#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная Вредоносная Кампания использует уязвимость проверки пути WinRAR (CVE-2025-8088) для организации скрытого удаленного доступа к системам Windows без повышенных привилегий. Злоумышленники используют защищенные архивы RAR для размещения вредоносных скриптов в каталогах автоматического выполнения, используя относительный обход путей для обхода мер безопасности. Конечная полезная нагрузка, Quasar RAT, обеспечивает широкие возможности удаленного доступа, в то время как вредоносное ПО избегает традиционного обнаружения, полностью запускаясь в памяти.
-----

В отчете CYFIRMA подробно описывается сложная Вредоносная Кампания, которая использует уязвимость проверки пути WinRAR (CVE-2025-8088) для обеспечения скрытого постоянного удаленного доступа к системам Windows без необходимости в повышенных привилегиях или наборах эксплойтов. Злоумышленники создают вооруженный архив RAR, замаскированный под законный пакет инструментов OSINT, который при извлечении позволяет размещать вредоносные скрипты в каталогах автоматического выполнения.

Использование CVE-2025-8088 позволяет вредоносному архиву записывать файлы за пределы предполагаемого каталога извлечения, эффективно обходя меры безопасности. Основной метод включает встраивание закодированных последовательностей обхода относительного пути в архив, которые в конечном счете нацелены на каталог запуска Windows. После извлечения активируется вредоносный пакетный скрипт, который устанавливает закрепление с помощью множества механизмов, включая модификации реестра и скрытые каталоги, предназначенные для того, чтобы избежать обнаружения.

После первоначального доступа и выполнения скрипта пакетный файл запускает загрузчик PowerShell. Этот загрузчик использует ExecutionPolicy Bypass для выполнения запутанного скрипта PowerShell, который расшифровывает созданный Donut шелл-код и впоследствии внедряет его в доверенные процессы Windows, такие как explorer.exe . Это позволяет полезной нагрузке полностью выполняться в памяти, сводя к минимуму влияние атаки и облегчая обход традиционной файловой защиты.

Окончательный полезной нагрузки, определяемый как Quasar RAT, обеспечивает возможность полного удаленного доступа, в том числе выполнения команды работы с файлами, Регистрация нажатий клавиш, и система мониторинга. Кампания иллюстрирует тенденцию среди субъектов опасный эксплуатировать надежные уязвимости в программном обеспечении и распространенных методов пользователей на первоначальный доступ и закрепление, тем самым избегая обычных обнаружения препятствия, связанные с вредоносным программным обеспечением.

#ParsedReport #CompletenessHigh
23-01-2026

G_Wagon: npm Package Deploys Python Stealer Targeting 100+ Crypto Wallets

https://www.aikido.dev/blog/npm-malware-g-wagon-python-stealer-crypto-wallets

Report completeness: High

Threats:
G_wagon
Supply_chain_technique
Dll_injection_technique

Victims:
Cryptocurrency users, Software developers

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1055, T1059.006, T1071.001, T1105, T1195.001, T1552.001, have more...

IOCs:
File: 16
Url: 2
Hash: 9
Domain: 2

Soft:
Discord, Chrome, macOS, OpenSSL, Ledger Live, Telegram, Steam

Wallets:
metamask, coinbase, trezor, exodus_wallet, polkadot

Crypto:
ethereum, solana, cardano, bitcoin

Algorithms:
xor, zip, sha256, base64

Functions:
downloadAndExtract

Win API:
NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory, NtCreateThreadEx

Languages:
python

Platforms:
intel, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет G_Wagon npm - это механизм развертывания вредоносного ПО, в частности, стиллер на Python, нацеленный на более чем 100 криптовалютных кошельков, демонстрирующий динамические обновления, которые включают сложные методы самосохранения и запутывания. Его работа включает в себя вводящий в заблуждение брендинг для маскировки злонамеренных намерений, за которым следует запутанная полезная нагрузка Python и DLL Injection с использованием библиотеки DLL Windows в кодировке base64 и зашифрованной XOR. Связь осуществляется через адаптивные серверы управления, что указывает на быстро обучающегося злоумышленника, совершенствующего тактику на основе оперативного анализа.
-----

Пакет G_Wagon НПМ было определено как вредоносное ПО развертывания вредоносного ПО, особенно Python Стиллер, что цели более 100 различных криптовалютных кошельков. Самое вредоносное ПО развивается через несколько версий, демонстрируя динамичный подход от злоумышленника. Последние обновления в этой серии демонстрируют сложный уровень самосохранения и методы обфускации. Например, версия 1.3.5 введен управление (С2) URL-адрес и фальшивого брендинга, чтобы ввести в заблуждение пользователей, в то время как последующие версии постепенной интеграции функций, таких как анти-криминалисты, обфускация кода, и уникального грузоподъемность выполнения метода, который позволяет избежать записи данных на диск.

В своей работе вредоносное ПО использует двухэтапный процесс, сначала используя обманчивый брендинг и сообщения, связанные с пользовательским интерфейсом, чтобы замаскировать свои вредоносные намерения, тем самым придавая им законный вид. Второй этап включает в себя полезную нагрузку на Python, которая сильно запутана, что затрудняет аналитикам анализ функциональности без тщательного исследования. Примечательно, что он также включает в себя DLL injection, выделяемый библиотекой DLL Windows с кодировкой base64 и XOR-шифрованием, встроенной в код Python.

Общение с инфраструктуры злоумышленника полагается на серверах двумя С2, хотя конкретики по На сервере и функции изменялись с течением времени, указывая на гибкой тактики оператора. Стремительное развитие цикла вредоносное ПО, которая включает в себя постоянные обновления и исправления ошибок, демонстрирует быстрый обучения злоумышленник способен совершенствуют свою тактику в режиме реального времени анализировать свою деятельность.

Чтобы снизить риск, связанный с этим вредоносным ПО, рекомендуется удалить пакет G_Wagon, удалить связанный каталог node_modules и проверить наличие файла .gwagon_status, который служит индикатором заражения. Пострадавшие пользователи должны предпринять комплексные действия по исправлению: изменить все сохраненные пароли для браузеров, отозвать и восстановить токены для любых скомпрометированных криптовалютных кошельков и изменить учетные данные для любых используемых Облачных сервисов. Кроме того, пользователям рекомендуется восстановить SSH-ключи и аннулировать все сеансы в таких сервисах, как Discord и Telegram, для обеспечения полной безопасности. В целом, вредоносное ПО G_Wagon представляет собой сложную угрозу с изощренными возможностями уклонения, требующую бдительности и быстрого реагирования со стороны нацеленных пользователей и организаций.

#ParsedReport #CompletenessLow
23-01-2026

MacSync stealer is using SEO poisoning and fake GitHub repositories

https://moonlock.com/macsync-stealer-fake-github-repositories

Report completeness: Low

Threats:
Macsyncstealer
Seo_poisoning_technique
Macc_stealer
Clickfix_technique

Victims:
Mac users

Industry:
Entertainment, Media

ChatGPT TTPs:
do not use without manual check
T1036.005, T1190, T1204.001, T1583.001, T1584.003

Soft:
macOS, WordPress, CorelCAD

Algorithms:
base64

Functions:
ReadMe

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания MacSync stealer нацелена на пользователей Mac, используя поддельные репозитории GitHub для распространения вредоносного ПО через веб-страницы, вводящие в заблуждение, с использованием поисковой системы SEO poisoning ( utilizingo utilizing) и социальной инженерии. Злоумышленники используют метод ClickFix, побуждающий пользователей выполнять вредоносный код со взломанных сайтов. Вредоносное ПО способно красть конфиденциальную информацию, и кампания продолжается через несколько учетных записей GitHub, что усложняет усилия по смягчению последствий.
-----

Недавний анализ, проведенный командой Daylight Security MDR, показал масштабную кампанию с участием MacSync stealer, которая специально нацелена на пользователей Mac. В ходе этой операции злоумышленники используют GitHub, создавая поддельные репозитории, которые маскируются под законные загрузки программного обеспечения. Вместо того, чтобы просто размещать вредоносный код, злоумышленники превратили GitHub в платформу для размещения веб-страниц, вводящих в заблуждение, используя такие тактики, как Отравление поисковой оптимизации (SEO) и социальную инженерию, чтобы заманить пользователей.

В кампании используется метод, называемый ClickFix, при котором пользователей побуждают нажимать на кнопки "Загрузить для Mac", которые ведут на вредоносные сайты. Оказавшись на этих сайтах, пользователи копируют и выполняют код в своем терминале, позволяя вредоносному ПО заражать их системы. Этот метод манипулирования использует доверие пользователей к GitHub как к безопасному источнику программного обеспечения, что в конечном итоге облегчает распространение MacSync stealer.

Примечательно закрепление кампании, поскольку для циклического просмотра вредоносного контента используются несколько учетных записей GitHub, что усложняет усилия GitHub по смягчению угрозы. Исследователи безопасности описывают вариант MacSync, распространяемый в рамках этой кампании, как совпадающий с ранее идентифицированными версиями вредоносного ПО, что указывает на возможную эволюцию стратегии злоумышленников.

MacSync приобрел дурную славу благодаря своим возможностям по краже конфиденциальной информации с зараженных устройств. Вредоносное ПО представляет серьезную угрозу из-за своего сложного дизайна и эффективности тактики социальной инженерии, используемой для обхода типичных средств защиты пользователей. Исследователи подчеркивают риск для пользователей, которые неосознанно загрузили программное обеспечение с этих скомпрометированных страниц GitHub в течение последних 60-90 дней, рекомендуя заинтересованным лицам провести тщательную проверку на наличие вредоносного ПО на своих компьютерах Mac.

Чтобы оставаться защищенным от таких компромиссов, как MacSync, первостепенное значение имеет внедрение строгих методов цифровой гигиены. Пользователям рекомендуется сохранять бдительность при загрузке программного обеспечения, внимательно изучать исходные тексты и рассмотреть возможность использования специализированных приложений безопасности, предназначенных для обнаружения и нейтрализации угроз стиллеров. Инновационный подход кампании, использующий GitHub для распространения, подчеркивает тревожную тенденцию, при которой законные платформы используются в злонамеренных целях, усиливая необходимость постоянной осведомленности и упреждающих механизмов защиты в области кибербезопасности.

#ParsedReport #CompletenessLow
23-01-2026

EMERGING THREATS

https://go.intel471.com/hubfs/Emerging%20Threats/2026%20Emerging%20Threats/Intel%20471%20%7C%20Emerging%20Threat%20-%20DevMan%20Ransomware.pdf

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Devman
Dragonforce_ransomware
Blackbasta
Conti
Impacket_tool
Donpapi_tool

Victims:
Healthcare industry

Industry:
Healthcare

Geo:
Asia, Africa

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)

CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021)
- microsoft outlook (2013, 2016)

CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...
CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)


TTPs:
Tactics: 6
Technics: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DevMan, появившаяся в 2025 году, связана с семейством DragonForce ransomware и демонстрирует тенденции в ребрендинге и модульной разработке, распространенные в операциях с программами-вымогателями. Он использует агрессивную стратегию вымогательства, шифруя файлы и угрожая раскрытием украденных данных, что оказывает значительное воздействие на организации. Первоначальный доступ осуществляется с помощью скомпрометированных учетных данных или использования Служб удаленного доступа, за которыми следует разведка с целью нацеливания на ценные системы для расширенного шифрования по всей сети жертвы.
-----

Программа-вымогатель DevMan - это недавно выявленная программа-вымогатель, появившаяся в 2025 году и характеризующаяся как производная семейства DragonForce ransomware. Эта угроза была связана с тенденцией ребрендинга программ-вымогателей, наблюдаемой в других группах, таких как Conti и Black Basta, где операторы часто меняют идентификационные данные, используя схожую тактику и инфраструктуру. DevMan использует агрессивную модель вымогательства, оказывая воздействие на организации посредством шифрования файлов и потенциального раскрытия конфиденциальных данных, которые могут быть опубликованы на различных сайтах утечек. Этот двусторонний подход, связанный с нарушением работы и кражей данных, становится все более распространенным в операциях программ-вымогателей.

Недавний анализ показывает, что разработка DevMan's отражает модульный ландшафт программ-вымогателей, где операторы используют установленные кодовые базы и инфраструктуру, изменяя при этом свой брендинг и инструменты, чтобы избежать обнаружения и атрибуции. Это согласуется с более широкой тенденцией, когда группы вымогателей часто меняют свои идентификационные данные, сохраняя при этом неизменные методы вторжения и оперативные стратегии.

Что касается методов работы, DevMan признан адаптированным вариантом, основанным на кодовой базе DragonForce. Он следует структурированной схеме вторжения, типичной для современных атак программ-вымогателей, управляемых человеком. Первоначальный доступ часто осуществляется с помощью скомпрометированных учетных данных, использования незащищенных Служб удаленного доступа или аналогичных методов, позволяющих злоумышленникам получить интерактивный доступ в среде жертвы. Последующая разведка проводится с целью выявления систем с высокой стоимостью, выявления общих дисков и резервных копий и оценки наиболее эффективных хостов с точки зрения шифрования. Как только злоумышленники получат достаточные привилегии, у них появится возможность развернуть DevMan для широкомасштабного шифрования на конечных точках и ресурсах, доступных по сети. Потенциальное оказание дополнительного давления на жертв посредством угроз, связанных с украденными данными, еще больше усложняет ситуацию для организаций, подвергшихся воздействию.

Таким образом, программа-вымогатель DevMan представляет собой сложную и эволюционирующую угрозу, которая иллюстрирует современные тенденции в работе программ-вымогателей, особенно с точки зрения их модульной, адаптивной природы и агрессивной тактики, направленной на максимизацию результатов вымогательства.

#ParsedReport #CompletenessLow
23-01-2026

Vercel-hosted RMM abuse campaign evolves with Telegram C2 for victim filtering

https://www.cloudflare.com/en-au/cloudforce-one/research/report/vercel-hosted-rmm-abuse-campaign-evolves-with-telegram-c2-for-victim-filtering/

Report completeness: Low

Threats:
Gotoresolve_tool
Logmein_tool
Lolbin_technique

Victims:
General users

Industry:
Financial, Transport

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1204.001, T1566.002, T1584.006

IOCs:
File: 2

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, проводившаяся с ноября 2025 по январь 2026 года, использует хостинговую платформу Vercel для распространения инструмента удаленного доступа (RAT), используя методы социальной инженерии, ориентированные на финансовую срочность и Имперсонацию. Злоумышленники используют минимум текста в фишингов электронных письмах, чтобы заставить получателей переходить по ссылкам на сайты, размещенные на Vercel, стремясь обойти меры безопасности и эффективно скомпрометировать свои цели. Эта эволюция тактики указывает на значительное улучшение технического исполнения атакующих с момента ее первоначального документирования в июне 2025 года.
-----

В ходе недавней кампании по фишингу, наблюдавшейся с ноября 2025 по январь 2026 года, злоумышленники использовали хостинговую платформу Vercel для распространения инструмента удаленного доступа (RAT). Первоначально задокументированная CyberArmor в июне 2025 года, эта кампания продемонстрировала значительную эволюцию в своей тактике и техническом исполнении.

Злоумышленники пользуются доверием пользователей в законную услуг для повышения эффективности кампании, используя тактику социальной инженерии сосредоточена вокруг темы финансовой актуальность и имперсонация. Фишинг-писем, как правило, обладают минимальным текст, который вызывает ощущение срочности, часто ссылающиеся на "неоплаченные счета", "платежные ведомости" и просит для "документов". Такая формулировка призвана заставить получателей перейти по вредоносным ссылкам.

Цепочка атак начинается с доставки этих электронных писем с фишингом. Цели получают электронное письмо, содержащее ссылку, ведущую на сайт, размещенный в Vercel. Срочность, создаваемая содержанием электронного письма, является стратегическим элементом, направленным на поощрение немедленных действий со стороны получателей, которые могут не учитывать общепринятые методы обеспечения безопасности.

#ParsedReport #CompletenessLow
23-01-2026

The new Mac stealer in town: MonetaStealer is after crypto wallets

https://moonlock.com/new-monetastealer-crypto-wallets

Report completeness: Low

Threats:
Monetastealer
Monetastaler
Macc_stealer

Victims:
Mac users, Cryptocurrency users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1074.001, T1102, T1204.002, T1539, T1555.003, T1560.001

IOCs:
File: 2

Soft:
macOS, Telegram, Chrome

Wallets:
exodus_wallet, electrum, metamask, coinbase

Crypto:
binance

Algorithms:
zip

Languages:
python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MonetaStealer - это вредоносное ПО для macOS, нацеленное на криптовалютные кошельки, выявленное исследователями безопасности Iru. Этот автономный исполняемый файл, распространяемый в виде исполняемого файла Windows .exe, собирает конфиденциальные данные из Google Chrome, такие как пароли и история посещенных страниц, сжимая их в zip-файл на рабочем столе пользователя. Анализ кода предполагает, что он может быть разработан русскоязычными злоумышленниками, что подчеркивает сохраняющуюся угрозу вредоносного ПО, нацеленного на криптопользователей.
-----

MonetaStealer - это недавно обнаруженное вредоносное ПО для macOS, которое специально нацелено на криптовалютные кошельки, представляя собой отличный подход по сравнению с существующими решениями. Идентифицированный исследователями безопасности Iru, MonetaStealer описывается как автономное вредоносное ПО, что означает, что он работает как автономный исполняемый файл, не полагаясь на другие компоненты вредоносного ПО для получения дополнительной полезной нагрузки. Интересно, что вредоносное ПО распространяется в виде exe-файла, формата, родного для Windows, что потенциально вводит в заблуждение пользователей, которые загружают его, создавая впечатление, что они приобретают законное программное обеспечение для macOS.

Анализ кода показывает, что MonetaStealer содержит обширные комментарии на русском языке, указывающие на то, что он может исходить от русскоязычных злоумышленников или быть разработан ими. Его основная функциональность сосредоточена на удалении конфиденциальных данных из Google Chrome, включая сохраненные пароли, файлы cookie и историю посещенных страниц. Вредоносное ПО собирает эти данные и сжимает их в zip-файл с надписью "УКРАДЕННЫЙ {SessionID}.zip", который впоследствии помещается в каталог рабочего стола пользователя.

Хотя причины продолжающейся разработки новых стиллеров для macOS, таких как MonetaStealer, остаются неоднозначными, это может отражать эволюцию распространения вредоносного ПО или стремления новых злоумышленников, стремящихся выйти на рынок вредоносного ПО как услуги. Наличие такого вредоносного ПО представляет значительные риски для пользователей, особенно владельцев криптокошельков, поскольку украденная учетная информация может привести к несанкционированному доступу и финансовым потерям.

Чтобы снизить риски, связанные с MonetaStealer и подобными угрозами, частным лицам рекомендуется проявлять осторожность при загрузке, особенно избегать пиратского программного обеспечения, и выбирать приложения от уважаемых разработчиков. Обеспечение надежных мер безопасности, таких как антивирусные средства, может дополнительно защитить от потенциальных заражений вредоносным ПО.

Speculative Analysis and Correlation Study on the Cyber Operations Capability Spectrum Underlying the US Military Invasion of Venezuela

https://www.antiy.net/p/speculative-analysis-and-correlation-study-on-the-cyber-operations-capability-spectrum-underlying-the-us-military-invasion-of-venezuela/

Analysing Carding Infrastructure

https://www.team-cymru.com/post/analysing-carding-infrastructure

#technique

EvilNeko

EvilNeko is a project to automate orchestration of containers and operationalize Browser in the Browser (BITB) attacks for red teams.

https://github.com/CorvraLabs/EvilNeko

#ParsedReport #CompletenessHigh
21-01-2026

Attack on *stan: Your malware, my C2

https://ctrlaltintel.com/threat%20research/KazakRAT/

Report completeness: High

Actors/Campaigns:
Transparenttribe

Threats:
Kazakrat
Xsploit_tool

Victims:
Government sector, Public works sector

Industry:
Government

Geo:
India, Saudi arabia, Syrian, Afghanistan, Kazakhstan, Afghan, Pakistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1083, T1105, T1106, T1204.002, T1218.011, T1547.001, T1564.001, T1566.001, have more...

IOCs:
File: 2
Path: 3
Domain: 5
IP: 6
Hash: 29

Soft:
Android, Microsoft Word

Algorithms:
md5, sha256

Functions:
GetLocalDrives

Win API:
SetTimer, CreateProcessW, EnumProcesses, GetVersionExW, CreateDirectoryA, SetFileAttributesW, FindFirstFileA, FindNextFileA

Languages:
php, python

YARA: Found

Links:
https://github.com/ctrlaltint3l/intelligence/blob/main/YARA-Rules/KazakRAT-Jan2026.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 11