#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Datzbro - вредоносное ПО для Android, нацеленное на пожилых людей через группы в Facebook, функционирующее как инфокрад и банковский Trojan. Он извлекает финансовую информацию и может перехватывать транзакции для опустошения банковских счетов, демонстрируя поведение, подобное шпионскому ПО, которое отслеживает активность пользователей. Двойные возможности вредоносного ПО повышают риск для уязвимых лиц, которые могут взаимодействовать с этими потенциально опасными группами.
-----

Была выявлена новая киберугроза, связанная с распространением вредоносного ПО для Android, известного как Datzbro, через группы Facebook, ориентированные на пожилых людей. Это вредоносное ПО функционирует как инфокрад и банковский троян, специально разработанный для извлечения конфиденциальной финансовой информации и опустошения банковских счетов жертв.

Datzbro обладает возможностями, обычно присущими шпионским программам, что позволяет ему отслеживать активность пользователей и собирать конфиденциальные данные. Функции банковского трояна позволяют ему перехватывать финансовые транзакции и потенциально выводить средства непосредственно со взломанных счетов. Такая двойственная природа вредоносного ПО увеличивает риск для отдельных лиц, которые могут непреднамеренно присоединиться к этим группам Facebook и ознакомиться с потенциально вредоносным контентом.

Чтобы снизить риски, связанные с этими вредоносными действиями, пользователям рекомендуется проявлять осторожность при взаимодействии с группами Facebook, особенно с теми, которые были созданы недавно или не имеют установленной истории. Хотя может оказаться невозможным определить возраст группы до вступления, пользователи могут оценить доверие к группе, изучив даты исторических и закрепленных сообщений. Важным предупреждающим знаком является переход по ссылкам или установка приложений, рекомендованных в этих группах, или отправленных через личные сообщения из незнакомых источников. Крайне важно поддерживать актуальную защиту от вредоносного ПО в режиме реального времени на мобильных устройствах и сохранять бдительность в отношении групп, обещающих подозрительные или нереалистичные предложения. Кроме того, оценка профессионализма описания и правил группы может служить полезным показателем легитимности и потенциальных угроз.

#ParsedReport #CompletenessHigh
02-10-2025

Operation SouthNet: SideWinder Expands Phishing and Malware Operations in South Asia

https://hunt.io/blog/operation-southnet-sidewinder-south-asia-maritime-phishing

Report completeness: High

Actors/Campaigns:
Southnet (motivation: cyber_espionage)
Sidewinder (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique

Victims:
Government, Defense, Finance ministry, Central bank, Space agency, Airports authority, Board of investment, National assembly, Power utility, Telecom, have more...

Industry:
Aerospace, Telco, Military, Financial, Maritime, Government

Geo:
Bangladesh, Pakistan, Asian, Asia, China, Turkey, Myanmar, Pakistani, Sri lanka, Singapore, Turkish, Nepal

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1566.002, T1583.006, T1584.004

IOCs:
Domain: 23
IP: 9
Url: 61
File: 9
Hash: 14

Soft:
Zimbra, Android, Outlook

Algorithms:
md5, base64

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
windows: 15, chats: 1, schema: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation SouthNet, проведенная злоумышленником SideWinder, включала в себя обширную деятельность по фишингу и вредоносному ПО по всей Южной Азии, используя более 50 вредоносных доменов для сбора учетных данных через поддельные порталы Outlook и Zimbra. Эта операция была нацелена на правительственные и оборонные организации с использованием методов, включающих использование в качестве оружия документов, посвященных правительственным делам, и утилизацию инфраструктуры, которая была связана с историческими средствами командования и контроля. Ключевыми целями были Министерство обороны Бангладеш, Министерство финансов Непала и Центральный банк Мьянмы, что подчеркивало стратегическую направленность на ценные учреждения.
-----

Operation SouthNet, приписываемая злоумышленнику SideWinder, стала свидетелем масштабной эскалации фишинга и вредоносного ПО по всей Южной Азии. Анализ выявил более 50 вредоносных доменов, используемых для размещения поддельных порталов Outlook и Zimbra, нацеленных на сбор учетных записей. Кампания была диверсифицирована в пяти странах, причем примерно 40% идентифицированных доменов приходится на Пакистан. Используемые методы включают распространение документов, связанных с правительственными делами, с использованием оружия, что подчеркивает нацеленность на чувствительные секторы.

Операция была введена в действие в августе 2025 года и была конкретно нацелена на правительственные и оборонные организации по всему Непалу, Бангладеш и Турции. SideWinder использовал бесплатные хостинговые платформы, такие как Netlify и pages.разработчик для развертывания своей инфраструктуры фишинга. Примечательно, что инфраструктура имела общую связь с историческими активами SideWinder's command and control (C2), подтверждая модель утилизации инфраструктуры на протяжении многих лет. С точки зрения исполнения, страницы фишинга использовали прямые запросы POST для перехвата введенных учетных данных без перенаправлений, чтобы избежать обнаружения.

Действия по фишингу были нацелены на различные учреждения: в Бангладеш схемы Имперсонации были направлены против Министерства обороны; в Непале были совершены атаки на Министерство финансов с использованием поддельных порталов Outlook; в то время как Центральный банк Мьянмы был атакован мошенническими страницами входа в Zimbra, предназначенными для извлечения учетных данных пользователей.

В Пакистане кампания, в частности, угрожала различным учреждениям, включая Комиссию по исследованию космоса и верхних Atmosphere (SUPARCO) и другие в аэрокосмическом и телекоммуникационном секторах. Домены для фишинга выдавали себя за законные правительственные службы электронной почты, что еще раз подчеркивает комплексный характер операций SideWinder's, нацеленных на ценные учреждения.

Для снижения подверженности угрозам рекомендуются упреждающие меры, включая мониторинг бесплатных хостинговых платформ на предмет активности фишинга, постоянную корреляцию показателей компрометации (IOCs) с системами безопасности и обучение персонала выявлению приманок для фишинга. Региональное сотрудничество между подразделениями по кибербезопасности Южной Азии также рекомендуется, учитывая трансграничный характер деятельности SideWinder's. Эта операция является примером стойких и адаптивных возможностей акторов сложных целенаправленных угроз (APT), использующих быстрый отток доменов, стратегические приманки и кроссплатформенное вредоносное ПО для поддержки долгосрочных кампаний шпионажа.

#ParsedReport #CompletenessMedium
30-09-2025

Klopatra: exposing a new Android banking trojan operation with roots in Turkey

https://www.cleafy.com/cleafy-labs/klopatra-exposing-a-new-android-banking-trojan-operation-with-roots-in-turkey

Report completeness: Medium

Threats:
Klopatra
Virbox_tool
Hvnc_tool
Vmprotect_tool

Victims:
Financial institutions, Banking customers, Mobile users

Industry:
Financial, Media

Geo:
Spain, Italy, Georgia, Italian, Qatar, Chinese, Turkish, Germany, Lithuania, Spanish, Turkey, Kuwait

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1409, T1411, T1412, T1432, T1433, T1435, T1636

IOCs:
Domain: 3
IP: 5
File: 2
Hash: 30

Soft:
Android, Google Play

Algorithms:
base64, sha256

Languages:
java, kotlin

#ParsedReport #ExtractedSchema

Classified images:
code: 8, chart: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Klopatra - это усовершенствованный троян для удаленного доступа к Android (RAT), обнаруженный в августе 2025 года, управляемый тюркоязычной преступной группировкой, который скомпрометировал более 3000 устройств в рамках финансовых кампаний, особенно в Испании и Италии. Он маскируется под IPTV-приложение для развертывания вредоносного дроппера, используя службы специальных возможностей Android для получения расширенных разрешений, и реализует передовые методы обхода, включая собственные библиотеки и защиту Virbox. Вредоносное ПО может проводить оверлейные атаки с целью кражи учетных данных и автономно изменять системные настройки для закрепления, что указывает на непрерывную эволюцию и значительный риск для безопасности мобильного банкинга.
-----

Klopatra - это недавно обнаруженный троян удаленного доступа для Android (RAT), идентифицированный Cleafy в конце августа 2025 года, отличающийся высокой изощренностью и отсутствием связей с известными семействами вредоносных ПО. Этот банковский троянец в основном управляется тюркоязычной преступной группировкой и активно компрометирует более 3000 устройств, особенно в финансовых кампаниях, нацеленных на пользователей в Испании и Италии.

Вредоносное ПО выполняет атаки с использованием приманки социальной инженерии, замаскированной под IPTV-приложение, заманивая пользователей к установке вредоносного Dropper. После установки Klopatra использует службы специальных возможностей Android для получения обширных разрешений, что позволяет ей получить полный контроль над зараженными устройствами. Его усовершенствованный дизайн включает в себя сложную стратегию уклонения с использованием собственных библиотек и коммерческого пакета защиты кода Virbox, что значительно повышает его скрытность и устойчивость к обнаружению.

Klopatra обладает мощными возможностями, функционируя как комплексный банковский троян с функциями, позволяющими осуществлять удаленное управление и кражу учетных данных посредством оверлейных атак. Функциональные возможности RAT позволяют операторам активно отслеживать зараженные устройства и манипулировать ими. Вредоносное ПО создает оверлеи, которые могут обманом заставить пользователей предоставить конфиденциальную информацию для входа в финансовые приложения и криптовалютные системы, накладывая на них законные экраны.

Чтобы обеспечить свое закрепление, Klopatra может автономно предоставлять себе дополнительные разрешения, перемещаться по системным настройкам и добавлять себя в списки исключений для оптимизации заряда батареи, таким образом избегая завершения работы операционной системы. Операционная инфраструктура включает выделенные серверы командования и контроля (C2), которые затемняются с помощью Cloudflare, чтобы скрыть их истинные IP-адреса. Анализ показывает, что авторы находятся в непрерывном цикле разработки, часто совершенствуя вредоносное ПО и методы его обхода.

Ознакомление с профилем оператора Klopatra's указывает на сплоченную группу, говорящую по-турецки, что видно из языка, используемого в коде, и различных оперативных примечаний. Этот анализ не только подчеркивает технический прогресс Klopatra's, но и выявляет угрозу, которая является гибкой, постоянной и эволюционирующей, что представляет значительный риск для финансовых учреждений и пользователей мобильной связи в Европе. Расследование подчеркивает необходимость усиления мер защиты и бдительности в отношении таких сложных мобильных угроз.

#ParsedReport #CompletenessLow
03-10-2025

Red Hat Breach: Crimson Collective Claims Massive Theft of Private Repositories

https://socradar.io/red-hat-breach-crimson-collective-theft-repositories/

Report completeness: Low

Actors/Campaigns:
Crimson_collective

Victims:
Red hat, Telecommunications

Industry:
Telco, Government, Energy, Healthcare, E-commerce, Financial

Geo:
Colombia

CVEs:
CVE-2025-10725 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1589, T1658, T1659

Soft:
Telegram, Salesforce

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crimson Collective, недавно созданная группа вымогателей, взяла на себя ответственность за взлом частных хранилищ Red Hat после аналогичных действий против Claro Colombia. Они используют Telegram для освещения своей деятельности и оказания давления с помощью доказательств своих утверждений. Утверждается, что в атаке на Red Hat использовались нераскрытые уязвимости, и, хотя группа сообщила о своих опасениях Red Hat, они получили неадекватный ответ, подчеркивающий потенциальные недостатки в практике реагирования организации на инциденты.
-----

1 октября 2025 года Crimson Collective, недавно созданная группа вымогателей в Telegram, взяла на себя ответственность за значительное нарушение работы частных репозиториев Red Hat. Эта группа привлекла внимание своими предыдущими претензиями, включая сообщение о взломе Claro Colombia, где они утверждали о краже более 50 миллионов клиентских счетов-фактур и конфиденциальных внутренних файлов.

Crimson Collective, по-видимому, использует Telegram в качестве платформы для обмена доказательствами своих действий и участия в вымогательстве. Несмотря на то, что они были созданы всего за неделю до инцидента с Red Hat, они быстро обзавелись последователями, демонстрируя свое намерение извлечь выгоду из нарушений кибербезопасности. Их подход включает в себя заявления о нападениях и демонстрацию предполагаемых доказательств для установления доверия и оказания давления на целевые организации.

В случае с Red Hat группа заявила, что пыталась связаться с ними по официальным каналам, но получила общий ответ о раскрытии уязвимости, который они сочли неадекватным. Они предоставили скриншоты, свидетельствующие о том, что несколько сотрудников Red Hat участвовали в обработке их запроса, который в конечном итоге остался без ответа. Это утверждение подчеркивает потенциальную слабость методов реагирования на инциденты и коммуникации Red Hat.

Red Hat заявила, что нарушение не связано с недавно раскрытой уязвимостью OpenShift AI, идентифицированной как CVE-2025-10725, что указывает на то, что атака может использовать другие слабые места, которые еще не были публично выявлены или раскрыты. Детали, касающиеся точных методов или техник, использованных Crimson Collective для осуществления взлома, остаются непроверенными, и потенциальное воздействие любых украденных данных еще предстоит полностью оценить. Инцидент свидетельствует о сохраняющихся уязвимостях в известных организациях и растущей наглости злоумышленников, использующих общедоступные каналы для вымогательства и кражи данных.

#ParsedReport #CompletenessLow
02-10-2025

VMware CVE-2025-41244 Exploited: What You Need to Know About the Latest Flaws

https://socradar.io/vmware-cve-2025-41244-exploited/

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Screenconnect_tool

Victims:
Enterprise environments, Hybrid cloud environments

Industry:
Government, Ngo

Geo:
Chinese

CVEs:
CVE-2025-41245 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41251 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41246 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41252 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41250 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1587.001

Soft:
BIG-IP, Linux

Functions:
get_version

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость CVE-2025-41244 в VMware позволяет злоумышленникам получать root-доступ к виртуальным машинам с помощью локальной ошибки повышения привилегий, связанной с китайской группой сложных целенаправленных угроз UNC5174. Этот недостаток, возникающий в результате проблемы с регулярным выражением в функции get_version(), создает риски эксплуатации, позволяя выполнять двоичные файлы из небезопасных каталогов. Сложность UNC5174, работающего в качестве посредника первоначального доступа, вызывает тревогу по поводу потенциальных дальнейших атак на ценные корпоративные среды.
-----

Недавняя аналитика по кибербезопасности выявила активное использование критической уязвимости в VMware, идентифицированной как CVE-2025-41244, которая позволяет злоумышленникам получать доступ корневого уровня к виртуальным машинам. Это местное повышение привилегий недостаток, оценили с CVSS оценка 7,8, влияет как функция VMware Ария и VMware инструменты, в частности, отнести к китайской сложная целенаправленная угроза группа UNC5174. Сообщается, что эта эксплуатация осуществляется с конца 2024 года, и изощренность злоумышленника еще больше подчеркивает срочность устранения этой уязвимости.

CVE-2025-41244 возникает из-за проблемы с регулярным выражением в функции get_version(), используемой во время обнаружения службы. Неправильная обработка входных данных означает, что функция может без ограничений использовать символы, не содержащие пробелов, что позволяет запускать двоичные файлы из любого каталога, включая небезопасные пути, такие как /tmp. Исследователи успешно опубликовали доказательство концепции (PoC), демонстрирующее, насколько просто использовать эту уязвимость.

Группа UNC5174 действует как посредник первоначального доступа, используя такие уязвимости для проникновения в ценные среды и эксплуатации корпоративного программного обеспечения. Их операции сосредоточены на важных целях, что вызывает серьезные опасения относительно возможности дальнейших взломов и атак на чувствительные системы.

Чтобы обнаружить потенциальную эксплуатацию, специалистам по безопасности рекомендуется искать конкретные индикаторы компрометации (IOCs), связанные с использованием CVE-2025-41244. Для организаций крайне важно применять последние исправления безопасности, рекомендованные в рекомендациях Broadcom для устранения этой уязвимости, наряду с сохранением бдительности в отношении других связанных уязвимостей, исправленных в продуктах VMware, включая Aria Operations, NSX и vCenter. Организациям также следует провести аудит конфигурации своих виртуальных машин, чтобы убедиться в том, что применяются методы безопасного обнаружения служб и что привилегии пользователей, не являющихся администраторами, ограничены везде, где это возможно.

Учитывая серьезность CVE-2025-41244 и его последствия для гибридных облачных и корпоративных сред, необходимо усилить меры защиты, особенно для подключенных к Интернету или не прошедших проверку подлинности компонентов VMware. Постоянный мониторинг необычной активности процессов и потенциальных эксплойтов будет иметь решающее значение для защиты от дальнейших попыток со стороны изощренных злоумышленников, таких как UNC5174.

#ParsedReport #CompletenessLow
03-10-2025

Hackers Demand $50 Million in Mass Extortion Attack Targeting Unpatched Systems

https://www.secureblink.com/cyber-security-news/hackers-demand-50-million-in-mass-extortion-attack-targeting-unpatched-systems

Report completeness: Low

Actors/Campaigns:
Cl0p
Fin11

Threats:
Clop

Victims:
Oracle ebs users

Industry:
Financial

Geo:
America

CVEs:
CVE-2025-30745 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30743 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30746 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-50107 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30744 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1657, T1659

Soft:
MOVEit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Clop инициировала массовую кампанию вымогательства, направленную против Oracle E-Business Suite, используя несколько незащищенных уязвимостей, включая CVE-2025-30746 и CVE-2025-30745, впервые выявленные в июле 2025 года. Требуя доступа к конфиденциальным данным, они оказывают давление на организации, требуя соблюдения требований о выкупе в размере 50 миллионов долларов. Атака подчеркивает риски, связанные с незащищенными общедоступными системами, и подчеркивает важность устранения критических уязвимостей для предотвращения эксплуатации.
-----

Хакерская группа Clop запустила кампанию массового вымогательства, требуя 50 миллионов долларов после взлома Oracle E-Business Suite (EBS). Атака использует несколько незащищенных уязвимостей, которые были выявлены в июле 2025 года, что подчеркивает острую необходимость применения организациями доступных исправлений для смягчения этих угроз. В частности, в качестве точек входа для злоумышленников были идентифицированы следующие уязвимости: CVE-2025-30746, CVE-2025-30745, CVE-2025-50107, CVE-2025-30743 и CVE-2025-30744. Каждая из этих проблем представляет значительный риск, особенно для общедоступных систем и критически важных информационных панелей Цепочки поставок, в которых отсутствуют необходимые меры аутентификации.

Группа Clop разработала коммуникационную стратегию, направленную на то, чтобы вселить страх и безотлагательность в целевые организации. Они утверждают, что получили доступ к конфиденциальным документам и базам данных компании, представляя пугающий сценарий полной компрометации. В качестве извращенного "бизнес-решения" хакеры предлагают предоставить доказательства своего взлома, поделившись частями украденных данных. Эта тактика направлена на то, чтобы заставить руководителей серьезно отнестись к угрозе и рассмотреть возможность удовлетворения их требования о выкупе.

Чтобы избежать подобных попыток вымогательства, организациям настоятельно рекомендуется принять незамедлительные меры. Первая и главная рекомендация заключается в безотлагательном применении критического исправления, выпущенного в июле 2025 года, поскольку невыполнение этого требования делает системы уязвимыми. Кроме того, компаниям рекомендуется действовать исходя из предположения, что они уже могут быть взломаны, что побуждает их к тщательному поиску угроз в своих средах EBS. Это включает мониторинг необычных входов в систему, экспорта большого объема данных и индикаторов компрометации (IOCS), связанных с текущей кампанией.

Обеспечение доступа к системам также имеет решающее значение. Организациям следует пересмотреть свои логины EBS, подключенные к Интернету, и уделить приоритетное внимание внедрению Многофакторной аутентификации (MFA), чтобы предотвратить атаки, основанные на учетных данных. Наконец, важно провести обучение руководителей C-suite, чтобы они были осведомлены о распространяющихся электронных письмах с вымогательством и установили протоколы для сообщения о них непосредственно в службы безопасности, тем самым поддерживая взвешенный подход, а не торопясь выплачивать выкуп.

#ParsedReport #CompletenessLow
03-10-2025

TamperedChef: Malvertising to Credential Theft

https://labs.withsecure.com/publications/tamperedchef.html

Report completeness: Low

Threats:
Tamperedchef

Victims:
European organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1102, T1105, T1204.001, T1204.002, T1218.007, T1480.001, T1553.002, T1555.003, have more...

IOCs:
Domain: 3
File: 6
Url: 1

Soft:
Electron, NuGet

Languages:
javascript

Platforms:
x64

Links:
https://github.com/WithSecureLabs/iocs/TamperedChef
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TamperedChef вредоносного ПО нацелена на европейские организации, использующие методы Вредоносной рекламы, маскирующиеся под PDF-редактор. Он поставляет вредоносный пакет MSI с законным лицензионным соглашением, чтобы избежать обнаружения, активируя его полезную нагрузку для кражи учетных данных браузера через два месяца. Исследователи также обратили внимание на приложение с аналогичным дизайном под названием AppSuite Print, которое, похоже, заброшено, в то время как злоумышленники перешли на новое приложение S3-Forge, что указывает на их адаптивные стратегии и продолжающуюся вредоносную активность.
-----

Кампания по борьбе с вредоносным ПО TamperedChef использует сложную стратегию Вредоносной рекламы, нацеленную на европейские организации путем Маскировки под законное приложение, в частности, редактор PDF. Эта кампания включала рекламный подход, который побуждал пользователей загружать вредоносный пакет Microsoft Installer (MSI). После загрузки пользователи столкнулись со стандартным диалоговым окном принятия лицензионного соглашения с конечным пользователем (EULA), что повысило легитимность приложения и помогло ему обойти определенные автоматизированные меры безопасности, такие как обнаружение в изолированной среде.

Вредоносное ПО, первоначально работавшее без проблем в течение почти двух месяцев, активировало свою вредоносную нагрузку 21 августа 2025 года, специально нацелившись на кражу учетных данных браузера. После этого разоблачения злоумышленники отреагировали выпуском якобы "чистых" версий приложения, но эти варианты все еще были подключены к их инфраструктуре, что сводит на нет любые гарантии безопасности. Наблюдаемое поведение указывает на то, что приложение функционировало как сборщик учетных данных, создавая значительный риск для безопасности пользователей.

В дополнение к варианту PDF-редактора исследователи обнаружили аналогичное, но, казалось бы, заброшенное приложение AppSuite Print, созданное примерно в то же время. Это приложение использовало запутанный файл JavaScript и имело сходство в коде и цифровых подписях с редактором PDF, но не было никаких свидетельств активного развертывания или использования, что позволяет предположить, что оно было отменено из-за недостаточного спроса.

После обнаружения TamperedChef злоумышленники быстро переключили свое внимание на разработку нового приложения под названием S3-Forge, которое демонстрирует продолжение злонамеренных намерений с использованием артефактов общего кода и установленных шаблонов разработки. Этот поворот указывает на адаптивный характер злоумышленников перед лицом контрмер, подчеркивая важность постоянной бдительности и обновленных стратегий обнаружения в областях кибербезопасности.

Меры обнаружения применяются с помощью различных продуктов безопасности, которые используют комбинацию общих и специфических сигнатур для эффективной идентификации и блокирования TamperedChef. Однако продолжающаяся эволюция тактики злоумышленников требует принятия упреждающих мер безопасности и внедрения передовых методик обнаружения для противодействия этим все более изощренным киберугрозам.