#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, проводившаяся с ноября 2025 по январь 2026 года, использует хостинговую платформу Vercel для распространения инструмента удаленного доступа (RAT), используя методы социальной инженерии, ориентированные на финансовую срочность и Имперсонацию. Злоумышленники используют минимум текста в фишингов электронных письмах, чтобы заставить получателей переходить по ссылкам на сайты, размещенные на Vercel, стремясь обойти меры безопасности и эффективно скомпрометировать свои цели. Эта эволюция тактики указывает на значительное улучшение технического исполнения атакующих с момента ее первоначального документирования в июне 2025 года.
-----

В ходе недавней кампании по фишингу, наблюдавшейся с ноября 2025 по январь 2026 года, злоумышленники использовали хостинговую платформу Vercel для распространения инструмента удаленного доступа (RAT). Первоначально задокументированная CyberArmor в июне 2025 года, эта кампания продемонстрировала значительную эволюцию в своей тактике и техническом исполнении.

Злоумышленники пользуются доверием пользователей в законную услуг для повышения эффективности кампании, используя тактику социальной инженерии сосредоточена вокруг темы финансовой актуальность и имперсонация. Фишинг-писем, как правило, обладают минимальным текст, который вызывает ощущение срочности, часто ссылающиеся на "неоплаченные счета", "платежные ведомости" и просит для "документов". Такая формулировка призвана заставить получателей перейти по вредоносным ссылкам.

Цепочка атак начинается с доставки этих электронных писем с фишингом. Цели получают электронное письмо, содержащее ссылку, ведущую на сайт, размещенный в Vercel. Срочность, создаваемая содержанием электронного письма, является стратегическим элементом, направленным на поощрение немедленных действий со стороны получателей, которые могут не учитывать общепринятые методы обеспечения безопасности.

#ParsedReport #CompletenessLow
23-01-2026

The new Mac stealer in town: MonetaStealer is after crypto wallets

https://moonlock.com/new-monetastealer-crypto-wallets

Report completeness: Low

Threats:
Monetastealer
Monetastaler
Macc_stealer

Victims:
Mac users, Cryptocurrency users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1074.001, T1102, T1204.002, T1539, T1555.003, T1560.001

IOCs:
File: 2

Soft:
macOS, Telegram, Chrome

Wallets:
exodus_wallet, electrum, metamask, coinbase

Crypto:
binance

Algorithms:
zip

Languages:
python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MonetaStealer - это вредоносное ПО для macOS, нацеленное на криптовалютные кошельки, выявленное исследователями безопасности Iru. Этот автономный исполняемый файл, распространяемый в виде исполняемого файла Windows .exe, собирает конфиденциальные данные из Google Chrome, такие как пароли и история посещенных страниц, сжимая их в zip-файл на рабочем столе пользователя. Анализ кода предполагает, что он может быть разработан русскоязычными злоумышленниками, что подчеркивает сохраняющуюся угрозу вредоносного ПО, нацеленного на криптопользователей.
-----

MonetaStealer - это недавно обнаруженное вредоносное ПО для macOS, которое специально нацелено на криптовалютные кошельки, представляя собой отличный подход по сравнению с существующими решениями. Идентифицированный исследователями безопасности Iru, MonetaStealer описывается как автономное вредоносное ПО, что означает, что он работает как автономный исполняемый файл, не полагаясь на другие компоненты вредоносного ПО для получения дополнительной полезной нагрузки. Интересно, что вредоносное ПО распространяется в виде exe-файла, формата, родного для Windows, что потенциально вводит в заблуждение пользователей, которые загружают его, создавая впечатление, что они приобретают законное программное обеспечение для macOS.

Анализ кода показывает, что MonetaStealer содержит обширные комментарии на русском языке, указывающие на то, что он может исходить от русскоязычных злоумышленников или быть разработан ими. Его основная функциональность сосредоточена на удалении конфиденциальных данных из Google Chrome, включая сохраненные пароли, файлы cookie и историю посещенных страниц. Вредоносное ПО собирает эти данные и сжимает их в zip-файл с надписью "УКРАДЕННЫЙ {SessionID}.zip", который впоследствии помещается в каталог рабочего стола пользователя.

Хотя причины продолжающейся разработки новых стиллеров для macOS, таких как MonetaStealer, остаются неоднозначными, это может отражать эволюцию распространения вредоносного ПО или стремления новых злоумышленников, стремящихся выйти на рынок вредоносного ПО как услуги. Наличие такого вредоносного ПО представляет значительные риски для пользователей, особенно владельцев криптокошельков, поскольку украденная учетная информация может привести к несанкционированному доступу и финансовым потерям.

Чтобы снизить риски, связанные с MonetaStealer и подобными угрозами, частным лицам рекомендуется проявлять осторожность при загрузке, особенно избегать пиратского программного обеспечения, и выбирать приложения от уважаемых разработчиков. Обеспечение надежных мер безопасности, таких как антивирусные средства, может дополнительно защитить от потенциальных заражений вредоносным ПО.

Speculative Analysis and Correlation Study on the Cyber Operations Capability Spectrum Underlying the US Military Invasion of Venezuela

https://www.antiy.net/p/speculative-analysis-and-correlation-study-on-the-cyber-operations-capability-spectrum-underlying-the-us-military-invasion-of-venezuela/

Analysing Carding Infrastructure

https://www.team-cymru.com/post/analysing-carding-infrastructure

#technique

EvilNeko

EvilNeko is a project to automate orchestration of containers and operationalize Browser in the Browser (BITB) attacks for red teams.

https://github.com/CorvraLabs/EvilNeko

#ParsedReport #CompletenessHigh
21-01-2026

Attack on *stan: Your malware, my C2

https://ctrlaltintel.com/threat%20research/KazakRAT/

Report completeness: High

Actors/Campaigns:
Transparenttribe

Threats:
Kazakrat
Xsploit_tool

Victims:
Government sector, Public works sector

Industry:
Government

Geo:
India, Saudi arabia, Syrian, Afghanistan, Kazakhstan, Afghan, Pakistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1083, T1105, T1106, T1204.002, T1218.011, T1547.001, T1564.001, T1566.001, have more...

IOCs:
File: 2
Path: 3
Domain: 5
IP: 6
Hash: 29

Soft:
Android, Microsoft Word

Algorithms:
md5, sha256

Functions:
GetLocalDrives

Win API:
SetTimer, CreateProcessW, EnumProcesses, GetVersionExW, CreateDirectoryA, SetFileAttributesW, FindFirstFileA, FindNextFileA

Languages:
php, python

YARA: Found

Links:
https://github.com/ctrlaltint3l/intelligence/blob/main/YARA-Rules/KazakRAT-Jan2026.yar

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Постоянная Вредоносная Кампания, связанная с предполагаемым актором, связанным с государством, нацелена на Казахстан и Афганистан с использованием вредоносного ПО KazakRAT. Вредоносное ПО распространяется в виде файлов .msi и поддерживает закрепление с помощью раздела реестра Run, используя функцию Win32 API SetTimer для связи с сервером управления, dns.freiesasien.com . Он использует различные механизмы доставки, включая поддельные документы, и позволяет операторам выполнять команды для системного перечисления и управления файлами, что отражает ограниченную оперативную зрелость из-за незашифрованных сообщений C2 и неэффективного обслуживания домена.
-----

Анализ выявил постоянную Вредоносную Кампанию, связанную с предполагаемым актором, связанным с государством, нацеленным на организации в Казахстане и Афганистане. Вредоносное ПО, именуемое KazakRAT, использует серверы управления (C2) по крайней мере с августа 2022 года и использует различные тактики доставки и закрепления вредоносного ПО. В частности, образцы вредоносного ПО были доставлены в виде файлов .msi, причем каждый вариант использует разные механизмы, в то время как все они управляют закреплением с помощью раздела реестра Run, запуская DLL с помощью rundll32.

KazakRAT использует функцию Win32 API SetTimer для связи, маяки каждые пять секунд для получения команд из своей инфраструктуры C2. Домен C2, наблюдаемый в этой кампании, dns.freiesasien.com , работает по незашифрованному протоколу HTTP, иллюстрируя минимальные усилия для уклонения. Акторы, стоящие за этой кампанией, демонстрируют ограниченную оперативную зрелость, о чем свидетельствует их неспособность поддерживать активные домены C2.

Рассмотренные варианты вредоносного ПО включают различные механизмы доставки в сочетании с документами-приманками, направленными на повышение вероятности выполнения. Например, один вариант маскируется под документ Word, содержащий поддельные переписки официальных лиц, в то время как другие используют отсканированные документы, выдающие себя за официальные сообщения властей. При выполнении все варианты KazakRAT используют такие функции, как CreateProcessW для выполнения команды и GetLocalDrives() для сбора информации о локальных дисках.

KazakRAT позволяет операторам выполнять ряд команд, включая те, которые перечисляют системную информацию, создают скрытые папки и загружают файлы. Для таких команд, как “exec” и “info”, RAT может выполнять переданные исполняемые файлы и собирать информацию о версии операционной системы соответственно. Примечательно, что возможность создавать скрытые каталоги и функциональность для загрузки файлов с указанных URL-адресов еще больше расширяют операционные возможности вредоносного ПО.

#ParsedReport #CompletenessMedium
23-01-2026

Fake Booking.com ClickFix attack abuses Cloudflare verification to deliver malware

https://www.threatlocker.com/blog/fake-booking-com-clickfix-attack-abuses-cloudflare-verification-to-deliver-malware

Report completeness: Medium

Threats:
Clickfix_technique
Hijackloader
Purelogs
Cobalt_strike_tool
Remcos_rat
Purerat
Stealc
Dotnet_reactor_tool
Vmprotect_tool
Lolbin_technique

Victims:
Travel and hospitality sector, General users booking travel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.001, T1059.003, T1060, T1082, T1090, T1090.003, T1105, have more...

IOCs:
Domain: 3
File: 6
Url: 18
Registry: 1
Hash: 73
IP: 2

Soft:
Cloudflare turnstile, Node.js, Curl, NET Reactor

Algorithms:
sha256

Functions:
RegWrite

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, code: 10, windows: 3, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака ClickFix использует поддомен, вводящий в заблуждение "booking.com - чтобы обманом заставить жертв выполнять вредоносные команды, снижая их защиту. Начальная полезная нагрузка, "Lwiiiqzxxgaghaas.js , "загружает дополнительное вредоносное ПО и устанавливает закрепление путем изменения записей реестра, в то время как конечная полезная нагрузка",Jghiiznajjdvlad.js ," собирает конфиденциальную системную информацию и подключается к домену ".onion" через локальный прокси-сервер Tor. Связанный с кампанией аккаунт на GitHub содержит активные репозитории со сложными инструментами для работы с вредоносным ПО, что указывает на постоянное развитие угрозы.
-----

Атака ClickFix, использующая ложный "booking.com " сайт демонстрирует сложный подход к социальной инженерии. Идентифицированная ThreatLocker Threat Intelligence, эта кампания использует вредоносный поддомен, который имитирует законную страницу проверки Cloudflare. Жертвы, надеющиеся организовать поездку, направляются по адресу "admin.booking.com ," который инициирует вредоносный процесс, заставляя пользователей выполнять команды без их ведома, что значительно снижает их защиту от развертывания вредоносного ПО.

Начальная полезная нагрузка, известная как "Lwiiiqzxxgaghaas.js ," служит нескольким целям: загружает дополнительные Вредоносные файлы и устанавливает закрепление на компьютере жертвы путем создания записей в реестре. Сначала он извлекает данные из вредоносного репозитория GitHub, в частности файл с именем "ConfAI.txt ," который содержит переменные, имеющие решающее значение для дальнейшей эксплуатации. Это включает инструкции по загрузке для последующего этапа и путь к реестру, который обеспечит запуск вредоносного ПО при запуске системы.

Конечная полезная нагрузка, "Jghiiznajjdvlad.js", заключается в сборе конфиденциальной информации из системы пользователя, такой как IP-адрес, имя хоста и тип операционной системы. Эта полезная нагрузка настраивает локальный прокси-сервер Tor socks, облегчающий подключение к встроенному домену ".onion", что подчеркивает намерение злоумышленников скрыть свою деятельность. На момент обнаружения ссылка onion была удалена, что указывает на потенциально изменчивую и адаптивную угрозу.

Кроме того, вредоносная учетная запись GitHub, связанная с этой кампанией, содержит три активных хранилища, содержащих различные инструменты для эксплуатации и штаммы вредоносного ПО, включая такие известные угрозы, как Cobalt Strike и Remcos Rat. В этих хранилищах представлены последние обновления, свидетельствующие о продолжающемся развитии и распространении этих ресурсов. Инструменты часто запутываются с использованием коммерческих средств защиты, что усложняет анализ и принятие ответных мер.

#ParsedReport #CompletenessHigh
23-01-2026

Revisiting GPUGate: Repo Squatting and OpenCL Deception to Deliver HijackLoader

https://gmo-cybersecurity.com/blog/revisiting-gpugate-repo-squatting-and-opencl-deception-to-deliver-hijackloader/

Report completeness: High

Threats:
Repo_squatting_technique
Gpugate_technique
Hijackloader
Dll_sideloading_technique
Amos_stealer
Sectop_rat
Lumma_stealer

Victims:
Developers, Individuals searching for developer tools

Geo:
Japanese, Japan

CVEs:
CVE-2021-31805 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (le2.5.29)

CVE-2022-33891 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache spark (le3.0.3, le3.1.2, le3.2.1)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055.012, T1057, T1059.001, T1059.005, T1189, T1497.003, T1562.001, T1574.002, T1583.001, have more...

IOCs:
File: 12
Hash: 30
Path: 6
Domain: 1
IP: 1
Url: 14

Soft:
Apache Spark, macOS, Windows installer, NET core, Microsoft Defender, BinDiff

Algorithms:
aes-128, cbc, sha256, sha1, xor

Functions:
GenerateKey, generate_key, DecryptPayload, OpenCL, GetByteArrayAsync

Win API:
ZwQuerySystemInformation, NtDelayExecution

Win Services:
avastsvc

Languages:
php, powershell

YARA: Found

Links:
have more...
https://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#key-takeaways
https://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#introduction
https://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#malware-delivery-malvertising--github-repo-squatting

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 9, dump: 4, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания GPUGate использовала GitHub через repo squatting для распространения HijackLoader, вредоносного ПО, использующего многоступенчатые методы. Начальный этап включал в себя загрузчик .NET, Маскировку под законные файлы, наряду с Вредоносной рекламой, нацеленной на разработчиков в ЕС/ЕЭЗ и Японии. HijackLoader использует OpenCL для операций с графическим процессором, чтобы избежать анализа, извлекает дополнительные полезные данные через PowerShell и использует DLL Sideloading для выполнения вредоносных задач, динамически разрешая системные API для скрытых операций.
-----

Кампания GPUGate, пик которой пришелся на период с сентября по октябрь 2025 года, использовала сложную технику repo squatting на GitHub для распространения вредоносного ПО, замаскированного под законный установщик рабочего стола GitHub. Злоумышленники воспользовались возможностью форкнуть общедоступные репозитории, позволив своим вредоносным коммитам появляться в пространстве имен официального репозитория. Это облегчило доставку HijackLoader, вредоносного ПО, которое использовало многоэтапный подход к загрузке для компрометации систем, особенно ориентируясь на пользователей, ищущих инструменты разработчика в ЕС/ЕЭЗ и Японии.

Первый этап атаки включал распространение вредоносного одиночного файла.СЕТЕВОЙ загрузчик, с примерами, включающими файлы, Маскировку под различными именами, такими как hrom-x64.exe и 1Passwrd-x64.exe , датируемый маем 2025 года. Стратегия распространения вредоносного ПО включала Вредоносную рекламу наряду со скомпрометированным репозиторием GitHub, расширяя его охват.

Примечательным аспектом HijackLoader является использование OpenCL для операций на базе GPU, что усложняет анализ, поскольку требует возможностей GPU, обычно недоступных в стандартных изолированных средах. Этот дизайн якобы вводит аналитиков в заблуждение относительно его функциональности и препятствует статическому восстановлению ключа дешифрования. После первоначального выполнения загрузчик извлекает дополнительные полезные файлы .NET из онлайн-источников, впоследствии выполняя их с помощью этапа PowerShell, который устанавливает исключения Microsoft Defender для облегчения своей работы.

На более поздних стадиях вредоносное ПО выполняет DLL sideloading, извлекая и выполняя код из сжатого архива. Заключительный этап работы загрузчика, HijackLoader, динамически разрешает различные системные API и перечисляет запущенные процессы с помощью системных запросов, облегчая ему возможность скрытно выполнять свои вредоносные задачи.

Кампания демонстрирует сохраняющуюся угрозу, исходящую от злоумышленников, стремящихся манипулировать ресурсами разработчиков для распространения вредоносного ПО, и подчеркивает необходимость бдительности пользователей. Рекомендации включают загрузку программного обеспечения только из официальных источников и соблюдение осторожности со спонсируемой поисковой рекламой, которая может привести к вредоносным загрузкам. В целом, атака GPUGate отражает значительную эволюцию тактики, применяемой киберпреступниками, использующими законные платформы для эксплуатации.

#ParsedReport #CompletenessMedium
21-01-2026

ClickFix Campaign Hijacks Facebook Sessions at Scale by Abusing Verification and Appeal Workflows

https://hunt.io/blog/clickfix-facebook-session-hijacking

Report completeness: Medium

Threats:
Clickfix_technique
Credential_harvesting_technique

Victims:
Social media content creators, Verification seeking businesses, Monetized facebook pages

Geo:
Pakistan

TTPs:
Tactics: 12
Technics: 20

IOCs:
Domain: 13
IP: 2
Url: 15
File: 14
Email: 3

Algorithms:
sha256, base64

Functions:
setTimeout, atob

Languages:
javascript

Platforms:
intel

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-12-18-phishing-for-authentication-tokens.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4