#ParsedReport #CompletenessMedium
28-12-2025

DriverFixer0428 macOS Credential Stealer

https://www.lunchm0n3y.com/blogs-1/driverfixer0428-macos-credential-stealer

Report completeness: Medium

Actors/Campaigns:
Contagious_interview

Threats:
Driverfixer0428
Flexibleferret
Frostyferret
Credential_harvesting_technique

Victims:
Macos users

Geo:
North korea, Dprk

TTPs:
Tactics: 4
Technics: 5

IOCs:
File: 4
Hash: 1

Soft:
macOS, chrome, Dropbox, Google Chrome

Algorithms:
sha256

Languages:
swift

Platforms:
arm, apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DriverFixer0428 - это вредоносное ПО, Credential-stealing, предназначенное для macOS и связанное с кампанией Contagious Interview в Северной Корее. Он использует методы социальной инженерии для имитации законных запросов macOS, извлекая собранные учетные данные через API Dropbox. Расширенные стратегии уклонения включают проверку API во время выполнения для сред виртуальных машин, предотвращая обнаружение во время анализа и поддерживая неактивное состояние, когда оно идентифицируется как виртуализированное.
-----

DriverFixer0428 - это изощренная Credential-stealing вредоносная ПО, предназначенная для macOS, связанная с кампанией Северной Кореи по Contagious Interview. Статический и динамический анализ показывают, что это вредоносное ПО маскируется под законную системную утилиту, используя обманчивые диалоги социальной инженерии, имитирующие подлинные приглашения macOS и запросы разрешений Google Chrome для сбора учетных данных пользователя. Извлеченные учетные данные фильтруются через API облачного хранилища Dropbox, демонстрируя плавную интеграцию с законными сервисами для облегчения кражи данных.

Вредоносное ПО демонстрирует передовые методы уклонения, в частности, благодаря умелому управлению обнаружением виртуальных машин (ВМ). Анализ, используя символы отладки обнаружил, что вместо того, чтобы полагаться на статическую строку сравнения, DriverFixer0428 выполняет проверки времени выполнения API, чтобы определить, является ли он работает в виртуальной среде. Этот подход включает в себя запрос к API системы, такие как `sysctlbyname и IOKit реестра запросов, а также через NSScreen векторы обнаружения для выяснения характеристик среды отображения. При этих обнаружений получится, вредоносное ПО воздерживается от выполнения его вредоносный функционал, и вместо этого переходит в неактивное состояние, эффективно избегая обнаружения при анализе.

С точки зрения внутренней структуры, вредоносное ПО включает в себя 153 функции, со значимыми символами, связанными с его функциями сбора учетных записей и загрузки в Dropbox. Разборка определенных символов указывает на построение HTTP-заголовков и токенов OAuth, необходимых для связи с Dropbox. Анализ памяти выявил подробные строки, относящиеся к тактике социальной инженерии, используемой для того, чтобы обманом заставить жертв предоставить свои учетные данные для macOS.

В отчете также подчеркивается сетевая инфраструктура вредоносного ПО, отмечая, что ее показатели точно совпадают с результатами предыдущих анализов, таких как результаты FlexibleFerret от SentinelOne. Отсутствие соответствующего образца хэша в общедоступных хранилищах информации об угрозах позволяет предположить, что этот вариант, возможно, ранее не был задокументирован.

#ParsedReport #CompletenessLow
28-12-2025

PSN Satellite Data Re-Listed, CryptoRipper Tool, and Chromium 0-Day Advertised

https://socradar.io/blog/psn-satellite-cryptoripper-chromium-data-breach/

Report completeness: Low

Threats:
Cryptoripper

Victims:
Pt pasifik satelit nusantara, Canadian individuals, Chromium based browser users, Cryptocurrency users

Geo:
Indonesia, Canadian, Canada, Indonesian

ChatGPT TTPs:
do not use without manual check
T1036, T1112, T1547.001, T1583

Soft:
Chromium, Google Chrome

Crypto:
bitcoin, ethereum, monero

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность на подпольных форумах выявила значительные киберугрозы, включая продажу 92-гигабайтного набора данных индонезийского спутникового оператора PT Pasifik Satelit Nusantara, содержащего конфиденциальные документы, связанные с Boeing и SpaceX, которые теперь предлагаются по сниженной цене. Кроме того, новое вредоносное ПО под названием "Crypto Ripper" предназначено для скрытого извлечения криптовалют и включает функции для обеспечения закрепления и защиты от завершения процесса. Кроме того, на аукцион также выставлен эксплойт zero-day, предназначенный для браузеров на базе Chromium, способный перенаправлять поисковые запросы пользователей на URL-адреса, определенные злоумышленником.
-----

Недавние наблюдения команды SOCRadar по Dark Web выявили несколько значительных подпольных действий, связанных с киберугрозами. Среди них - продажа значительного набора данных индонезийским спутниковым оператором PT Pasifik Satelit Nusantara (PSN). Сообщается, что набор данных, который занимает 92 ГБ, содержит конфиденциальные технические документы, связанные с известными сотрудниками, такими как Boeing и SpaceX. Похоже, что этот список является повторением предыдущего предложения, сделанного в мае 2025 года, с запрашиваемой ценой, заметно сниженной с 10 до 3 биткоинов, что указывает на потенциальную попытку злоумышленника привлечь покупателей, несмотря на то, что ранее предлагался тот же набор данных.

Кроме того, в поле зрения попал недавно выявленный инструмент для вредоносного ПО под названием "Crypto Ripper". Это вредоносное ПО разработано для скрытого извлечения криптовалют — в частности, Bitcoin, Ethereum и Monero — со взломанных устройств. Функциональность его конструктора позволяет вредоносным акторам без особых усилий создавать пользовательские исполняемые файлы. Кроме того, Crypto Ripper реализует стратегии закрепления, включая модификации системных реестров и создание ярлыков для запуска, и обладает функциями, которые помогают ему защищаться от попыток завершить свои процессы, демонстрируя изощренность вредоносного ПО.

Более того, команда Dark Web выявила аукцион, на котором предлагалось около 30 000 записей с информацией о канадских кредитных картах. Однако достоверность этих данных вызывает сомнения, поскольку сообщается всего о двух процентах случаев активации. Хотя в наборе данных могут отсутствовать функциональные финансовые инструменты, он содержит обширную личную информацию о физических лицах, что создает значительные проблемы с конфиденциальностью и безопасностью.

Наконец, был отмечен ценный список эксплойта zero-day, предназначенного для браузеров на базе Chromium. Этот эксплойт, предположительно способный повлиять на последние версии Google Chrome, продается как исполняемый файл для Windows и, как утверждается, обладает способностью перенаправлять все поисковые запросы пользователей на произвольные URL-адреса, установленные злоумышленником. Появление таких уязвимостей zero-day подчеркивает постоянные проблемы, с которыми сталкиваются веб-браузеры при защите от развивающихся киберугроз. В целом, эти события иллюстрируют постоянный и динамичный характер киберпреступности на подпольных форумах.

#ParsedReport #CompletenessLow
28-12-2025

NtKiller Malware Advertised on Dark Web With Claims of Antivirus and EDR Bypass

https://gbhackers.com/ntkiller-malware/

Report completeness: Low

Actors/Campaigns:
Alphaghoul (motivation: cyber_criminal)

Threats:
Ntkiller_tool
Byovd_technique
Uac_bypass_technique

ChatGPT TTPs:
do not use without manual check
T1562, T1587, T1588

Soft:
Twitter, WhatsApp, Windows security, Microsoft Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО NtKiller, продвигаемое злоумышленником "AlphaGhoul" на форумах Dark Web, разработано для обхода защиты, утверждая, что оно обходит антивирусные решения и системы EDR для расширения возможностей проникновения. Его модульная структура ценообразования позволяет настраивать ее для различных сценариев атак, что указывает на сложный подход к распространению вредоносного ПО. Несмотря на непроверенные заявления об эффективности, появление NtKiller отражает текущие инновации в разработке вредоносного ПО, нацеленные на существующие меры безопасности.
-----

Вредоносное ПО NtKiller появилось на форумах Dark Web, где его продвигает злоумышленник, известный как "AlphaGhoul". Этот новый инструмент предназначен для обхода защиты и утверждает, что обходит антивирусные решения и системы обнаружения конечных точек и реагирования (EDR). Эти утверждения вызывают обеспокоенность у специалистов по кибербезопасности, поскольку такие возможности могут значительно повысить способность злоумышленника проникать в сети незамеченным.

Маркетинг NtKiller's демонстрирует модульную структуру ценообразования, которая позволяет потенциальным покупателям настраивать свои возможности в соответствии с их конкретными требованиями к атакам. Такой уровень настройки указывает на сложный подход к распространению вредоносного ПО, позволяющий использовать различные уровни вредоносной функциональности, адаптированные к потребностям различных злоумышленников.

Несмотря на то, что рекламируемые функции NtKiller вызывают беспокойство, важно отметить, что они остаются непроверенными независимыми экспертами по безопасности. На рынке киберпреступности часто встречаются преувеличенные заявления о стимулировании продаж, что вызывает вопросы о реальной эффективности вредоносного ПО. Тем не менее, само наличие такого инструмента в экосистеме Dark Web подчеркивает текущие инновации в разработке вредоносного ПО, направленные на обход существующих мер безопасности.

#ParsedReport #CompletenessLow
28-12-2025

DFIR Report: TamperedChef Malware via Malvertising and Trojanized Utility

https://medium.com/@suryaraj78425/dfir-report-tamperedchef-malware-via-malvertising-and-trojanized-utility-9edc92948e8c

Report completeness: Low

Threats:
Tamperedchef
Credential_harvesting_technique

Victims:
Users

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1053.005, T1059.003, T1071.001, T1189

IOCs:
File: 4
Command: 1

Soft:
Node.js

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года вредоносное ПО TamperedChef, связанное с кампанией по Вредоносной рекламе, использовало троянскую утилиту для выполнения сложной операции по краже информации. Он уронил Node.js среда выполнения в каталоге, доступном для записи пользователем, выполнила вредоносный JavaScript через cmd.exe , и установил закрепление с помощью запланированной задачи, которая перезапускала исполняемый файл каждые 12 часов. TamperedChef взаимодействовал со своей инфраструктурой управления с помощью стандартных Веб-протоколов, в первую очередь стремясь отфильтровать конфиденциальные данные, оставаясь скрытым.
-----

В августе 2025 года вредоносное ПО, известное как TamperedChef, было обнаружено на конечной точке пользователя в результате Вредоносной рекламы, которая способствовала загрузке троянской утилиты AllManualsReader. Этот инцидент высветил активную атаку стиллера информации, в ходе которой вредоносное ПО продемонстрировало заметное поведение при выполнении, направленное на компрометацию конфиденциальных данных.

Расследование показало, что TamperedChef уронил упакованный Node.js среда выполнения в каталоге, доступном для записи пользователем. Он выполнил вредоносный JavaScript через командную строку, используя команду cmd.exe /мин. Чтобы обеспечить закрепление, вредоносное ПО создало запланированную задачу, которая была настроена на повторный запуск Node.js исполняемый каждые 12 часов, со случайной задержкой, чтобы скрыть его присутствие. Это позволило вредоносному ПО сохраняться во время перезагрузки системы, сохраняя при этом низкий профиль, чтобы избежать обнаружения.

Исходящие сообщения, инициируемые вредоносным ПО, осуществлялись по стандартным Веб-протоколам, в основном используя размещенную в облаке IP-инфраструктуру для своих операций управления (C2). Метод закрепления зависел исключительно от запланированной задачи, что усиливало способность вредоносного ПО оставаться работоспособным в течение длительного времени без немедленного обнаружения.

Инициатива была классифицирована как теневая (drive-by) компрометация и вытекает из вредоносная реклама вредоносной рекламы. Впоследствии, оценка намерений оператора, на основании наблюдаемого поведения и отсутствие последующей деятельности после инфекции, предположил, что основной целью tamperedchef TamperedChef, скорее всего, эксфильтрация конфиденциальных данных, а не непосредственных вредоносных действий. В целом анализ показал, что в условиях инфекции изначально не появляются откровенно злобных, предполагая, что базовый сложности в реализации Стратегии развития атаки.

#ParsedReport #CompletenessLow
28-12-2025

Mamont is on the hunt: Let's analyze the new version of Android Trojan.

https://www.f6.ru/blog/mamont-rat/

Report completeness: Low

Threats:
Mamont_spy
Nfcgate_tool

Victims:
Bank customers, Mobile users

Industry:
E-commerce, Transport, Government, Financial

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1404, T1412, T1434, T1476

IOCs:
File: 3
Hash: 9

Soft:
Android, Telegram, Google Play, Viber, WhatsApp

Algorithms:
sha256, sha1, md5

Functions:
getUpdates

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Android-троянец Mamont представляет значительную угрозу для клиентов российских банков, на его долю приходится 38,7% мобильных заражений к концу 2025 года. Он распространяется с помощью обманной тактики для получения важных разрешений, что позволяет ему устанавливать себя в качестве SMS-приложения по умолчанию и перехватывать сообщения. Mamont использует для связи инфраструктуру командования и контроля на основе Telegram, что повышает ее скрытность и усложняет усилия по обнаружению специалистами по безопасности.
-----

Троянец Android известный как Mamont стала существенной угрозой для российских клиентов банков, доминирующих мобильное вредоносное ПО пейзаж к концу 2025 года. По данным Министерства внутренних дел России, Mamont был ответственен за 38,7% мобильных заражений во второй половине 2025 года, позиционируя его как один из самых распространенных вредоносных ПО наряду с NFCGate, на долю которого приходилось 52,4%.

Mamont в основном распространяется с помощью обманной тактики, которая приводит к его установке на устройства жертв. Как только троян активируется, он немедленно запрашивает критические разрешения, в частности, для установки себя в качестве SMS-приложения по умолчанию. Это ключевой шаг для вредоносного ПО, поскольку он позволяет злоумышленнику перехватывать, отправлять SMS-сообщения на скомпрометированном устройстве и манипулировать ими, создавая возможности для дальнейшей эксплуатации и кражи данных.

Анализ mamont's, выявили сложные операции, включая контроль использования инфраструктуры телеграмму. Самое вредоносное ПО общается с официального Telegram-бота, с его помощью передавать и принимать команды, тем самым способствуя координации атакующего и оперативного управления. Опора на телеграмму командования и управления (С2) усиливает вредоносное ПО стелс и оперативной анонимность, что делает его сложным для профессионалов в области безопасности, чтобы отслеживать и эффективно смягчить его деятельности.

Таким образом, Mamont зарекомендовал себя как серьезная киберугроза в российском финансовом секторе, используя тактику социальной инженерии для распространения, используя разрешения SMS для Манипуляций с данными и используя Telegram для своей операционной инфраструктуры. Эти характеристики подчеркивают меняющийся ландшафт киберугроз, который продолжает бросать вызов традиционным средствам защиты от кибербезопасности.

#technique

Forensic Insights into an EDR Freeze Attack

https://detect.fyi/forensic-insights-into-an-edr-freeze-attack-e559b0e50a91?gi=4f693432e834

#ParsedReport #CompletenessLow
29-12-2025

ConsentFix: A New way to Phish for Tokens

https://newtonpaul.com/blog/consentfix-phishing-for-tokens/

Report completeness: Low

Threats:
Consentfix_technique
Clickfix_technique
Filefix_technique
Ngrok_tool

Victims:
Microsoft users, Cloud users

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1204, T1528, T1550.001, T1566, T1646

IOCs:
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга ConsentFix использует принудительное взаимодействие с пользователем для кражи токенов аутентификации OAuth, в частности первичных токенов обновления (PRT), направляя жертв на мошенническую страницу аутентификации Microsoft. Злоумышленник сначала заставляет пользователей вводить свой адрес электронной почты из заранее определенного списка адресатов, гарантируя, что будут введены в заблуждение только законные учетные записи. Усилия по обнаружению сосредоточены на мониторинге сетевого трафика на предмет необычных перенаправлений с локального хостинга, связанных с процессами Microsoft OAuth, поскольку они могут указывать на наличие активности фишинга.
-----

Кампания по фишингу, известная как ConsentFix, представляет собой новый подход к краже токенов аутентификации посредством принудительного взаимодействия с пользователем. Вдохновленный ранее документированными методами, такими как ClickFix и FileFix, ConsentFix специально нацелен на токены OAuth, которые необходимы для аутентификации пользователя.

В рамках этой кампании злоумышленник создает страницу фишинга, которая сначала предлагает жертве ввести действительный адрес электронной почты. Это электронное письмо должно соответствовать заранее определенному списку адресатов, гарантируя, что только законные пользователи смогут продолжить. Как только жертва вводит свою информацию, она перенаправляется на страницу проверки подлинности Microsoft, где ее взаимодействие происходит с сайта фишинга. При входе в систему пользователь генерирует код аутентификации, в частности первичный токен обновления (PRT), который затем перехватывается злоумышленником. Этот токен связан с устройством пользователя, которое должно соответствовать протоколам безопасности Microsoft, что указывает на то, что даже законные учетные данные могут быть скомпрометированы с помощью этого метода.

Чтобы усилить усилия по обнаружению и реагированию, потенциальный метод выявления действий, связанных с ConsentFix, включает мониторинг сетевого трафика на предмет наличия определенных шаблонов URL-адресов. Этот динамический индикатор поиска компромиссов (IOC) фокусируется на законных URL-адресах Microsoft, обычно используемых в процессах OAuth, в частности, на поиске необычных перенаправлений с локального хостинга. Учитывая, что такие перенаправления обычно не наблюдаются в большинстве организационных сред, их наличие может указывать на неблаговидную деятельность. Поиск использует шаблон регулярных выражений, который учитывает идентификаторы клиентов Microsoft, для перехвата попыток, использующих эти возможности OAuth в злонамеренных целях. Примечательно, что, хотя Azure CLI является основным приложением, замеченным в предыдущих инцидентах, тактика, используемая в ConsentFix, предполагает, что другие приложения также могут использоваться для аналогичного фишинга.

#ParsedReport #CompletenessLow
29-12-2025

Fire Ant: A Chinese Espionage Group Operating Beneath the Hypervisor

https://www.sygnia.co/webinars/fire-ant-apt-analysis/

Report completeness: Low

Actors/Campaigns:
Fire_ant (motivation: cyber_espionage)

Victims:
Segmented environments

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1068, T1562

#ParsedReport #GeneratedSchema
Generated with GPT-4