#ParsedReport #CompletenessHigh
24-12-2025
Silver Fox Targeting India Using Tax Themed Phishing Lures
https://www.cloudsek.com/blog/silver-fox-targeting-india-using-tax-themed-phishing-lures
Report completeness: High
Actors/Campaigns:
Silver_fox
Sidewinder
Threats:
Dll_hijacking_technique
Dllsearchorder_hijacking_technique
Process_injection_technique
Donut
Donutloader
Valleyrat
Credential_harvesting_technique
Process_hollowing_technique
Spear-phishing_technique
Victims:
Government sector, Tax agencies
Geo:
India, Chinese
TTPs:
Tactics: 9
Technics: 23
IOCs:
Domain: 17
File: 8
Path: 1
IP: 9
Registry: 1
Hash: 4
Soft:
NSIS Installer, Windows Update service(wuauserv, Windows registry, Windows Update service, wuauserv
Algorithms:
sha256, zip, md5
Functions:
sub_405E40
Win API:
GetTempPathA, VirtualAllocEx, WriteProcessMemory
Win Services:
wuauserv
Links:
have more...
24-12-2025
Silver Fox Targeting India Using Tax Themed Phishing Lures
https://www.cloudsek.com/blog/silver-fox-targeting-india-using-tax-themed-phishing-lures
Report completeness: High
Actors/Campaigns:
Silver_fox
Sidewinder
Threats:
Dll_hijacking_technique
Dllsearchorder_hijacking_technique
Process_injection_technique
Donut
Donutloader
Valleyrat
Credential_harvesting_technique
Process_hollowing_technique
Spear-phishing_technique
Victims:
Government sector, Tax agencies
Geo:
India, Chinese
TTPs:
Tactics: 9
Technics: 23
IOCs:
Domain: 17
File: 8
Path: 1
IP: 9
Registry: 1
Hash: 4
Soft:
NSIS Installer, Windows Update service(wuauserv, Windows registry, Windows Update service, wuauserv
Algorithms:
sha256, zip, md5
Functions:
sub_405E40
Win API:
GetTempPathA, VirtualAllocEx, WriteProcessMemory
Win Services:
wuauserv
Links:
https://github.com/listinvest/undonuthttps://github.com/volexity/donut-decryptorhave more...
Cloudsek
Silver Fox Targeting India Using Tax Themed Phishing Lures | CloudSEK
CloudSEK's TRIAD reveals a critical campaign by the Chinese "Silver Fox" APT targeting Indian entities with authentic-looking Income Tax phishing lures. While previously misattributed to SideWinder, this sophisticated attack leverages a complex kill chain…
CTT Report Hub
#ParsedReport #CompletenessHigh 24-12-2025 Silver Fox Targeting India Using Tax Themed Phishing Lures https://www.cloudsek.com/blog/silver-fox-targeting-india-using-tax-themed-phishing-lures Report completeness: High Actors/Campaigns: Silver_fox Sidewinder…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания фишинга, связанная с APT Silver Fox, нацелена на физических лиц в Индии с помощью приманки, связанной с подоходным налогом, с использованием обманчивых электронных писем, имитирующих законные налоговые сообщения. Кампания использует тактику давления, чтобы склонить жертв переходить по Вредоносным ссылкам или раскрывать конфиденциальную информацию, что указывает на изощренность и адаптивность группы. Подчеркиваются проблемы неправильного распределения, поскольку неправильное обозначение этой кампании может отвлечь внимание от реальной угрозы, исходящей от Silver Fox, что усложнит защитные меры.
-----
Была обнаружена новая кампания фишинга, приписываемая Silver Fox, которая была направлена против APT-группировок, специально нацеленных на физических лиц в Индии, используя приманки, связанные с подоходным налогом. В этой кампании используются электронные письма с фишингом, которые визуально имитируют законную налоговую информацию, используя тактику давления, чтобы убедить жертв перейти по Вредоносным ссылкам или предоставить конфиденциальную информацию. Сходство этих приманок для фишинга с теми, которые использовались в других кампаниях, вызывает опасения по поводу изощренности и адаптивности злоумышленника.
Ранее подобная тактика фишинга наблюдалась без четкой принадлежности к конкретной группе, что делало эту идентификацию важной. Точная атрибуция имеет решающее значение для совершенствования оборонительных стратегий, поскольку она помогает понять оперативное поведение и цели злоумышленников. Отмечается, что неправильное отнесение этой кампании Silver Fox к другой группе, такой как SideWinder, потенциально может привести к путанице в усилиях по разведке угроз. Хорошо документированная виктимология предполагает, что такое приписывание не соответствует фактическим целям и методам, используемым Silver Fox.
Этот сценарий иллюстрирует сложности, присутствующие в разведке киберугроз, где неправильное распределение может привести к чрезмерному сосредоточению внимания на несуществующих угрозах, что делает организации уязвимыми для реальных подходов APT. Это подчеркивает важность продолжения совершенствования методов атрибуции и поддержания строгих процессов проверки, чтобы гарантировать соответствие соответствующих ответных мер реальной тактике и методам, применяемым противниками, такими как Silver Fox.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания фишинга, связанная с APT Silver Fox, нацелена на физических лиц в Индии с помощью приманки, связанной с подоходным налогом, с использованием обманчивых электронных писем, имитирующих законные налоговые сообщения. Кампания использует тактику давления, чтобы склонить жертв переходить по Вредоносным ссылкам или раскрывать конфиденциальную информацию, что указывает на изощренность и адаптивность группы. Подчеркиваются проблемы неправильного распределения, поскольку неправильное обозначение этой кампании может отвлечь внимание от реальной угрозы, исходящей от Silver Fox, что усложнит защитные меры.
-----
Была обнаружена новая кампания фишинга, приписываемая Silver Fox, которая была направлена против APT-группировок, специально нацеленных на физических лиц в Индии, используя приманки, связанные с подоходным налогом. В этой кампании используются электронные письма с фишингом, которые визуально имитируют законную налоговую информацию, используя тактику давления, чтобы убедить жертв перейти по Вредоносным ссылкам или предоставить конфиденциальную информацию. Сходство этих приманок для фишинга с теми, которые использовались в других кампаниях, вызывает опасения по поводу изощренности и адаптивности злоумышленника.
Ранее подобная тактика фишинга наблюдалась без четкой принадлежности к конкретной группе, что делало эту идентификацию важной. Точная атрибуция имеет решающее значение для совершенствования оборонительных стратегий, поскольку она помогает понять оперативное поведение и цели злоумышленников. Отмечается, что неправильное отнесение этой кампании Silver Fox к другой группе, такой как SideWinder, потенциально может привести к путанице в усилиях по разведке угроз. Хорошо документированная виктимология предполагает, что такое приписывание не соответствует фактическим целям и методам, используемым Silver Fox.
Этот сценарий иллюстрирует сложности, присутствующие в разведке киберугроз, где неправильное распределение может привести к чрезмерному сосредоточению внимания на несуществующих угрозах, что делает организации уязвимыми для реальных подходов APT. Это подчеркивает важность продолжения совершенствования методов атрибуции и поддержания строгих процессов проверки, чтобы гарантировать соответствие соответствующих ответных мер реальной тактике и методам, применяемым противниками, такими как Silver Fox.
#ParsedReport #CompletenessHigh
25-12-2025
First Sophisticated Malware Discovered on Maven Central via Typosquatting Attack on Jackson
https://www.aikido.dev/blog/maven-central-jackson-typosquatting-malware
Report completeness: High
Threats:
Typosquatting_technique
Cobalt_strike_tool
Credential_harvesting_technique
Victims:
Software supply chain, Open source ecosystem, Java developers
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1036.003, T1105, T1195.001, T1583.001
IOCs:
Domain: 2
Url: 3
File: 41
Hash: 2
IP: 1
Soft:
Unix, linux, macOS
Algorithms:
aes, aes-ecb, base64
Functions:
String
Languages:
java
25-12-2025
First Sophisticated Malware Discovered on Maven Central via Typosquatting Attack on Jackson
https://www.aikido.dev/blog/maven-central-jackson-typosquatting-malware
Report completeness: High
Threats:
Typosquatting_technique
Cobalt_strike_tool
Credential_harvesting_technique
Victims:
Software supply chain, Open source ecosystem, Java developers
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036.003, T1105, T1195.001, T1583.001
IOCs:
Domain: 2
Url: 3
File: 41
Hash: 2
IP: 1
Soft:
Unix, linux, macOS
Algorithms:
aes, aes-ecb, base64
Functions:
String
Languages:
java
www.aikido.dev
Maven Central Malware: Jackson Typosquatting Delivers Cobalt Strike Payload
We uncovered the first sophisticated malware campaign on Maven Central: a typosquatted Jackson package delivering multi-stage payloads and Cobalt Strike beacons via Spring Boot auto-execution.
CTT Report Hub
#ParsedReport #CompletenessHigh 25-12-2025 First Sophisticated Malware Discovered on Maven Central via Typosquatting Attack on Jackson https://www.aikido.dev/blog/maven-central-jackson-typosquatting-malware Report completeness: High Threats: Typosquatting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная Кампания, нацеленная на Maven Central, использовала атаку typosquatting на библиотеку Джексона путем регистрации вредоносного пакета под доменом, вводящим в заблуждение, fasterxml.org . Эта атака включала в себя развертывание Cobalt Strike Beacon, инструмента, используемого для операций управления, что указывает на участие квалифицированных противников и подчеркивает растущую угрозу Цепочкам поставок программного обеспечения. Время и характер атаки подчеркивают уязвимости в процессах проверки пакетов, что делает системы уязвимыми для подобных эксплойтов в будущем.
-----
Недавнее расследование выявило сложную Вредоносную Кампанию, которая нацелена на Maven Central посредством typosquatting-атаки, специально нацеленной на библиотеку Джексона. Атака использовала ошибочно замененный префикс в соглашении об именовании пакетов Java, в результате чего вредоносный пакет был зарегистрирован в домене fasterxml.org , отличающийся от законного пространства имен библиотеки Джексона com.fasterxml.jackson.core. Такое использование замены префиксов в стиле TLD представляет собой значительное "слепое пятно" в процессе проверки пакетов Maven Central, в котором в настоящее время отсутствуют механизмы для обнаружения таких изменений.
Вредоносное ПО, связанное с этой атакой, было последовательно идентифицировано как Cobalt Strike Beacon несколькими поставщиками средств обнаружения. Cobalt Strike обычно используется в качестве инструмента тестирования на проникновение, который позволяет выполнять комплексные операции управления, включая удаленный доступ, сбор учетных записей, перемещение внутри компании и развертывание дополнительных полезных нагрузок. Несмотря на то, что изначально он предназначался для законного использования в сценариях red teaming, его просочившиеся версии завоевали популярность среди операторов программ-вымогателей и групп по APT-группировке. Развертывание Cobalt Strike в целом указывает на присутствие высококвалифицированных противников, предполагая, что цель, стоящая за этой атакой, выходит за рамки простого криптомайнинга.
Вредоносный домен fasterxml.org зарегистрировано всего восемь дней до анализа на 17 декабря 2025 года с обновлениями указанием активной разработки в дни, предшествовавшие его развертывания. Время регистрации, наряду с ее связью с атакой на широко используемую библиотеку, подчеркивает растущую тенденцию, когда злоумышленники все чаще нацеливаются на Цепочки поставок программного обеспечения с помощью тщательно разработанной тактики социальной инженерии.
Maven Central должен усилить свои защитные меры для защиты от подобных атак путем внедрения систем, способных обнаруживать и блокировать эти типы подмен префиксов, тем самым устраняя уязвимости, которые могут быть использованы злоумышленниками-акторами. Неспособность устранить эти пробелы в безопасности может подвергнуть разработчиков и конечных пользователей значительным рискам, связанным с компрометацией библиотек, пользующихся широким доверием.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная Кампания, нацеленная на Maven Central, использовала атаку typosquatting на библиотеку Джексона путем регистрации вредоносного пакета под доменом, вводящим в заблуждение, fasterxml.org . Эта атака включала в себя развертывание Cobalt Strike Beacon, инструмента, используемого для операций управления, что указывает на участие квалифицированных противников и подчеркивает растущую угрозу Цепочкам поставок программного обеспечения. Время и характер атаки подчеркивают уязвимости в процессах проверки пакетов, что делает системы уязвимыми для подобных эксплойтов в будущем.
-----
Недавнее расследование выявило сложную Вредоносную Кампанию, которая нацелена на Maven Central посредством typosquatting-атаки, специально нацеленной на библиотеку Джексона. Атака использовала ошибочно замененный префикс в соглашении об именовании пакетов Java, в результате чего вредоносный пакет был зарегистрирован в домене fasterxml.org , отличающийся от законного пространства имен библиотеки Джексона com.fasterxml.jackson.core. Такое использование замены префиксов в стиле TLD представляет собой значительное "слепое пятно" в процессе проверки пакетов Maven Central, в котором в настоящее время отсутствуют механизмы для обнаружения таких изменений.
Вредоносное ПО, связанное с этой атакой, было последовательно идентифицировано как Cobalt Strike Beacon несколькими поставщиками средств обнаружения. Cobalt Strike обычно используется в качестве инструмента тестирования на проникновение, который позволяет выполнять комплексные операции управления, включая удаленный доступ, сбор учетных записей, перемещение внутри компании и развертывание дополнительных полезных нагрузок. Несмотря на то, что изначально он предназначался для законного использования в сценариях red teaming, его просочившиеся версии завоевали популярность среди операторов программ-вымогателей и групп по APT-группировке. Развертывание Cobalt Strike в целом указывает на присутствие высококвалифицированных противников, предполагая, что цель, стоящая за этой атакой, выходит за рамки простого криптомайнинга.
Вредоносный домен fasterxml.org зарегистрировано всего восемь дней до анализа на 17 декабря 2025 года с обновлениями указанием активной разработки в дни, предшествовавшие его развертывания. Время регистрации, наряду с ее связью с атакой на широко используемую библиотеку, подчеркивает растущую тенденцию, когда злоумышленники все чаще нацеливаются на Цепочки поставок программного обеспечения с помощью тщательно разработанной тактики социальной инженерии.
Maven Central должен усилить свои защитные меры для защиты от подобных атак путем внедрения систем, способных обнаруживать и блокировать эти типы подмен префиксов, тем самым устраняя уязвимости, которые могут быть использованы злоумышленниками-акторами. Неспособность устранить эти пробелы в безопасности может подвергнуть разработчиков и конечных пользователей значительным рискам, связанным с компрометацией библиотек, пользующихся широким доверием.
#ParsedReport #CompletenessMedium
25-12-2025
Sneaky NPM Malware Grants Attackers Permanent Access to WhatsApp Accounts
https://www.secureblink.com/cyber-security-news/sneaky-npm-malware-grants-attackers-permanent-access-to-whats-app-accounts
Report completeness: Medium
Threats:
Lotusbail
Mitm_technique
Supply_chain_technique
Victims:
Software development ecosystem, Messaging platform users, Whatsapp users
Industry:
Healthcare, Financial
TTPs:
Tactics: 6
Technics: 6
IOCs:
File: 4
Soft:
WhatsApp, Node.js
Algorithms:
aes
Functions:
WhatsApp
Languages:
javascript
25-12-2025
Sneaky NPM Malware Grants Attackers Permanent Access to WhatsApp Accounts
https://www.secureblink.com/cyber-security-news/sneaky-npm-malware-grants-attackers-permanent-access-to-whats-app-accounts
Report completeness: Medium
Threats:
Lotusbail
Mitm_technique
Supply_chain_technique
Victims:
Software development ecosystem, Messaging platform users, Whatsapp users
Industry:
Healthcare, Financial
TTPs:
Tactics: 6
Technics: 6
IOCs:
File: 4
Soft:
WhatsApp, Node.js
Algorithms:
aes
Functions:
Languages:
javascript
Secureblink
Sneaky NPM Malware Grants Attackers Permanent Access to WhatsApp Accounts
A malicious npm package disguised as a WhatsApp Web API has been downloaded over 56,000 times. It steals account credentials, intercepts all messages, and can give attackers permanent access. Learn how to check if you're affected and what to do.
CTT Report Hub
#ParsedReport #CompletenessMedium 25-12-2025 Sneaky NPM Malware Grants Attackers Permanent Access to WhatsApp Accounts https://www.secureblink.com/cyber-security-news/sneaky-npm-malware-grants-attackers-permanent-access-to-whats-app-accounts Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Пакет lotusbail npm, замаскированный под веб-API WhatsApp, представляет значительную угрозу, поскольку крадет учетные данные пользователей, перехватывает сообщения и устанавливает постоянный доступ к учетным записям WhatsApp посредством сопряжения устройств. Используя методы платформы MITRE ATT&CK, он захватывает токены аутентификации и использует пользовательский стек шифрования для эксфильтрации данных, избегая обнаружения с помощью Обфускации команд и ловушек для защиты от отладки. Его сложный дизайн усложняет идентификацию угроз, демонстрируя необходимость расширенного поведенческого анализа и мониторинга для обнаружения аналогичных угроз.
-----
Пакет npm от lotusbail, Маскировка под законный веб-API WhatsApp, представляет значительную киберугрозу, поскольку он был загружен более 56 000 раз. Это вредоносное ПО способно красть учетные данные пользователей, перехватывать сообщения и создавать постоянный доступ к учетным записям WhatsApp с помощью сложного механизма, который позволяет злоумышленникам связывать свои устройства с учетными записями жертв. Примечательно, что этот механизм закрепления сохраняет доступ даже после удаления вредоносного пакета, что требует действий по восстановлению учетной записи вручную.
Функционально lotusbail имитирует законную библиотеку @whiskeysockets/baileys, чтобы избежать раннего обнаружения. Его полезная нагрузка двойного действия захватывает токены аутентификации, сообщения и контакты, обеспечивая при этом связь с устройством для постоянного доступа. Атака использует методы из платформы MITRE ATT&CK, включая кражу учетных данных с помощью перехвата WebSocket (T1552.001), сбор сообщений и контактов с помощью API-оболочки (T1056.001) и эксфильтрацию с использованием пользовательского стека шифрования (RSA + AES) при сохранении скрытности с помощью передовых методов Обфускации команд (T1027.010) и ловушки для защиты от отладки (T1497.003).
Обнаружение lotusbail произошло во время рутинного поведенческого анализа, выявившего аномальную исходящую сетевую активность, указывающую на его злонамеренный умысел. Традиционные сканеры уязвимостей не смогли эффективно идентифицировать угрозу, поскольку lotusbail был разработан для правильного функционирования, а не для прямой уязвимости. Это подчеркивает необходимость поведенческого анализа и мониторинга во время выполнения для обнаружения и смягчения последствий таких сложных атак.
Рекомендуемые немедленные меры включают проведение инвентаризации и процедуры локализации, удаление пакета и связанных с ним файлов, а также снижение рисков путем исправления учетной записи, в частности, путем удаления нераспознанных устройств, подключенных к WhatsApp в период заражения. Кроме того, организациям рекомендуется внедрять средства защиты во время выполнения, улучшать политику контроля за проверкой пакетов и в дальнейшем уделять повышенное внимание коммуникационным библиотекам.
Заглядывая в будущее, стратегические улучшения через 30 дней должны быть сосредоточены на архитектурных корректировках, таких как изоляция интеграции обмена сообщениями через микросервисы и использование учетных записей служб с ограниченными разрешениями для дальнейшего устранения потенциальных уязвимостей. Надежная стратегия мониторинга, которая соотносит установку пакетов с необычным сетевым трафиком, укрепит защиту от будущих атак. Последствия такого нарушения серьезны, поскольку оно не только приводит к потере данных и постоянному доступу к скомпрометированным учетным записям, но и чревато ущербом репутации и последствиями со стороны регулирующих органов, особенно в случаях, связанных с конфиденциальной или защищенной информацией.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Пакет lotusbail npm, замаскированный под веб-API WhatsApp, представляет значительную угрозу, поскольку крадет учетные данные пользователей, перехватывает сообщения и устанавливает постоянный доступ к учетным записям WhatsApp посредством сопряжения устройств. Используя методы платформы MITRE ATT&CK, он захватывает токены аутентификации и использует пользовательский стек шифрования для эксфильтрации данных, избегая обнаружения с помощью Обфускации команд и ловушек для защиты от отладки. Его сложный дизайн усложняет идентификацию угроз, демонстрируя необходимость расширенного поведенческого анализа и мониторинга для обнаружения аналогичных угроз.
-----
Пакет npm от lotusbail, Маскировка под законный веб-API WhatsApp, представляет значительную киберугрозу, поскольку он был загружен более 56 000 раз. Это вредоносное ПО способно красть учетные данные пользователей, перехватывать сообщения и создавать постоянный доступ к учетным записям WhatsApp с помощью сложного механизма, который позволяет злоумышленникам связывать свои устройства с учетными записями жертв. Примечательно, что этот механизм закрепления сохраняет доступ даже после удаления вредоносного пакета, что требует действий по восстановлению учетной записи вручную.
Функционально lotusbail имитирует законную библиотеку @whiskeysockets/baileys, чтобы избежать раннего обнаружения. Его полезная нагрузка двойного действия захватывает токены аутентификации, сообщения и контакты, обеспечивая при этом связь с устройством для постоянного доступа. Атака использует методы из платформы MITRE ATT&CK, включая кражу учетных данных с помощью перехвата WebSocket (T1552.001), сбор сообщений и контактов с помощью API-оболочки (T1056.001) и эксфильтрацию с использованием пользовательского стека шифрования (RSA + AES) при сохранении скрытности с помощью передовых методов Обфускации команд (T1027.010) и ловушки для защиты от отладки (T1497.003).
Обнаружение lotusbail произошло во время рутинного поведенческого анализа, выявившего аномальную исходящую сетевую активность, указывающую на его злонамеренный умысел. Традиционные сканеры уязвимостей не смогли эффективно идентифицировать угрозу, поскольку lotusbail был разработан для правильного функционирования, а не для прямой уязвимости. Это подчеркивает необходимость поведенческого анализа и мониторинга во время выполнения для обнаружения и смягчения последствий таких сложных атак.
Рекомендуемые немедленные меры включают проведение инвентаризации и процедуры локализации, удаление пакета и связанных с ним файлов, а также снижение рисков путем исправления учетной записи, в частности, путем удаления нераспознанных устройств, подключенных к WhatsApp в период заражения. Кроме того, организациям рекомендуется внедрять средства защиты во время выполнения, улучшать политику контроля за проверкой пакетов и в дальнейшем уделять повышенное внимание коммуникационным библиотекам.
Заглядывая в будущее, стратегические улучшения через 30 дней должны быть сосредоточены на архитектурных корректировках, таких как изоляция интеграции обмена сообщениями через микросервисы и использование учетных записей служб с ограниченными разрешениями для дальнейшего устранения потенциальных уязвимостей. Надежная стратегия мониторинга, которая соотносит установку пакетов с необычным сетевым трафиком, укрепит защиту от будущих атак. Последствия такого нарушения серьезны, поскольку оно не только приводит к потере данных и постоянному доступу к скомпрометированным учетным записям, но и чревато ущербом репутации и последствиями со стороны регулирующих органов, особенно в случаях, связанных с конфиденциальной или защищенной информацией.
#ParsedReport #CompletenessMedium
23-12-2025
RTO Scam Wave Continues: A Surge in Browser-Based e-Challan Phishing and Shared Fraud Infrastructure
https://cyble.com/blog/rto-scam-wave-continues/
Report completeness: Medium
Threats:
Spear-phishing_technique
Victims:
Indian users, Government services users, Logistics customers, Banking financial services and insurance customers
Industry:
Telco, Financial, Logistic, Government
Geo:
India, Indian, Spanish
TTPs:
Tactics: 5
Technics: 5
IOCs:
IP: 2
Domain: 21
Soft:
Android, Microsoft Defender
Links:
23-12-2025
RTO Scam Wave Continues: A Surge in Browser-Based e-Challan Phishing and Shared Fraud Infrastructure
https://cyble.com/blog/rto-scam-wave-continues/
Report completeness: Medium
Threats:
Spear-phishing_technique
Victims:
Indian users, Government services users, Logistics customers, Banking financial services and insurance customers
Industry:
Telco, Financial, Logistic, Government
Geo:
India, Indian, Spanish
TTPs:
Tactics: 5
Technics: 5
IOCs:
IP: 2
Domain: 21
Soft:
Android, Microsoft Defender
Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/The\_RTO\_Scam\_Wave\_Continues\_A\_Surge\_in\_Browser-Based\_e-Challan\_PhishingCyble
RTO Scam Wave Continues
CRIL Uncovers a New Wave of Browser-Based e-Challan Phishing Powered by Shared Fraud Infrastructure.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-12-2025 RTO Scam Wave Continues: A Surge in Browser-Based e-Challan Phishing and Shared Fraud Infrastructure https://cyble.com/blog/rto-scam-wave-continues/ Report completeness: Medium Threats: Spear-phishing_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние кампании по фишингу, нацеленные на Региональное транспортное управление Индии (RTO), используют системы e-Challan для финансового мошенничества, используя методы на основе браузера вместо вредоносного ПО для Android. Жертвы получают SMS-сообщения со ссылками на домены для фишинга, где злоумышленники подделывают данные challan, обманом заставляя пользователей совершать платежи с помощью кредитных или дебетовых карт, чтобы свести к минимуму возможность отслеживания. Выявленные методы из платформы MITRE ATT&CK включают в себя фишинг с помощью SMS (T1566.001), Перехват вводимых данных (T1056), автоматизированный сбор данных (T1119) и эксфильтрацию для Кражи денежных средств (T1657).
-----
В последнее время активизировалась деятельность по фишингу, связанная с тематикой Регионального транспортного управления (RTO), с акцентом на использование систем e-Challan для совершения финансовых махинаций в Индии. В отличие от предыдущих кампаний, в которых использовалось вредоносное ПО для Android, нынешняя волна опирается исключительно на методы фишинга на основе браузера, что позволяет злоумышленникам легче связаться с жертвами без необходимости в конкретной информации о жертвах. Этот метод позволяет динамично подделывать данные challan, тем самым обманывая пользователей, заставляя их осуществлять оплату с помощью кредитных или дебетовых карт, что облегчает отслеживание транзакций в меньшей степени по сравнению с UPI или net banking.
Технический анализ показывает, что пользователи перенаправляются на домен для фишинга, расположенный по IP-адресу 101.33.78.145, при нажатии на встроенный URL-адрес в SMS-сообщении. Сигналы срочности, встроенные в сообщения о фишинге, как правило, снижают эффективность предупреждений о безопасности на основе браузера от таких инструментов, как Microsoft Defender, поскольку жертвы часто игнорируют эти предупреждения из-за необходимости немедленно устранить предполагаемые проблемы.
Дальнейшее расследование выявило, что SMS-сообщения, ведущие на сайты фишинга, поступают с телефонного номера, зарегистрированного в Индии, с использованием местной мобильной сети Reliance Jio Infocomm Limited. Это указывает на то, что злоумышленники, вероятно, использовали подключение, выпущенное внутри страны, что повышает доверие к их усилиям по фишингу.
Эта продолжающаяся кампания означает, что фишинг на тему RTO остается мощным вектором угрозы, усиливая изощренный характер этих мошенничеств, которые включают реалистичные пользовательские интерфейсы и используют психологические триггеры, чтобы вызвать у жертв безотлагательность. Оперативная динамика этого мошенничества охватывает общую инфраструктуру, обслуживающую различные секторы, включая правительство, логистику и банковские и финансовые услуги (BFSI), что свидетельствует о профессионализации тактики фишинга, а не о случайных изолированных мошенничествах.
В контексте платформы MITRE ATT&CK используемые методы включают T1566.001 для фишинга с помощью SMS для первоначального доступа, T1056 для Перехвата вводимых данных во время получения учетных данных, T1119 для Автоматизированного сбора данных пользователя и T1041 для эксфильтрации по каналу командования и контроля (C2), что в конечном итоге приводит к финансовым потерям. кража (T1657). Этот структурированный подход демонстрирует просчитанный ландшафт киберугроз, обусловленный постоянными стратегиями фишинга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние кампании по фишингу, нацеленные на Региональное транспортное управление Индии (RTO), используют системы e-Challan для финансового мошенничества, используя методы на основе браузера вместо вредоносного ПО для Android. Жертвы получают SMS-сообщения со ссылками на домены для фишинга, где злоумышленники подделывают данные challan, обманом заставляя пользователей совершать платежи с помощью кредитных или дебетовых карт, чтобы свести к минимуму возможность отслеживания. Выявленные методы из платформы MITRE ATT&CK включают в себя фишинг с помощью SMS (T1566.001), Перехват вводимых данных (T1056), автоматизированный сбор данных (T1119) и эксфильтрацию для Кражи денежных средств (T1657).
-----
В последнее время активизировалась деятельность по фишингу, связанная с тематикой Регионального транспортного управления (RTO), с акцентом на использование систем e-Challan для совершения финансовых махинаций в Индии. В отличие от предыдущих кампаний, в которых использовалось вредоносное ПО для Android, нынешняя волна опирается исключительно на методы фишинга на основе браузера, что позволяет злоумышленникам легче связаться с жертвами без необходимости в конкретной информации о жертвах. Этот метод позволяет динамично подделывать данные challan, тем самым обманывая пользователей, заставляя их осуществлять оплату с помощью кредитных или дебетовых карт, что облегчает отслеживание транзакций в меньшей степени по сравнению с UPI или net banking.
Технический анализ показывает, что пользователи перенаправляются на домен для фишинга, расположенный по IP-адресу 101.33.78.145, при нажатии на встроенный URL-адрес в SMS-сообщении. Сигналы срочности, встроенные в сообщения о фишинге, как правило, снижают эффективность предупреждений о безопасности на основе браузера от таких инструментов, как Microsoft Defender, поскольку жертвы часто игнорируют эти предупреждения из-за необходимости немедленно устранить предполагаемые проблемы.
Дальнейшее расследование выявило, что SMS-сообщения, ведущие на сайты фишинга, поступают с телефонного номера, зарегистрированного в Индии, с использованием местной мобильной сети Reliance Jio Infocomm Limited. Это указывает на то, что злоумышленники, вероятно, использовали подключение, выпущенное внутри страны, что повышает доверие к их усилиям по фишингу.
Эта продолжающаяся кампания означает, что фишинг на тему RTO остается мощным вектором угрозы, усиливая изощренный характер этих мошенничеств, которые включают реалистичные пользовательские интерфейсы и используют психологические триггеры, чтобы вызвать у жертв безотлагательность. Оперативная динамика этого мошенничества охватывает общую инфраструктуру, обслуживающую различные секторы, включая правительство, логистику и банковские и финансовые услуги (BFSI), что свидетельствует о профессионализации тактики фишинга, а не о случайных изолированных мошенничествах.
В контексте платформы MITRE ATT&CK используемые методы включают T1566.001 для фишинга с помощью SMS для первоначального доступа, T1056 для Перехвата вводимых данных во время получения учетных данных, T1119 для Автоматизированного сбора данных пользователя и T1041 для эксфильтрации по каналу командования и контроля (C2), что в конечном итоге приводит к финансовым потерям. кража (T1657). Этот структурированный подход демонстрирует просчитанный ландшафт киберугроз, обусловленный постоянными стратегиями фишинга.
#ParsedReport #CompletenessMedium
24-12-2025
Malicious Chrome Extensions Turn Browsers Into Credential Stealing Proxies
https://www.secureblink.com/cyber-security-news/malicious-chrome-extensions-turn-browsers-into-credential-stealing-proxies
Report completeness: Medium
Actors/Campaigns:
Phantom_shuttle
Threats:
Credential_stealing_technique
Aitm_technique
Credential_harvesting_technique
Victims:
Developers, Cloud engineers, Ecommerce sector, Finance sector, Foreign trade tooling users, Enterprise chrome users
Industry:
E-commerce, Financial
TTPs:
IOCs:
Domain: 1
File: 1
Email: 1
IP: 1
Soft:
Chrome, twitter, Windows PowerShell, Squid
Functions:
Get-ChildItem
Languages:
javascript
YARA: Found
24-12-2025
Malicious Chrome Extensions Turn Browsers Into Credential Stealing Proxies
https://www.secureblink.com/cyber-security-news/malicious-chrome-extensions-turn-browsers-into-credential-stealing-proxies
Report completeness: Medium
Actors/Campaigns:
Phantom_shuttle
Threats:
Credential_stealing_technique
Aitm_technique
Credential_harvesting_technique
Victims:
Developers, Cloud engineers, Ecommerce sector, Finance sector, Foreign trade tooling users, Enterprise chrome users
Industry:
E-commerce, Financial
TTPs:
IOCs:
Domain: 1
File: 1
Email: 1
IP: 1
Soft:
Chrome, twitter, Windows PowerShell, Squid
Functions:
Get-ChildItem
Languages:
javascript
YARA: Found
Secureblink
Malicious Chrome Extensions Turn Browsers Into Credential Stealing Proxies
Two malicious Chrome extensions route traffic through attacker proxies to harvest credentials from 170+ sites — remove, block, and hunt now.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-12-2025 Malicious Chrome Extensions Turn Browsers Into Credential Stealing Proxies https://www.secureblink.com/cyber-security-news/malicious-chrome-extensions-turn-browsers-into-credential-stealing-proxies Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное расширение Chrome "Phantom Shuttle" работает с 2017 года и способно манипулировать веб-трафиком и собирать учетные данные с более чем 170 веб-сайтов. Он внедряет вредоносный JavaScript на веб-страницы для декодирования учетных данных прокси-сервера и использует метод состязательного прокси-сервера для перехвата данных веб-сеанса, используя методы, подобные тем, которые перечислены в MITRE ATT&CK framework (T1176 и T1557). Расширение взаимодействует с сервером управления для извлечения конфиденциальной информации, используя запутывание, чтобы избежать обнаружения.
-----
Вредоносные расширения Chrome, конкретно обозначенные как "Phantom Shuttle", активны по меньшей мере с 2017 года и имеют возможность манипулировать веб-трафиком для сбора учетных записей с более чем 170 веб-сайтов. В этой атаке используется метод, при котором расширение внедряет вредоносный JavaScript на веб-страницы, позволяя ему декодировать жестко закодированные учетные данные прокси-сервера и обрабатывать проблемы аутентификации с помощью прокси-серверов, контролируемых злоумышленником. Настраивая сценарий автоматической настройки прокси-сервера (PAC), расширение направляет трафик через эти прокси-серверы, специально ориентируясь на сайты с высокой стоимостью для извлечения учетных данных.
Работа расширения характеризуется тем, что в него встроен прослушиватель браузера, который автоматически отвечает на запросы аутентификации, что облегчает беспрепятственный сбор учетных записей. Вредоносное расширение взаимодействует со своим сервером командования и контроля (C2), поддерживая частоту сердечных сокращений, чтобы отфильтровать конфиденциальную информацию, такую как файлы cookie, поля форм и токены аутентификации, обратно злоумышленникам. Ключевые технические артефакты включают запутанные функции JavaScript, определенные строки, используемые для расшифровки учетных данных, и скрипт PAC, который направляет трафик на серверы злоумышленников.
Поток атак может быть сопоставлен с несколькими методами в платформе MITRE ATT&CK, включая T1176 (расширения браузера) и T1557 (Злоумышленник посередине), поскольку он эффективно реализует враждебный прокси-сервер для перехвата и захвата данных веб-сеанса. Кроме того, злоумышленники используют методы обфускации (T1027), чтобы скрыть свой вредоносный код, что усложняет усилия по обнаружению.
В ответ на эту угрозу рекомендуются немедленные действия, включая удаление вредоносных расширений с управляемых устройств и блокировку сетевого трафика на идентифицированный домен C2 и IP-адреса. Организациям рекомендуется принудительно сбросить пароль для учетных записей, подвергшихся воздействию, и применить анализ телеметрии сети и браузера для обнаружения любых аномалий, связанных с вредоносным поведением.
Для смягчения последствий в среднесрочной перспективе организациям следует рассмотреть возможность внедрения строгих политик внесения расширений в белый список, совершенствования систем обнаружения сетевых аномалий и внедрения передовых решений EDR для сканирования двоичных шаблонов, указывающих на такие расширения. Риск, связанный с этой атакой, оценивается как высокий, особенно учитывая ее потенциальное воздействие на конфиденциальные данные, связанные с управлением идентификационными данными, облачными ресурсами и финансовой информацией. Пострадавших секторах числе разработчиков технологий, облачных инженеров и финансовых услуг, с заметным акцентом на группы, работающей в торговле с Китаем, который может быть специально нацелен на такого рода угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное расширение Chrome "Phantom Shuttle" работает с 2017 года и способно манипулировать веб-трафиком и собирать учетные данные с более чем 170 веб-сайтов. Он внедряет вредоносный JavaScript на веб-страницы для декодирования учетных данных прокси-сервера и использует метод состязательного прокси-сервера для перехвата данных веб-сеанса, используя методы, подобные тем, которые перечислены в MITRE ATT&CK framework (T1176 и T1557). Расширение взаимодействует с сервером управления для извлечения конфиденциальной информации, используя запутывание, чтобы избежать обнаружения.
-----
Вредоносные расширения Chrome, конкретно обозначенные как "Phantom Shuttle", активны по меньшей мере с 2017 года и имеют возможность манипулировать веб-трафиком для сбора учетных записей с более чем 170 веб-сайтов. В этой атаке используется метод, при котором расширение внедряет вредоносный JavaScript на веб-страницы, позволяя ему декодировать жестко закодированные учетные данные прокси-сервера и обрабатывать проблемы аутентификации с помощью прокси-серверов, контролируемых злоумышленником. Настраивая сценарий автоматической настройки прокси-сервера (PAC), расширение направляет трафик через эти прокси-серверы, специально ориентируясь на сайты с высокой стоимостью для извлечения учетных данных.
Работа расширения характеризуется тем, что в него встроен прослушиватель браузера, который автоматически отвечает на запросы аутентификации, что облегчает беспрепятственный сбор учетных записей. Вредоносное расширение взаимодействует со своим сервером командования и контроля (C2), поддерживая частоту сердечных сокращений, чтобы отфильтровать конфиденциальную информацию, такую как файлы cookie, поля форм и токены аутентификации, обратно злоумышленникам. Ключевые технические артефакты включают запутанные функции JavaScript, определенные строки, используемые для расшифровки учетных данных, и скрипт PAC, который направляет трафик на серверы злоумышленников.
Поток атак может быть сопоставлен с несколькими методами в платформе MITRE ATT&CK, включая T1176 (расширения браузера) и T1557 (Злоумышленник посередине), поскольку он эффективно реализует враждебный прокси-сервер для перехвата и захвата данных веб-сеанса. Кроме того, злоумышленники используют методы обфускации (T1027), чтобы скрыть свой вредоносный код, что усложняет усилия по обнаружению.
В ответ на эту угрозу рекомендуются немедленные действия, включая удаление вредоносных расширений с управляемых устройств и блокировку сетевого трафика на идентифицированный домен C2 и IP-адреса. Организациям рекомендуется принудительно сбросить пароль для учетных записей, подвергшихся воздействию, и применить анализ телеметрии сети и браузера для обнаружения любых аномалий, связанных с вредоносным поведением.
Для смягчения последствий в среднесрочной перспективе организациям следует рассмотреть возможность внедрения строгих политик внесения расширений в белый список, совершенствования систем обнаружения сетевых аномалий и внедрения передовых решений EDR для сканирования двоичных шаблонов, указывающих на такие расширения. Риск, связанный с этой атакой, оценивается как высокий, особенно учитывая ее потенциальное воздействие на конфиденциальные данные, связанные с управлением идентификационными данными, облачными ресурсами и финансовой информацией. Пострадавших секторах числе разработчиков технологий, облачных инженеров и финансовых услуг, с заметным акцентом на группы, работающей в торговле с Китаем, который может быть специально нацелен на такого рода угроз.
#ParsedReport #CompletenessLow
23-12-2025
Fake "Stable Genesis Airdrop" Campaign Delivering a Crypto Wallet Drainer via Phishing
https://malwr-analysis.com/2025/12/23/fake-stable-genesis-airdrop-campaign-delivering-a-crypto-wallet-drainer-via-phishing/
Report completeness: Low
Actors/Campaigns:
Stable_genesis_airdrop
Threats:
Credential_harvesting_technique
Industry:
Petroleum, Financial
IOCs:
Url: 1
Domain: 2
Wallets:
metamask, coinbase, trezor, rabby
Crypto:
ethereum, uniswap, binance
Languages:
javascript
23-12-2025
Fake "Stable Genesis Airdrop" Campaign Delivering a Crypto Wallet Drainer via Phishing
https://malwr-analysis.com/2025/12/23/fake-stable-genesis-airdrop-campaign-delivering-a-crypto-wallet-drainer-via-phishing/
Report completeness: Low
Actors/Campaigns:
Stable_genesis_airdrop
Threats:
Credential_harvesting_technique
Industry:
Petroleum, Financial
IOCs:
Url: 1
Domain: 2
Wallets:
metamask, coinbase, trezor, rabby
Crypto:
ethereum, uniswap, binance
Languages:
javascript
Malware Analysis, Phishing, and Email Scams
Fake “Stable Genesis Airdrop” Campaign Delivering a Crypto Wallet Drainer via Phishing
In this analysis, I investigated a suspicious email titled “Stable Genesis Airdrop: Claim for Eligible Wallets Now Open”, which redirected victims to the domain: hxxps://airdrop.stablereward[.]clai…
CTT Report Hub
#ParsedReport #CompletenessLow 23-12-2025 Fake "Stable Genesis Airdrop" Campaign Delivering a Crypto Wallet Drainer via Phishing https://malwr-analysis.com/2025/12/23/fake-stable-genesis-airdrop-campaign-delivering-a-crypto-wallet-drainer-via-phishing/ …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания "Stable Genesis Airdrop" - это сложная операция криптовалютного фишинга, направленная на кражу фраз для восстановления кошельков пользователей, позволяющая злоумышленникам получить доступ к криптоактивам и контролировать их. Технический анализ показал, что пользовательский интерфейс кампании полностью имитирует легальные платформы, что повышает ее эффективность. Кроме того, механизм фишинга не только обеспечивает доступ к кошельку, но и позволяет осуществлять несанкционированные транзакции в блокчейне, что представляет значительную угрозу для пользователей, потенциально приводя к значительным финансовым потерям.
-----
Кампания "Stable Genesis Airdrop" стала заметной операцией криптовалютного фишинга, использующей тактику социальной инженерии, направленную на то, чтобы обманом заставить пользователей скомпрометировать свои крипто-кошельки. Операция продемонстрировала изощренный подход к краже конфиденциальной пользовательской информации путем нацеливания на фразы для восстановления кошелька, которые являются неотъемлемой частью доступа к криптовалютным активам и контроля над ними.
Технический анализ кампании участвует исполнения песочнице, которая подтвердила злого умысла за фишинг операции. Через проверки трафика, аналитики получили возможность наблюдать за каналы связи, используемые злоумышленниками для облегчения их вредоносной деятельности. Пользовательский интерфейс кампании в (UI) также была проверена, показывая, что он был разработан, чтобы имитировать законных платформах криптовалют, тем самым повышая его эффективность обмана пользователей.
Важно отметить, что механизм фишинга, используемый в этой кампании, направлен не только на получение доступа к кошелькам, но и на авторизацию несанкционированных транзакций в блокчейне. Такой двойной подход представляет серьезную угрозу, поскольку позволяет акторам, стоящим за кампанией, совершать транзакции без ведома или согласия владельца кошелька, что приводит к прямым денежным потерям. Кампания подчеркивает растущую тенденцию в области киберугроз, когда злоумышленники сочетают тактику фишинга с передовыми методами компрометации цифровых кошельков в криптовалютном пространстве.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания "Stable Genesis Airdrop" - это сложная операция криптовалютного фишинга, направленная на кражу фраз для восстановления кошельков пользователей, позволяющая злоумышленникам получить доступ к криптоактивам и контролировать их. Технический анализ показал, что пользовательский интерфейс кампании полностью имитирует легальные платформы, что повышает ее эффективность. Кроме того, механизм фишинга не только обеспечивает доступ к кошельку, но и позволяет осуществлять несанкционированные транзакции в блокчейне, что представляет значительную угрозу для пользователей, потенциально приводя к значительным финансовым потерям.
-----
Кампания "Stable Genesis Airdrop" стала заметной операцией криптовалютного фишинга, использующей тактику социальной инженерии, направленную на то, чтобы обманом заставить пользователей скомпрометировать свои крипто-кошельки. Операция продемонстрировала изощренный подход к краже конфиденциальной пользовательской информации путем нацеливания на фразы для восстановления кошелька, которые являются неотъемлемой частью доступа к криптовалютным активам и контроля над ними.
Технический анализ кампании участвует исполнения песочнице, которая подтвердила злого умысла за фишинг операции. Через проверки трафика, аналитики получили возможность наблюдать за каналы связи, используемые злоумышленниками для облегчения их вредоносной деятельности. Пользовательский интерфейс кампании в (UI) также была проверена, показывая, что он был разработан, чтобы имитировать законных платформах криптовалют, тем самым повышая его эффективность обмана пользователей.
Важно отметить, что механизм фишинга, используемый в этой кампании, направлен не только на получение доступа к кошелькам, но и на авторизацию несанкционированных транзакций в блокчейне. Такой двойной подход представляет серьезную угрозу, поскольку позволяет акторам, стоящим за кампанией, совершать транзакции без ведома или согласия владельца кошелька, что приводит к прямым денежным потерям. Кампания подчеркивает растущую тенденцию в области киберугроз, когда злоумышленники сочетают тактику фишинга с передовыми методами компрометации цифровых кошельков в криптовалютном пространстве.