#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix - это операция фишинга, направленная на создателей контента Facebook, Маскировка под сервис бесплатных верификационных значков и использование рабочих процессов Facebook для перехвата сеансов. Злоумышленники используют динамические URL-адреса и одноразовые среды хостинга, такие как Netlify и Vercel, для сбора конфиденциальной информации с помощью многоэтапных рабочих процессов, нацеливаясь на учетные данные и данные сеанса. Используемые методы согласуются с MITRE ATT&CK, включая разведку, фишинг и автоматизированный сбор данных, при этом выдавая себя за законные платформы для повышения вовлеченности пользователей.
-----

Кампания ClickFix - это изощренная операция фишинга, нацеленная на создателей контента Facebook под видом предоставления бесплатных верификационных значков. Атака использует рабочие процессы верификации и обжалования в Facebook с целью масштабного перехвата сеансов пользователей. Первоначальное обнаружение кампании было связано с публикацией Unit42 Intel в Социальных сетях, которая побудила к более глубокому расследованию, начиная с выявления фишинг-адресов, таких как "https://get-lifetime-badge-v.vercel.app ,"Маскировка под законную страницу "Проверки лица".

В кампании используется динамичная инфраструктура, которая часто меняет URL-адреса приманки, что говорит о необходимости того, чтобы команды по анализу угроз подходили к обнаружению как к непрерывному рабочему процессу. Стабильные сигналы, которые раскрывают подоплеку атаки, включают заголовки страниц, структуры шаблонов и конечные точки сбора, а не просто фокусируются на сменяющихся URL-адресах. Эта кампания опирается на конкретные конечные точки, такие как submit-form.com , Formspark и postal-form.on.shiper.app в качестве критических точек сбора украденных данных.

Операционные аспекты атаки включают использование одноразовых хостинговых сред, таких как Netlify, Vercel и GitHub Pages, где вредоносные страницы предназначены для сбора конфиденциальной пользовательской информации. Процесс фишинга начинается с того, что жертвы перенаправляются на многоэтапные рабочие процессы, которые побуждают их вводить сеансовые файлы cookie, учетные данные и коды Многофакторной аутентификации с помощью запутанных форм JavaScript. Заключительный этап включает в себя извлечение информации о сеансе Facebook и предоставление возможностей для получения резервных кодов и паролей, позволяющих перехватывать учетные записи.

Конкретные методы атаки сопоставлены с платформой MITRE ATT&CK, иллюстрирующей различные тактики, используемые злоумышленниками. Это включает в себя разведку с целью обнаружения и использования открытых Учетных записей соцсетей, методы фишинга, позволяющие заманить жертв на переход по Вредоносным ссылкам, и методы быстрого выполнения, предназначенные для манипулирования пользователями с целью добровольного раскрытия конфиденциальной информации. Операционные цели в значительной степени сосредоточены на получении учетных данных, что позволяет злоумышленникам манипулировать сеансовыми файлами cookie и проводить автоматический сбор данных с помощью JavaScript после прохождения проверки.

Заслуживают внимания стратегии обхода защиты, когда страницы создаются таким образом, чтобы выдавать себя за законные рабочие процессы справки и верификации в Facebook, тем самым повышая вероятность взаимодействия пользователей с ними. Чтобы смягчить эту угрозу, эксперты советуют собирать доказательства на ранней стадии из-за эфемерного характера этих страниц фишинга и автоматизировать ответные действия для эффективного обнаружения и блокирования показателей высокой достоверности, связанных с этой кампанией. Поскольку операция ClickFix нацелена на аккаунты создателей для кражи и перепродажи, неотложная бдительность в отношении таких угроз остается критически важной в сфере кибербезопасности.

#ParsedReport #CompletenessHigh
22-01-2026

Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface

https://censys.com/blog/living-off-the-web-how-trust-infrastructure-became-a-malware-delivery-interface

Report completeness: High

Threats:
Fakecaptcha_tool
Matrix_push_c2_tool
Clickfix_technique

Victims:
Web users

Industry:
Education

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.005, T1071.001, T1105, T1204.001, T1216.001, T1218.007, T1566.002

IOCs:
File: 2
IP: 2
Domain: 3
Url: 2

Soft:
Windows Installer, Chrome

Algorithms:
base64

Win Services:
bits, WebClient

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 1, code: 6, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Экосистема поддельных Captcha сместилась в сторону использования надежной веб-инфраструктуры для доставки вредоносного ПО, используя визуальные элементы, имитирующие законные задачи проверки, в частности те, которые напоминают подсказки Cloudflare. Злоумышленники используют различные методы, включая методы, управляемые буфером обмена с использованием PowerShell, доставку на основе установщика через MSI и сложные серверные платформы, такие как модель Matrix Push C2, что усложняет усилия по обнаружению. Такой подход повышает вовлеченность пользователей, используя знакомство с процессами проверки и скрывая при этом вредоносные действия.
-----

Анализ экосистемы поддельных Captcha показывает заметный сдвиг в методах доставки вредоносного ПО, использующих надежную веб-инфраструктуру. Данные, собранные из набора данных Censys, выделяют значительный визуальный кластер, который имитирует законные задачи проверки, очень напоминающие подсказки в стиле Cloudflare. Несмотря на визуальное сходство, поведенческое исполнение значительно различается на наблюдаемых страницах, что указывает на фрагментированную методологию, а не на единую скоординированную атаку. Эта среда облегчает выполнение с помощью различных моделей, включая методы, управляемые буфером обмена (например, PowerShell, VBScript), доставку на основе установщика через MSI и серверные платформы, которые скрывают артефакты на стороне клиента.

Фейк капча тактика эволюционировали, выходя за рамки традиционных методов социальной инженерии для включения стандартизированных интерфейсов, что приоритетность взаимодействия пользователя с помощью привычных рабочих процессов браузера. Злоумышленники используют эту тенденцию, интегрируя вредоносные элементы в доверенные процессы проверки, сводя на нет необходимость прямого компрометирования установленных сервисов. Именно это подход веб' повышает риск вовлечения пользователя, как люди знакомы с проблемой проверки и больше доверяют им.

Методологическая строгость анализа включала использование перцептивного хэширования (pHash) для идентификации визуальных кластеров, что позволило исследователям сгруппировать похожие ресурсы и определить модели выполнения на основе команд буфера обмена и поведения при последующем развертывании. Однако этой методологии не хватает возможностей атрибуции, поскольку визуальное сходство не указывает на общую инфраструктуру или операционные связи.

Среди выявленных методов доставки преобладающим остается выполнение в буфере обмена с использованием PowerShell для загрузки последующих сценариев. Дополнительные методы включали в себя малообъемные подходы, такие как загрузчики BAT и выполнение MSHTA с кодировкой URL, наряду с примечательной распространенностью доставки на основе установщика через Пакеты установщика Windows. Модель Matrix Push C2 возникла как сложный серверный подход, отделяющий взаимодействия от видимых полезных нагрузок, что усложняет усилия по обнаружению.

Полученные результаты подчеркивают неадекватность традиционных методов обнаружения ориентируясь исключительно на буфер обмена, в командной строке, выступающая за нюансов стратегии обнаружения, что включает в себя обучение пользователей и осведомленность в важных компонентов. Меняющийся характер визуальных и эксплуатационных динамика вредоносное ПО обеспечением звонки адаптивных мер, которые учитывают сложность злоупотребления доверием, в системах онлайн-проверки.

#ParsedReport #CompletenessLow
25-01-2026

Cyber Counterintelligence (CCI): When 'Shiny Objects' trick 'Shiny Hunters'

https://www.resecurity.com/es/blog/article/cyber-counterintelligence-cci-when-shiny-objects-trick-shiny-hunters

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: cyber_criminal, financially_motivated)
Scattered_lapsus_hunters (motivation: cyber_criminal)
Waifu
Irdev
Kiberphant0m

Industry:
Government, Telco, Financial, Military, Healthcare

Geo:
Russia, American, Korea, Turkey, Canadian

ChatGPT TTPs:
do not use without manual check
T1204, T1566, T1656, T1658

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В докладе основное внимание уделяется киберпреступной группе "Shiny Hunters" и ее новым вариантам, в которых участвуют ключевые фигуры, связанные с различными киберпреступлениями, включая членов, недавно обвиненных Министерством юстиции. Выделенные методы включают использование "медовых ловушек" для сбора разведывательной информации о деятельности киберпреступников, особенно тех, кто использует данные стиллеров. Отмечаются проблемы для правоохранительных органов, особенно из-за юрисдикционных вопросов, которые препятствуют эффективному вмешательству в отношении неустановленных участников англоязычной экосистемы киберпреступников.
-----

В докладе обсуждается с хакерской группы, известной как "Shiny Hunters," с акцентом на новых итераций, таких как "scattered lapsus$ hunters" и "scattered lapsus$ Shiny Hunters." Эта группа действует в рамках "сообщества" по-английски злоумышленников экосистемы. Расследования самых интересных моментов из ключевых фигур, в частности Коннор Райли Джон Биннс Moucka и Эрин, оба из которых были связаны с различными киберпреступлений и недавно были предъявлены обвинения в МЮ. Кроме того, они были связаны с Кэмерон Джон Wagenius, военнослужащего армии США, выделяя проникновение молодежи в деятельность киберпреступности.

В докладе подчеркивается важность использования методов контрразведки, таких как "медовые ловушки", для отслеживания и понимания этих акторов. Создавая обманчивые учетные записи для привлечения потенциальных злоумышленников, защитники кибербезопасности могут собирать ценную информацию о мотивах и методах, используемых киберпреступниками, особенно теми, кто использует данные стиллеров во время атак. Выводы отражают текущие проблемы, с которыми сталкиваются правоохранительные органы из-за вопросов юрисдикции, поскольку многие члены "Ком" остаются неустановленными или свободно действуют на иностранных территориях, что затрудняет эффективное вмешательство официальных лиц США.

Отмечается, что публикация этой разведывательной информации вызвала заметную реакцию, включая удаление Telegram-канала, связанного с группой "Shiny Hunters", и попытки оказать давление на СМИ, чтобы они отказались от использования этого термина. Этот ответ подчеркивает осведомленность и озабоченность внутри этих преступных сетей в отношении ущерба репутации и операционной безопасности по мере усиления контроля со стороны организаций и органов власти, занимающихся вопросами кибербезопасности.

#ParsedReport #CompletenessLow
23-01-2026

ESET Research: Sandworm behind cyberattack on Polands power grid in late 2025

https://www.welivesecurity.com/en/eset-research/eset-research-sandworm-cyberattack-poland-power-grid-late-2025/

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Dynowiper
Killfiles

Victims:
Power grid, Energy sector

Industry:
Energy, Critical_infrastructure

Geo:
Ukraine, Polands, Russia, Ukrainian, Poland

ChatGPT TTPs:
do not use without manual check
T1485

IOCs:
Hash: 1

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2025 года энергосистема Польши подверглась крупной кибератаке, приписываемой связанной с Россией APT-группировке Sandworm, использующей вредоносное ПО DynoWiper, предназначенное для удаления критически важных данных и нарушения работы систем. Атака демонстрирует угрозы, исходящие от спонсируемых государством кибер-акторов, нацеленных на важнейшую инфраструктуру с намерением дестабилизировать операции и нанести ущерб репутации. Этот инцидент подчеркивает эволюционирующую природу кибервойны и необходимость проявлять бдительность в отношении продвинутых киберугроз.
-----

В конце 2025 года энергосистема Польши подверглась серьезной кибератаке, которую ESET Research назвала крупнейшей в своем роде в стране за последние несколько лет. Атака была приписана APT-группировке, связанной с Россией, известной как Sandworm. Эта группа, известная своей историей агрессивных киберопераций, во время инцидента использовала сложное вредоносное ПО, известное как DynoWiper.

DynoWiper функционирует как вредоносное ПО для удаления данных, направленное на удаление критически важной информации и нарушение работы затронутых систем. Эта тактика направлена не только на выведение из строя инфраструктуры, но и на нанесение репутационного ущерба и посеяние хаоса. Атака подчеркивает сохраняющиеся угрозы, исходящие от спонсируемых государством кибер-акторов, особенно тех, которые связаны с геополитическими интересами и нацелены на основные услуги и инфраструктуру.

Этот инцидент отражает растущую тенденцию в кибервойнах, когда противники используют усовершенствованное вредоносное ПО для нанесения максимального ущерба, подчеркивая необходимость усиления мер кибербезопасности в критически важных национальных инфраструктурах. Поскольку ландшафт киберугроз продолжает развиваться, важность мониторинга и реагирования на тактику, применяемую такими группами, как Sandworm, остается первостепенной для национальной безопасности.

#ParsedReport #CompletenessMedium
25-01-2026

UAC-0184 \| "Fallen Files Blackout" Phishing Operation

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507757&idx=1&sn=cf6b118e88395af45a000aae80811264&poc_token=HAgPdmmjK5dFMw7BETEoQQ4_nW02p-Tw9WIodC0G

Report completeness: Medium

Actors/Campaigns:
Fallen_soldiers_files (motivation: information_theft, cyber_espionage)
Uac-0184 (motivation: information_theft, cyber_espionage)

Threats:
Dll_sideloading_technique
Remcos_rat
Hijackloader
Rshell
Process_injection_technique

Victims:
Ukrainian government, Ukrainian military, Verkhovna rada of ukraine

Industry:
Government, Military

Geo:
Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 18
Hash: 4
IP: 1
Url: 3

Soft:
Viber, Windows Defender, Telegram

Algorithms:
md5, xor, zip, crc-32

Functions:
createChildProcess, createScheduledTask

Win API:
NetBIOS

Win Services:
avastsvc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В UAC-0184 Group запустила фишинг-кампании, "Fallen Files Blackout," направлен в Верховную Раду Украины, ориентируясь на важные файлы, касающиеся военнослужащих и выплаты компенсации. Их деятельность включает активизацию кражи разведывательных данных в военном и правительственном секторах, причем операции, как сообщается, продолжатся до 2025 года, что свидетельствует о значительной киберугрозе инфраструктурам национальной безопасности.
-----

В UAC-0184 группа приступила к фишинг-кампании, получившей название "Fallen Files Blackout," таргетинга Верховной Рады Украины. Эта операция характеризуется акцент на манипулировании важные файлы, касающиеся украинских военнослужащих и вопросы, связанные с компенсацией за гибель солдат. Группа активизировала свою хищения разведывательной деятельности против военных и правительственных секторов, доказательства о том, что их деятельность продолжается и в 2025.

Эта постоянная угроза подчеркивает важность усиления мер безопасности в затронутых организациях. Рекомендуемые методы включают повышение осведомленности о протоколах безопасности, внедрение более надежного шифрования секретной информации и ужесточение механизмов защиты пользовательских данных и контроля доступа. Эти стратегии направлены на снижение рисков, связанных с вредоносными атаками, которые могут привести к утечке информации. Деятельность группы UAC-0184 является ярким напоминанием о меняющемся ландшафте киберугроз, особенно тех, которые нацелены на инфраструктуру национальной безопасности.

#ParsedReport #CompletenessHigh
23-01-2026

Weaponized in China, Deployed in India: The SyncFuture Espionage Targeted Campaign

https://www.esentire.com/blog/weaponized-in-china-deployed-in-india-the-syncfuture-espionage-targeted-campaign

Report completeness: High

Threats:
Krbanker
Dll_sideloading_technique
Uac_bypass_technique
Seo_poisoning_technique

Victims:
Residents of india, Government sector

Industry:
Healthcare, Government, Financial

Geo:
Chinese, Asian, Korea, China, India, Indian

TTPs:
Tactics: 2
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1105, T1218, T1566.001, T1622

IOCs:
File: 210
Url: 8
Domain: 111
IP: 8
Hash: 193
Path: 15
Registry: 4
Email: 4

Soft:
Windows explorer, Windows service, Sendgrid, Microsoft Defender, Windows Defender, Process Explorer, Windows installer, AutoHotKey, bcdedit

Algorithms:
zip, xor, md5, sha256, exhibit, lznt1

Functions:
LZNT1_Decompress, TaskList, SetPermissions

Win API:
IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess, GetThreadContext, GetTickCount, InternetReadFile, VirtualAlloc, CreateThread, WaitForSingleObject, RtlDecompressBuffer, have more...

Platforms:
x64

Links:
have more...
https://github.com/eSentire/iocs/blob/main/SyncFuture%20Espionage%20Campaign/SyncFuture\_Espionage\_Campaign\_IOCS\_Jan2026.txt
https://github.com/OALabs/hashdb/blob/main/algorithms/mul83\_add.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 2, windows: 8, dump: 2, code: 19, filemanager: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2025 года, нацелен шпионской кампании, используя сложный бэкдор, MpGear.dll было определено, прежде всего в интересах лица, в Индию через спам-писем, представляясь налоговых уведомлений. Самое вредоносное ПО использует методы уклонения например, проверки, отладки и стратегий сроки, чтобы избежать обнаружения, в то время как дальнейшие этапы предполагают загрузки дополнительных вредоносных исполняемых файлов, как 180.exe, под видом легального программного обеспечения. Дополнительные элементы включают в себя вредоносный DLL-файл, игру-с плавающей точкой-ядром.dll и неправильное использование системы управления безопасностью терминала Syncfuture, что подчеркивает сложные операции по запутыванию и телеметрии в рамках кампании.
-----

В декабре 2025 года была выявлена нацеленная шпионская кампания, в ходе которой был задействован сложный многоэтапный бэкдор, нацеленный на долгосрочный сбор разведывательных данных, в первую очередь против жителей Индии. Метод первоначального доступа включал использование спам-писем, отправляемых через Sendgrid, с различными доменами отправителей, выдающими себя за государственные учреждения, в частности, под видом уведомлений о подоходном налоге в Индии. Темы электронных писем были разработаны таким образом, чтобы привлечь внимание к вопросам соблюдения налогового законодательства.

Вредоносное ПО использует бэкдор, идентифицированный как MpGear.dll , который использует множество методов, чтобы избежать обнаружения. К ним относятся отладочные проверки, такие как IsDebuggerPresent и CheckRemoteDebuggerPresent, запрос порта отладки процесса и обнаружение точки останова Аппаратного обеспечения с помощью GetThreadContext. Он также реализует стратегии синхронизации, позволяющие отличать нормальное выполнение от задержек, вызванных отладчиком. Если эти проверки завершатся неудачей, вредоносное ПО может продолжить выполнение, чтобы избежать остановки средствами отладки.

При переходе ко второму этапу полезная нагрузка обрабатывает строку для вычисления хэшей имен API с использованием определенного алгоритма, выполняя поиск по загруженным библиотекам DLL для разрешения Нативных API. На этом этапе загружается 64-разрядный исполняемый файл с хэшем SHA256, указывающим конкретную дату компиляции и путь отладки, предлагающий модификации для разработки.

Третий этап состоит из полезной нагрузки с именем 180.exe , замаскированный под законный установщик, поставляемый с Inno Setup, распространенным методом, используемым акторами вредоносного ПО для маскировки вредоносного контента.

Еще один элемент кампании включает в себя наличие игрового флоат-ядра.библиотека dll, установленная как вредоносная библиотека DLL с хэшем SHA256 и упаковкой UPX. Инфраструктура вредоносного ПО указывает на высокий уровень ведения журнала, при этом в системе создается множество файлов. C:\log \ directory, предлагающий широкие возможности телеметрии.

Кроме того, во время анализа исполняемого файла с именем mysetup.exe , были обнаружены признаки злоупотребления системой управления безопасностью терминала Syncfuture. Это программное обеспечение, разработанное китайской технологической компанией, вероятно, способствовало проведению Вредоносной Кампании, демонстрируя значительный вектор угрозы, который сочетает в себе различные методы запутывания, закрепления и эксфильтрации данных.

#ParsedReport #CompletenessHigh
22-01-2026

Organized Traffer Gang on the Rise Targeting Web3 Employees and Crypto Holders

https://hybrid-analysis.blogspot.com/2026/01/organized-traffer-gang-on-rise.html

Report completeness: High

Actors/Campaigns:
Markopolo (motivation: financially_motivated)
Crazy_evil
Wagmi
Nexvoo
Mp-2

Threats:
Traffer_technique
Opulous
Amos_stealer
Rhadamanthys
Lumma_stealer
Meeten
Hijackloader

Victims:
Cryptocurrency users, Web3 employees, Web3 developers, Project teams

Industry:
Entertainment

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1059.007, T1105, T1119, T1189, T1204, T1205, T1497, have more...

IOCs:
File: 3
Domain: 101
Url: 1
IP: 1
Hash: 68

Soft:
Electron, Linux, tradingview, MacOS, NSIS installer, Telegram, QEMU, Twitter

Algorithms:
sha256, aes-256

Functions:
sendClientName

Languages:
javascript, python

Platforms:
cross-platform

Links:
https://github.com/6nz/virustotal-vm-blacklist

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Организованная банда Traffer действует как изощренная киберпреступная организация, нацеленная на пользователей криптовалют, используя передовые методы социальной инженерии и доставки вредоносного ПО с помощью поддельных приложений, таких как "Opulous". Их инфраструктура охватывает более 80 доменов, используя подписанные исполняемые файлы, чтобы избежать обнаружения при проведении обширного профилирования данных о жертвах. Тактика банды эволюционировала от обычных атак до нацеленных мошенничеств на разных платформах, включая macOS и браузерную эксплуатацию крипто-кошельков, что подчеркивает их оперативную эффективность и уровень угрозы в пространстве Web3.
-----

Организованная банда Traffer возникла как сложная киберпреступная операция, нацеленная на пользователей криптовалют и сотрудников в пространстве Web3. В этой операции используются передовые методы социальной инженерии, с использованием поддельных Electron-приложений, которые имитируют законные инструменты для доставки вредоносного ПО. Группа работает через значительную инфраструктуру, которая охватывает более 80 доменов в рамках различных кампаний, и, как утверждается, они получили доход, превышающий 2,4 миллиона долларов от кражи криптовалюты.

Одним из важнейших компонентов их подход предполагает создание, казалось бы, законных приложений, таких как вредоносных электронно-программное обеспечение под названием "Opulous", которая предлагает пользователям зарегистрируйтесь или авторизуйтесь. Исследователи подтверждают развитие их тактики от простой загрузки вредоносного программного обеспечения с использованием современных подписанные исполняемые файлы от различных справок до обнаружения уклонения. Вредоносные исполняемые файлы могут выполнять предварительное снятие отпечатков пальцев и система профилирования, собрав обширные данные, включая логины, модели процессора, оперативной памяти детали, и многое другое. Они также используют анти-анализ приемов, чтобы помешать виртуальной машины или обнаружения песочницы, повышению скрытности их действий.

С середины 2024 по середину 2025 года кампании банды, включая такие известные операции, как "Marko Polo", "Meeten" и "NexVoo", использовали множество мошеннических действий в Социальных сетях и поддельные экосистемы для заманивания жертв. Они использовали смесь АИ-контент и расширенные методы профилирования, чтобы настроить свои атаки, переходя из универсальных инструментов для повышения производительности для сильно нацелен манипулятивных стратегий, направленных на крипто энтузиастов. Их атаки эволюционировали, включив в себя поддельные презентации на конференциях и автоматизированные инструменты идентификации жертв, такие как "Wagmiscapper", которые собирают адреса криптовалютных кошельков из Twitter, чтобы сосредоточиться на нацеленных на высокие цели.

Инфраструктура The gang поддерживает множество traffers и демонстрирует общую методологию для различных операций, включая повторное использование шаблонов и API. Такая взаимосвязанность свидетельствует о сложном уровне планирования и операционной эффективности этих киберпреступных элементов. Кроме того, тактика расширилась от атак только для Windows до кроссплатформенных угроз, теперь включающих специфичное для macOS вредоносное ПО и браузерные атаки, нацеленные на крипто-кошельки. Благодаря этим многогранным стратегиям и постоянной адаптации организованная банда Traffer представляет значительную угрозу в доменах Web3 и криптовалюты.