#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Bincrypter - это инструмент обфускации, используемый для сокрытия двоичных файлов при кибератаках, препятствующий обнаружению путем изменения структуры двоичного файла. Этот инструмент использует специальные скрипты для маскировки полезной нагрузки вредоносного ПО, что затрудняет выявление угроз традиционными мерами безопасности. Кроме того, был создан дополнительный инструмент под названием bindecrypter для автоматизации процесса деобфускации, помогающий аналитикам обратить вспять обфускацию Bincrypter и восстановить исходные двоичные файлы для лучшего анализа.
-----

Bincrypter - это инструмент обфускации, обычно используемый для сокрытия двоичных файлов, особенно в сценариях кибератак. Он часто встречается в различных образцах вредоносного ПО, где играет решающую роль в маскировке истинной природы полезной нагрузки. Основной принцип обфускации Bincrypter заключается в изменении структуры двоичного файла, что затрудняет обнаружение вредоносного содержимого традиционными механизмами безопасности.

В статье подчеркивается важность анализа методов обфускации, дающих представление о конкретных сценариях, используемых для процесса обфускации. Эти скрипты манипулируют двоичным файлом, чтобы скрыть его функциональность и назначение, избегая типичных методов обнаружения, используемых в области кибербезопасности. Разбираясь в этих методах, аналитики могут лучше понять стратегии, применяемые злоумышленниками для распространения своего вредоносного ПО незамеченным.

Для расширения возможностей обнаружения в статью также включено правило Yara, специально разработанное для идентификации двоичных файлов, которые были запутаны с помощью Bincrypter. Правила Yara играют важную роль в автоматизации обнаружения вредоносного ПО, предоставляя основу для сопоставления шаблонов внутри файлов. Это способствует более эффективному выявлению угроз и реагированию групп безопасности, сталкивающихся с запутанными угрозами.

Более того, авторы разработали дополнительный инструмент под названием bindecrypter, направленный на автоматизацию процесса деобфускации. Этот инструмент помогает аналитикам устранить обфускацию, применяемую Bincrypter, тем самым восстанавливая исходный двоичный файл в его понятной форме. Интеграция таких автоматизированных решений имеет решающее значение в борьбе с вызовами, создаваемыми сложными методами запутывания в условиях киберугроз.

#ParsedReport #CompletenessHigh
22-12-2025

GeoServer is being attacked by various coin miners.

https://asec.ahnlab.com/ko/91678/

Report completeness: High

Actors/Campaigns:
Earth_baxia

Threats:
Netcat_tool
Spear-phishing_technique
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Xmrig_miner
Nssm_tool
Anydesk_tool

Victims:
Geoserver installations

Geo:
Taiwan

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.22.6, <2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2, 30.0, 31.0)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1105, T1190, T1204.002

IOCs:
File: 14
Command: 2
Domain: 17
IP: 7
Coin: 4
Hash: 5
Url: 5

Soft:
GeoServer, GeoServers, Linux, systemd, Windows Defender, WebLogic

Crypto:
monero

Algorithms:
base64, md5

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GeoServer, эксплуатируемый с помощью уязвимости CVE-2024-36401, сталкивается с атаками, позволяющими Удаленное Выполнение Кода, при этом злоумышленники устанавливают вредоносное ПО, в первую очередь майнеры монет, на скомпрометированные системы. Были идентифицированы три различных типа злоумышленников: один использует PowerShell и Bash для команд, другой использует certutil для удаления майнеров XMRig, а третий устанавливает AnyDesk вместе с coin miner, возможно, для дальнейшей полезной нагрузки. Атаки оказывают воздействие как на платформы Windows, так и на Linux, обеспечивая Несанкционированное использование ресурсов для майнинга Monero и возможность развертывания большего количества вредоносного ПО или извлечения конфиденциальных данных.
-----

GeoServer, сервер геоинформационной системы (ГИС) с открытым исходным кодом, написанный на Java, подвергался постоянным атакам из-за недавно обнаруженной уязвимости (CVE-2024-36401), которая позволяет Удаленное Выполнение Кода неавторизованными пользователями. Злоумышленники эксплуатируют уязвимость в установке различного рода вредоносное ПО, в первую очередь добытчики монет, в пораженных систем.

Были выявлены три различных типа злоумышленников, использующих эту уязвимость. Первый тип использует тот же адрес кошелька, что и в предыдущих инцидентах, и выполняет команды PowerShell, а также использует "bash.exe " для запуска сценариев Bash. Второй тип использует команду certutil для установки дроппера в формате RAR SFX, который содержит вредоносное ПО XMRig, используемое для криптомайнинга, и информацию о конфигурации. Третий тип злоумышленников примечателен тем, что устанавливает AnyDesk в дополнение к майнеру монет, используя специальный загрузчик для получения дополнительной полезной нагрузки; однако специфика этого загружаемого контента остается неизвестной.

Эти атаки происходят в средах, в которых запущены уязвимые экземпляры GeoServer, которые включают в себя как платформы Windows, так и Linux. Установленные майнеры монет захватывают системные ресурсы для майнинга криптовалюты Monero от имени злоумышленников. Помимо непосредственного воздействия эксплуатации ресурсов для майнинга, злоумышленники могут использовать скомпрометированные системы для развертывания дополнительного вредоносного ПО, извлечения конфиденциальных данных или выполнения дальнейших вредоносных действий с помощью таких инструментов, как NetCat. Постоянный характер этих атак подчеркивает острую необходимость своевременного исправления и принятия мер по устранению известных уязвимостей в широко используемом программном обеспечении.

#ParsedReport #CompletenessLow
23-12-2025

Recap of a Suspicious Surge in Cobalt Strike

https://censys.com/blog/recap-of-a-suspicious-surge-in-cobalt-strike

Report completeness: Low

Threats:
Cobalt_strike_tool

Geo:
Malaysia, American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1583, T1588.002

IOCs:
IP: 7

Algorithms:
deflate, gzip, exhibit

Languages:
javascript

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с начала декабря 2025 года по 18 декабря наблюдался значительный рост числа слушателей Cobalt Strike, особенно из автономных систем AS138415 (YANCY) и AS133199 (SonderCloud LTD). Это увеличение свидетельствует об эскалации вредоносной активности, когда злоумышленники могут создавать каналы связи для развертывания вредоносного ПО и управления системой. Распространенность этих прослушивателей может указывать на новые или продолжающиеся кампании атак, подчеркивая необходимость дальнейшего расследования сетей, привязанных к этим автономным системам.
-----

В период с начала декабря 2025 года по 18 декабря произошло заметное увеличение развертывания прослушивателей Cobalt Strike, которые обычно используются для командования и контроля в кибероперациях. Censys сообщила, что этот всплеск был вызван двумя конкретными автономными системами, идентифицированными как AS138415 (YANCY) и AS133199 (SonderCloud LTD).

Cobalt Strike - это инструмент тестирования на проникновение, который завоевал популярность среди злоумышленников благодаря своей способности имитировать продвинутые атаки и помогать в действиях после эксплуатации. Увеличение числа прослушивателей предполагает потенциальную эскалацию вредоносной активности с использованием этого инструмента, что, в частности, указывает на организованные усилия по созданию каналов связи для развертывания вредоносного ПО или управления скомпрометированными системами.

Наблюдение за слушателями в этих двух автономных системах указывает на географические или инфраструктурные закономерности в активности киберугроз, которые могут дать представление о тактике, используемой связанными с ними злоумышленниками. В сфере кибербезопасности повышенная активность слушателей обычно коррелирует либо с новыми кампаниями атак, либо с ответными мерами за существующие. Идентификация AS138415 и AS133199 в качестве источников всплеска может привести к дальнейшим расследованиям связанных с ними сетей и любых возможных связей с известными хакерскими группировками.

Эта появляющаяся тенденция прослушивания Cobalt Strike требует тщательного мониторинга, чтобы определить намерения, стоящие за развертыванием, и оценить любые последующие воздействия на организации и их оборонительные позиции. Команды по кибербезопасности должны сохранять бдительность в отношении этого показателя компрометации и принимать необходимые защитные меры для снижения рисков, связанных с этими типами угроз.

#ParsedReport #CompletenessHigh
19-12-2025

BRICKSTORM Backdoor

https://www.cisa.gov/sites/default/files/2025-12/AR25-338A_Malware_Analysis_Report_Brickstorm_Backdoor.pdf

Report completeness: High

Actors/Campaigns:
Quietcrabs
Warp_panda
0ktapus

Threats:
Brickstorm
Yamux_tool
Credential_dumping_technique

Victims:
Government, Critical infrastructure, Technology sector, Legal sector

Industry:
Critical_infrastructure, Government

Geo:
Canadian, China

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 9
Hash: 29

Soft:
sudo, ESXI, Active Directory Federation Services, ADFS, Active Directory, PowerCLI, Linux, Nessus, Ivanti

Algorithms:
sha256, xor, md5, sha1, sha512

Functions:
Set-ExecutionPolicy, Get-Module

Win API:
pie

Languages:
rust, powershell, java, javascript, golang

YARA: Found
SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BRICKSTORM - это бэкдор - вредоносное ПО, используемое китайскими государственными акторами, предназначенное для долгосрочного доступа и скрытых операций в системах-жертвах. Он использует веб-серверы в демилитаризованной зоне, используя Веб-шелл для первоначального доступа, и повышает привилегии с помощью команды sudo. BRICKSTORM подключается к своему серверу управления с помощью зашифрованных сообщений, выполняет различные процедуры закрепления и самоконтроля и демонстрирует различное поведение в образцах, включая методы связи C2 и эксфильтрации данных.
-----

BRICKSTORM - это бэкдор - вредоносное ПО, идентифицированное как используемое спонсируемыми государством кибер-акторами из Китайской Народной Республики (КНР) для получения долгосрочного доступа к системам жертв. Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и его партнерские организации предоставили подробную информацию об этом вредоносном ПО, основанную на анализе множества образцов. Вредоносное ПО классифицируется как бэкдор пользовательского исполняемого файла и связываемого формата (ELF), созданный преимущественно с помощью Go, с включенными обновлениями для дополнительных образцов к концу декабря 2025 года.

Вектор первоначального доступа для BRICKSTORM включал использование веб—сервера в демилитаризованной зоне (DMZ) жертвы, где злоумышленники использовали Веб-шелл, что указывает на метод T1505.003, для проникновения в организацию. После этого они повысили свои привилегии с помощью команды sudo (T1548.003) и установили закрепление, поместив вредоносное ПО в системный каталог /etc/sysconfig/, настроив файл инициализации таким образом, чтобы гарантировать выполнение вредоносного ПО при загрузке системы.

Функциональность BRICKSTORM's специально разработана для скрытных операций, предлагая возможности для настройки среды и поддержания надежного соединения командования и контроля (C2). После выполнения он запускает несколько проверок функциональности, позволяя ему переустановить и перезапустить себя, если он обнаружит неправильную работу. Вредоносное ПО использует встроенные процедуры самоконтроля, называемые main_startNew и main_selfWatcher в различных образцах, чтобы гарантировать постоянное закрепление.

После активации вредоносное ПО устанавливает безопасное соединение со своим сервером C2, используя зашифрованные сообщения для обеспечения полного контроля над зараженными системами. Это соединение использует различные методы выполнения команд, такие как генерация DNS-запросов для связи с доменами C2 через DNS-over-HTTPS (DoH) и использование SOCKS-прокси для перемещения внутри компании и туннелирования данных.

Конкретное поведение варьируется в зависимости от образцов. Например, более ранние образцы создают зашифрованный DNS-запрос для своих доменов C2, в то время как более поздние образцы используют другие методы, такие как извлечение конфигурации из переменных среды или использование конфигураций TLS. Примечательно, что некоторые образцы демонстрируют поддержку виртуализированных сред через интерфейсы VSOCK для поддержания связи и облегчения эксфильтрации.

Аналитические отчеты включают конкретные индикаторы компрометации (IOCs) и правила обнаружения, включая сигнатуры YARA и Sigma, разработанные CISA, позволяющие организациям идентифицировать активность BRICKSTORM. Всем организациям рекомендуется активно применять эти механизмы обнаружения и сообщать о любых случаях использования этого вредоносного ПО соответствующим органам для дальнейшего расследования.

#llm #technique

ObliInjection: Order-Oblivious Prompt Injection Attack to LLM Agents with Multi-source Data

https://arxiv.org/html/2512.09321v2

#ParsedReport #CompletenessHigh
28-12-2025

Attackers exploit CVE-2025-55182 vulnerability in attacks on Russian companies

https://bi.zone/expertise/blog/zloumyshlenniki-ekspluatiruyut-uyazvimost-cve-2025-55182-v-atakakh-na-rossiyskie-kompanii/

Report completeness: High

Threats:
Xmrig_miner
React2shell_vuln
Kaiji
Rustobot
Sliver_c2_tool
Synflood_technique
Ackflood_technique
Udpflood_technique
Runnv
Cobalt_strike_tool
Crossc2_tool
Tactical_rmm_tool
Vshell
Etherrat
Dns_tunneling_technique
Tcpflood_technique
Garble_tool

Victims:
Russian companies

Industry:
E-commerce

Geo:
Russian, Russia

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1059.006, T1071.001, T1105, T1190, T1496

IOCs:
File: 13
Url: 34
IP: 19
Domain: 17
Hash: 42
Coin: 3

Soft:
systemd, crontab, macOS, Linux, Docker, curl, UNIX, Node.js, OpenAI, PostgreSQL, have more...

Wallets:
metamask

Crypto:
ethereum, bitcoin

Algorithms:
sha256, aes, aes-128-cbc, base64, gzip, aes-256-cbc, xor

Languages:
python, powershell, rust

Links:
https://github.com/C3Pool/xmrig\_setup/blob/master/setup\_c3pool\_miner.sh?roistat\_visit=1939431
have more...
https://github.com/amidaware/tacticalrmm/?roistat\_visit=1939431

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки против российских компаний использовали уязвимость CVE-2025-55182 во фреймворке React, что способствовало развертыванию майнера криптовалют XMRig и других вредоносных программ, таких как бэкдоры и ботнет. Злоумышленники выполняли команды на скомпрометированных хостах, проводя разведку с помощью команд в кодировке Base64 и используя такие инструменты, как Cobalt Strike, адаптированные для UNIX-систем. Кроме того, были развернуты средства удаленного администрирования EtherRAT и Tactical RMM, что указывает на устойчивый ландшафт угроз, использующий множество эксплуатируемых уязвимостей для различных вредоносных действий.
-----

Недавние кибератаки против российских компаний использовали уязвимость CVE-2025-55182, в первую очередь нацеленную на фреймворк React для облегчения различных вредоносных действий. Эти атаки в основном были связаны с развертыванием криптовалютного майнера XMRig среди других вредоносных программ, включая бэкдоры и ботнет.

В конкретных случаях атаки злоумышленники получали контроль над скомпрометированными хостами, работающими в контейнерных средах. Они выполнили несколько команд, воспользовавшись уязвимостью React2Shell. Например, действия по разведке включали выполнение команд, закодированных в Base64, для сбора информации о скомпрометированных системах, демонстрирующих намерение злоумышленников расширить свой контроль и собрать разведданные перед развертыванием дальнейших операций.

Расследования также выявили распространение различных виртуальных частных операторов (ВПО), не ограничивающееся российским регионом, что указывает на более широкий масштаб эксплуатации, связанный с уязвимостью React2Shell. Среди вредоносных инструментов, выявленных в ходе этих действий, были отмечены полезные программы Cobalt Strike, специально разработанные для UNIX-систем, использующих фреймворк CrossC2. Эти полезные нагрузки характеризовались их упаковкой с использованием UPX, с конфигурациями, встроенными в сами исполняемые файлы.

Дальнейший анализ выявил наличие инструмента удаленного администрирования Tactical RMM, который злоумышленники загрузили во время эксплуатации React2Shell. Доступ к инструменту был осуществлен по определенному URL-адресу, предназначенному для установки, с указанием четкого способа доставки вредоносного программного обеспечения. Кроме того, исполняемый файл VShell, который действует как загрузчик бэкдора, подключается к заранее определенному серверу для отправки и получения данных, что усиливает закрепление злоумышленниками контроля над зараженными системами.

Более того, также было обнаружено, что EtherRAT распространяется посредством использования уязвимости React2Shell в упомянутых атаках. Этот RAT ранее был проанализирован экспертами по кибербезопасности, что указывает на его растущее использование киберпреступниками.

Наконец, было явно отмечено использование злоумышленниками майнера XMRig, когда они выполнили команду для завершения всех процессов, за исключением самого майнера, и инициировали ее выполнение с определенными параметрами для подключения к назначенному серверу, что укрепило усилия злоумышленников по получению дохода за счет майнинга криптовалюты. Общие выводы подчеркивают наличие значительного ландшафта угроз, использующих выявленные уязвимости для организации целого ряда киберпреступных действий.

#ParsedReport #CompletenessLow
26-12-2025

Unpacking SantaStealer A Stealer Rebranded from BlueLine Stealer

https://medium.com/@maurice.fielenbach/unpacking-santa-stealer-a-stealer-rebranded-from-blueline-stealer-e74f429ce11d

Report completeness: Low

Threats:
Bluelinestealer
Santastealer
Credential_harvesting_technique
Elevator
Process_hollowing_technique

Victims:
Browser users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055.012, T1056.004, T1106, T1555.003, T1620

IOCs:
Hash: 2
File: 1

Soft:
Telegram, Chrome

Algorithms:
sha256, chacha20

Functions:
DllMain, ChromeElevator

Win API:
GetModuleHandleA, GetProcAddress, VirtualAlloc, VirtualFree, LoadLibraryA, VirtualProtect, FindResourceW, LoadResource, LockResource, SizeofResource, have more...

Languages:
python

Links:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SantaStealer, а вредоносное ПО происходит от Blueline Stealer, функционирует как PE32 DLL, которые собирает учетные данные учетные данные с помощью приемов отражения нагрузки. Его работа сосредотачивается вокруг функцию RunTest, отвечающая за распаковку и выполнение зашифрованной полезной нагрузки, в то время как его динамическое разрешение API обеспечивает совместимость как с 32-разрядными и 64-разрядных систем. Самое вредоносное ПО особенности модуля с именем ChromElevator, который использует внедрение в пустой процесс, чтобы захватить учетные данные из хромо-браузерах на основе использования в процессе расшифровки связанных с методами шифрования ChaCha20.
-----

SantaStealer, вариант вредоносного ПО, эволюционировавший от BlueLine Stealer, был проанализирован на предмет его функциональности и структуры, в частности, с акцентом на его способность собирать учетные данные браузера, используя методы отражающей загрузки. Вредоносное ПО было идентифицировано как библиотека DLL PE32 с определенным хэшем SHA256, предоставленным для идентификации (4086e6f0deee112dd23d8b8901dd862ef3c989c137f33efa843a1a4c830bafd6). Основной точкой входа вредоносного ПО является функция с именем runTest, которая отвечает за распаковку кода, поиск зашифрованной полезной нагрузки, ее расшифровку и выполнение своих вредоносных функций.

Важным аспектом работы SantaStealer's является его метод Динамического разрешения API, позволяющий ему взаимодействовать с различными компонентами, необходимыми для его функционирования. Загрузчик обращается к базовым перемещениям, которые включают в себя обработку различных типов перемещений, что указывает на дизайн, способный функционировать как на 32-разрядных, так и на 64-разрядных архитектурах. Такая адаптивность имеет решающее значение для обеспечения его скрытности во время выполнения.

Центральным элементом механизма кражи является использование полезной нагрузки, получившей название ChromElevator. Этот конкретный модуль предназначен для браузеров на базе Chromium и использует пользовательскую функцию разрешения экспорта для доступа к необходимым функциям, таким как инициализация, обработка данных браузера и очистка. Извлечение пар ключ/одноразовый номер непосредственно из PE-файла подчеркивает упрощение процесса расшифровки, позволяя напрямую взаимодействовать с зашифрованной полезной нагрузкой вредоносного ПО.

Для расшифровки используются такие инструменты, как Python или CyberChef, которые применяют последовательность из трех операций шифрования ChaCha20 для доступа к полезной нагрузке. После успешного расшифровывания результирующий модуль ChromElevator основан на проекте с открытым исходным кодом, который выполняет Внедрение в пустой процесс - ввод кода непосредственно в процесс целевого браузера для получения учетных данных.

#ParsedReport #CompletenessMedium
28-12-2025

DriverFixer0428 macOS Credential Stealer

https://www.lunchm0n3y.com/blogs-1/driverfixer0428-macos-credential-stealer

Report completeness: Medium

Actors/Campaigns:
Contagious_interview

Threats:
Driverfixer0428
Flexibleferret
Frostyferret
Credential_harvesting_technique

Victims:
Macos users

Geo:
North korea, Dprk

TTPs:
Tactics: 4
Technics: 5

IOCs:
File: 4
Hash: 1

Soft:
macOS, chrome, Dropbox, Google Chrome

Algorithms:
sha256

Languages:
swift

Platforms:
arm, apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DriverFixer0428 - это вредоносное ПО, Credential-stealing, предназначенное для macOS и связанное с кампанией Contagious Interview в Северной Корее. Он использует методы социальной инженерии для имитации законных запросов macOS, извлекая собранные учетные данные через API Dropbox. Расширенные стратегии уклонения включают проверку API во время выполнения для сред виртуальных машин, предотвращая обнаружение во время анализа и поддерживая неактивное состояние, когда оно идентифицируется как виртуализированное.
-----

DriverFixer0428 - это изощренная Credential-stealing вредоносная ПО, предназначенная для macOS, связанная с кампанией Северной Кореи по Contagious Interview. Статический и динамический анализ показывают, что это вредоносное ПО маскируется под законную системную утилиту, используя обманчивые диалоги социальной инженерии, имитирующие подлинные приглашения macOS и запросы разрешений Google Chrome для сбора учетных данных пользователя. Извлеченные учетные данные фильтруются через API облачного хранилища Dropbox, демонстрируя плавную интеграцию с законными сервисами для облегчения кражи данных.

Вредоносное ПО демонстрирует передовые методы уклонения, в частности, благодаря умелому управлению обнаружением виртуальных машин (ВМ). Анализ, используя символы отладки обнаружил, что вместо того, чтобы полагаться на статическую строку сравнения, DriverFixer0428 выполняет проверки времени выполнения API, чтобы определить, является ли он работает в виртуальной среде. Этот подход включает в себя запрос к API системы, такие как `sysctlbyname и IOKit реестра запросов, а также через NSScreen векторы обнаружения для выяснения характеристик среды отображения. При этих обнаружений получится, вредоносное ПО воздерживается от выполнения его вредоносный функционал, и вместо этого переходит в неактивное состояние, эффективно избегая обнаружения при анализе.

С точки зрения внутренней структуры, вредоносное ПО включает в себя 153 функции, со значимыми символами, связанными с его функциями сбора учетных записей и загрузки в Dropbox. Разборка определенных символов указывает на построение HTTP-заголовков и токенов OAuth, необходимых для связи с Dropbox. Анализ памяти выявил подробные строки, относящиеся к тактике социальной инженерии, используемой для того, чтобы обманом заставить жертв предоставить свои учетные данные для macOS.

В отчете также подчеркивается сетевая инфраструктура вредоносного ПО, отмечая, что ее показатели точно совпадают с результатами предыдущих анализов, таких как результаты FlexibleFerret от SentinelOne. Отсутствие соответствующего образца хэша в общедоступных хранилищах информации об угрозах позволяет предположить, что этот вариант, возможно, ранее не был задокументирован.