#ParsedReport #CompletenessHigh
29-01-2026

Interlock Ransomware: New Techniques, Same Old Tricks

https://www.fortinet.com/blog/threat-research/interlock-ransomware-new-techniques-same-old-tricks

Report completeness: High

Actors/Campaigns:
Interlock
Tag-124

Threats:
Interlock
Interlockrat
Screenconnect_tool
Mintsloader
Cornflake
Azcopy_tool
Lolbin_technique
Byovd_technique
Clickfix_technique
Kryptik
Rhysida

Victims:
Education sector, Organizations in the united kingdom, Organizations in the united states, North america based education organization

Industry:
Entertainment, Education

Geo:
America, American

CVEs:
CVE-2025-61155 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 10
Technics: 17

IOCs:
File: 35
Command: 3
Url: 2
Hash: 8
Path: 16
Domain: 22
IP: 15

Soft:
Firefox, Node.js, trycloudflare, Linux, Windows Defender, Chromium, Chrome, Opera, Opera-GX, PsExec, have more...

Algorithms:
sha1, base64, zip, xor, aes

Functions:
a0n, DLL, DriverEntry, IoCreateDevice, IoCreateSymbolicLink, ZwTerminateProcess

Win API:
OpenSCManagerW, CreateServiceW, OpenServiceW, StartServiceW, CommandLineToArgvW, CreateToolhelp32Snapshot, Process32NextW, Process32FirstW, DeviceIoControl, IoControlCode, have more...

Languages:
javascript, powershell, java

Platforms:
x64

Links:
https://github.com/pollotherunner/CVE-2025-61155/blob/main/advisory.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Interlock ransomware group, которая разрабатывает собственное вредоносное ПО вместо использования модели "Программа-вымогатель как услуга", нацелена на образовательные организации в Северной Америке, начиная с заражения MintLoader. Их вторжение включало активность PowerShell и использование NodeSnakeRAT, что привело к развертыванию Interlock ransomware с использованием передовых технологий, таких как динамическое внедрение полезной нагрузки и зашифрованные команды, которые не поддаются обнаружению. Атака использовала скомпрометированные учетные данные и включала удаленный доступ через ScreenConnect, что указывает на сложную операцию, направленную на шифрование, а не на эксфильтрацию данных.
-----

Interlock ransomware group активно атакует организации по всему миру, особенно в секторе образования Великобритании и США. В отличие от многих операторов программ-вымогателей, Interlock group не работает по модели "Программа-вымогатель как услуга" (RaaS), вместо этого разрабатывая собственное вредоносное ПО и управляя им. Группа продемонстрировала значительную адаптивность в своих методах и инструментах атаки, приспосабливаясь к новым мерам безопасности.

Описанное здесь вторжение началось с заражения через MintLoader 31 марта 2025 года, нацеленного на североамериканскую образовательную организацию. Этому первоначальному доступу способствовало отдельное действие PowerShell на конечной точке, в которой отсутствовали средства обнаружения конечных точек и реагирования (EDR). Вслед за этим в период с 5 по 15 сентября была обнаружена инфекция NodeSnakeRAT, что свидетельствует о продолжении вторжения. Злоумышленник внедрил второй вариант троянца удаленного доступа Interlock (RAT), характеризующийся запутанным JavaScript и динамическими методами извлечения строк, которые препятствуют статическому анализу.

Первоначальное внедрение Interlock ransomware произошло в период с 16 сентября по 12 октября 2025 года. Примечательным аспектом этого этапа было отсутствие дополнительной эксфильтрации данных после существенной обработки данных с помощью AZcopy от Microsoft, что позволяет предположить, что злоумышленники переключили внимание с вымогательства украденных данных на прямое шифрование после оценки вероятности того, что жертва заплатит выкуп. Основной полезной нагрузкой программы-вымогателя был файл JavaScript, выполняемый через легальную среду выполнения Java, без необходимости обмена командами и управления, что указывает на автономную работу вредоносного ПО.

Во время атаки использовались различные стратегии, включая установку ScreenConnect — использование файла MSI для удаленного доступа — и использование действительных учетных данных для крупномасштабного развертывания программ-вымогателей. Злоумышленник использовал пользовательский пакетный скрипт для запуска программы-вымогателя по сети, воспользовавшись скомпрометированным доступом администратора для перемещения внутри компании. Сам код программы-вымогателя включал сложные методы, такие как динамическое внедрение полезной нагрузки и использование зашифрованных команд без подключения к внешнему серверу, чтобы затруднить усилия по обнаружению и анализу.

Это вторжение также высветило важность мониторинга и защиты от кражи учетных данных, перемещения внутри компании по Протоколу удаленного рабочего стола (RDP) и оправдания использования известных вредоносных инструментов. Методы защиты от этих атак включают внедрение строгих процедур ведения журнала и обнаружения при использовании PowerShell, а также контроль доступа по протоколу RDP. Анализ рекомендует упреждающий подход к использованию технологии EDR для блокирования вредоносных шаблонов выполнения и расследования аномального поведения пользователей внутри организации. Этот случай иллюстрирует необходимость постоянной адаптации защитных мер в ответ на эволюционирующие стратегии атак, используемые изощренными злоумышленниками, такими как Interlock group.

#ParsedReport #CompletenessMedium
29-01-2026

Threat Bulletin: Critical eScan Supply Chain Compromise

https://www.morphisec.com/blog/critical-escan-threat-bulletin/

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Escan users, Antivirus users, Software supply chain

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1059.001, T1105, T1112, T1195, T1562.001, T1565.001

IOCs:
File: 1
Hash: 5
Url: 4
IP: 1
Path: 1
Registry: 1

Soft:
eScan

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
20 января 2026 года атака по Цепочке поставок была нацелена на антивирус eScan компании MicroWorld Technologies с использованием вредоносного пакета обновлений, который скомпрометировал целостность программного обеспечения. Эта атака включала загрузчик для настройки системы управления и манипулировала системными файлами, чтобы нарушить автоматическое обновление и одновременно облегчить доставку дополнительной полезной нагрузки. Скомпрометированный реестр eScan и файл hosts препятствовали обновлениям, делая антивирус неэффективным, что потребовало ручного исправления и расследования для затронутых пользователей.
-----

20 января 2026 года Morphisec выявила существенную Компрометацию цепочки поставок, воздействие на антивирусный продукт eScan от MicroWorld Technologies. Атака включала распространение вредоносного пакета обновлений через инфраструктуру обновлений eScan, что поставило под угрозу целостность антивирусного решения. Немедленный ответ Morphisec включал обнаружение и блокировку вредоносной активности на конечных точках клиентов, в то время как eScan удалось изолировать затронутую инфраструктуру в течение часа и перевести свою глобальную систему обновлений в автономный режим более чем на восемь часов.

Атака, по-видимому, использует загрузчик как часть своей платформы управления (C2) с механизмами закрепления, созданными путем вмешательства в системный файл hosts и реестр eScan. Эта манипуляция эффективно блокировала удаленные обновления и подключала скомпрометированные системы к дополнительным полезным нагрузкам из инфраструктуры C2. Хотя статус доменов C2 остается неподтвержденным, организациям рекомендуется заблокировать их превентивно.

Жертвами этой атаки стали все клиенты Morphisec, использующие eScan Antivirus, и конкретные затронутые версии ожидают подтверждения от поставщика. Вредоносная полезная нагрузка была разработана таким образом, чтобы обойти стандартные средства защиты, поскольку она изменяет реестр eScan, эффективно нарушая процессы автоматического обновления программного обеспечения. Необходимо ручное вмешательство и меры по исправлению ситуации, поскольку целостность антивирусного решения была серьезно нарушена, что сделало автоматическое обновление неэффективным.

Организациям настоятельно рекомендуется выполнять поиск известных вредоносных хэшей, проверять запланированные задачи на наличие неожиданных записей и проверять реестр на наличие подозрительных ключей. Изменения в файле hosts, блокирующие домены eScan, также должны быть проверены и исправлены. Действия по исправлению положения требуют обращения в eScan для получения обновлений вручную и проведения тщательных судебных расследований в системах без защиты Morphisec, включая сброс учетных данных для любых учетных записей, к которым был получен доступ во время взлома.

#ParsedReport #CompletenessLow
29-01-2026

Supply chain attack on eScan antivirus: detecting and remediating malicious updates

https://securelist.com/escan-supply-chain-attack/118688/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Escan users, Antivirus software users

Geo:
Indian

ChatGPT TTPs:
do not use without manual check
T1053.005, T1195, T1199, T1553.002, T1565.001

IOCs:
File: 2
Path: 1
Url: 6

Soft:
eScan

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
20 января атака по Цепочке поставок была нацелена на eScan antivirus после того, как злоумышленники скомпрометировали региональный сервер обновлений, распространив Вредоносный файл с именем Reload.exe . Это вредоносное ПО инициировало многоэтапный процесс заражения, изменив файл HOSTS, чтобы заблокировать законную передачу обновлений, тем самым лишив антивирус возможности получать обновления. Файл был принят как законное обновление из-за поддельной цифровой подписи, указывающей на уязвимости в Цепочке поставок программного обеспечения, а не в самом программном обеспечении.
-----

20 января значительная атака по Цепочке поставок оказала воздействие на eScan antivirus, продукт MicroWorld Technologies. Злоумышленники скомпрометировали один из региональных серверов обновлений и распространили Вредоносный файл с именем Reload.exe для пользователей антивирусного программного обеспечения. Это вредоносное ПО инициировало многоэтапный процесс заражения и фактически лишило антивирус возможности получать последующие обновления, изменив файл HOSTS. Это действие заблокировало законные сообщения об обновлениях, что привело к ошибкам в службе обновлений.

Расследование атаки показало, что злоумышленник Reload.exe файл был вставлен не из-за уязвимости в самом программном обеспечении, а скорее из-за несанкционированного доступа к инфраструктуре обновления. Злоумышленники внедрили это вредоносное ПО под видом поддельной недействительной цифровой подписи, что облегчило его принятие ничего не подозревающими пользователями в качестве законного обновления.

Что касается исправления, пользователям рекомендуется провести несколько проверок для выявления потенциальных инфекций. Это включает в себя проверку запланированных задач на наличие признаков вредоносной активности, проверку файла HOSTS, расположенного по адресу %WinDir%\System32\драйверы\и т.д.\, на наличие любых записей, блокирующих домены eScan, и тщательный просмотр журналов обновлений eScan от 20 января на предмет любых нарушений. Инцидент подчеркивает критическую важность безопасности даже в Цепочках поставок надежного программного обеспечения и подчеркивает необходимость гибких возможностей обнаружения и исправления при борьбе с такими сложными угрозами.

#ParsedReport #CompletenessMedium
29-01-2026

PeckBirdy Exposes a New Living off the Land Threat

https://cybersecsentinel.com/peckbirdy-exposes-a-new-living-off-the-land-threat/

Report completeness: Medium

Threats:
Peckbirdy_tool
Watering_hole_technique
Holodonut
Mkdoor
Nexload
Credential_harvesting_technique
Lolbin_technique

Victims:
Government, Education, Gambling sector

Industry:
Government

Geo:
Asian, Chinese, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1105, T1189, T1203, T1204.002, T1218.005, T1559.001

IOCs:
File: 5
IP: 1

Soft:
Chrome, Google Chrome, Microsoft Defender

Algorithms:
exhibit, md5, aes

Languages:
javascript, powershell, jscript

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PeckBirdy - это платформа управления на основе JScript (C2), связанная с китайскими APT-группировками, использующая скрипты вместо традиционного вредоносного ПО, чтобы избежать обнаружения. В первую очередь он получает первоначальный доступ с помощью атак watering hole на легальные сайты азартных игр, внедряя вредоносные скрипты, которые побуждают пользователей загружать фреймворк. PeckBirdy использует надежные утилиты Windows и предназначен для скрытого выполнения, что приводит к значительным рискам, таким как кража учетных данных и перехват сеанса, особенно для государственного сектора и игорного бизнеса.
-----

PeckBirdy - это платформа командования и контроля (C2) на основе JScript, связанная с APT-группировками, связанными с Китаем, которые отслеживаются как SHADOW VOID 044 и SHADOW EARTH 045. Этот фреймворк примечателен тем, что использует надежные утилиты Windows и устаревшие технологии написания сценариев, а не обычное исполняемое вредоносное ПО. Он действует скрытно и с минимальной видимостью для криминалистов, представляя значительную киберугрозу с момента своего обнаружения в ходе оперативных кампаний примерно в 2023 году.

Фреймворк использует различные методы для первоначального доступа, преимущественно посредством атак watering hole на легальные китайские сайты азартных игр. Вредоносные скрипты внедряются на эти сайты, вводя пользователей в заблуждение и заставляя запускать мошеннические обновления браузера, которые облегчают загрузку и выполнение платформы PeckBirdy и связанных с ней полезных нагрузок. Этот метод подчеркивает зависимость фреймворка от социальной инженерии и эксплуатации доверия, а не от традиционных методов доставки вредоносного ПО.

Ядро PeckBirdy написано на JScript в соответствии со стандартами ECMAScript 3, что позволяет ему работать в широком спектре сред Windows, в том числе в более старых системах, которые могут не поддерживать новые функции программирования. Стратегии выполнения используют надежные компоненты операционной системы Windows, такие как Windows Script Host, mshta.exe , и интерфейс ScriptControl ActiveX. Такой выбор конструкции обеспечивает высокую степень скрытности и снижает вероятность обнаружения стандартными антивирусными решениями и решениями для обнаружения конечных точек и реагирования на них (EDR), поскольку позволяет избежать создания традиционных артефактов вредоносного ПО.

Контекст угроз, связанный с PeckBirdy, подчеркивает изменение методов, используемых хакерскими группировками, переходящими от бинарного вредоносного ПО к фреймворкам на основе сценариев, которые используют существующие системные компоненты. Эта эволюция согласуется как с финансово мотивированной киберпреступностью, так и с усилиями по шпионажу, спонсируемыми государством. Основные риски, связанные с PeckBirdy, включают кражу учетных данных, перехват сеанса и постоянный доступ к внутренней сети. Эта система представляет высокий риск для таких секторов, как правительственные учреждения, образовательные учреждения и организации, связанные с азартными играми, особенно в регионах, которые, вероятно, будут рассматриваться как цели операций китайской разведки.

Чтобы обнаружить активность PeckBirdy, организациям следует отслеживать исходящие подключения, инициированные mshta.exe и другие скриптовые хосты, обращая внимание на параметры командной строки для выявления признаков выполнения JScript и использования ActiveXObject. Аномальные Веб-куки с префиксом "Hm_lvt_" в контекстах, где такая аналитика обычно не используется, также должны вызывать предупреждения о потенциальных вторжениях. Поскольку эта структура подчеркивает продвинутую адаптацию тактики living-off-the-land, ее присутствие подчеркивает текущие проблемы в области защиты кибербезопасности и реагирования на инциденты.

#ParsedReport #CompletenessHigh
29-01-2026

Meet IClickFix: a widespread WordPress-targeting framework using the ClickFix tactic

https://blog.sekoia.io/meet-iclickfix-a-widespread-wordpress-targeting-framework-using-the-clickfix-tactic/

Report completeness: High

Actors/Campaigns:
Evalusion

Threats:
Iclickfix_tool
Clickfix_technique
Netsupportmanager_rat
Emmenhtal
Xfiles_stealer
Clearfake
Watering_hole_technique

Industry:
Healthcare, Energy, Telco, Government, Financial

Geo:
Ghana

IOCs:
Url: 10
File: 5
Domain: 82
Command: 4
Hash: 15
IP: 3

Soft:
WordPress, Cloudflare Turnstile

Algorithms:
base64, sha256

Functions:
getFaviconPath

Languages:
javascript, php, powershell

YARA: Found

Links:
https://github.com/SEKOIA-IO/Community/blob/main/IOCs/iclickfix/

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года была обнаружена кампания распространения вредоносного ПО под названием ClickFix, нацеленная на веб-сайты WordPress с помощью атак watering hole. Кампания включала в себя компрометацию законных сайтов с целью перенаправления пользователей на поддельный запрос CAPTCHA, который выполнял команды для развертывания NetSupport удаленного доступа Trojan. С февраля 2025 года этот кластер IClickFix эксплуатировал более 3800 скомпрометированных сайтов, используя вредоносную полезную нагрузку JavaScript для облегчения атаки и доставки другого вредоносного ПО, такого как Emmenhtal Loader и XFiles Stealer.
-----

В ноябре 2025 года аналитики по угрозам из Sekoia TDR обнаружили кампанию распространения вредоносного ПО, нацеленную на веб-сайты WordPress с использованием тактики социальной инженерии, известной как ClickFix, с помощью Системы распределения трафика (TDS). В этой кампании в основном использовались атаки на watering hole, при которых законные веб-сайты компрометировались, чтобы заманить жертв к выполнению вредоносных команд.

Sekoia TDR внедрила расширенную функцию обнаружения для выявления этих атак на watering hole, используя общие правила YARA для сканирования скомпрометированных веб-страниц с использованием тактики ClickFix. Эти правила основаны на конкретных ключевых словах, шаблонах ресурсов и функциях JavaScript, связанных с реализацией тактики.

При посещении взломанного сайта WordPress пользователи сначала просматривают законный веб-контент, но через несколько мгновений страница переключается на сфабрикованный запрос CAPTCHA, имитирующий систему турникетов Cloudflare. Чтобы обойти эту проблему, пользователям предлагается выполнить команду, которая скрывает вредоносный код. Эта команда приводит к развертыванию троянца удаленного доступа NetSupport (RAT).

Оператор IClickFix нацелен на сайты WordPress, внедряя вредоносную полезную нагрузку JavaScript в их HTML-код. Один из них отметил, полезная нагрузка, извлечена из определенного URL-адреса, - это JavaScript-файл обфусцирован, что служит clickfix ClickFix, заменив оригинальный контент сайте с поддельным интерфейс капчи предназначены для сбора пользовательских действий для дальнейшей эксплуатации.

Уже в декабре 2025 года было установлено, что кластер IClickFix скомпрометировал более 3800 сайтов WordPress по всему миру, идентифицированных с помощью определенных шаблонов кода в цепочках перенаправлений, используемых в кампании. Аналитики также провели демографический анализ, основанный на географической и отраслевой классификации этих скомпрометированных сайтов.

Исторически сложилось так, что самые ранние наблюдения за кластером IClickFix относятся к февралю 2025 года, во время исследования Emmenhtal Loader. Это расследование показало, что кластер уже использовал скомпрометированные сайты WordPress, распространяя различные формы вредоносного ПО, включая Emmenhtal Loader и XFiles Stealer, в дополнение к NetSupport RAT.

Таким образом, фреймворк IClickFix стал распространенным средством для первоначального доступа, использующим методологию социальной инженерии ClickFix для развертывания вредоносного ПО посредством значительных компрометаций сайтов WordPress, что свидетельствует о совместной среде угроз, включающей как оппортунистическую деятельность киберпреступников, так и потенциальные интересы национальных государств.

#ParsedReport #CompletenessLow
29-01-2026

Inside the Infrastructure: Whos Scanning for Ivanti Connect Secure?

https://www.labs.greynoise.io/grimoire/2026-01-29-inside-the-infrastructure-whos-scanning-for-ivanti-connect-secure/

Report completeness: Low

Threats:
Residential_proxy_technique

Victims:
Ivanti connect secure users

Geo:
Romania, Moldova

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)

CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1583.003, T1583.006, T1584.004, T1595, T1595.001, T1595.002

Soft:
Ivanti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Значительно возросла активность по разведке, нацеленная на Ivanti Connect Secure, особенно из-за уязвимости CVE-2025-0282, из-за которой количество сканирований увеличилось в 100 раз. Задействованы две кампании: в одной используется агрессивное сканирование из Румынии и Молдовы, в то время как в другой используется метод распределенной ботнет-сети через residential proxies и мульти-Облачные сервисы, чтобы избежать обнаружения. Обе кампании нацелены на конкретную конечную точку, связанную с этой уязвимостью высокого риска, подчеркивая ее потенциальное использование.
-----

Недавние действия по разведке, направленные против Ivanti Connect Secure, значительно активизировались: GreyNoise сообщила о 100-кратном увеличении числа проверок на наличие уязвимости CVE-2025-0282 в период с 21 по 28 января. Этот всплеск атрибутирован с двумя различными кампаниями, в каждой из которых используются разные методы и инфраструктура. Первая кампания, идентифицированная как действующая из кластера AS213790, характеризовалась активными действиями по сканированию преимущественно из Румынии и Молдовы, в результате чего было проведено более 34 000 сеансов.

В отличие от этого, во второй кампании был применен более скрытный подход к распределенному ботнете с использованием скомпрометированных хостов. Этот метод включал использование сетей residential proxy для использования законных IP-адресов и стратегию развертывания в нескольких облаках, в которой использовались различные поставщики облачных услуг для минимизации риска обнаружения. Оперативные методы предполагают либо одного актора, использующего различные инструменты, либо потенциально конкурирующие группы, осведомленные об уязвимости и действующие одновременно.

Обе кампании специально нацелены на конечную точку по адресу /dana-na/auth/url_default/welcome.cgi, которая привязана к CVE-2025-0282. Показатель по системе оценки вероятности использования этой уязвимости (EPSS) составляет 93,05%, что указывает на высокую вероятность ее использования, чего нельзя сказать о соответствующем CVE-2025-0283, у которого показатель EPSS значительно ниже и составляет 0,18%. Высокая степень использования CVE-2025-0282 подчеркивает настоятельную необходимость обновления своих систем организациями, использующими Ivanti Connect Secure.

Для защитников необходимы немедленные действия. Это включает в себя обеспечение применения исправлений для защиты от потенциальной эксплуатации с уделением особого внимания просмотру журналов на предмет любых попыток несанкционированного доступа к уязвимой конечной точке. Организациям следует пересмотреть свою уязвимость к сети, особенно в отношении любых подключенных к Интернету установок Ivanti, поскольку они могут быть включены в список нацеленных атак. Постоянный мониторинг и тщательная проверка внешних запросов к идентифицированной конечной точке имеют решающее значение, поскольку использование CVE-2025-0282, по-видимому, неизбежно.

#ParsedReport #CompletenessLow
29-01-2026

Tycoon 2FA Campaign Abusing *.contractors Domains for Gmail and Microsoft 365 Credential Harvesting

https://malwr-analysis.com/2026/01/29/tycoon-2fa-campaign-abusing-contractors-domains-for-gmail-and-microsoft-365-credential-harvesting/

Report completeness: Low

Threats:
Tycoon_2fa
Credential_harvesting_technique

Victims:
Gmail users, Microsoft 365 users, Outlook users

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566, T1566.002, T1583.001

IOCs:
Url: 29

Soft:
Gmail, Outlook

Algorithms:
zip, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4