#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания SHADOW#REACTOR использует сложное многоэтапное развертывание вредоносного ПО с использованием запутанного скрипта Visual Basic, который загружает загрузчик PowerShell. Этот загрузчик извлекает и обрабатывает закодированные полезные данные с удаленного сервера, создавая дополнительный скрипт, предназначенный для выполнения сборки .NET, скрытой с помощью методов расшифровки строк XOR. Последняя полезная нагрузка, троян удаленного доступа Remcos, работает с использованием законных инструментов, таких как MSBuild.exe чтобы избежать обнаружения при сохранении закрепления с помощью самозапускающихся скриптов и благоприятных соглашений об именовании.
-----

Кампания SHADOW#REACTOR представляет собой продвинутый многоэтапный процесс развертывания вредоносного ПО, который объединяет различные методы для эффективного проникновения, выполнения и закрепления на скомпрометированных системах. Начальный этап инициируется запутанным скриптом Visual Basic (VBS), выполняемым с помощью `wscript.exe `, который служит в качестве облегченного загрузчика, устанавливая мост к загрузчику PowerShell. Этот загрузчик извлекает фрагментированные полезные данные, закодированные в виде обычного текста, с удаленного сервера, используя устойчивый цикл загрузки для обеспечения целостности данных перед дальнейшей обработкой.

Сценарий PowerShell, получив доступ к текстовой полезной нагрузке, создает дополнительный сценарий для последующего выполнения. Он нормализует закодированные данные, заменяет специальные символы и создает временный промежуточный файл в системном каталоге "%TEMP%`. Архитектура PowerShell stager важна, поскольку она динамически собирает сценарий, который обрабатывает следующие этапы атаки, используя системные вызовы через "System.Net.WebClient" для взаимодействия с инфраструктурой, контролируемой злоумышленником.

Как только этап PowerShell извлекает проверку и обработку данных полезной нагрузки, он переходит к выполнению сборки .NET, которая была защищена с помощью .NET Reactor, который использует расшифровку строки XOR для скрытия конфиденциальных параметров. Этот аспект загрузчика сводит к минимуму его видимость для инструментов статического анализа и вводит различные уровни запутывания, такие как удаление запутывания путей к файлам и выполнение антианалитических проверок в известных виртуализированных средах.

Атака обеспечивает дальнейшее уклонение, используя законные инструменты Microsoft, такие как MSBuild.exe на поздней стадии выполнения. Этот метод классифицируется как использование двоичного кода Living-off-the-Land (LOLBin), который позволяет конечной полезной нагрузке, идентифицированной как троян удаленного доступа Remcos (RAT), работать под видом доверенного приложения. Remcos RAT после развертывания обеспечивает всесторонний контроль над скомпрометированной системой, позволяя злоумышленникам выполнять различные вредоносные действия.

Постоянные механизмы включают повторяющиеся самозапускающиеся скрипты из временных папок в сочетании с удобными соглашениями об именовании исполняемых файлов, которые органично вписываются в обычные системные операции. Вся архитектура кампании SHADOW#REACTOR демонстрирует изощренное использование легального программного обеспечения и четкое понимание методов обхода защиты, что делает обнаружение довольно сложным.

#ParsedReport #CompletenessMedium
19-01-2026

Proxyware being distributed under the guise of Notepad++ tool.

https://asec.ahnlab.com/ko/92163/

Report completeness: Medium

Actors/Campaigns:
Larva-25012

Threats:
Proxyjacking_technique
Digitalpulse
Autoclicker_tool
Dploader
Dll_sideloading_technique

Victims:
General consumers

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.001, T1059.006, T1059.007, T1102, T1140, T1218.011, T1562.001, T1574.002, have more...

IOCs:
File: 12
Path: 2
Coin: 1
Hash: 5
Url: 5
Domain: 4

Soft:
SteamCleaner, Task Scheduler, dot net, WIndows Defender

Algorithms:
md5

Languages:
powershell, javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атаки Proxyjacking, приписываемые злоумышленнику Larva-25012, связаны с распространением прокси-программ, таких как DigitalPulse и Infatica, с помощью вредоносного ПО, замаскированного под Notepad++. Вредоносное ПО использует различные методы обхода, включая Внедрение кода в процесс в проводник Windows и использование разработанных на C++ установщиков "Setup.msi", которые встраивают вредоносные библиотеки DLL, зарегистрированные в планировщике задач. Кроме того, актор использует загрузчики, такие как "TextShaping.dll ," и DPLoader, который отключает меры безопасности и выполняет загруженные полезные файлы через Rundll32.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил о продолжающихся атаках Proxyjacking, связанных с злоумышленником, известным как Larva-25012. Эта группа в основном распространяет прокси-программы, в том числе DigitalPulse, Honeygain и Infatica, путем Маскировки своего вредоносного ПО под законный инструмент Notepad++. Злоумышленник использует разнообразные приемы уклонения от обнаружения, такие как инъекции proxyware в Проводнике процесс и используя Python для командования и управления (C&C) о сообщениях.

Методы распределения часто связаны с рекламой на веб-сайтах, рекламирующих бесплатные загрузки видео с YouTube и нелегального программного обеспечения, в том числе трещины и кейгенов. Самое вредоносное ПО поставляется в различных формах, в частности путем "установки.КГУ" инсталлятор написан на С++, которая внедряет вредоносные программы в виде динамически подключаемой библиотеки (вредоносное ПО). Это особенно вредоносное ПО регистрирует себя с помощью планировщика задач с надписью "обновление" Блокнота "планировщик" и выполнен с использованием процесса rundll32.exe .

Другой метод включает в себя "Setup.zip " архив, содержащий законную версию Notepad++ вместе с загрузчиком вредоносного ПО, идентифицированным как "TextShaping.dll ." После выполнения "Setup.exe , " загрузчик использует методы DLL side-loading для запуска вредоносного ПО. Этот вариант содержит зашифрованный шеллкод, который расшифровывается и запускается во время выполнения, в конечном счете выполняя дроппер в памяти.

Дополнительная информация свидетельствует о том, что злоумышленник использует как обфусцированный JavaScript и Python версии загрузчика называется DPLoader. JavaScript как вариант напрямую связывается с C&C-сервер, в то время как Python версия использует упрощенные методы для отправки команд и данных скачать.

Действие DPLoader's включает в себя регистрацию задач, связанных с установкой прокси-программ. Например, установка Infatica Proxyware включает в себя создание таких задач, как "MicrosoftAntiMalwareTool.exe ," который отключает защитник Windows, среди прочих функций. Аналогично, для установки DigitalPulse DPLoader создает задачу под названием "SyncTaskUpdatescheduler", ответственную за выполнение загруженного "syncupdates.dll " через Rundll32, демонстрирующий прямую связь с вредоносным ПО Notepad++.

В заключение статьи пользователям рекомендуется проявлять осторожность при загрузке исполняемых файлов из неофициальных источников, а также рекомендуется установить защитное программное обеспечение, такое как продукты версии 3, для защиты от потенциальных заражений.

#ParsedReport #CompletenessLow
19-01-2026

From Extension to Infection: An In-Depth Analysis of the Evelyn Stealer Campaign Targeting Software Developers

https://www.trendmicro.com/en_us/research/26/a/analysis-of-the-evelyn-stealer-campaign.html

Report completeness: Low

Threats:
Evelyn_stealer
Dll_injection_technique
Process_hollowing_technique
Process_injection_technique
Trojan.win32.downloader.cm
Trojan.win64.malinjector.a
Trojan.win64.badbrowser.a

Victims:
Software developers, Organizations with software development teams

Industry:
Software_development

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1055.012, T1059.001, T1105, T1106, T1195, T1497, T1574.002

IOCs:
File: 6
Hash: 4

Soft:
Visual Studio Code, Hyper-V, VirtualBox, QEMU, Linux

Algorithms:
zip, aes-256-cbc, aes, sha256

Win API:
CreateProcessA

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Evelyn Stealer нацелена на разработчиков программного обеспечения через экосистему расширений кода Visual Studio, используя многоступенчатую атаку для развертывания вредоносного ПО, похищающего информацию. Первоначально замаскированный под законную библиотеку Lightshot DLL, он использует Внедрение в пустой процесс для ввода конечной полезной нагрузки в процесс Windows, используя шифрование AES-256-CBC для сокрытия. Вредоносное ПО использует передовые методы уклонения для обхода мер безопасности, что отражает изощренный подход к использованию надежных сред разработки.
-----

Кампания Evelyn Stealer - это изощренная киберугроза, которая специально нацелена на разработчиков программного обеспечения, используя экосистему расширений Visual Studio Code (VSC). Злоумышленники используют многоступенчатый подход к установке вредоносного ПО для кражи информации, которое разработано для извлечения конфиденциальных данных, таких как учетные данные разработчика и информация о криптовалюте. Это создает риск не только для отдельных сред разработчиков, но и для более широких организационных систем, которые полагаются на VSC и сторонние расширения, а также на доступ к облачным ресурсам и производственным системам.

Начальная точка входа этой атаки через загрузчик, замаскированный под легитимный компонент Lightshot файлов. Как только это вредоносное расширение ВСК установлен, оно вызывается аутентичные Lightshot.exe. Самое вредоносное ПО выполняется тогда, когда DLL загружается, имитирующих законные функции, чтобы избежать обнаружения. Впоследствии он запускает скрытые PowerShell PowerShell, чтобы загрузить второго этапа грузоподъемностью, который был сохранен в "runtime.exe" в локальный каталог Temp.

Компонент второго этапа - это инжектор Внедрения в пустой процесс, который расшифровывает и вводит конечную полезную нагрузку, известную как Evelyn Stealer, в законный процесс Windows".grpconv.exe ". При расшифровке используется шифрование AES-256-CBC, гарантирующее, что полезная нагрузка остается скрытой до выполнения.

После запуска Evelyn Stealer динамически разрешает необходимые API Windows для своих операций, включая Внедрение кода в процесс, манипулирование файлами, доступ к реестру и сетевое взаимодействие. Он включает в себя множество методов уклонения, предназначенных для обмана решений безопасности, автоматизированных инструментов анализа и изолированных сред. Эти меры обхода включают методы обнаружения виртуальных машин, отладчиков и специальные проверки для сред анализа, таких как сеансы Протокола удаленного рабочего стола (RDP) и Hyper-V, что отражает тщательный уровень операционной безопасности.

Кампания иллюстрирует растущую тенденцию использования доверенных сообществ разработчиков в качестве важных целей в сфере разработки программного обеспечения. Внедряясь в экосистему расширений VSC и используя передовые тактики, такие как шифрование и многоуровневые механизмы антианализа, операция Evelyn Stealer демонстрирует высокий уровень сложности и намерение избежать обнаружения, используя при этом присущее разработчикам доверие к своим инструментам.

#ParsedReport #CompletenessHigh
19-01-2026

Hunting Lazarus: Inside the Contagious Interview C2 Infrastructure

https://redasgard.com/blog/hunting-lazarus-contagious-interview-c2-infrastructure

Report completeness: High

Actors/Campaigns:
Contagious_interview
Lazarus
Blocknovas

Threats:
Winrm_tool
Tsunami_botnet
Xmrig_miner
Dead_drop_technique
Beavertail
Tsunami_framework
Supply_chain_technique

Victims:
Software development, Cryptocurrency users, Blockchain sector

Industry:
Education, Financial

Geo:
Australia, North korean, Dprk, Ukrainian, Japan

TTPs:
Tactics: 3
Technics: 16

IOCs:
File: 7
IP: 7
Coin: 1
Hash: 1

Soft:
VSCode, Node.js, Chrome

Wallets:
metamask, exodus_wallet

Crypto:
monero

Algorithms:
xor, base64, sha256

Functions:
getCookie

Win API:
decompress

Languages:
powershell, javascript, python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование северокорейской Вредоносной Кампании, получившей название "Contagious Interview", выявило атаку, инициированную с помощью вредоносной конфигурации VSCode в проекте Upwork, позволяющей выполнять код при доступе к проекту. В угрозе использовалась многоуровневая инфраструктура управления, с основными и резервными серверами, обеспечивающими расширенную защиту от обфускации и модульную доставку полезной нагрузки. Примечательно, что вредоносное ПО включало в себя сложный бэкдор, интегрированный с майнером криптовалюты XMRig, использующий различные тактики уклонения, разделение учетных данных и вводящие в заблуждение конечные точки, что характеризует его как сложную и постоянную угрозу.
-----

Расследование выявило северокорейское вредоносное ПО из кампании "Contagious Interview", использующее механизм автоматического выполнения VSCode с помощью вредоносного файла ".vscode/tasks.json". Многоуровневая инфраструктура управления включала в себя основной сервер по адресу 147.124.213.232 и несколько резервных серверов, способных обслуживать модульные полезные нагрузки через конечные точки с аутентификацией по токенам с высокой степенью запутывания. Аналитики обнаружили бэкдор с использованием майнера криптовалюты XMRig, замаскированного под msedge.exe , указывающие цели кражи учетных данных и Несанкционированного использования ресурсов. Вредоносное ПО идентифицировано как бэкдор Tsunami на базе Python, известный своими механизмами закрепления и стратегиями монетизации. Наблюдения выявили автоматизированные меры безопасности, включая растяжки и ограничение скорости, что привело к отключению служб C2 во время проверки. Злоумышленники использовали более 37 800 комбинаций учетных данных в своих усилиях по разделению и включали нефункциональные конечные точки, чтобы ввести в заблуждение исследователей безопасности. Жестко закодированные учетные данные MongoDB позволяли получить доступ к важным данным из скомпрометированной базы данных. Данные с высокой степенью достоверности связывают кампанию с северокорейскими акторами, а тактика соответствует предыдущим действиям. Рекомендуется специальное отслеживание IP-адресов C2 и характерных портов, таких как 1244 и 1249, для дальнейшего обнаружения и смягчения последствий. Вредоносное ПО соответствует различным методам в рамках MITRE ATT&CK, подчеркивая необходимость постоянной бдительности.

#ParsedReport #CompletenessHigh
19-01-2026

Operation Nomad Leopard: Targeted Spear-Phishing Campaign Against Government Entities in Afghanistan

https://www.seqrite.com/blog/operation-nomad-leopard-targeted-spear-phishing-campaign-against-government-entities-in-afghanistan/

Report completeness: High

Actors/Campaigns:
Nomad_leopard

Threats:
Spear-phishing_technique
Falsecub
Motw_bypass_technique

Victims:
Government entities, Ministries, Administrative offices

Industry:
Government

Geo:
Emirates, Pakistan, Afghanistan, Afghan

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 10
IP: 2
Domain: 1
Hash: 4
Url: 2

Soft:
curl

Algorithms:
sha256, base64

Functions:
GetUserNameWand

Win API:
GetTickCount64, GlobalMemoryStatusEx, IsDebuggerPresent, GetComputerNameW, GetDriveTypeW, CreateProcessW, closesocket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Nomad Leopard нацелена на афганских государственных служащих с помощью Целевого фишинга с использованием обманчивых ISO-файлов, имитирующих официальные документы. Атака начинается с ISO-файла, который при запуске открывает ярлык, ведущий к внедрению вредоносного ПО, известного как FALSECUB, двоичный исполняемый файл C++ с временной меткой 2025 года. Злоумышленники также используют такие платформы, как GitHub, для размещения Вредоносных файлов, что указывает на текущие оперативные стратегии по использованию правительственных контекстов в будущих кампаниях.
-----

Команда SEQRITE Labs APT отслеживала киберкампанию, получившую название Operation Nomad Leopard, которая направлена на Целевой фишинг афганских правительственных служащих с помощью обманчивой приманки, имитирующей официальный правительственный документ. В этой операции используется тщательно разработанный поддельный документ, нацеленный на министерства и административные учреждения, подчеркивающий важность оперативной безопасности и подчеркивающий внимание злоумышленников к деталям при представлении документов.

Атака начинается с ISO файл с названием "AfghanistanIslamiEmirates.iso," что было отмечено в команды телеметрии на 23 декабря и позднее нашли на VirusTotal. Этот файл ISO является первоначальный доступ доступ, используя поведение окон обрабатывать файлы ISO в качестве виртуальных дисков, тем самым обойти типичные электронной почты и меры по обеспечению безопасности конечных точек, которые могут ограничить выполнение вредоносного кода. Путем внедрения вредоносных компонентов в рамках этого формата, злоумышленники стремятся избежать обнаружения.

Как только ISO-файл запущен, второй этап включает в себя файл быстрого доступа с именем "Doc.pdf.lnk", который запускает загрузку и выполнение конечной полезной нагрузки - имплантата вредоносного ПО, называемого FALSECUB. В ходе анализа FALSECUB было определено, что это двоичный исполняемый файл на C++ с временной меткой, указывающей на то, что злоумышленник потенциально планирует будущие действия, учитывая его дату, установленную на 2025 год.

На протяжении всей кампании злоумышленники используют известные платформы, такие как GitHub, для размещения своих Вредоносных файлов, пользуясь доверием, которое обычно вызывают эти платформы. Вредоносное ПО пытается подключиться к различным IP-адресам и доменам, что указывает на более широкую инфраструктуру, используемую злоумышленниками, хотя общая изощренность злоумышленника представляется ограниченной. Вместо этого они полагаются на ряд шаблонов документов, связанных с правительством, что свидетельствует о стратегическом намерении провести аналогичные операции в других регионах за пределами Афганистана.

Таким образом, операция Nomad Leopard представляет собой наглядный пример использования социально сконструированных документов для распространения вредоносного ПО, иллюстрирующий как техническую методологию, включающую файлы ISO и LNK, так и оперативную стратегию, которая использует правительственный контекст для использования конкретных целей.

#ParsedReport #CompletenessHigh
19-01-2026

COMmand & Evade: Turla's Kazuar v3 Loader

https://r136a1.dev/2026/01/14/command-and-evade-turlas-kazuar-v3-loader/

Report completeness: High

Actors/Campaigns:
Turla
Gamaredon

Threats:
Kazuar
Amsi_bypass_technique
Native_loader
Dll_sideloading_technique

Victims:
Multiple sectors

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1059.005, T1106, T1218, T1559.001, T1562.001, T1574.002, T1620, T1622, have more...

IOCs:
Url: 5
File: 21
Registry: 10
Path: 12
IP: 1
Hash: 10
Domain: 1

Soft:
Component Object Model, Event Tracing for Windows, Windows COM, Windows Registry, NET Framework, Windows Defender, WordPress

Algorithms:
cbc, md5, sha256, aes, xor

Functions:
CreateObject, CreateFolder, SetRequestHeader, GetFolder, GetModuleHandle, GetDelegateForFunctionPointer

Win API:
GetObject, SymInitialize, SymCleanup, SafeArrayAccessData, SafeArrayUnaccessData, StringFromCLSID, CLSIDFromProgID, CLSIDFromString, CoUninitialize, EnumWindows, have more...

Languages:
php, python

Platforms:
x64

YARA: Found

Links:
https://github.com/TheEnergyStory/LoadLibraryControlFlowRedirection
https://github.com/TheEnergyStory/PatchlessEtwAndAmsiBypass
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Turla's Kazuar v3 loader использует сложный многоступенчатый процесс заражения, который повышает скрытность и позволяет уклоняться от решений безопасности. Первоначально он запускает законно подписанный установщик драйверов принтера для дополнительной загрузки native Loader, который расшифровывает и загружает основные полезные данные. Конструкция загрузчика позволяет ему приостанавливать незамерзающие потоки и использовать запутанные .Сетевые сборки, в то время как полезная нагрузка Kazuar, включая компоненты для выполнения задач и Регистрации нажатий клавиш, тщательно продумана, чтобы избежать обнаружения благодаря сложной архитектуре и манипулированию потоками управления.
-----

Turla's Kazuar v3 loader представляет усовершенствованный многоступенчатый процесс заражения, разработанный для скрытности и обхода современных мер безопасности. Эта версия, которая впервые была представлена в начале 2024 года, использует COM-модель объектов (COM) наряду со сложными методами обхода для отслеживания событий для Windows (ETW) и интерфейсом проверки на наличие вредоносных программ (AMSI). Загрузчик использует метод перенаправления потока управления и различные другие тактики уклонения, чтобы максимально повысить свою устойчивость к обнаружению и анализу, что потенциально связывает его с предыдущими кампаниями с участием Turla и Gamaredon.

Начальный этап начинается с запуска законно подписанного установщика драйвера принтера, hpbprndi.exe . Этот исполняемый файл дополнительно загружает native loader, hpbprndiLOC.dll , который выполняет задачи дешифрования для полезных нагрузок Kazuar. Native Loader расшифровывает и загружает в память несколько зашифрованных компонентов, ориентируясь, в частности, на полезные нагрузки, называемые KERNEL, WORKER и BRIDGE, которые имеют решающее значение для работы вредоносного ПО.

Примечательной характеристикой загрузчика Kazuar v3 является его способность приостанавливать все потоки, кроме одного, выполняющего вредоносный код. Этот метод помогает избежать механизмов обнаружения, которые могут отслеживать другие процессы, а также сводит к минимуму конкуренцию между процессорами, что приводит к снижению вероятности прерывания законными процессами. Он использует ряд функций, которые управляют потоком управления, включая получение ближайших адресов для перенаправления, сохранение состояния и выполнение своего основного кода с помощью специальных перехватчиков в последовательности загрузки библиотек Windows.

На втором этапе загрузчик передает управление командной строке.NET assembly, jtjdypzmb.yqg, который действует как посредник, соединяющий native loader и полезные нагрузки Kazuar. Эта сборка сильно запутана, что затрудняет анализ и разведку аналитиками безопасности.

На третьем этапе вводится модульная полезная нагрузка Kazuar, состоящая из различных компонентов, которые выполняют различные функции, сохраняя при этом единую функциональность. Компонент ЯДРА управляет основными действиями вредоносного ПО, которые включают выполнение задач и Регистрацию нажатий клавиш, сконфигурированный для хранения данных в определенном каталоге. Все полезные нагрузки сконструированы таким образом, чтобы противостоять обнаружению с помощью обфускации и сложной архитектуры, которая позволяет им работать слаженно, одновременно усложняя усилия по идентификации и смягчению последствий со стороны средств защиты от кибербезопасности. Наличие определенной метки агента —AGN-RR-01 — указывает на текущие угрозы, исходящие от этого продвинутого вредоносного ПО.

#ParsedReport #CompletenessHigh
19-01-2026

Dissecting CrashFix: KongTuke's New Toy

https://www.huntress.com/blog/malicious-browser-extention-crashfix-kongtuke

Report completeness: High

Threats:
Crashfix
Kongtuke
Modelorat
Mintsloader
Clickfix_technique
Typosquatting_technique
Socgholish_loader
Process_hacker_tool
Junk_code_technique
Amsi_bypass_technique
Credential_harvesting_technique
Lolbin_technique

Victims:
Browser users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1112, T1140, T1204, T1218, T1574.002

IOCs:
Email: 1
File: 12
Domain: 1
Url: 7
IP: 3
Command: 1
Path: 1
Registry: 2
Hash: 4

Soft:
GateKeeper, Chrome, Active Directory, VirtualBox, QEMU, Windows Remote Access, Windows Registry, Discord, curl, Dropbox, have more...

Algorithms:
rc4, base64, md5, aes-256, gzip, cbc, aes, sha256, aes-256-cbc, pbkdf2, xor

Functions:
makeBatch, Remove-Item, GetTypes, GetMethod, Get-MpComputerStatus, GetModuleHandle, GetGroups, GetPermissions, Main

Win API:
Decompress, GetProcAddress, VirtualProtectEx, AmsiScanBuffer, IsWindowVisible

Languages:
powershell, php, python

Platforms:
x64, intel

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/KongTuke/gatekeeper\_payload.yar
have more...
https://github.com/uBlockOrigin/uBOL-home

#ParsedReport #GeneratedSchema
Generated with GPT-4