#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейская хакерская группа запустила Вредоносную Кампанию, нацеленную на пользователей macOS, развившуюся из более ранней атаки Contagious Interview. Эта новая стратегия использует уведомления о фишинге, замаскированные под запросы на обновление драйверов Realtek, используя доверие пользователей к законным обновлениям программного обеспечения. Вредоносное ПО, соответствующее тактике, используемой северокорейскими APT-группировками, вероятно, нацелено на шпионаж и кражу данных, подчеркивая сохраняющуюся угрозу среде macOS со стороны спонсируемых государством кибер-акторов.
-----

Было замечено, что северокорейская хакерская группа проводит кампанию по атаке вредоносного ПО, специально предназначенную для пользователей macOS, что является продолжением предыдущих методов использования этой платформы. Кампания появилась в апреле 2025 года и представляет собой эволюцию ранее задокументированной атаки на Contagious Interview, которая включала использование убедительных предложений о работе для заманивания жертв. Однако в этой недавней итерации используется другая тактика: уведомления о фишинге, предназначенные для того, чтобы ввести пользователей в заблуждение, заставив их поверить, что им необходимо обновить свои драйверы Realtek.

Использование обновлений драйверов Realtek в качестве приманки предполагает значительный сдвиг в тактике, поскольку повышает доверие, которое пользователи обычно проявляют к законным обновлениям программного обеспечения. Представляя знакомый запрос, который, по-видимому, исходит от хорошо известного драйвера для Аппаратного обеспечения, злоумышленники пытаются увеличить вероятность успеха в своих попытках фишинга. Такой подход подчеркивает адаптивность злоумышленников в совершенствовании своих стратегий использования человеческого поведения и присущее пользователям доверие к системным уведомлениям, связанным с производительностью и безопасностью программного обеспечения.

В рамках этой кампании вредоносное ПО, доставляемое с помощью этих уведомлений о фишинге, вероятно, обладает возможностями, аналогичными тем, которые ранее были связаны с северокорейскими APT-группировками, которые часто включают шпионаж, кражу данных и доступ к конфиденциальной информации. Хотя конкретные подробности о функциональности вредоносного ПО еще предстоит раскрыть, метод Маскировки под законные обновления программного обеспечения вызывает серьезные опасения относительно уязвимостей безопасности в средах macOS. Эволюция этой тактики подчеркивает постоянную угрозу, исходящую от спонсируемых государством кибер-акторов, и их целенаправленные усилия по нацеливанию на конкретные базы пользователей для достижения своих оперативных целей.

#ParsedReport #CompletenessLow
12-01-2026

The Ransomware Ground Game: How A Christmas Scanning Campaign Will Fuel 2026 Attacks

https://www.greynoise.io/blog/christmas-scanning-campaign-fuel-2026-attacks

Report completeness: Low

Threats:
Interactsh_tool
Nuclei_tool

Victims:
Multiple sectors

Industry:
Critical_infrastructure, Petroleum, E-commerce

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1046, T1071.004, T1190, T1205, T1210, T1566.002, T1583.001, T1583.004, T1583.006, T1585, have more...

IOCs:
IP: 2

Soft:
Slack, FUNNULL

Links:
https://github.com/GreyNoise-Intelligence/gn-research-supplemental-data/blob/main/2025-12-30-iab-campaign/LABScon-2024\_Jarocki\_OAST2OAST\_final.pdf
https://github.com/GreyNoise-Intelligence/gn-research-supplemental-data/tree/main/2025-12-30-iab-campaign
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье рассматриваются брокеры первоначального доступа (IAB), которые фокусируются на использовании уязвимостей в системах для создания списков доступа для операторов программ-вымогателей, а не на выполнении самих атак. Рождественская кампания по сканированию выявила 11 методов использования эксплойтов с запросами к целевым системам каждые 1-5 секунд, подтверждая уязвимости с помощью внеполосного тестирования безопасности приложений (OAST). Кроме того, инфраструктура кампании, связанная с CDN FUNNULL, указывает на значительную вредоносную деятельность и подчеркивает, что как криминальные, так и государственные акторы используют данные IAB для стратегических киберопераций.
-----

В статье рассматривается кампания, запущенная в канун Рождества, которая направлена на создание условий для будущего нападения в 2026 году. Лаборатории специализируются на выявление и использование уязвимостей системы не занимаясь шифрования файлов или данных эксфильтрация себя. Вместо этого они собирают списки уязвимых системах и продать доступ к вымогатели операторы, которые осуществляют фактический атак.

Подробности кампании показывают, что злоумышленники выполняли частые запросы, которые выполнялись каждые 1-5 секунд в каждой целевой системе, используя около 11 различных методов эксплойта. Для проверки уязвимостей они использовали домены внешнего тестирования безопасности приложений (OAST), что позволило им подтвердить успешную эксплуатацию с помощью исходящих запросов к своим серверам. Этот метод вызывает опасения относительно масштабов и эффективности таких попыток киберпреступников.

Кроме того, была выделена инфраструктура кампании, отметив, что предыдущее исследование выявило AS152194 как важную организацию, занимающуюся размещением доменов для фишинга, связанных с инфраструктурой CDN FUNNULL. Эта сеть не только отслеживает подозрительную активность, объявляя маршруты bogon, что указывает на плохую гигиену сети, но и несколько ее диапазонов IP—адресов также занесены в черные списки злоупотреблений, сигнализируя о потенциальном злонамеренном использовании.

Для организаций, стремящихся защититься от подобных угроз, крайне важно отслеживать журналы DNS на предмет запросов, направленных на домены OAST, поскольку такие запросы могут указывать на то, что их системы нацелены на эксплуатацию. Кроме того, в статье содержится намек на более широкий контекст, в котором связанные с государством группы ранее получали аналогичные данные разведки либо путем закупок у брокеров, либо своими независимыми усилиями, как правило, преследуя долгосрочные стратегические цели, такие как получение доступа к критически важной инфраструктуре или проведение разведывательных операций. Это подчеркивает все более изощренный ландшафт киберугроз, в котором как криминальные, так и государственные акторы используют деятельность IABS в различных злонамеренных целях.

#ParsedReport #CompletenessLow
09-01-2026

Doomsday for Cybercriminals Data Breach of Major Dark Web Forum

https://www.resecurity.com/blog/article/doomsday-for-cybercriminals-data-breach-of-major-dark-web-foru

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal)
Yukari (motivation: cyber_criminal)
Baphomet
Scattered_lapsus_hunters
Gnosticplayer (motivation: cyber_criminal)
Cyberniggers
Indra
0ktapus
Lapsus

Threats:
Sim_swapping_technique

Industry:
Telco, Healthcare

Geo:
Germany, Netherlands, France, Jordan, Russian, Egypt, United kingdom, Chinese, Mena, Turkish, Morocco, Africa, French, Middle east, Turkey

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.004, T1589

IOCs:
Domain: 3
Email: 7
Registry: 1
IP: 2

Soft:
Instagram, Whatsapp, MySQL, MyBB, Salesforce, Salesloft Drift, Telegram

Win Services:
bits

Links:
https://pastebin.com/yjgXNNUB
https://pastebin.com/raw/iL4mecAg
https://pastebin.com/raw/qUp9Ax9M

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Утечка данных BreachForums привела к раскрытию учетных записей примерно 324 000 участников, связанных со скомпрометированными базами данных MySQL в системах управления контентом форума. Этот инцидент отражает уязвимости, присущие как законный бизнес и злоумышленников платформ, с указанием текущей эксплуатации, как неверные настройки веб-приложения. Это вызывает опасения по поводу более широких последствий для кибер-угроз, как группы вроде "ShinyHunters" продолжают заниматься вымогательством и уязвимые лица.
-----

Утечка данных с участием BreachForums, известного форума Dark Web, знаменует собой значительное событие для киберпреступников и более широкой системы безопасности. Исторически BreachForums выступал в качестве преемника RaidForums, который был закрыт в 2022 году из-за действий правоохранительных органов. После своего собственного закрытия в марте 2023 года BreachForums попытался продолжить работу под новым руководством, но впоследствии был снова заблокирован в мае 2024 года. Этот форум служил горячей точкой для дискуссий, связанных со взломом, распространением украденных данных и различными незаконными действиями.

Скомпрометированная база данных, которая теперь стала общедоступной, раскрывает учетные записи примерно 324 000 участников, извлеченные из уязвимых баз данных MySQL, связанных с программным обеспечением форума. Это нарушение подчеркивает потенциальный значительный ущерб криминальной экосистеме Dark Web, выявляя уязвимости не только в законных компаниях, но и среди платформ киберпреступников. Способ, которым могла быть получена база данных, указывает на наличие уязвимостей веб-приложений или неправильных настроек в системах управления контентом форума.

Инцидент также привлек внимание к манифесту, предположительно написанному человеком по имени Джеймс, который продвигает повествование о превращении "зла в свет". Это сообщение, по-видимому, указывает на самопровозглашенное божественное вмешательство в борьбу с коррупцией, которую он связывает с различными акторами как в киберпреступной, так и в законной сферах. Автор предлагает благословить разоблачение и падение тех, кто вовлечен в незаконную онлайн-деятельность, особенно в отношении печально известных членов различных киберпреступных группировок.

Более того, нарушение происходит в то время, когда такие группы, как "ShinyHunters", вовлечены в дальнейшие преступные действия, включая вымогательство и нацеливание на уязвимых лиц, таких как несовершеннолетние. Связь этих акторов с крупными утечками корпоративных данных вызывает обеспокоенность по поводу потенциальных воздействий их деятельности и продолжающейся эволюции угроз в киберпространстве.

По сути, инцидент с BreachForums не только выявляет постоянные уязвимости, существующие на платформах Dark Web, но и сигнализирует о поворотном моменте в том, как воспринимаются киберугрозы и как с ними бороться. Учитывая сложность постоянно меняющегося ландшафта, это нарушение подчеркивает настоятельную необходимость повышения бдительности, осведомленности и стратегий реагирования для борьбы с возникающими угрозами.

#ParsedReport #CompletenessMedium
13-01-2026

Unveiling VoidLink A Stealthy, Cloud-Native Linux Malware Framework

https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/

Report completeness: Medium

Threats:
Voidlink
Cobalt_strike_tool
Supply_chain_technique
Dns_tunneling_technique
Process_injection_technique
Credential_harvesting_technique
Timestomp_technique
Credential_dumping_technique
Dirty_pipe_vuln

Victims:
Cloud infrastructure, Linux systems, Container environments

Geo:
China

TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 9

Soft:
Linux, Docker, systemd, Chrome, Firefox

Wallets:
harmony_wallet

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 4, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidLink - это облачная платформа для разработки вредоносного ПО для Linux, разработанная аффилированными с Китаем акторами, включающая инструменты для обширного наблюдения и контроля облачных систем. Его модульная архитектура поддерживает более 30 плагинов для расширенных возможностей и методов уклонения, включая шифрование кода во время выполнения и адаптацию поведения на основе оценок окружающей среды. Он запрашивает метаданные облачных экземпляров для идентификации поставщиков и включает в себя меры защиты от анализа, такие как самомодифицирующийся код и самоудаление при вмешательстве, что усложняет усилия по обнаружению.
-----

VoidLink - это сложная облачная платформа для разработки вредоносного ПО для Linux, разработанная в основном аффилированными с Китаем злоумышленниками. Он состоит из набора инструментов, включая загрузчики, имплантаты, руткиты и плагины, специально разработанные для долгосрочного наблюдения и контроля систем Linux, особенно в облачных средах. Его архитектура является модульной, что обеспечивает гибкость и потенциал для быстрого развития. Фреймворк использует пользовательский API плагинов, напоминающий объектные файлы Beacon от Cobalt Strike, обеспечивая надежную среду для более чем 30 модульных плагинов, которые расширяют его операционные возможности.

Самое вредоносное ПО обладает впечатляющей стелс и уклонение методы. VoidLink включает в себя несколько эксплуатационной безопасности (Службы безопасности) меры, такие как шифрование кода времени выполнения, самостоятельное удаление после вскрытия и адаптивного поведения, основанного на окружающую среду, которые он обнаруживает. Эта особенность имеет решающее значение для уклонения от защитных механизмов, так как он изменяет свою тактику, исходя из установленных продуктов безопасности или мер закаливания, присутствующих в окружающей среде. Например, он регулирует скорость сканирования и других действий в зависимости от оценки риска, рассчитанной на основе оценки состояния окружающей среды.

После заражения VoidLink способен идентифицировать используемого облачного провайдера (включая AWS, GCP, Azure, Alibaba и Tencent) путем запроса метаданных экземпляра через соответствующие API. Эта возможность демонстрирует нацеленность вредоносного ПО на использование облачной инфраструктуры. Панель управления (C2) VoidLink оснащена веб-интерфейсом, адаптированным для китайских операторов, что обеспечивает полный контроль над запущенными агентами и модулями. Он организует действия после эксплуатации по разделам, направленным на разведку, получение учетных данных, закрепление и скрытность.

Система подключаемых модулей VoidLink работает аналогично передовым платформам постэксплуатации, позволяя загружать и запускать дополнительные модули в режиме реального времени. Ее базовая архитектура, разработанная в Zig, обеспечивает стабильность имплантата, обеспечивая при этом различные сложные функциональные возможности, такие как адаптивные интервалы связи на основе системной телеметрии.

С точки зрения анти-анализ мер, VoidLink включает методы, чтобы обнаружить средства отладки и проводит проверки целостности для выявления потенциальных крючки или патчи. Здесь работают самомодифицирующийся код и стратегии запутывания, чтобы избежать обнаружения от сканеров память. Кроме того, если взлома не обнаружено, VoidLink запрограммирован, чтобы стереть себя, еще больше усложняет эти попытки анализа.

#ParsedReport #CompletenessMedium
12-01-2026

Malicious Chrome Extension Steals MEXC API Keys for Account Takeover

https://socket.dev/blog/malicious-chrome-extension-steals-mexc-api-keys

Report completeness: Medium

Actors/Campaigns:
Jorjortan142
Mexc_api_automator
Swapsushi

Threats:
Credential_stealing_technique
Supply_chain_technique

Victims:
Cryptocurrency exchange users, Mexc users

Industry:
Financial

Geo:
Chinese, Singapore, French, China, United kingdom, Canada, Spanish, Russian

TTPs:
Tactics: 2
Technics: 6

IOCs:
File: 12
Email: 1
Url: 3
Domain: 1

Soft:
Chrome, Telegram, Outlook, Twitter

Functions:
getTranslatedMessage, setTimeout

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"MEXC API Automator" - это вредоносное расширение для Chrome, предназначенное для пользователей криптовалютной биржи MEXC, предназначенное для скрытой кражи API-ключей для управления учетными записями, включая вывод средств. Он внедряет скрипты на страницу управления API MEXC для манипулирования элементами пользовательского интерфейса, обманом заставляя пользователей включать разрешения на вывод средств, в то же время удаляя украденные данные через HTTPS POST-запросы в Telegram. Эта операция использует параметры среды браузера, усложняя обнаружение решениями безопасности.
-----

В недавнем отчете threat intelligence сообщается о вредоносном расширении Chrome под названием "MEXC API Automator", которое нацелено на пользователей криптовалютной биржи MEXC. Это расширение разработано для кражи недавно созданных ключей API, которые позволяют управлять учетной записью, включая торговлю и вывод средств. Дизайн расширения умело скрывает его истинные намерения, внедряя вредоносные скрипты на страницу управления ключами API MEXC, в частности, по URL *://*.mexc.com/user/openapi *.

После активации расширение находит форму ключа API на странице и программно устанавливает флажки разрешений для создания нового ключа API. Важно отметить, что он гарантирует, что возможность вывода средств включена; однако он манипулирует пользовательским интерфейсом, чтобы скрыть это действие, представляя пользователю ложное представление о том, что разрешение на вывод средств отключено. Это позволяет злоумышленнику-актору получить полный контроль над учетной записью жертвы, обходя традиционные методы кражи паролей, сосредоточившись на более мощных API-ключах, которые дают права на вывод средств.

В эксфильтрация украли ключи API происходит через HTTPS POST запросы телеграмма бот АПИ, посылая ключа и пароля в виде простого текста. Эта операция проводится исключительно в среде браузера, используя доступ к DOM и сетевых коммуникаций, что осложняет обнаружение с помощью решения по обеспечению безопасности, в первую очередь, следить за изменениями файловой системы или процесса деятельности.

В интернет-магазине Chrome расширение указано под псевдонимом "jorjortan142", а регистрационные данные указывают на электронное письмо разработчика по адресу [email protected] . Расширение остается полностью работоспособным по состоянию на сентябрь 2025 года, предоставляя преступникам средства для прямого рейдерского захвата учетных записей с целью получения финансовых активов, хранящихся или управляемых на MEXC. Поведение этого расширения согласуется с несколькими тактиками во фреймворке MITRE ATT&CK, в частности, в отношении Компрометации цепочки поставок, использования расширений браузера и Кражи денежных средств.

#ParsedReport #CompletenessLow
13-01-2026

Silent Push Uncovers New Magecart Network: Disrupting Online Shoppers Worldwide

https://www.silentpush.com/blog/magecart/

Report completeness: Low

Actors/Campaigns:
Magecart (motivation: cyber_criminal)

Victims:
Online shoppers, Ecommerce platforms, Payment providers, Global payment networks

Industry:
Transport, Financial, E-commerce

Geo:
American, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1056.002, T1059.007, T1102, T1190, T1583.001, T1584.002

IOCs:
Domain: 2
Url: 3
File: 4

Soft:
WordPress

Algorithms:
base64, xor

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Аналитики Silent Push обнаружили обширную сеть Magecart, которая с января 2022 года проводит долгосрочную кампанию по веб-скиммингу, ориентированную на крупные платежные сети. Кампания крадет информацию о кредитных картах через скомпрометированные веб-сайты электронной коммерции, используя вредоносный JavaScript, в частности, запутанный файл "1-97056a9.js ." Расследование выявило ссылки на домен, связанный с вредоносными действиями, подчеркнув сохраняющиеся угрозы безопасности онлайн-платежей и эволюционирующие методы, используемые для кражи данных.
-----

Бесшумный толчок аналитики обнаружили обширные Magecart сети, участвующих в долгосрочную кампанию веб-скимминг таргетирования основных платежных систем, таких как Американ Экспресс, Дайнерс Клаб, Discover и MasterCard. Это продолжается акция действует с по меньшей мере января 2022 года, ориентируясь на краже кредитной карты с онлайн-покупатели с помощью взломанных веб-сайтов электронной коммерции. Веб-скиммеры обычно используют вредоносный JavaScript вводят в законную сайты для незаметной кражи конфиденциальной информации в процессе оформления заказа.

В ходе расследования команда отслеживала показатели, связанные с кампанией, включая домен, связанный со скимминговой активностью. IP-адрес, связанный с этим доменом, cdn-cookie.com , был недавно приобретен организацией, находящейся под европейскими санкциями, что наводит на мысль о потенциальной связи со злонамеренной деятельностью. Проверка активно скомпрометированного веб-сайта показала, что он подключался к вредоносному домену через определенный JavaScript-файл, известный как "1-97056a9.js ." Анализ этого файла выявил приблизительно 600 строк запутанного кода JavaScript, ответственного за операции скимминга. Код включал в себя множество функций, каждая из которых способствовала достижению более масштабной цели - перехвату платежной информации.

Чтобы смягчить такие угрозы, поставщикам рекомендуется применять различные стратегии защиты. Внедрение политик безопасности содержимого (CSP) может ограничить загрузку ненадежных внешних ресурсов, тем самым снижая риск внедрения кода. Соблюдение стандартов PCI DSS имеет важное значение для безопасной обработки данных о владельцах карт. Регулярное техническое обслуживание систем также имеет решающее значение для устранения известных уязвимостей, которыми могут воспользоваться злоумышленники. Кроме того, администраторам веб-сайтов следует часто тестировать свои веб-сайты с неадминистративной точки зрения, чтобы обнаружить аномалии, которые могут указывать на продолжающееся заражение.

Для потребителей важно совершать покупки на авторитетных платформах и быть осторожными с предложениями, которые кажутся слишком выгодными, чтобы быть правдой. Регулярный мониторинг финансовых отчетов может помочь выявить несанкционированные транзакции, и пользователям рекомендуется проявлять бдительность в отношении любых нарушений в процессе оформления заказа. Использование средств веб-безопасности, блокирующих известные вредоносные домены, может еще больше повысить безопасность при проведении онлайн-транзакций.

Продолжится отслеживание текущей кампании Magecart, и ожидается, что дальнейший анализ углубит понимание эволюционирующих методов запутывания и вариантов скиммеров до 2026 года.

#ParsedReport #CompletenessMedium
13-01-2026

deVixor: An Evolving Android Banking RAT with Ransomware Capabilities Targeting Iran

https://cyble.com/blog/devixor-an-evolving-android-banking-rat-with-ransomware-capabilities-targeting-iran/

Report completeness: Medium

Threats:
Devixor
Credential_harvesting_technique

Victims:
Consumers, Financial services

Industry:
Transport, Financial

Geo:
Iran, Middle east, Iranian

TTPs:
Tactics: 19
Technics: 22

IOCs:
Url: 8
File: 4

Soft:
Android, Google Play, Telegram

Wallets:
tron

Crypto:
binance

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/devixor\_evolving\_android\_banking\_rat\_ransomware\_capabilities

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeVixor - это троян для удаленного доступа к банковским системам Android (RAT) с возможностями программы-вымогателя, нацеленной на пользователей в Иране через сайты фишинга. Он использует внедрение JavaScript на основе WebView для кражи учетных данных и получает обширные разрешения для наблюдения, включая доступ к SMS и контактам, используя при этом такие методы, как BOOT_COMPLETED receiver для закрепления и отключения Google Play Protect. Вредоносное ПО собирает конфиденциальные данные с помощью регистрации нажатий клавиш, захвата уведомлений и скриншотов, передавая их на командные серверы по Зашифрованным каналам, демонстрируя сложный ландшафт угроз.
-----

deVixor - это продвинутый троян для удаленного доступа к банковским системам Android (RAT) с возможностями программы-вымогателя, нацеленный в первую очередь на пользователей в Иране через обманчивые веб-сайты фишинга, имитирующие легальный автомобильный бизнес. Это вредоносное ПО использует комплексный подход для Кражи денежных средств и слежки за устройствами, позволяя ему собирать конфиденциальную информацию, включая финансовые данные на основе SMS, такие как одноразовые пароли (OTP), остатки на счетах, номера карт и сообщения с банковских и криптовалютных бирж.

Распространение deVixor включает в себя обман пользователей с целью установки вредоносных APK-файлов. Он широко использует внедрение JavaScript на основе WebView для сбора банковских учетных данных пользователей путем отображения законных банковских страниц в контролируемой среде. После установки deVixor предлагает пользователям предоставить разрешения, позволяющие вредоносному ПО получать доступ к SMS, контактам, файлам и, в некоторых вариантах, использовать службы специальных возможностей для расширенного контроля.

Вредоносное ПО deVixor демонстрирует значительное закрепление с помощью нескольких методов. Он регистрируется как широковещательный приемник BOOT_COMPLETED для активации при запуске устройства и использует службы переднего плана для поддержания видимости для пользователей. Кроме того, он скрывает значок своего приложения и предотвращает попытки удаления, тем самым обходя стандартную защиту пользователя. Примечательно, что вредоносное ПО также может отключать Google Play Protect, еще больше скрывая свое присутствие на зараженных устройствах.

DeVixor использует сложные методы сбора и эксфильтрации данных. Он фиксирует уведомления, регистрирует нажатия клавиш, собирает данные, вводимые графическим интерфейсом, и собирает различные типы данных, включая мультимедийные файлы, контакты и SMS-сообщения. Вредоносное ПО сжимает и архивирует собранные данные перед передачей их на серверы командования и контроля (C&C), используя зашифрованные протоколы HTTP. Кроме того, он включает в себя функции для прямого управления SMS с зараженного устройства и делает скриншоты для улучшения сбора данных.

Время злоумышленник за deVixor использует возможности, которые отражают изменения в структуре вредоносного вредоносное ПО, интеграции кражи финансовых данных, механизмы вымогателей, а также обширные наблюдения из одного вредоносное ПО обеспечением. Оперативные инфраструктуры опирается на огневую базу, чтобы команда доставки и Telegram для административного контроля, что позволяет актор для управления и масштаб атак эффективно, минуя обычные меры безопасности. Это сложное сочетание методов позиционирует deVixor как мощную угрозу в сфере мошенничества с мобильными банкингами и кибервымогательства.

#ParsedReport #CompletenessHigh
13-01-2026

CastleLoader: A Deep Dive into Stealthy LoaderTargetingGovernment Sector

https://any.run/cybersecurity-blog/castleloader-malware-analysis/

Report completeness: High

Threats:
Castleloader
Process_hollowing_technique
Pe_injection_technique

Victims:
Government sector, Critical infrastructure, Multiple industries

Industry:
Government, Logistic, Critical_infrastructure

TTPs:
Tactics: 5
Technics: 6

IOCs:
IP: 2
File: 29
Url: 2
Hash: 2

Soft:
NET Framework, AutoHotKey

Algorithms:
sha1, md5, sha256, xor

Functions:
SetError, SetExtended, GetProcAddressByHash, GetMalwareConfig

Win API:
AssignProcessToJobObject, AttachThreadInput, CreateEventW, CreateJobObjectW, CreateMutexW, GetProcAddress, CreateFileW, CreateProcessW, OpenProcess, ReadProcessMemory, have more...

Languages:
delphi, autoit, python, pascal

Platforms:
x64

YARA: Found

Links:
https://github.com/anyrun/blog-scripts/tree/main/Extractors/CastleLoader