помогает злоумышленникам управлять и обновлять свои варианты вредоносного ПО.

Более того, XWorm использует ряд методов антианализа, предназначенных для того, чтобы помешать обратному проектированию и анализу со стороны специалистов по безопасности. Хотя конкретные стратегии не были детализированы, это свидетельствует о сложных методах, которые XWorm использует для поддержания своей операционной безопасности.

Понимание этих технических деталей подчеркивает важность постоянного мониторинга и передовых стратегий реагирования для противодействия воздействию XWorm и подобных угроз. Сложности, связанные с архитектурой C2 и механизмами запутывания, требуют многоуровневого подхода к защите от кибербезопасности, уделяя особое внимание как динамическому обнаружению, так и упреждающему поиску угроз.

#ParsedReport #CompletenessLow
25-09-2025

Hidden WordPress Backdoors Creating Admin Accounts

https://blog.sucuri.net/2025/09/hidden-wordpress-backdoors-creating-admin-accounts.html

Report completeness: Low

Victims:
Wordpress websites

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1041, T1059.007, T1071.001, T1105, T1136.001, T1190, T1505.003, T1564.001

IOCs:
File: 2
Url: 1

Soft:
WordPress

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование взломанных сайтов WordPress выявило два Вредоносных файла, DebugMaster.php и wp-user.php , предназначенный для поддержания постоянного доступа злоумышленников путем манипулирования учетными записями администраторов. DebugMaster.php , замаскированный под законный плагин, создает учетную запись администратора с жестко закодированными учетными данными и скрывается, в то время как wp-user.php отслеживает учетные записи пользователей, чтобы удалить конкретного пользователя и воссоздать его заново с помощью пароля злоумышленника, обеспечивая постоянный доступ. Оба файла также содержат внешние скрипты, что усложняет усилия по восстановлению сайта, позволяя злоумышленникам отслеживать поведение пользователей или развертывать дальнейшие вредоносные действия.
-----

Недавние расследования взломанных сайтов WordPress выявили наличие двух Вредоносных файлов, разработанных специально для манипулирования учетными записями администраторов, что позволяет злоумышленникам сохранять постоянный доступ. Эти файлы, замаскированные под законные компоненты WordPress, представляют значительную угрозу безопасности, гарантируя, что даже в случае обнаружения злоумышленники смогут восстановить доступ.

Один примечательный файл, расположенный в каталоге plugins как DebugMaster.php , маскируется под законный плагин под названием "DebugMaster Pro". Вопреки своему внешнему виду, файл содержит сильно запутанный и вредоносный код. Его основная функциональность заключается в создании учетной записи администратора с жестко закодированными учетными данными, что позволяет злоумышленникам обходить стандартные меры аутентификации. Кроме того, этот плагин предназначен для скрытия себя из списков плагинов и может передавать украденную информацию на сервер удаленного командования и контроля (C2).

Вторичный вредоносный скрипт, wp-user.php , служит для усиления закрепления злоумышленника за счет активного мониторинга существующих учетных записей пользователей WordPress. Если он обнаруживает пользователя с именем "справка", он удаляет эту учетную запись и создает ее заново с предпочтительным паролем злоумышленника. Если учетная запись не найдена, вместо нее создается новая учетная запись администратора. Такой подход гарантирует, что злоумышленник сохранит доступ, даже если владелец сайта попытается удалить или изменить эти учетные записи.

Более того, эти компоненты вредоносного ПО также внедряют внешние скрипты на веб-сайт, воздействуя на всех посетителей, исключая администраторов или IP-адреса, внесенные вредоносным ПО в белый список. Это означает, что злоумышленники могут развертывать дальнейшие вредоносные действия или отслеживать поведение пользователя без немедленного обнаружения.

Воздействие этого вредоносного ПО является значительным, поскольку оно создает или воссоздает учетные записи уровня администратора, что усложняет усилия по восстановлению сайта. Даже после попыток очистки механизмы закрепления, используемые в этих файлах, могут привести к повторяющимся проблемам, если их эффективно не устранить.

Для эффективной очистки и защиты от этих угроз владельцы веб-сайтов должны немедленно удалить плагин DebugMaster и файл wp-user.php, провести аудит учетных записей пользователей, чтобы исключить несанкционированные, и сбросить все соответствующие пароли. Обновление ядра WordPress, плагинов и тем до последних версий имеет решающее значение для устранения уязвимостей. Кроме того, жизненно важен мониторинг исходящего трафика на предмет подозрительной активности, что требует тщательной проверки журналов сервера на предмет обнаружения любых подключений к неизвестным доменам.

Эти данные подчеркивают изощренные методы, используемые злоумышленниками для обеспечения надежного доступа через многоуровневые бэкдоры, что подчеркивает необходимость тщательного соблюдения правил безопасности в среде WordPress.

#ParsedReport #CompletenessLow
25-09-2025

New LockBit 5.0 Targets Windows, Linux, ESXi

https://www.trendmicro.com/en_us/research/25/i/lockbit-5-targets-windows-linux-esxi.html

Report completeness: Low

Threats:
Lockbit

Victims:
Enterprise networks, Virtualization infrastructure

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1059.003, T1106, T1140, T1486, T1622

IOCs:
Hash: 5

Soft:
Linux, ESXi, Windows Event Tracing

Algorithms:
exhibit, sha256

Win API:
EtwEventWrite, EvtClearLog

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LockBit 5.0, последняя версия программы-вымогателя, обладает улучшенными методами запутывания и антианализа, а также кроссплатформенными возможностями, ориентированными на среды Windows, Linux и ESXi. Программа-вымогатель позволяет злоумышленникам настраивать стратегии шифрования и внедрила вариант ESXi, который может поставить под угрозу целые виртуальные инфраструктуры. Он сохраняет основные функциональные возможности LockBit 4.0, облегчая более широкие корпоративные атаки и одновременно усложняя обнаружение благодаря улучшенным методам уклонения.
-----

LockBit 5.0, последняя версия печально известной программы-вымогателя, демонстрирует значительный прогресс в своих технических возможностях, в частности, благодаря усовершенствованиям методов запутывания и антианализа, а также кроссплатформенной функциональности, ориентированной на среды Windows, Linux и ESXi. Эта версия представляет усовершенствованный пользовательский интерфейс для своего варианта Windows, использующий параметр -h для обеспечения удобного доступа пользователя к различным операционным командам. Злоумышленники могут настраивать свои стратегии шифрования, указывая целевые каталоги, используя такие режимы, как невидимый и подробный, и уточняя параметры шифрования. Такой уровень гибкости значительно повышает оперативную эффективность программы-вымогателя для злоумышленников.

Версия Linux воспроизводит тот же интерфейс командной строки и функциональность, что и в версии Windows, подчеркивая стремление LockBit предоставлять злоумышленникам единообразные инструменты для различных операционных систем. В качестве примечательной разработки LockBit 5.0 также представил выделенный вариант для серверов ESXi, которые являются критически важными компонентами в инфраструктурах виртуализации VMware. Такой целенаправленный подход позволяет злоумышленникам компрометировать не только отдельные машины, но и целые виртуальные среды, тем самым усиливая потенциальное воздействие успешных атак.

Сравнительный анализ между LockBit 4.0 и 5.0 показывает, что 5.0 - это эволюционное обновление, использующее большую часть базового кода своего предшественника, а не полный пересмотр. Обе версии используют идентичные алгоритмы хэширования для операций со строками, необходимые для таких задач, как разрешение API и идентификация сервиса. Такая преемственность в структуре кода, особенно в том, что касается Динамического разрешения API, предполагает итеративный подход к разработке, фокусирующийся на расширении существующих возможностей вместо создания заново.

Внедрение мультиплатформенных версий LockBit 5.0 усиливает стратегию программы-вымогателя по проведению более широких атак в корпоративных сетях — от рабочих станций пользователей до критически важных серверов. Вариант ESXi вызывает особое беспокойство, поскольку он потенциально может шифровать целые виртуализированные среды за одно выполнение, создавая серьезный риск для организаций, использующих VMware. Кроме того, усовершенствованные методы обфускации, используемые в этих новых вариантах, усложняют разработку эффективных сигнатур обнаружения, а такие усовершенствования, как удаление маркеров заражения и ускоренные процессы шифрования, значительно повышают уровень угрозы, создаваемой LockBit 5.0 по сравнению с его предшественниками.

#ParsedReport #CompletenessMedium
25-09-2025

NodeJS backdoors delivering proxyware and monetization schemes

https://medium.com/walmartglobaltech/nodejs-backdoors-delivering-proxyware-and-monetization-schemes-1562917ed107

Report completeness: Medium

Threats:
Obfuscator_io_tool

Victims:
Proxyware users

IOCs:
Hash: 9
File: 36
Registry: 3
Domain: 20
Url: 8
IP: 1
Command: 2
Coin: 1

Soft:
linux, sysctl, curl, Ubuntu, Node.JS, chrome

Algorithms:
zip, aes

Functions:
_0x24cdb4, s

Languages:
powershell, javascript, python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования выявили бэкдоры NodeJS, используемые для распространения прокси-приложений, таких как Infatica и Honeygain, что позволяет использовать схемы монетизации, которые используют пропускную способность Интернета пользователей без их согласия. Эти бэкдоры предоставляют злоумышленникам постоянный доступ к скомпрометированным системам и используют специальные методы заражения с использованием инфраструктуры командования и контроля (C2), передающей инструкции и данные. Структурированный рабочий процесс атак подчеркивает озабоченность по поводу конфиденциальности пользователей и более широких последствий этой тактики для кибербезопасности.
-----

Недавние исследования выявили появление бэкдоров NodeJS, используемых при распространении прокси-приложений, связанных со схемами монетизации. Исследователи отслеживали различные кампании, в которых используются эти угрозы на основе NodeJS, и выявили существенные связи между несколькими прокси-приложениями, включая Infatica, Honeygain, earnFM и PacketLab.

Вредоносное ПО NodeJS действует как бэкдор, предлагая злоумышленникам средства для поддержания постоянного доступа к скомпрометированным системам, одновременно облегчая развертывание прокси-приложений. Эти приложения монетизируют пропускную способность Интернета пользователей без их согласия, эффективно превращая зараженные устройства в узлы более крупной прокси-сети. Исследователи тщательно изучили коммуникации командования и контроля (C2) этих бэкдорных систем, выявив закономерности в том, как они организуют инструкции и передают информацию обратно своим операторам.

Далее исследование фокусируется на методах, используемых для доставки этих бэкдоров NodeJS и последующего развертывания прокси-программ. Конкретные методы заражения, роль инфраструктуры C2 и взаимодействие между вредоносным ПО и распространяемыми им прокси-программами являются важнейшими аспектами этих текущих кампаний. Полученные данные свидетельствуют о структурированном рабочем процессе, в рамках которого злоумышленники развертывают и монетизируют прокси-приложения, что вызывает обеспокоенность по поводу более широких последствий такой тактики для конфиденциальности пользователей и кибербезопасности.

По мере развития этих угроз понимание деталей их функционирования, включая методы закрепления и коммуникации, имеет важное значение для снижения рисков, связанных с бэкдорами NodeJS и их вредоносной полезной нагрузкой.

#ParsedReport #CompletenessLow
25-09-2025

It Is Bad (Exploitation of Fortra GoAnywhere MFT CVE-2025-10035) - Part 2

https://labs.watchtowr.com/it-is-bad-exploitation-of-fortra-goanywhere-mft-cve-2025-10035-part-2/

Report completeness: Low

Threats:
Simplehelp_tool

Victims:
Fortra goanywhere mft users

CVEs:
CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
Path: 3
IP: 1
Hash: 2

Soft:
GoAnywhere

Algorithms:
sha256

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость Fortra GoAnywhere MFT (CVE-2025-10035) активно эксплуатировалась с 10 сентября 2025 года, в преддверии публикации Fortra's advisory от 18 сентября 2025 года, демонстрирующей агрессивную тактику злоумышленников, которая может включать эксфильтрацию данных и несанкционированный доступ. В первоначальном отчете отсутствовали всеобъемлющие показатели компрометации, что наводило на мысль о том, что организациям следует пересмотреть свои меры по кибербезопасности. По мере усложнения угроз необходимость в постоянном мониторинге и адаптации мер реагирования приобретает решающее значение.
-----

Анализ уязвимости Fortra GoAnywhere MFT, идентифицированной как CVE-2025-10035, выявляет значительные опасения по поводу ее использования. Примечательно, что достоверные данные указывают на то, что злоумышленники начали использовать эту уязвимость 10 сентября 2025 года, за целых восемь дней до публичного уведомления Fortra, опубликованного 18 сентября 2025 года. Этот график эксплуатации подчеркивает срочность и серьезность ситуации, предполагая, что организациям, использующим Fortra GoAnywhere, следует пересмотреть свои стратегии управления рисками и защиты в свете этой более ранней, чем ожидалось, активности угроз.

Идентификация эксплуатации подчеркивает агрессивную тактику, которую могут использовать злоумышленники, потенциально используя эксплойт для различных вредоносных целей, таких как эксфильтрация данных или несанкционированный доступ к конфиденциальной информации. Это также ставит под сомнение полноту первоначальной отчетности Fortra, поскольку предоставленные ими ограниченные показатели компрометации (IOCs) кажутся недостаточными в свете продолжающейся эксплуатации. Эта ситуация требует, чтобы службы безопасности усовершенствовали свои системы мониторинга и реагирования, чтобы учитывать угрозы, которые, возможно, уже проникли в их систему защиты до получения официальных уведомлений.

Выводы watchTowr Labs еще раз подчеркивают эволюционирующий ландшафт, в котором традиционные временные рамки необходимо корректировать в зависимости от реального поведения злоумышленников. По мере того как киберугрозы становятся все более изощренными, непрерывное и автоматизированное тестирование на предмет такого поведения жизненно важно для организаций, чтобы лучше предвидеть потенциальные нарушения и защищаться от них. Таким образом, уязвимость Fortra GoAnywhere MFT CVE-2025-10035 представляет собой не только техническую проблему из-за ее использования, но и побуждает организации пересмотреть свои подходы к кибербезопасности, чтобы снизить риски, связанные с сложными целенаправленными угрозами, использующими преимущества таких уязвимостей.

#ParsedReport #CompletenessLow
25-09-2025

New SVG-based phishing campaign is a recipe for disaster

https://www.malwarebytes.com/blog/news/2025/09/new-svg-based-phishing-campaign-is-a-recipe-for-disaster

Report completeness: Low

Threats:
Bec_technique

Industry:
Foodtech

IOCs:
File: 2
Url: 1
Domain: 1

Soft:
Microsoft Edge, Chrome

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по фишингу на основе SVG демонстрирует, как киберпреступники используют масштабируемую векторную графику для выполнения сложных атак. Злоумышленники встраивают скрипты в SVG-файлы, используя их для создания интерактивных элементов, которые перенаправляют пользователей на поддельные сайты с целью кражи конфиденциальной информации, такой как учетные данные для входа в систему. Этот метод позволяет вредоносному контенту оставаться незамеченным, увеличивая риск для ничего не подозревающих пользователей, которые могут взаимодействовать со скомпрометированными файлами.
-----

Недавние результаты выявили кампанию фишинга на основе SVG, которая иллюстрирует эволюционирующую тактику, используемую киберпреступниками. Файлы масштабируемой векторной графики (SVG), часто воспринимаемые как разрешенные файлы изображений, позволяют злоумышленникам разрабатывать сложные схемы фишинга. Эта конкретная кампания показывает, что SVG-файлы могут использоваться не только для визуального обмана, но и в качестве векторов для выполнения вредоносного кода, повышая ставки для потенциальных жертв.

Злоумышленники используют особые свойства SVG-файлов для внедрения скриптов, облегчающих фишинг. Этот подход может включать интерактивные элементы, которые могут перенаправлять пользователей на поддельные веб-сайты, предназначенные для сбора конфиденциальной информации, такой как учетные данные для входа в систему. Учитывая, что файлы SVG могут оставаться непритязательными по своей природе, пользователи могут непреднамеренно взаимодействовать с вредоносным контентом, что приведет к краже учетных данных.

Чтобы снизить риски, связанные с атаками SVG-фишинга, пользователям крайне важно соблюдать осторожность. Частным лицам рекомендуется воздерживаться от открытия любых подозрительных вложений электронной почты, независимо от их внешнего вида, если они не подтверждены отправителем. Кроме того, проверка URL-адреса необходима при появлении запроса на ввод конфиденциальной информации, поскольку злоумышленники часто подделывают законные сайты. Использование Менеджеров паролей может повысить безопасность, предотвращая автоматическое заполнение учетных данных в мошеннических доменах.

Решения для защиты от вредоносного ПО в режиме реального времени с компонентами веб-защиты жизненно важны для выявления и блокирования угроз, связанных с такими кампаниями фишинга. Возможности мониторинга и фильтрации могут существенно снизить вероятность стать жертвой этих эволюционирующих методов. Организациям рекомендуется внедрять меры безопасности электронной почты, которые обнаруживают аномальные вложения и помещают их в карантин, создавая тем самым дополнительный уровень защиты от передовой тактики фишинга. В целом, бдительность и упреждающие меры безопасности имеют первостепенное значение для устранения угрозы, создаваемой схемами фишинга на основе SVG.

#ParsedReport #CompletenessLow
25-09-2025

NPM Compromise: The Wrath of the Shai-Hulud Supply Chain Attack

https://blog.pulsedive.com/npm-compromise-the-wrath-of-the-shai-hulud-supply-chain-attack/

Report completeness: Low

Threats:
Supply_chain_technique
Shai-hulud
Trufflehog_tool

Victims:
Npm ecosystem, Open source developers, Cryptocurrency users, Github repositories

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1195

IOCs:
Domain: 2
File: 2
Url: 1

Soft:
curl

Wallets:
tron

Crypto:
bitcoin, litecoin, solana

Algorithms:
base64

Functions:
makeRepo

Languages:
javascript

Links:
https://gist.github.com/sindresorhus/2b7466b1ec36376b8742dc711c24db20
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года две атаки по Цепочке поставок были нацелены на пакеты npm, скомпрометировав популярные библиотеки, такие как "chalk" и "debug", чтобы облегчить захват криптовалютного кошелька, что привело к несанкционированным транзакциям. Последующая атака, червь Shai-Hulud, извлекла секреты из репозиториев GitHub, используя инструмент TruffleHog для сбора конфиденциальных учетных данных из исходного кода, что ознаменовало значительную эскалацию активности по компрометации. Эти инциденты указывают на серьезные уязвимости в Цепочке поставок программного обеспечения, вызывая опасения по поводу безопасности экосистем разработки.
-----

В сентябре 2025 года две значительные кампании атак на Цепочки поставок были нацелены на пакеты npm, что привело к существенным рискам для безопасности, особенно в отношении криптовалют и эксфильтрации конфиденциальных данных. Первый компромисс произошел 8 сентября, когда было обнаружено, что популярные пакеты npm, такие как "chalk" и "debug", каждый из которых загружался более 250 миллионов раз в неделю, были модифицированы для включения вредоносного кода. Этот код позволил злоумышленникам заменить законные криптовалютные кошельки кошельками, контролируемыми противником, что способствовало несанкционированным транзакциям и краже средств.

Вскоре после этого, 15 сентября 2025 года, было сообщено о более масштабном взломе, известном как червь Shai-Hulud. Эта атака отличалась тем, что была сосредоточена на извлечении секретов из репозиториев GitHub вместо того, чтобы нацеливаться на функции, связанные с криптовалютой. Червь Shai-Hulud использовал инструмент TruffleHog, хорошо известный метод поиска и сбора учетных данных и конфиденциальной информации в исходном коде. Этот метод позволил вредоносному ПО эффективно обнаруживать секреты, которые затем были отфильтрованы с помощью действий GitHub на вредоносный домен, связанный с злоумышленниками.

Временная шкала атаки Shai-Hulud иллюстрирует четкий период активности с 15 сентября в 03:46 до 16 сентября в 13:42, отмечая целенаправленный период компрометации данных. Масштаб атаки намекал на то, что был задействован более широкий спектр пакетов npm по сравнению с предыдущим инцидентом с захватом кошелька.

В ответ на эти последовательные атаки GitHub изложил стратегический план к 22 сентября 2025 года, направленный на повышение безопасности в экосистеме npm. Хотя конкретные меры не были подробно описаны в резюме, намерение GitHub устранить уязвимости и внедрить защитные протоколы указывает на срочную необходимость реагирования на растущие угрозы в Цепочке поставок программного обеспечения. Эта серия атак подчеркивает сохраняющиеся проблемы и риски, связанные с уязвимостями Цепочки поставок в широко используемых экосистемах разработки.

#ParsedReport #CompletenessMedium
25-09-2025

XCSSET evolves again: Analyzing the latest updates to XCSSET s inventory

https://www.microsoft.com/en-us/security/blog/2025/09/25/xcsset-evolves-again-analyzing-the-latest-updates-to-xcssets-inventory/

Report completeness: Medium

Threats:
Xcsset
Hackbrowser

Victims:
Software developers, Macos application developers

Industry:
Financial

TTPs:
Tactics: 7
Technics: 0

IOCs:
Domain: 22
Hash: 4

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Firefox, Telegram, macOS, sudo, openssl, Twitter

Algorithms:
base64, aes, zip, sha256

Functions:
boot, dec, oD, doMainFunc, runMe

Languages:
applescript

Platforms:
apple

Links:
https://github.com/moonD4rk/HackBrowserData/tree/main
https://github.com/Jinmo/applescript-disassembler

#ParsedReport #GeneratedSchema
Generated with GPT-4