#technique
EvilNeko
EvilNeko is a project to automate orchestration of containers and operationalize Browser in the Browser (BITB) attacks for red teams.
https://github.com/CorvraLabs/EvilNeko
EvilNeko
EvilNeko is a project to automate orchestration of containers and operationalize Browser in the Browser (BITB) attacks for red teams.
https://github.com/CorvraLabs/EvilNeko
GitHub
GitHub - CorvraLabs/EvilNeko
Contribute to CorvraLabs/EvilNeko development by creating an account on GitHub.
#ParsedReport #CompletenessHigh
21-01-2026
Attack on *stan: Your malware, my C2
https://ctrlaltintel.com/threat%20research/KazakRAT/
Report completeness: High
Actors/Campaigns:
Transparenttribe
Threats:
Kazakrat
Xsploit_tool
Victims:
Government sector, Public works sector
Industry:
Government
Geo:
India, Saudi arabia, Syrian, Afghanistan, Kazakhstan, Afghan, Pakistan
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1071.001, T1083, T1105, T1106, T1204.002, T1218.011, T1547.001, T1564.001, T1566.001, have more...
IOCs:
File: 2
Path: 3
Domain: 5
IP: 6
Hash: 29
Soft:
Android, Microsoft Word
Algorithms:
md5, sha256
Functions:
GetLocalDrives
Win API:
SetTimer, CreateProcessW, EnumProcesses, GetVersionExW, CreateDirectoryA, SetFileAttributesW, FindFirstFileA, FindNextFileA
Languages:
php, python
YARA: Found
Links:
21-01-2026
Attack on *stan: Your malware, my C2
https://ctrlaltintel.com/threat%20research/KazakRAT/
Report completeness: High
Actors/Campaigns:
Transparenttribe
Threats:
Kazakrat
Xsploit_tool
Victims:
Government sector, Public works sector
Industry:
Government
Geo:
India, Saudi arabia, Syrian, Afghanistan, Kazakhstan, Afghan, Pakistan
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1071.001, T1083, T1105, T1106, T1204.002, T1218.011, T1547.001, T1564.001, T1566.001, have more...
IOCs:
File: 2
Path: 3
Domain: 5
IP: 6
Hash: 29
Soft:
Android, Microsoft Word
Algorithms:
md5, sha256
Functions:
GetLocalDrives
Win API:
SetTimer, CreateProcessW, EnumProcesses, GetVersionExW, CreateDirectoryA, SetFileAttributesW, FindFirstFileA, FindNextFileA
Languages:
php, python
YARA: Found
Links:
https://github.com/ctrlaltint3l/intelligence/blob/main/YARA-Rules/KazakRAT-Jan2026.yarCtrl-Alt-Int3l
Attack on *stan: Your malware, my C2
Suspected state-affiliated actor targets Afghan and Kazakh entities
CTT Report Hub
#ParsedReport #CompletenessHigh 21-01-2026 Attack on *stan: Your malware, my C2 https://ctrlaltintel.com/threat%20research/KazakRAT/ Report completeness: High Actors/Campaigns: Transparenttribe Threats: Kazakrat Xsploit_tool Victims: Government sector…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Постоянная Вредоносная Кампания, связанная с предполагаемым актором, связанным с государством, нацелена на Казахстан и Афганистан с использованием вредоносного ПО KazakRAT. Вредоносное ПО распространяется в виде файлов .msi и поддерживает закрепление с помощью раздела реестра Run, используя функцию Win32 API SetTimer для связи с сервером управления, dns.freiesasien.com . Он использует различные механизмы доставки, включая поддельные документы, и позволяет операторам выполнять команды для системного перечисления и управления файлами, что отражает ограниченную оперативную зрелость из-за незашифрованных сообщений C2 и неэффективного обслуживания домена.
-----
Анализ выявил постоянную Вредоносную Кампанию, связанную с предполагаемым актором, связанным с государством, нацеленным на организации в Казахстане и Афганистане. Вредоносное ПО, именуемое KazakRAT, использует серверы управления (C2) по крайней мере с августа 2022 года и использует различные тактики доставки и закрепления вредоносного ПО. В частности, образцы вредоносного ПО были доставлены в виде файлов .msi, причем каждый вариант использует разные механизмы, в то время как все они управляют закреплением с помощью раздела реестра Run, запуская DLL с помощью rundll32.
KazakRAT использует функцию Win32 API SetTimer для связи, маяки каждые пять секунд для получения команд из своей инфраструктуры C2. Домен C2, наблюдаемый в этой кампании, dns.freiesasien.com , работает по незашифрованному протоколу HTTP, иллюстрируя минимальные усилия для уклонения. Акторы, стоящие за этой кампанией, демонстрируют ограниченную оперативную зрелость, о чем свидетельствует их неспособность поддерживать активные домены C2.
Рассмотренные варианты вредоносного ПО включают различные механизмы доставки в сочетании с документами-приманками, направленными на повышение вероятности выполнения. Например, один вариант маскируется под документ Word, содержащий поддельные переписки официальных лиц, в то время как другие используют отсканированные документы, выдающие себя за официальные сообщения властей. При выполнении все варианты KazakRAT используют такие функции, как CreateProcessW для выполнения команды и GetLocalDrives() для сбора информации о локальных дисках.
KazakRAT позволяет операторам выполнять ряд команд, включая те, которые перечисляют системную информацию, создают скрытые папки и загружают файлы. Для таких команд, как “exec” и “info”, RAT может выполнять переданные исполняемые файлы и собирать информацию о версии операционной системы соответственно. Примечательно, что возможность создавать скрытые каталоги и функциональность для загрузки файлов с указанных URL-адресов еще больше расширяют операционные возможности вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Постоянная Вредоносная Кампания, связанная с предполагаемым актором, связанным с государством, нацелена на Казахстан и Афганистан с использованием вредоносного ПО KazakRAT. Вредоносное ПО распространяется в виде файлов .msi и поддерживает закрепление с помощью раздела реестра Run, используя функцию Win32 API SetTimer для связи с сервером управления, dns.freiesasien.com . Он использует различные механизмы доставки, включая поддельные документы, и позволяет операторам выполнять команды для системного перечисления и управления файлами, что отражает ограниченную оперативную зрелость из-за незашифрованных сообщений C2 и неэффективного обслуживания домена.
-----
Анализ выявил постоянную Вредоносную Кампанию, связанную с предполагаемым актором, связанным с государством, нацеленным на организации в Казахстане и Афганистане. Вредоносное ПО, именуемое KazakRAT, использует серверы управления (C2) по крайней мере с августа 2022 года и использует различные тактики доставки и закрепления вредоносного ПО. В частности, образцы вредоносного ПО были доставлены в виде файлов .msi, причем каждый вариант использует разные механизмы, в то время как все они управляют закреплением с помощью раздела реестра Run, запуская DLL с помощью rundll32.
KazakRAT использует функцию Win32 API SetTimer для связи, маяки каждые пять секунд для получения команд из своей инфраструктуры C2. Домен C2, наблюдаемый в этой кампании, dns.freiesasien.com , работает по незашифрованному протоколу HTTP, иллюстрируя минимальные усилия для уклонения. Акторы, стоящие за этой кампанией, демонстрируют ограниченную оперативную зрелость, о чем свидетельствует их неспособность поддерживать активные домены C2.
Рассмотренные варианты вредоносного ПО включают различные механизмы доставки в сочетании с документами-приманками, направленными на повышение вероятности выполнения. Например, один вариант маскируется под документ Word, содержащий поддельные переписки официальных лиц, в то время как другие используют отсканированные документы, выдающие себя за официальные сообщения властей. При выполнении все варианты KazakRAT используют такие функции, как CreateProcessW для выполнения команды и GetLocalDrives() для сбора информации о локальных дисках.
KazakRAT позволяет операторам выполнять ряд команд, включая те, которые перечисляют системную информацию, создают скрытые папки и загружают файлы. Для таких команд, как “exec” и “info”, RAT может выполнять переданные исполняемые файлы и собирать информацию о версии операционной системы соответственно. Примечательно, что возможность создавать скрытые каталоги и функциональность для загрузки файлов с указанных URL-адресов еще больше расширяют операционные возможности вредоносного ПО.
#ParsedReport #CompletenessMedium
23-01-2026
Fake Booking.com ClickFix attack abuses Cloudflare verification to deliver malware
https://www.threatlocker.com/blog/fake-booking-com-clickfix-attack-abuses-cloudflare-verification-to-deliver-malware
Report completeness: Medium
Threats:
Clickfix_technique
Hijackloader
Purelogs
Cobalt_strike_tool
Remcos_rat
Purerat
Stealc
Dotnet_reactor_tool
Vmprotect_tool
Lolbin_technique
Victims:
Travel and hospitality sector, General users booking travel
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059, T1059.001, T1059.003, T1060, T1082, T1090, T1090.003, T1105, have more...
IOCs:
Domain: 3
File: 6
Url: 18
Registry: 1
Hash: 73
IP: 2
Soft:
Cloudflare turnstile, Node.js, Curl, NET Reactor
Algorithms:
sha256
Functions:
RegWrite
Languages:
javascript, powershell
23-01-2026
Fake Booking.com ClickFix attack abuses Cloudflare verification to deliver malware
https://www.threatlocker.com/blog/fake-booking-com-clickfix-attack-abuses-cloudflare-verification-to-deliver-malware
Report completeness: Medium
Threats:
Clickfix_technique
Hijackloader
Purelogs
Cobalt_strike_tool
Remcos_rat
Purerat
Stealc
Dotnet_reactor_tool
Vmprotect_tool
Lolbin_technique
Victims:
Travel and hospitality sector, General users booking travel
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059, T1059.001, T1059.003, T1060, T1082, T1090, T1090.003, T1105, have more...
IOCs:
Domain: 3
File: 6
Url: 18
Registry: 1
Hash: 73
IP: 2
Soft:
Cloudflare turnstile, Node.js, Curl, NET Reactor
Algorithms:
sha256
Functions:
RegWrite
Languages:
javascript, powershell
Threatlocker
Fake Booking.com ClickFix attack abuses Cloudflare verification to deliver malware | ThreatLocker Blog
Threat analysis of a Booking.com ClickFix campaign using social engineering and fake Cloudflare checks to deliver multi-stage malware.
CTT Report Hub
#ParsedReport #CompletenessMedium 23-01-2026 Fake Booking.com ClickFix attack abuses Cloudflare verification to deliver malware https://www.threatlocker.com/blog/fake-booking-com-clickfix-attack-abuses-cloudflare-verification-to-deliver-malware Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака ClickFix использует поддомен, вводящий в заблуждение "booking.com - чтобы обманом заставить жертв выполнять вредоносные команды, снижая их защиту. Начальная полезная нагрузка, "Lwiiiqzxxgaghaas.js , "загружает дополнительное вредоносное ПО и устанавливает закрепление путем изменения записей реестра, в то время как конечная полезная нагрузка",Jghiiznajjdvlad.js ," собирает конфиденциальную системную информацию и подключается к домену ".onion" через локальный прокси-сервер Tor. Связанный с кампанией аккаунт на GitHub содержит активные репозитории со сложными инструментами для работы с вредоносным ПО, что указывает на постоянное развитие угрозы.
-----
Атака ClickFix, использующая ложный "booking.com " сайт демонстрирует сложный подход к социальной инженерии. Идентифицированная ThreatLocker Threat Intelligence, эта кампания использует вредоносный поддомен, который имитирует законную страницу проверки Cloudflare. Жертвы, надеющиеся организовать поездку, направляются по адресу "admin.booking.com ," который инициирует вредоносный процесс, заставляя пользователей выполнять команды без их ведома, что значительно снижает их защиту от развертывания вредоносного ПО.
Начальная полезная нагрузка, известная как "Lwiiiqzxxgaghaas.js ," служит нескольким целям: загружает дополнительные Вредоносные файлы и устанавливает закрепление на компьютере жертвы путем создания записей в реестре. Сначала он извлекает данные из вредоносного репозитория GitHub, в частности файл с именем "ConfAI.txt ," который содержит переменные, имеющие решающее значение для дальнейшей эксплуатации. Это включает инструкции по загрузке для последующего этапа и путь к реестру, который обеспечит запуск вредоносного ПО при запуске системы.
Конечная полезная нагрузка, "Jghiiznajjdvlad.js", заключается в сборе конфиденциальной информации из системы пользователя, такой как IP-адрес, имя хоста и тип операционной системы. Эта полезная нагрузка настраивает локальный прокси-сервер Tor socks, облегчающий подключение к встроенному домену ".onion", что подчеркивает намерение злоумышленников скрыть свою деятельность. На момент обнаружения ссылка onion была удалена, что указывает на потенциально изменчивую и адаптивную угрозу.
Кроме того, вредоносная учетная запись GitHub, связанная с этой кампанией, содержит три активных хранилища, содержащих различные инструменты для эксплуатации и штаммы вредоносного ПО, включая такие известные угрозы, как Cobalt Strike и Remcos Rat. В этих хранилищах представлены последние обновления, свидетельствующие о продолжающемся развитии и распространении этих ресурсов. Инструменты часто запутываются с использованием коммерческих средств защиты, что усложняет анализ и принятие ответных мер.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Атака ClickFix использует поддомен, вводящий в заблуждение "booking.com - чтобы обманом заставить жертв выполнять вредоносные команды, снижая их защиту. Начальная полезная нагрузка, "Lwiiiqzxxgaghaas.js , "загружает дополнительное вредоносное ПО и устанавливает закрепление путем изменения записей реестра, в то время как конечная полезная нагрузка",Jghiiznajjdvlad.js ," собирает конфиденциальную системную информацию и подключается к домену ".onion" через локальный прокси-сервер Tor. Связанный с кампанией аккаунт на GitHub содержит активные репозитории со сложными инструментами для работы с вредоносным ПО, что указывает на постоянное развитие угрозы.
-----
Атака ClickFix, использующая ложный "booking.com " сайт демонстрирует сложный подход к социальной инженерии. Идентифицированная ThreatLocker Threat Intelligence, эта кампания использует вредоносный поддомен, который имитирует законную страницу проверки Cloudflare. Жертвы, надеющиеся организовать поездку, направляются по адресу "admin.booking.com ," который инициирует вредоносный процесс, заставляя пользователей выполнять команды без их ведома, что значительно снижает их защиту от развертывания вредоносного ПО.
Начальная полезная нагрузка, известная как "Lwiiiqzxxgaghaas.js ," служит нескольким целям: загружает дополнительные Вредоносные файлы и устанавливает закрепление на компьютере жертвы путем создания записей в реестре. Сначала он извлекает данные из вредоносного репозитория GitHub, в частности файл с именем "ConfAI.txt ," который содержит переменные, имеющие решающее значение для дальнейшей эксплуатации. Это включает инструкции по загрузке для последующего этапа и путь к реестру, который обеспечит запуск вредоносного ПО при запуске системы.
Конечная полезная нагрузка, "Jghiiznajjdvlad.js", заключается в сборе конфиденциальной информации из системы пользователя, такой как IP-адрес, имя хоста и тип операционной системы. Эта полезная нагрузка настраивает локальный прокси-сервер Tor socks, облегчающий подключение к встроенному домену ".onion", что подчеркивает намерение злоумышленников скрыть свою деятельность. На момент обнаружения ссылка onion была удалена, что указывает на потенциально изменчивую и адаптивную угрозу.
Кроме того, вредоносная учетная запись GitHub, связанная с этой кампанией, содержит три активных хранилища, содержащих различные инструменты для эксплуатации и штаммы вредоносного ПО, включая такие известные угрозы, как Cobalt Strike и Remcos Rat. В этих хранилищах представлены последние обновления, свидетельствующие о продолжающемся развитии и распространении этих ресурсов. Инструменты часто запутываются с использованием коммерческих средств защиты, что усложняет анализ и принятие ответных мер.
#ParsedReport #CompletenessHigh
23-01-2026
Revisiting GPUGate: Repo Squatting and OpenCL Deception to Deliver HijackLoader
https://gmo-cybersecurity.com/blog/revisiting-gpugate-repo-squatting-and-opencl-deception-to-deliver-hijackloader/
Report completeness: High
Threats:
Repo_squatting_technique
Gpugate_technique
Hijackloader
Dll_sideloading_technique
Amos_stealer
Sectop_rat
Lumma_stealer
Victims:
Developers, Individuals searching for developer tools
Geo:
Japanese, Japan
CVEs:
CVE-2021-31805 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (le2.5.29)
CVE-2022-33891 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache spark (le3.0.3, le3.1.2, le3.2.1)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1055.012, T1057, T1059.001, T1059.005, T1189, T1497.003, T1562.001, T1574.002, T1583.001, have more...
IOCs:
File: 12
Hash: 30
Path: 6
Domain: 1
IP: 1
Url: 14
Soft:
Apache Spark, macOS, Windows installer, NET core, Microsoft Defender, BinDiff
Algorithms:
aes-128, cbc, sha256, sha1, xor
Functions:
GenerateKey, generate_key, DecryptPayload, OpenCL, GetByteArrayAsync
Win API:
ZwQuerySystemInformation, NtDelayExecution
Win Services:
avastsvc
Languages:
php, powershell
YARA: Found
Links:
have more...
23-01-2026
Revisiting GPUGate: Repo Squatting and OpenCL Deception to Deliver HijackLoader
https://gmo-cybersecurity.com/blog/revisiting-gpugate-repo-squatting-and-opencl-deception-to-deliver-hijackloader/
Report completeness: High
Threats:
Repo_squatting_technique
Gpugate_technique
Hijackloader
Dll_sideloading_technique
Amos_stealer
Sectop_rat
Lumma_stealer
Victims:
Developers, Individuals searching for developer tools
Geo:
Japanese, Japan
CVEs:
CVE-2021-31805 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache struts (le2.5.29)
CVE-2022-33891 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache spark (le3.0.3, le3.1.2, le3.2.1)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1055.012, T1057, T1059.001, T1059.005, T1189, T1497.003, T1562.001, T1574.002, T1583.001, have more...
IOCs:
File: 12
Hash: 30
Path: 6
Domain: 1
IP: 1
Url: 14
Soft:
Apache Spark, macOS, Windows installer, NET core, Microsoft Defender, BinDiff
Algorithms:
aes-128, cbc, sha256, sha1, xor
Functions:
GenerateKey, generate_key, DecryptPayload, OpenCL, GetByteArrayAsync
Win API:
ZwQuerySystemInformation, NtDelayExecution
Win Services:
avastsvc
Languages:
php, powershell
YARA: Found
Links:
have more...
https://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#key-takeawayshttps://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#introductionhttps://github.com/gmoierae-div-soc/deceiving-developers-abusing-legitimate-gitbub-repositories-to-deliver-malware/blob/main/Repo%20Squatting%20and%20OpenCL%20Deception%20to%20Deliver%20HijackLoader.md#malware-delivery-malvertising--github-repo-squattingVulners Database
CVE-2021-31805 - vulnerability database | Vulners.com
Overview: Apache Struts 2 up to 2.5.29 (and earlier 2.0.0) remains vulnerable to forced OGNL evaluation via %{...} in tag attributes, enabling remote code execution when user input is not properly validated. This affects widely deployed Java web app...
CTT Report Hub
#ParsedReport #CompletenessHigh 23-01-2026 Revisiting GPUGate: Repo Squatting and OpenCL Deception to Deliver HijackLoader https://gmo-cybersecurity.com/blog/revisiting-gpugate-repo-squatting-and-opencl-deception-to-deliver-hijackloader/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания GPUGate использовала GitHub через repo squatting для распространения HijackLoader, вредоносного ПО, использующего многоступенчатые методы. Начальный этап включал в себя загрузчик .NET, Маскировку под законные файлы, наряду с Вредоносной рекламой, нацеленной на разработчиков в ЕС/ЕЭЗ и Японии. HijackLoader использует OpenCL для операций с графическим процессором, чтобы избежать анализа, извлекает дополнительные полезные данные через PowerShell и использует DLL Sideloading для выполнения вредоносных задач, динамически разрешая системные API для скрытых операций.
-----
Кампания GPUGate, пик которой пришелся на период с сентября по октябрь 2025 года, использовала сложную технику repo squatting на GitHub для распространения вредоносного ПО, замаскированного под законный установщик рабочего стола GitHub. Злоумышленники воспользовались возможностью форкнуть общедоступные репозитории, позволив своим вредоносным коммитам появляться в пространстве имен официального репозитория. Это облегчило доставку HijackLoader, вредоносного ПО, которое использовало многоэтапный подход к загрузке для компрометации систем, особенно ориентируясь на пользователей, ищущих инструменты разработчика в ЕС/ЕЭЗ и Японии.
Первый этап атаки включал распространение вредоносного одиночного файла.СЕТЕВОЙ загрузчик, с примерами, включающими файлы, Маскировку под различными именами, такими как hrom-x64.exe и 1Passwrd-x64.exe , датируемый маем 2025 года. Стратегия распространения вредоносного ПО включала Вредоносную рекламу наряду со скомпрометированным репозиторием GitHub, расширяя его охват.
Примечательным аспектом HijackLoader является использование OpenCL для операций на базе GPU, что усложняет анализ, поскольку требует возможностей GPU, обычно недоступных в стандартных изолированных средах. Этот дизайн якобы вводит аналитиков в заблуждение относительно его функциональности и препятствует статическому восстановлению ключа дешифрования. После первоначального выполнения загрузчик извлекает дополнительные полезные файлы .NET из онлайн-источников, впоследствии выполняя их с помощью этапа PowerShell, который устанавливает исключения Microsoft Defender для облегчения своей работы.
На более поздних стадиях вредоносное ПО выполняет DLL sideloading, извлекая и выполняя код из сжатого архива. Заключительный этап работы загрузчика, HijackLoader, динамически разрешает различные системные API и перечисляет запущенные процессы с помощью системных запросов, облегчая ему возможность скрытно выполнять свои вредоносные задачи.
Кампания демонстрирует сохраняющуюся угрозу, исходящую от злоумышленников, стремящихся манипулировать ресурсами разработчиков для распространения вредоносного ПО, и подчеркивает необходимость бдительности пользователей. Рекомендации включают загрузку программного обеспечения только из официальных источников и соблюдение осторожности со спонсируемой поисковой рекламой, которая может привести к вредоносным загрузкам. В целом, атака GPUGate отражает значительную эволюцию тактики, применяемой киберпреступниками, использующими законные платформы для эксплуатации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания GPUGate использовала GitHub через repo squatting для распространения HijackLoader, вредоносного ПО, использующего многоступенчатые методы. Начальный этап включал в себя загрузчик .NET, Маскировку под законные файлы, наряду с Вредоносной рекламой, нацеленной на разработчиков в ЕС/ЕЭЗ и Японии. HijackLoader использует OpenCL для операций с графическим процессором, чтобы избежать анализа, извлекает дополнительные полезные данные через PowerShell и использует DLL Sideloading для выполнения вредоносных задач, динамически разрешая системные API для скрытых операций.
-----
Кампания GPUGate, пик которой пришелся на период с сентября по октябрь 2025 года, использовала сложную технику repo squatting на GitHub для распространения вредоносного ПО, замаскированного под законный установщик рабочего стола GitHub. Злоумышленники воспользовались возможностью форкнуть общедоступные репозитории, позволив своим вредоносным коммитам появляться в пространстве имен официального репозитория. Это облегчило доставку HijackLoader, вредоносного ПО, которое использовало многоэтапный подход к загрузке для компрометации систем, особенно ориентируясь на пользователей, ищущих инструменты разработчика в ЕС/ЕЭЗ и Японии.
Первый этап атаки включал распространение вредоносного одиночного файла.СЕТЕВОЙ загрузчик, с примерами, включающими файлы, Маскировку под различными именами, такими как hrom-x64.exe и 1Passwrd-x64.exe , датируемый маем 2025 года. Стратегия распространения вредоносного ПО включала Вредоносную рекламу наряду со скомпрометированным репозиторием GitHub, расширяя его охват.
Примечательным аспектом HijackLoader является использование OpenCL для операций на базе GPU, что усложняет анализ, поскольку требует возможностей GPU, обычно недоступных в стандартных изолированных средах. Этот дизайн якобы вводит аналитиков в заблуждение относительно его функциональности и препятствует статическому восстановлению ключа дешифрования. После первоначального выполнения загрузчик извлекает дополнительные полезные файлы .NET из онлайн-источников, впоследствии выполняя их с помощью этапа PowerShell, который устанавливает исключения Microsoft Defender для облегчения своей работы.
На более поздних стадиях вредоносное ПО выполняет DLL sideloading, извлекая и выполняя код из сжатого архива. Заключительный этап работы загрузчика, HijackLoader, динамически разрешает различные системные API и перечисляет запущенные процессы с помощью системных запросов, облегчая ему возможность скрытно выполнять свои вредоносные задачи.
Кампания демонстрирует сохраняющуюся угрозу, исходящую от злоумышленников, стремящихся манипулировать ресурсами разработчиков для распространения вредоносного ПО, и подчеркивает необходимость бдительности пользователей. Рекомендации включают загрузку программного обеспечения только из официальных источников и соблюдение осторожности со спонсируемой поисковой рекламой, которая может привести к вредоносным загрузкам. В целом, атака GPUGate отражает значительную эволюцию тактики, применяемой киберпреступниками, использующими законные платформы для эксплуатации.
#ParsedReport #CompletenessMedium
21-01-2026
ClickFix Campaign Hijacks Facebook Sessions at Scale by Abusing Verification and Appeal Workflows
https://hunt.io/blog/clickfix-facebook-session-hijacking
Report completeness: Medium
Threats:
Clickfix_technique
Credential_harvesting_technique
Victims:
Social media content creators, Verification seeking businesses, Monetized facebook pages
Geo:
Pakistan
TTPs:
Tactics: 12
Technics: 20
IOCs:
Domain: 13
IP: 2
Url: 15
File: 14
Email: 3
Algorithms:
sha256, base64
Functions:
setTimeout, atob
Languages:
javascript
Platforms:
intel
Links:
21-01-2026
ClickFix Campaign Hijacks Facebook Sessions at Scale by Abusing Verification and Appeal Workflows
https://hunt.io/blog/clickfix-facebook-session-hijacking
Report completeness: Medium
Threats:
Clickfix_technique
Credential_harvesting_technique
Victims:
Social media content creators, Verification seeking businesses, Monetized facebook pages
Geo:
Pakistan
TTPs:
Tactics: 12
Technics: 20
IOCs:
Domain: 13
IP: 2
Url: 15
File: 14
Email: 3
Algorithms:
sha256, base64
Functions:
setTimeout, atob
Languages:
javascript
Platforms:
intel
Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-12-18-phishing-for-authentication-tokens.txthunt.io
ClickFix Facebook Session Hijacking Campaign Targets Creators at Scale
An in-depth analysis of a ClickFix phishing campaign hijacking Facebook sessions at scale. Learn how attackers abuse verification workflows, steal session cookies, bypass MFA, and target creators using cloud-hosted infrastructure.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-01-2026 ClickFix Campaign Hijacks Facebook Sessions at Scale by Abusing Verification and Appeal Workflows https://hunt.io/blog/clickfix-facebook-session-hijacking Report completeness: Medium Threats: Clickfix_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания ClickFix - это операция фишинга, направленная на создателей контента Facebook, Маскировка под сервис бесплатных верификационных значков и использование рабочих процессов Facebook для перехвата сеансов. Злоумышленники используют динамические URL-адреса и одноразовые среды хостинга, такие как Netlify и Vercel, для сбора конфиденциальной информации с помощью многоэтапных рабочих процессов, нацеливаясь на учетные данные и данные сеанса. Используемые методы согласуются с MITRE ATT&CK, включая разведку, фишинг и автоматизированный сбор данных, при этом выдавая себя за законные платформы для повышения вовлеченности пользователей.
-----
Кампания ClickFix - это изощренная операция фишинга, нацеленная на создателей контента Facebook под видом предоставления бесплатных верификационных значков. Атака использует рабочие процессы верификации и обжалования в Facebook с целью масштабного перехвата сеансов пользователей. Первоначальное обнаружение кампании было связано с публикацией Unit42 Intel в Социальных сетях, которая побудила к более глубокому расследованию, начиная с выявления фишинг-адресов, таких как "https://get-lifetime-badge-v.vercel.app ,"Маскировка под законную страницу "Проверки лица".
В кампании используется динамичная инфраструктура, которая часто меняет URL-адреса приманки, что говорит о необходимости того, чтобы команды по анализу угроз подходили к обнаружению как к непрерывному рабочему процессу. Стабильные сигналы, которые раскрывают подоплеку атаки, включают заголовки страниц, структуры шаблонов и конечные точки сбора, а не просто фокусируются на сменяющихся URL-адресах. Эта кампания опирается на конкретные конечные точки, такие как submit-form.com , Formspark и postal-form.on.shiper.app в качестве критических точек сбора украденных данных.
Операционные аспекты атаки включают использование одноразовых хостинговых сред, таких как Netlify, Vercel и GitHub Pages, где вредоносные страницы предназначены для сбора конфиденциальной пользовательской информации. Процесс фишинга начинается с того, что жертвы перенаправляются на многоэтапные рабочие процессы, которые побуждают их вводить сеансовые файлы cookie, учетные данные и коды Многофакторной аутентификации с помощью запутанных форм JavaScript. Заключительный этап включает в себя извлечение информации о сеансе Facebook и предоставление возможностей для получения резервных кодов и паролей, позволяющих перехватывать учетные записи.
Конкретные методы атаки сопоставлены с платформой MITRE ATT&CK, иллюстрирующей различные тактики, используемые злоумышленниками. Это включает в себя разведку с целью обнаружения и использования открытых Учетных записей соцсетей, методы фишинга, позволяющие заманить жертв на переход по Вредоносным ссылкам, и методы быстрого выполнения, предназначенные для манипулирования пользователями с целью добровольного раскрытия конфиденциальной информации. Операционные цели в значительной степени сосредоточены на получении учетных данных, что позволяет злоумышленникам манипулировать сеансовыми файлами cookie и проводить автоматический сбор данных с помощью JavaScript после прохождения проверки.
Заслуживают внимания стратегии обхода защиты, когда страницы создаются таким образом, чтобы выдавать себя за законные рабочие процессы справки и верификации в Facebook, тем самым повышая вероятность взаимодействия пользователей с ними. Чтобы смягчить эту угрозу, эксперты советуют собирать доказательства на ранней стадии из-за эфемерного характера этих страниц фишинга и автоматизировать ответные действия для эффективного обнаружения и блокирования показателей высокой достоверности, связанных с этой кампанией. Поскольку операция ClickFix нацелена на аккаунты создателей для кражи и перепродажи, неотложная бдительность в отношении таких угроз остается критически важной в сфере кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания ClickFix - это операция фишинга, направленная на создателей контента Facebook, Маскировка под сервис бесплатных верификационных значков и использование рабочих процессов Facebook для перехвата сеансов. Злоумышленники используют динамические URL-адреса и одноразовые среды хостинга, такие как Netlify и Vercel, для сбора конфиденциальной информации с помощью многоэтапных рабочих процессов, нацеливаясь на учетные данные и данные сеанса. Используемые методы согласуются с MITRE ATT&CK, включая разведку, фишинг и автоматизированный сбор данных, при этом выдавая себя за законные платформы для повышения вовлеченности пользователей.
-----
Кампания ClickFix - это изощренная операция фишинга, нацеленная на создателей контента Facebook под видом предоставления бесплатных верификационных значков. Атака использует рабочие процессы верификации и обжалования в Facebook с целью масштабного перехвата сеансов пользователей. Первоначальное обнаружение кампании было связано с публикацией Unit42 Intel в Социальных сетях, которая побудила к более глубокому расследованию, начиная с выявления фишинг-адресов, таких как "https://get-lifetime-badge-v.vercel.app ,"Маскировка под законную страницу "Проверки лица".
В кампании используется динамичная инфраструктура, которая часто меняет URL-адреса приманки, что говорит о необходимости того, чтобы команды по анализу угроз подходили к обнаружению как к непрерывному рабочему процессу. Стабильные сигналы, которые раскрывают подоплеку атаки, включают заголовки страниц, структуры шаблонов и конечные точки сбора, а не просто фокусируются на сменяющихся URL-адресах. Эта кампания опирается на конкретные конечные точки, такие как submit-form.com , Formspark и postal-form.on.shiper.app в качестве критических точек сбора украденных данных.
Операционные аспекты атаки включают использование одноразовых хостинговых сред, таких как Netlify, Vercel и GitHub Pages, где вредоносные страницы предназначены для сбора конфиденциальной пользовательской информации. Процесс фишинга начинается с того, что жертвы перенаправляются на многоэтапные рабочие процессы, которые побуждают их вводить сеансовые файлы cookie, учетные данные и коды Многофакторной аутентификации с помощью запутанных форм JavaScript. Заключительный этап включает в себя извлечение информации о сеансе Facebook и предоставление возможностей для получения резервных кодов и паролей, позволяющих перехватывать учетные записи.
Конкретные методы атаки сопоставлены с платформой MITRE ATT&CK, иллюстрирующей различные тактики, используемые злоумышленниками. Это включает в себя разведку с целью обнаружения и использования открытых Учетных записей соцсетей, методы фишинга, позволяющие заманить жертв на переход по Вредоносным ссылкам, и методы быстрого выполнения, предназначенные для манипулирования пользователями с целью добровольного раскрытия конфиденциальной информации. Операционные цели в значительной степени сосредоточены на получении учетных данных, что позволяет злоумышленникам манипулировать сеансовыми файлами cookie и проводить автоматический сбор данных с помощью JavaScript после прохождения проверки.
Заслуживают внимания стратегии обхода защиты, когда страницы создаются таким образом, чтобы выдавать себя за законные рабочие процессы справки и верификации в Facebook, тем самым повышая вероятность взаимодействия пользователей с ними. Чтобы смягчить эту угрозу, эксперты советуют собирать доказательства на ранней стадии из-за эфемерного характера этих страниц фишинга и автоматизировать ответные действия для эффективного обнаружения и блокирования показателей высокой достоверности, связанных с этой кампанией. Поскольку операция ClickFix нацелена на аккаунты создателей для кражи и перепродажи, неотложная бдительность в отношении таких угроз остается критически важной в сфере кибербезопасности.
#ParsedReport #CompletenessHigh
22-01-2026
Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
https://censys.com/blog/living-off-the-web-how-trust-infrastructure-became-a-malware-delivery-interface
Report completeness: High
Threats:
Fakecaptcha_tool
Matrix_push_c2_tool
Clickfix_technique
Victims:
Web users
Industry:
Education
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1027, T1059.001, T1059.005, T1071.001, T1105, T1204.001, T1216.001, T1218.007, T1566.002
IOCs:
File: 2
IP: 2
Domain: 3
Url: 2
Soft:
Windows Installer, Chrome
Algorithms:
base64
Win Services:
bits, WebClient
Languages:
javascript, powershell
22-01-2026
Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
https://censys.com/blog/living-off-the-web-how-trust-infrastructure-became-a-malware-delivery-interface
Report completeness: High
Threats:
Fakecaptcha_tool
Matrix_push_c2_tool
Clickfix_technique
Victims:
Web users
Industry:
Education
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.001, T1059.005, T1071.001, T1105, T1204.001, T1216.001, T1218.007, T1566.002
IOCs:
File: 2
IP: 2
Domain: 3
Url: 2
Soft:
Windows Installer, Chrome
Algorithms:
base64
Win Services:
bits, WebClient
Languages:
javascript, powershell
Censys
Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
An examination of Fake Captcha as an ecosystem: how are lures constructed, reused, and deployed across the web? How much operational meaning can be inferred from appearance alone?
CTT Report Hub
#ParsedReport #CompletenessHigh 22-01-2026 Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface https://censys.com/blog/living-off-the-web-how-trust-infrastructure-became-a-malware-delivery-interface Report completeness: High…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Экосистема поддельных Captcha сместилась в сторону использования надежной веб-инфраструктуры для доставки вредоносного ПО, используя визуальные элементы, имитирующие законные задачи проверки, в частности те, которые напоминают подсказки Cloudflare. Злоумышленники используют различные методы, включая методы, управляемые буфером обмена с использованием PowerShell, доставку на основе установщика через MSI и сложные серверные платформы, такие как модель Matrix Push C2, что усложняет усилия по обнаружению. Такой подход повышает вовлеченность пользователей, используя знакомство с процессами проверки и скрывая при этом вредоносные действия.
-----
Анализ экосистемы поддельных Captcha показывает заметный сдвиг в методах доставки вредоносного ПО, использующих надежную веб-инфраструктуру. Данные, собранные из набора данных Censys, выделяют значительный визуальный кластер, который имитирует законные задачи проверки, очень напоминающие подсказки в стиле Cloudflare. Несмотря на визуальное сходство, поведенческое исполнение значительно различается на наблюдаемых страницах, что указывает на фрагментированную методологию, а не на единую скоординированную атаку. Эта среда облегчает выполнение с помощью различных моделей, включая методы, управляемые буфером обмена (например, PowerShell, VBScript), доставку на основе установщика через MSI и серверные платформы, которые скрывают артефакты на стороне клиента.
Фейк капча тактика эволюционировали, выходя за рамки традиционных методов социальной инженерии для включения стандартизированных интерфейсов, что приоритетность взаимодействия пользователя с помощью привычных рабочих процессов браузера. Злоумышленники используют эту тенденцию, интегрируя вредоносные элементы в доверенные процессы проверки, сводя на нет необходимость прямого компрометирования установленных сервисов. Именно это подход веб' повышает риск вовлечения пользователя, как люди знакомы с проблемой проверки и больше доверяют им.
Методологическая строгость анализа включала использование перцептивного хэширования (pHash) для идентификации визуальных кластеров, что позволило исследователям сгруппировать похожие ресурсы и определить модели выполнения на основе команд буфера обмена и поведения при последующем развертывании. Однако этой методологии не хватает возможностей атрибуции, поскольку визуальное сходство не указывает на общую инфраструктуру или операционные связи.
Среди выявленных методов доставки преобладающим остается выполнение в буфере обмена с использованием PowerShell для загрузки последующих сценариев. Дополнительные методы включали в себя малообъемные подходы, такие как загрузчики BAT и выполнение MSHTA с кодировкой URL, наряду с примечательной распространенностью доставки на основе установщика через Пакеты установщика Windows. Модель Matrix Push C2 возникла как сложный серверный подход, отделяющий взаимодействия от видимых полезных нагрузок, что усложняет усилия по обнаружению.
Полученные результаты подчеркивают неадекватность традиционных методов обнаружения ориентируясь исключительно на буфер обмена, в командной строке, выступающая за нюансов стратегии обнаружения, что включает в себя обучение пользователей и осведомленность в важных компонентов. Меняющийся характер визуальных и эксплуатационных динамика вредоносное ПО обеспечением звонки адаптивных мер, которые учитывают сложность злоупотребления доверием, в системах онлайн-проверки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Экосистема поддельных Captcha сместилась в сторону использования надежной веб-инфраструктуры для доставки вредоносного ПО, используя визуальные элементы, имитирующие законные задачи проверки, в частности те, которые напоминают подсказки Cloudflare. Злоумышленники используют различные методы, включая методы, управляемые буфером обмена с использованием PowerShell, доставку на основе установщика через MSI и сложные серверные платформы, такие как модель Matrix Push C2, что усложняет усилия по обнаружению. Такой подход повышает вовлеченность пользователей, используя знакомство с процессами проверки и скрывая при этом вредоносные действия.
-----
Анализ экосистемы поддельных Captcha показывает заметный сдвиг в методах доставки вредоносного ПО, использующих надежную веб-инфраструктуру. Данные, собранные из набора данных Censys, выделяют значительный визуальный кластер, который имитирует законные задачи проверки, очень напоминающие подсказки в стиле Cloudflare. Несмотря на визуальное сходство, поведенческое исполнение значительно различается на наблюдаемых страницах, что указывает на фрагментированную методологию, а не на единую скоординированную атаку. Эта среда облегчает выполнение с помощью различных моделей, включая методы, управляемые буфером обмена (например, PowerShell, VBScript), доставку на основе установщика через MSI и серверные платформы, которые скрывают артефакты на стороне клиента.
Фейк капча тактика эволюционировали, выходя за рамки традиционных методов социальной инженерии для включения стандартизированных интерфейсов, что приоритетность взаимодействия пользователя с помощью привычных рабочих процессов браузера. Злоумышленники используют эту тенденцию, интегрируя вредоносные элементы в доверенные процессы проверки, сводя на нет необходимость прямого компрометирования установленных сервисов. Именно это подход веб' повышает риск вовлечения пользователя, как люди знакомы с проблемой проверки и больше доверяют им.
Методологическая строгость анализа включала использование перцептивного хэширования (pHash) для идентификации визуальных кластеров, что позволило исследователям сгруппировать похожие ресурсы и определить модели выполнения на основе команд буфера обмена и поведения при последующем развертывании. Однако этой методологии не хватает возможностей атрибуции, поскольку визуальное сходство не указывает на общую инфраструктуру или операционные связи.
Среди выявленных методов доставки преобладающим остается выполнение в буфере обмена с использованием PowerShell для загрузки последующих сценариев. Дополнительные методы включали в себя малообъемные подходы, такие как загрузчики BAT и выполнение MSHTA с кодировкой URL, наряду с примечательной распространенностью доставки на основе установщика через Пакеты установщика Windows. Модель Matrix Push C2 возникла как сложный серверный подход, отделяющий взаимодействия от видимых полезных нагрузок, что усложняет усилия по обнаружению.
Полученные результаты подчеркивают неадекватность традиционных методов обнаружения ориентируясь исключительно на буфер обмена, в командной строке, выступающая за нюансов стратегии обнаружения, что включает в себя обучение пользователей и осведомленность в важных компонентов. Меняющийся характер визуальных и эксплуатационных динамика вредоносное ПО обеспечением звонки адаптивных мер, которые учитывают сложность злоупотребления доверием, в системах онлайн-проверки.