#ParsedReport #CompletenessMedium
13-01-2026

deVixor: An Evolving Android Banking RAT with Ransomware Capabilities Targeting Iran

https://cyble.com/blog/devixor-android-banking-rat-ransomware-iran/

Report completeness: Medium

Threats:
Devixor
Credential_harvesting_technique

Victims:
Mobile users, Banking users

Industry:
Transport, Financial

Geo:
Middle east, Iran, Iranian

TTPs:
Tactics: 19
Technics: 22

IOCs:
Url: 8
File: 4

Soft:
Android, Google Play, Telegram

Wallets:
tron

Crypto:
binance

Languages:
javascript

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/devixor\_evolving\_android\_banking\_rat\_ransomware\_capabilities

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
deVixor - это банковское вредоносное ПО для Android, нацеленное на пользователей в Иране, использующее методы фишинга для распространения вредоносных приложений, замаскированных под законные сервисы. Он функционирует как инструмент удаленного доступа (RAT) с возможностями программ-вымогателей, способный красть конфиденциальные финансовые данные, включая одноразовые пароли и данные кредитной карты, посредством внедрения JavaScript на основе WebView. Кроме того, он использует Firebase для доставки команд и Telegram-бота для управления заражениями, совершенствуя тактику уклонения и поддерживая постоянный контроль над зараженными устройствами.
-----

deVixor - это усовершенствованное банковское вредоносное ПО для Android, нацеленное на пользователей в Иране, использующее методы фишинга для распространения вредоносных приложений, замаскированных под легальные автомобильные компании. Вредоносное ПО способно к масштабной краже финансовых данных и слежке за устройствами, функционируя как инструмент удаленного доступа (RAT) с возможностями программ-вымогателей.

После установки с помощью обманчивых APK-файлов deVixor запрашивает разрешения на доступ к SMS-сообщениям, контактам и файлам. В последних версиях добавлены запросы на получение разрешений службы специальных возможностей, что усиливает ее контроль над зараженными устройствами. Его основная функциональность заключается в сборе конфиденциальной финансовой информации, включая одноразовые пароли (OTP), остатки на счетах, данные кредитной карты и SMS-контент, связанный с банковским делом и криптовалютой. Вредоносное ПО использует внедрение JavaScript на основе WebView для атаки на банковские учетные данные, загружая аутентичные банковские сайты в изолированной среде, чтобы напрямую перехватывать вводимые пользователем данные.

В дополнение к краже финансовых данных deVixor оснащен удаленно запускаемым модулем программы-вымогателя, который может блокировать устройства и требовать оплаты в криптовалюте, усиливая свою угрозу для жертв. Механизм командования и контроля (C2) использует Firebase для доставки команд, в то время как инфраструктура Telegram-ботов служит для управления заражениями. Такое сочетание позволяет злоумышленникам сохранять контроль над вредоносным ПО и эффективно обходить традиционные системы обнаружения.

Технический профиль deVixor распознает множество тактик и приемов из платформы MITRE ATT&CK, иллюстрирующих ее многогранный подход к киберугрозам. Первоначальный доступ достигается с помощью фишинга, в то время как закрепление поддерживается путем регистрации широковещательных приемников и использования служб переднего плана. Более того, deVixor использует различные методы обхода защиты, такие как скрытие значка своего приложения, предотвращение удаления и запутывание зашифрованного URL-адреса сервера C2.

Методы получения учетных данных включают сбор уведомлений, Регистрацию нажатий клавиш и захват входных данных при взаимодействии с графическим интерфейсом, тем самым обеспечивая значительную эксфильтрацию данных. Вредоносное ПО также собирает информацию об устройстве и приложении и компилирует эти данные для передачи обратно на свой сервер C2, используя зашифрованный протокол HTTPs. Наконец, deVixor демонстрирует свое воздействие, получая контроль над SMS, что позволяет ему отправлять сообщения со взломанного устройства.

#ParsedReport #CompletenessMedium
18-01-2026

RustyStealer: Your Compiler Is Snitching on You

https://blog.synapticsystems.de/rustystealer-your-compiler-is-snitching-on-you/

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Rusty_stealer
Rustywater
Rustric

Industry:
Healthcare, Transport

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1082

IOCs:
Hash: 5
Path: 2
File: 1

Soft:
Windows Defender

Algorithms:
xor, sha256, base64, aes, aes-gcm

Win API:
ReadFile, NtReadFile, GetOverlappedResult, CancelIo, WaitForMultipleObjects, SHGetKnownFolderPath, CoTaskMemFree, GetComputerNameExW, GetUserNameW, NetGetJoinInformation, have more...

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RustyStealer - это разновидность вредоносного ПО, которая эволюционировала по меньшей мере в четырех версиях, демонстрируя систематические улучшения функциональности и скрытности. Первоначальные версии были легко обнаружены благодаря строкам открытого текста, включая ссылки на программное обеспечение безопасности, но более поздние версии, в частности 1.1 и 2.0, удалили эти идентификаторы и включили передовые методы запутывания, такие как декодирование на основе XOR, для повышения скрытности. В последней версии особое внимание уделяется профилированию жертв и операционной эффективности, что отражает нацеленность разработчиков на адаптацию к мерам обнаружения и совершенствование стратегий скрытых атак.
-----

RustyStealer, вариант вредоносного ПО, проанализированный с точки зрения его разработки и эволюционирования, демонстрирует прохождение через несколько структурированных версий, что указывает на сложный подход к повышению его функциональности и скрытности. Анализ сосредоточен на понимании изменений и улучшений, внесенных его разработчиками, раскрывая историю, состоящую по меньшей мере из четырех важных этапов сборки, от ранней базовой версии (версия 0.9) до более совершенных итераций (вплоть до версии 2.0).

Каждая версия RustyStealer демонстрирует различные методы разработки, что указывает на методическую эволюцию, а не на случайные изменения. Первоначальные версии были легко обнаружены благодаря наличию строк открытого текста, включая конкретные ссылки на Защитник Windows, которые можно было использовать для статического обнаружения. Однако по мере того, как вредоносное ПО прогрессировало до версии 1.1, рефакторинг производительности привел к удалению этих идентифицируемых строк. Разработчики внедрили методы восстановления во время выполнения, используя несколько процедур декодирования на основе XOR с различными ключевыми константами, тем самым повышая скрытность вредоносного ПО и снижая его видимость для средств безопасности.

По версии 2.0, архитектурный сдвиг произошел, консолидирующего предыдущие усилия и расширения оперативной скрытности. Эта версия подчеркивает профилирования жертвы, корреляция кампании, и backend атрибуция, предлагая все большее внимание на эффективность атаки и сбор разведданных о цели. Удаление строк открытого текста не только цели жизни, но также отражает стратегическое направление, направленная на снижение шума, что позволяет более секретных операций.

Подводя итог, можно сказать, что разработка RustyStealer представляет собой непрерывный процесс обучения его разработчиков, с существенным акцентом на усовершенствование механизмов скрытности и повышение способности вредоносного ПО к нацеленным операциям. Наблюдаемые тенденции указывают на зрелость методов разработки вредоносного ПО, проливая свет на эволюционирующую тактику, применяемую хакерскими группировками по мере того, как они адаптируются к мерам обнаружения и стремятся повысить эффективность своих кампаний.

#ParsedReport #CompletenessLow
19-01-2026

New Infostealer Campaign Targets Users via Spoofed Software Installers

https://blog.virustotal.com/2026/01/malicious-infostealer-january-26.html

Report completeness: Low

Threats:
Dll_sideloading_technique

TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 40

Algorithms:
sha256, zip

YARA: Found

泄露 Telegram 真实 IP 1-click 漏洞
通过重设代理暴露真实 IP
• Telegram 在添加代理之前会自动 ping 代理。
• 该请求绕过了所有已配置的代理
• 你的真实 IP 地址会被立即记录
只需点击一下即可显示你的真实 IP 地址。
会影响安卓和iOS版本的Telegram客户端
用户名后隐藏的链接示例：
[ @nickname ]( t.iss.one/proxy?server=1… )

#poc #威胁情报

#ParsedReport #CompletenessHigh
20-01-2026

Inside a Multi-Stage Windows Malware Campaign

https://www.fortinet.com/blog/threat-research/inside-a-multi-stage-windows-malware-campaign

Report completeness: High

Threats:
Defendnot_tool
Tsunami_botnet
Hakuna_matata
Clipbanker
Windows_locker
Uac_bypass_technique
Shadow_copies_delete_technique

Victims:
Users in russia

Geo:
Russian, Russia

TTPs:
Tactics: 12
Technics: 26

IOCs:
File: 17
Path: 3
Url: 5
Registry: 3
Command: 1
Hash: 11

Soft:
Telegram, Windows Defender, Windows Security Center, Microsoft Defender, Dropbox, Windows Shell, Microsoft Visual C++, PyInstaller, Chrome, Chromium, have more...

Wallets:
metamask, zcash, jaxx, exodus_wallet, electrum, atomicwallet, guarda_wallet, coinomi

Crypto:
ethereum

Algorithms:
rc4, base64

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 21, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная многоэтапная Вредоносная Кампания, нацеленная на пользователей в России, использует социальную инженерию с помощью документов бизнес-тематики, начиная с вредоносного ярлыка LNK, который запускает фоновые сценарии. Он использует PowerShell и запутанный VBScript, чтобы скрыть вредоносную активность, при этом незаметно отключая Microsoft Defender, что позволяет осуществлять обширный сбор данных через Telegram Bot API. Заключительный этап включает в себя развертывание Amnesia RAT для постоянного контроля, наряду с механизмами программ-вымогателей, для обеспечения шифрования файлов и ограничения взаимодействия с пользователем, демонстрируя продвинутую тактику уклонения без использования традиционных уязвимостей программного обеспечения.
-----

Вредоносная Кампания, выявленная FortiGuard Labs, представляет собой сложную многоэтапную атаку, нацеленную преимущественно на пользователей в России, с использованием приманки социальной инженерии, предоставляемой с помощью документов бизнес-тематики. Кампания начинается с вредоносного ярлыка LNK, который выдает себя за безвредный бизнес-файл, вводя пользователей в заблуждение и незаметно выполняя вредоносные скрипты в фоновом режиме.

На первом этапе используется скрипт PowerShell, kira.ps1, не для доставки окончательной полезной нагрузки, а для выполнения подготовительных действий, которые скрывают вредоносные действия от пользователя. Впоследствии запутанный VBScript с именем SCRRC4ryuk.vbe организует цепочку атак, полностью реконструируя последующие этапы выполнения в памяти, а не выполняя их напрямую. На этом этапе пользователю предоставляется интерфейс-приманка, который поддерживает его активность, пока сценарий переходит в фазу уклонения от обнаружения, систематически отключая Microsoft Defender с помощью инструмента под названием Defendnot. Этот инструмент использует модель доверия Центра безопасности Windows вместо завершения работы компонентов Защитника, повышая скрытность вредоносного ПО.

Как только защита обходится, злоумышленник собирает обширную системную информацию для эксфильтрации через Telegram Bot API. Кроме того, вредоносное ПО делает снимки экрана в цикле до 30 раз, предоставляя злоумышленнику возможность наблюдать за действиями пользователя в режиме реального времени. По мере продвижения атаки вредоносное ПО переходит в фазу полной блокировки, чтобы лишить жертву административного контроля, предотвращая любые попытки восстановления. Он использует манипуляции с реестром для принудительного внесения немедленных изменений в политику, которые ограничивают системные инструменты, и перехватывает ассоциации файлов, чтобы перехватывать попытки выполнения пользователем, эффективно нарушая его использование системы.

На заключительном этапе происходит развертывание множества вредоносных полезных нагрузок. Это включает в себя Amnesia RAT, которая используется для постоянного контроля и эксфильтрации данных, замаскированных под системный файл с обманчивым именем. Кроме того, внедряются механизмы программ-вымогателей, инкапсулированные в полезную нагрузку, которая обеспечивает шифрование файлов жертвы, что в конечном итоге приводит к общесистемной блокировке с помощью механизмов, Resembling A WinLocker, полностью ограничивающих взаимодействие с пользователем.

Кампания является примером современной тактики вредоносного ПО, которая избегает традиционных уязвимостей программного обеспечения, полагаясь вместо этого на социальную инженерию, надежные платформы, такие как GitHub и Dropbox для размещения полезной нагрузки, и манипулирование законными функциональными возможностями ОС. Благодаря структурированному подходу акторы эффективно организуют выполнение, наблюдение и кражу данных, избегая при этом усилий по обнаружению и реагированию, эффективно используя платформу MITRE ATT&CK для оперативного руководства.

#ParsedReport #CompletenessLow
20-01-2026

VoidLink: Evidence That the Era of Advanced AI-Generated Malware Has Begun

https://research.checkpoint.com/2026/voidlink-early-ai-generated-malware-framework/

Report completeness: Low

Actors/Campaigns:
Funksec

Threats:
Voidlink

Victims:
Cloud environments, Container environments

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1014, T1526, T1547.006, T1583.006, T1587.001, T1613

IOCs:
File: 1

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidLink представляет собой первый известный случай продвинутого вредоносного ПО, генерируемого искусственным интеллектом, разработанного главным образом одним человеком с помощью искусственного интеллекта в интегрированной среде разработки. Это вредоносное ПО демонстрирует сложную архитектуру, использующую такие технологии, как руткиты eBPF и LKM, и включает модули для облачного перечисления и использования контейнеров. Процесс его разработки, поддерживаемый разработкой на основе спецификаций и утечкой материалов по планированию, свидетельствует о тревожной легкости тиражирования для злоумышленников-акторов, что потенциально увеличивает сложность и серьезность киберугроз.
-----

VoidLink знаменует собой значительный прогресс в области киберугроз, являясь первым задокументированным случаем вредоносного ПО, созданного продвинутым искусственным интеллектом. Разработанный преимущественно Искусственным интеллектом под руководством одного разработчика, VoidLink демонстрирует скачок в сложности по сравнению с предыдущими примерами вредоносного ПО на основе искусственного интеллекта, которые обычно приписывались неопытным злоумышленникам или производным вариантам существующих инструментов. Операционные сбои в системе безопасности, допущенные разработчиком, выявили материалы, указывающие на то, что разработка VoidLink в основном велась с помощью искусственного интеллекта, а первый функциональный прототип вредоносного ПО был создан менее чем за неделю. Эта возможность подчеркивает, как искусственный интеллект может дать возможность отдельному разработчику создавать очень сложные системы вредоносного ПО, которые ранее требовали скоординированных командных усилий.

Методология разработки, используемая для VoidLink, характеризуется как разработка на основе спецификаций (SDD). Применяя SDD, разработчик сначала изложил спецификации проекта, а затем использовал помощника по искусственному интеллекту, встроенного в интегрированную среду разработки (IDE), ориентированную на искусственный интеллект, под названием TRAE, для создания структурированного, многогранного плана разработки с четкими задачами и конечными результатами. Впоследствии эта документация служила руководством для сквозного выполнения, итерации и тестирования вредоносного ПО.

Функциональные возможности и архитектура VoidLink отличаются своей зрелостью и эффективностью, в них используются такие технологии, как расширенный пакетный фильтр Berkeley (eBPF) и руткиты модуля ядра Linux (LKM). Он также включает модули, предназначенные для облачного перечисления и последующей эксплуатации в контейнерных средах. Эволюцию вредоносного ПО можно проследить с течением времени, пройдя путь от базовой функциональной сборки до комплексной операционной системы, дополненной инфраструктурой управления.

Значительное представление о процессе разработки VoidLink было получено благодаря утечке материалов по планированию, которые включали подробный рабочий план, сохраненный в формате Markdown, раскрывающий структурированные и сложные рекомендации, вероятно, созданные с помощью Large Language Model (LLM). Эта документация не только иллюстрирует подход разработчика, но и подчеркивает потенциальную легкость, с которой другие могли бы воспроизвести такое вредоносное ПО, используя те же инструменты искусственного интеллекта.

Появление VoidLink изменяет ландшафт киберугроз, демонстрируя способности, продвинутый искусственный интеллект, значительно ускорить системные процессы развития, тем самым увеличивая масштаб и тяжесть автоматизации кибератак. Эта тенденция указывает на потенциальное изменение в характере киберугроз, с последствиями для профессионалов в области безопасности, в качестве барьера для производства сложных инструментов была снижена, что позволило менее полноправными субъектами заниматься высокой сложности атаки.

#ParsedReport #CompletenessLow
20-01-2026

ShadowRelay is a unique backdoor in the public sector

https://rt-solar.ru/solar-4rays/blog/6328/

Report completeness: Low

Actors/Campaigns:
Obstinate_mogwai
Webworm
Paper_werewolf

Threats:
Shadowrelay
Deed_rat
Proxyshell_vuln
Antidebugging_technique
Windivert_tool
Shadowpad
Donnect
Process_injection_technique

Victims:
Public sector

Geo:
Asian

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)


TTPs:

ChatGPT TTPs:
do not use without manual check
T1190

IOCs:
IP: 2
File: 5
Hash: 3

Soft:
Telegram

Algorithms:
sha1, aes, sha256, md5

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор ShadowRelay, связанный с вариантом Shadowpad Light (Deed RAT), представляет значительную угрозу в государственном секторе, используя уязвимости в серверах Microsoft Exchange через ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Модульная конструкция вредоносного ПО позволяет добавлять плагины, отражающие расширенные возможности злоумышленников. Это подчеркивает сохраняющиеся риски, связанные с непатентованными системами, особенно в средах, использующих серверы Exchange, поскольку злоумышленники используют эти уязвимости для сложных операций.
-----

Бэкдор ShadowRelay был идентифицирован как серьезная угроза в государственном секторе, демонстрирующая изощренный метод эксплуатации. Расследования выявили множество зараженных пользовательских систем, связанных с этим вредоносным ПО, в частности вариант Shadowpad Light, широко известный как Deed RAT. Первоначальная точка заражения была прослежена до скомпрометированного сервера Microsoft Exchange, который был использован с помощью серии уязвимостей, известных как ProxyShell. К ним относятся CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207, все из которых по-прежнему активно нацелены на злоумышленников, несмотря на то, что первоначально о них сообщалось в 2021 году.

Эксплуатация этих уязвимостей подчеркивает устойчивый опасность, исходящую от устаревших системах, особенно в серверах Exchange, которые часто служат привлекательным объектом для злоумышленников. Текущие уязвимости является средством многочисленными злоумышленниками для выполнения различных атак, подчеркивая необходимость комплексного управления исправлениями в организационной среде.

В ShadowRelay бэкдор, обнаруженный наряду с другими известными уязвимостями на удаленном сервере Exchange, имеет модульную конструкцию, что позволяет злоумышленникам загрузить различные плагины, которые расширяют его функциональность. Данная модель показывает уровень сложности в возможности злоумышленника, предполагая, что они имеют значительный опыт в вредоносное ПО и развертывания вредоносных программ. Такие передовые технологии позволяют вредоносному ПО адаптироваться к различным операционным требованиям или уклоняться от обнаружения, демонстрируя эволюционирующий характер угроз кибербезопасности, нацеленных на инфраструктуру государственного сектора.

#ParsedReport #CompletenessHigh
20-01-2026

Don't Judge a PNG by Its Header: PURELOGS Infostealer Analysis

https://www.swisspost-cybersecurity.ch/news/purelogs-infostealer-analysis-dont-judge-a-png-by-its-header

Report completeness: High

Actors/Campaigns:
Hive0131
Purecoder

Threats:
Purelogs
Polyglot_ransomware
Vmdetectloader
Process_injection_technique
Runpe_tool
Process_hollowing_technique
Dotnet_reactor_tool
Purerat
Blueloader
Purecryptor
Confuserex_tool
Clickfix_technique
Ngrok_tool

Victims:
General users, Browsers, Cryptocurrency wallet users

Industry:
Education, Petroleum, Healthcare

Geo:
American, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055.012, T1059.001, T1059.007, T1105, T1140, T1566.001, T1620

IOCs:
File: 3
Url: 3
IP: 2
Hash: 5

Soft:
Windows scripting engine, NET Framework, NET-Reactor, Telegram, NET Reactor, Chromium, Google Chrome, Microsoft Edge, Opera, Firefox, Yandex Browser, have more...

Wallets:
bitcoincore, electrum, exodus_wallet, metamask

Crypto:
monero, binance

Algorithms:
gzip, base64, des, 3des, xor, md5, aes, zip, aes-256-gcm, sha256

Functions:
DownloadString, DownloadFile, CreateDecryptor

Win API:
decompress, CryptUnprotectData

Languages:
powershell, jscript, javascript