#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2026 года исследователи идентифицировали вредоносный файл LNK, связанный с атакующей кампанией Kimsuky, которая использует API Dropbox для передачи данных и запуска дополнительного вредоносного ПО. Вредоносное ПО при запуске создает VBScript, который запускается автоматически и собирает системную информацию для загрузки в папку Dropbox, используя жестко закодированные учетные данные. Эта APT-группировка использует для своей деятельности легальные платформы, такие как GitHub и Dropbox, что указывает на растущую тенденцию использования доверенных сервисов в злонамеренных целях.
-----

В марте 2026 года исследователи из IIJ идентифицировали вредоносный файл LNK, который обладал характеристиками, сходными с ранее задокументированным вредоносным ПО, связанным с кампанией атак Kimsuky. Это вредоносное ПО использует API Dropbox для передачи информации с зараженных хостов и дальнейшего выполнения вредоносного ПО по указанию злоумышленников. Файл LNK, происходящий из Южной Кореи, был обнаружен в общедоступном хранилище вредоносного ПО.

При выполнении файл LNK запускает команды, которые приводят к созданию файла VBScript, расположенного по адресу "C:\PerfLog\www.ps1 ," который выполняет критические шаги в работе вредоносного ПО. Это включает в себя планирование задач для обеспечения автоматического запуска файла VBScript. Примечательно, что документ, извлеченный вместе с файлом LNK, использует проприетарный формат корейского программного обеспечения "Hancom Office", служащий приманкой для заманивания цели.

Загруженное вредоносное ПО функционирует путем сбора системной информации и отправляет эти данные в указанную папку Dropbox, контролируемую злоумышленником, используя жестко закодированные учетные данные для аутентификации. Вредоносное ПО извлекает эти данные, чтобы установить, запустила ли цель вредоносное программное обеспечение. В частности, он проверяет и создает папку с именем "Zzz02_ID" в Dropbox, куда загружает временный файл, помеченный тем же идентификатором, содержащий системную информацию. После этого он пытается загрузить и запустить последующее вредоносное ПО — потенциально Троянскую программу удаленного доступа (RAT) — с помощью пакетного файла, который после запуска может облегчить дальнейшую эксплуатацию.

Кроме того, с января 2026 года IIJ отслеживает многочисленные действия APT-группировки, предположительно связанной с Северной Кореей, которая использовала законные платформы, такие как GitHub и Dropbox, для своей вредоносной деятельности. Это указывает на тревожную тенденцию использования злоумышленниками доверенных сервисов для киберопераций, что говорит о том, что в дальнейшем необходимо проявлять бдительность в отношении такой тактики. Распространяемая информация и инсайты обеспечивают важнейшие показатели для обнаружения этих развивающихся угроз, связанных с группой Kimsuky, и реагирования на них.

#ParsedReport #CompletenessLow
19-03-2026

StoatWaffle, malware used by WaterPlum

https://jp.security.ntt/insights_resources/tech_blog/stoatwaffle_malware_en/

Report completeness: Low

Actors/Campaigns:
Famous_chollima
Contagious_interview
Modilus

Threats:
Stoatwaffle
Ottercookie

Victims:
Blockchain, Cryptocurrency

Industry:
Financial

Geo:
North korea

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.003, T1059.007, T1071.001, T1074.001, T1082, T1105, T1204.002, T1217, have more...

IOCs:
File: 6
IP: 5

Soft:
vscode, Node.js, Chromium, Firefox, macOS, Linux

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, code: 11, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WaterPlum, северокорейская преступная хакерская группировка, представила новую вредоносную ПО под названием StoatWaffle в рамках своей кампании по атаке на Contagious Interview, включающую модуль Stealer и модуль Троянской программы удаленного доступа (RAT), оба сконструированные с использованием Node.js . Атака использует вредоносный репозиторий для использования проектов, связанных с блокчейном; когда файл `tasks.json` открывается в коде Visual Studio, он запускает загрузчик, который извлекает StoatWaffle. Модуль Stealer собирает учетные данные пользователя из браузеров и в macOS может получить доступ к базе данных Связки ключей, в то время как RAT поддерживает связь с сервером C2 для выполнения команд.
-----

WaterPlum, связанная с Северной Кореей преступная хакерская группировка, недавно начала использовать новое вредоносное ПО под названием StoatWaffle, в частности, в рамках своей кампании по атаке на Contagious Interview, которая ранее использовала другое вредоносное ПО, OtterCookie. StoatWaffle включает в себя, по меньшей мере, два заметных модуля: модуль-похититель и модуль Троянской программы удаленного доступа (RAT), оба встроенные с Node.js .

Вектор атаки, инициированный WaterPlum Team 8, предполагает заманивание жертв с помощью вредоносного хранилища, которое использует проект, связанный с технологией блокчейн. В этом репозитории присутствует каталог `.vscode`, содержащий файл `tasks.json`. Когда этот файл открывается и ему доверяют в коде Visual Studio, он реализует задачу, определенную для выполнения при открытии папки. Эта задача впоследствии загружает и выполняет простой начальный загрузчик с помощью `cmd.exe `, что приводит к дальнейшим загрузкам вредоносных программ.

После выполнения `vscode-bootstrap.cmd` гарантирует, что Node.js устанавливается на компьютер жертвы, загружая его, если он отсутствует. Далее он загружает файлы `env.npl` и `package.json`, причем первый служит загрузчиком ключей для StoatWaffle. `env.npl` периодически опрашивает сервер управления (C2) каждые пять секунд, выполняя возвращаемые данные следующим образом Node.js кодируйте в определенных условиях, обеспечивая модульную и постоянную связь с C2.

Модуль Stealer в StoatWaffle предназначен для извлечения учетных данных пользователя и связанных с ними данных расширения браузера из таких браузеров, как Chromium и Firefox, и загрузки этой информации на сервер C2. Примечательно, что если операционной системой является macOS, вредоносное ПО также может получать доступ к данным из базы данных Связки ключей и извлекать их. Интересным аспектом функциональности модуля Stealer является его способность определять, выполняется ли он в среде Windows Subsystem for Linux (WSL), позволяя злоумышленнику сопоставлять пути к файлам Windows для эффективного сбора данных.

Модуль RAT поддерживает непрерывную связь с сервером C2 для получения команд и отправки результатов выполнения, усиливая контроль злоумышленника над средой компрометации. В целом, StoatWaffle демонстрирует сложный и модульный подход WaterPlum, требующий от специалистов по безопасности бдительности для противодействия возникающей угрозе.

#ParsedReport #CompletenessLow
19-03-2026

fast-draft Open VSX Extension Compromised by BlokTrooper

https://www.aikido.dev/blog/fast-draft-open-vsx-bloktrooper

Report completeness: Low

Threats:
Bloktrooper

Victims:
Software development, Cryptocurrency

Industry:
Transport

ChatGPT TTPs:
do not use without manual check
T1005, T1020, T1027, T1041, T1059.001, T1059.004, T1059.007, T1071.001, T1074.001, T1083, have more...

IOCs:
Url: 6
IP: 1
File: 5
Command: 1

Soft:
Open VSX, open-vsx, curl, virtualbox, qemu, xen, Chrome, Opera, macOS, Linux, have more...

Wallets:
metamask, tronlink, coinbase, solflare, rabby, keplr, unisat, enkrypt, safepal

Algorithms:
zip

Functions:
Get-Clipboard

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расширение KhangNghiem/fast-draft было подвергнуто компрометации с помощью вредоносных выпусков (версии 0.10.89, 0.10.105, 0.10.106 и 0.10.112), которые запускали загрузчик с GitHub, что привело к развертыванию Троянской программы удаленного доступа (RAT) и стиллера информации. Атака включала в себя обращение загрузчика к репозиторию BlokTrooper для выполнения запутанного двоичного файла Node, который включал модули для удаленного управления, кражи данных из браузеров, эксфильтрации файлов и мониторинга буфера обмена. Операция указывает на сложную компрометацию, скорее всего, вызванную несанкционированным доступом, а не устойчивым злонамеренным намерением со стороны сопровождающего.
-----

Расширение KhangNghiem/fast-draft, доступное на open-vsx.org и скачанный более 26 000 раз, столкнулся с несколькими выпусками вредоносных программ, которые запускали загрузчик из репозитория GitHub, способствуя развертыванию Троянской программы удаленного доступа (RAT) и стиллера информации из репозитория BlokTrooper/extension. Конкретные версии, идентифицированные как вредоносные, включают 0.10.89, 0.10.105, 0.10.106 и 0.10.112. По странной схеме, версии до 0.10.89 и последующие выпуски, такие как 0.10.111 и 0.10.135, не содержали вредоносного кода, что указывает на возможную компрометацию учетной записи издателя, а не на последовательный злой умысел со стороны сопровождающего.

Вредоносные версии использовали метод, при котором расширение связывалось с raw.githubusercontent.com URL-адрес из репозитория BlokTrooper, передающий ответ в оболочку. Этот механизм позволял загружать ZIP-файлы, извлеченные во временный каталог, который затем запускал двоичный файл с запутанным узлом. Полезная нагрузка состоит из четырех параллельных модулей: сокета.IO RAT, способный управлять мышью и клавиатурой, браузер и программа для кражи кошельков, нацеленная на сохраненные пароли и различные расширения криптовалютных кошельков, модуль эксфильтрации файлов, который загружает конфиденциальные документы и конфигурации, и монитор буфера обмена, отправляющий скопированный контент обратно на сервер управления.

Инфраструктура, используемая BlokTrooper, включала IP-адрес 195.201.104.53 и активные порты 6931, 6936 и 6939. Примечательно, что вредоносная сборка 0.10.112 восстановила логику загрузчика, обнаруженную в более ранних вредоносных версиях, в то время как последующая чистая сборка 0.10.135 продемонстрировала отсутствие этой вредоносной функциональности. Вредоносная полезная нагрузка сама по себе способна устанавливать контроль над компьютером жертвы, сканировать профили браузеров на нескольких платформах и настойчиво искать конфиденциальные данные, такие как состояние кошелька и документы, сохраняя при этом стратегию уклонения, игнорируя определенные каталоги разработки.

Вторичные модули этой атаки означают хорошо спланированную операцию, направленную на захват ценных данных и поддержание непрерывного доступа к компрометации систем. Сложность этой атаки предполагает, что событие было вызвано несанкционированным доступом или Кражей токена, а не представляло собой простую серию вредоносных обновлений от законного сопровождающего. Изменчивый характер выпускаемых версий подчеркивает необходимость проявлять бдительность при отслеживании и проверке обновлений программного обеспечения в репозиториях расширений.

#ParsedReport #CompletenessHigh
19-03-2026

GlassWorm Hides a RAT Inside a Malicious Chrome Extension

https://www.aikido.dev/blog/glassworm-chrome-extension-rat

Report completeness: High

Threats:
Glassworm
Dead_drop_technique
Credential_harvesting_technique
Hvnc_tool

Victims:
Software developers, Cryptocurrency users, Technology sector

Industry:
E-commerce, Financial

Geo:
Belarus, Azerbaijan, Kazakhstan, Moscow, Tajikistan, Moldova, Armenia, Kyrgyzstan, Uzbekistan, Russia, Asia, Russian

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1008, T1021.005, T1027, T1036, T1041, T1047, T1053.005, T1056.001, T1056.002, have more...

IOCs:
File: 16
IP: 7
Url: 9
Path: 6
Registry: 3
Hash: 8

Soft:
Chrome, linux, Docker, macOS, Ledger Live, bittorrent, utorrent, WebRTC, Opera, Opera GX, have more...

Wallets:
metamask, coinbase, exodus_wallet, keplr, trezor, bybit

Crypto:
solana, binance

Algorithms:
zip, sha256, base64

Functions:
getSignaturesForAddress, eval

Languages:
powershell, javascript

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GlassWorm использует многоэтапную атаку с использованием Троянской программы удаленного доступа (RAT), установленной через вредоносное расширение Chrome, замаскированное под "Google Docs Offline". Его загрузчики используют механизм геозоны, чтобы избежать обнаружения в российских регионах, а коммуникации командования и контроля (C2) умело маршрутизируются через блокчейн Solana, что усложняет усилия по сбою. Вредоносное ПО отлично справляется с эксфильтрацией данных, нацеливаясь на криптокошельки и данные браузера, в то время как RAT использует постоянные механизмы и передовые методы, такие как поиск DHT для связи C2.
-----

Вредоносная кампания GlassWorm использует сложную многоэтапную стратегию атаки, направленную на установку Троянской программы для удаленного доступа (RAT) с помощью вредоносного расширения Chrome, Маскировки под "Google Docs Offline". Операция начинается с использования вредоносных пакетов, опубликованных на различных платформах, включая npm и PyPI, либо для создания новых вредоносных пакетов, либо для модификации существующих законных проектов. Примечательно, что в нем есть два типа загрузчиков: невидимый загрузчик Unicode и более обычный запутанный сценарий предварительной установки.

Ключевой характеристикой загрузчика GlassWorm's является его механизм геозонирования, который останавливает выполнение при обнаружении русского языка, используя для этого различные индикаторы языка. Передача команд и контроля (C2) осуществляется с помощью уникального метода, использующего блокчейн Solana для хранения адреса C2 в памятке о транзакции, что позволяет оператору часто обновлять адрес C2 без изменения самого вредоносного пакета. Такая тактика серьезно усложняет усилия по демонтажу инфраструктуры.

После активации загрузчик извлекает полезную нагрузку этапа 2, которая обладает широкими возможностями эксфильтрации данных, включая сбор учетных записей для расширений браузера и криптовалютных кошельков. Он сканирует профили 71 основного криптокошелька, ориентируясь на общие места хранения данных, связанных с браузером, и различные хранилища учетных данных, связанные с облаком. За этапом 2 полезной нагрузки следует заключительный этап 3, который дополнительно устанавливает закрепление и включает двоичные файлы для фишинга, специально разработанные для того, чтобы обманом заставить пользователей раскрыть конфиденциальную информацию, относящуюся к их кошелькам Ledger или Trezor для Аппаратного обеспечения.

Компонент RAT, способный избегать обнаружения, устанавливается на компьютер жертвы с помощью двух механизмов закрепления: задачи по расписанию запуска и сценария PowerShell. Примечательно, что этот RAT не полагается исключительно на жестко закодированные методы связи, но использует поиск по распределенной хэш-таблице (DHT) для получения своего адреса C2. Кроме того, вредоносное ПО облегчает выполнение целого ряда команд, включая Удаленное Выполнение Кода, кражу данных из браузеров и превращение зараженного компьютера в SOCKS-прокси.

Вредоносное расширение Chrome следует этому примеру, самостоятельно устанавливаясь и предоставляя широкие возможности мониторинга. Это включает в себя регистрацию нажатий клавиш, создание скриншотов, фильтрацию истории посещенных страниц и доступ к конфиденциальным файлам cookie и данным локального хранилища. Он также обеспечивает целенаправленное наблюдение за конкретными сайтами, в частности за криптобиржами, чтобы предупредить злоумышленников о любой активности пользователей, которая может указывать на наличие ценных токенов.

#ParsedReport #CompletenessHigh
19-03-2026

Casting a Wider Net: ClickFix, Deno, and LeakNets Scaling Threat

https://reliaquest.com/blog/threat-spotlight-casting-a-wider-net-clickfix-deno-and-leaknets-scaling-threat

Report completeness: High

Actors/Campaigns:
Leaknet

Threats:
Clickfix_technique
Deno_loader
Psexec_tool
Dll_sideloading_technique
Lolbin_technique

Victims:
Organizations

Industry:
E-commerce

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Path: 2
Command: 1
Domain: 17
IP: 6

Soft:
PsExec, Node.js, Cloudflare Turnstile, Microsoft Teams

Algorithms:
base64

Languages:
javascript, typescript, powershell, java, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LeakNet усовершенствовала свою тактику вымогателей, используя приманки ClickFix на законных веб-сайтах, подвергшихся компрометации, устраняя зависимость от брокеров первоначального доступа. Их новый загрузчик на базе Deno выполняет полезные нагрузки в кодировке base64 в памяти для скрытных действий после эксплуатации, включая установление соединений C2 и перемещения внутри компании с помощью таких инструментов, как PsExec. LeakNet использует DLL sideloading для дополнительной маскировки вредоносного поведения, используя законные процессы при подготовке к последующим эксплойтам и вовлечению жертв.
-----

LeakNet, группа программ-вымогателей, усовершенствовала свои методы первоначального доступа, используя приманки ClickFix, поставляемые через законные веб-сайты, подвергшиеся компрометации. Этот сдвиг означает переход от использования брокеров первоначального доступа (IAB) для получения украденных учетных данных к непосредственному выполнению своих кампаний, тем самым расширяя возможности для атак. ClickFix использует тактику социальной инженерии, обманом заставляя пользователей выполнять вредоносные команды, которые могут привести к компрометации уязвимых сотрудников во время повседневного просмотра веб-страниц. Эта стратегия эффективно снижает их зависимость от доступа третьих лиц и позволяет быстрее и экономичнее находить жертв.

Совместно с ClickFix LeakNet представила загрузчик на основе Deno, который выполняет полезные нагрузки в кодировке base64 непосредственно в памяти, оставляя минимальные следы на диске. Такое поведение позволяет выполнять незаметные действия после эксплуатации, сочетаясь с законной деятельностью разработчика, используя такие инструменты, как скрипты Visual Basic Script (VBS) и PowerShell scripts. Загрузчик выполняет различные задачи, включая снятие отпечатков пальцев с машины-жертвы, установление соединения с системой управления (C2) и подготовку к дальнейшей эксплуатации путем перемещения внутри компании и размещения полезной нагрузки.

Действия LeakNet после эксплуатации выполняются по последовательной схеме, которая включает в себя DLL Sideloading, перемещение внутри компании с использованием PsExec и размещение полезных нагрузок в корзинах Amazon S3. Использование DLL sideloading использует законные процессы, при этом LeakNet размещает вредоносную библиотеку DLL рядом с доверенными исполняемыми файлами, скрывая вредоносное поведение в типичных системных каталогах, таких как "C:\ProgramData\USOShared ." Во время перемещения внутри компании группа запускает команды, подобные "klist", для идентификации доступных учетных записей, прежде чем использовать их, что ускоряет их работу.

Защита от меняющейся тактики LeakNet's требует многогранного подхода. Важные меры включают мониторинг подозрительного поведения в таких процессах, как msiexec, ограничение использования PsExec авторизованным персоналом и блокировку вновь зарегистрированных доменов, обычно используемых в их кампаниях. Организациям рекомендуется отказаться от традиционных методов обнаружения, основанных на сигнатурах, в пользу ориентированных на поведение предупреждений, которые могут идентифицировать уникальную сигнатуру операционных шагов LeakNet's.

Поскольку LeakNet продолжает расширять масштабы своей деятельности и совершенствовать свои методы, существует вероятность того, что аналогичная тактика может быть применена другими вредоносными акторами. Наблюдение за достижениями в области методов выполнения без файлов, таких как методы загрузки Deno и приложение ClickFix, может обеспечить дополнительные преимущества в области безопасности организациям, желающим усилить свою защиту от угроз программ-вымогателей. Понимание общего поведения, связанного с этими векторами атак, будет иметь решающее значение для своевременного вмешательства до того, как программа-вымогатель сможет зашифровать критически важные данные.

#ParsedReport #CompletenessMedium
19-03-2026

New Malware Targets Users of Cobra DocGuard Software

https://www.security.com/threat-intelligence/speagle-cobradocguard-infostealer

Report completeness: Medium

Actors/Campaigns:
Runningcrab

Threats:
Speagle
Supply_chain_technique
Plugx_rat

Victims:
Cobra docguard users, Defense sector

Industry:
Aerospace

Geo:
Chinese, Asian, Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1005, T1012, T1020, T1041, T1047, T1070.004, T1071.001, T1082, T1083, have more...

IOCs:
Registry: 2
File: 14
Hash: 4
Url: 2

Algorithms:
deflate, cbc, aes-128, sha256

Win API:
DeviceIoControl, SetFileInformationByHandle, DeleteFile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер информации.Speagle - это вредоносное ПО, нацеленное на пользователей законного приложения безопасности Cobra DocGuard, использующее сервер компрометации для извлечения конфиденциальных данных, особенно связанных с китайскими баллистическими ракетами, что свидетельствует о шпионаже. Он работает как 32-разрядный .Исполняемый файл NET, использующий поэтапный процесс сбора и эксфильтрации данных, который включает шифрование собранных данных AES-128 и использует запросы WMI для получения системной информации. После завершения своей деятельности Speagle использует механизм самоудаления, чтобы стереть следы своей деятельности в зараженных системах, иллюстрируя передовую тактику кибершпионажа.
-----

Новая вредоносная ПО под названием Стиллер.Speagle нацелен на пользователей приложения безопасности Cobra DocGuard. Вредоносное ПО извлекает конфиденциальную информацию с сервера компрометации, связанного с Cobra DocGuard, фокусируясь на документах, связанных с китайскими баллистическими ракетами. Переносчик инфекции в настоящее время неизвестен, но может быть связан с Компрометацией цепочки поставок. Speagle имитирует законную связь с серверами Cobra DocGuard, чтобы замаскировать кражу данных. Исследователи связывают это с организацией под названием Runningcrab, предполагающей участие спонсируемого государством или частным подрядчиком в шпионаже. Вредоносное ПО работает как 32-разрядное .Исполняемый файл NET и запускается путем определения местоположения установки Cobra DocGuard с помощью значений реестра. Speagle собирает данные поэтапно, начиная с уникальных идентификаторов и действительного идентификатора клиента, и организует информацию, используя пользовательскую структуру под названием "ErrorReport". Эксфильтрация включает в себя сериализацию отчета об ошибке в XML-строку, сжатие и шифрование его с помощью AES-128 в режиме CBC, а затем отправку его по протоколу HTTP на сервер компрометации. На более поздних этапах Speagle использует запросы WMI для обширного сбора данных и имеет варианты, которые явно выполняют поиск файлов, связанных с баллистическими ракетами. Он также оснащен механизмом самоудаления, который использует законный драйвер Cobra DocGuard для удаления следов его активности после работы.

#ParsedReport #CompletenessLow
19-03-2026

Perseus: DTO malware that takes notes

https://www.threatfabric.com/blogs/perseus-dto-malware-that-takes-notes

Report completeness: Low

Threats:
Perseus
Cerberus
Medusa_ransomware
Ermac
Massiv
Klopatra
Hvnc_tool

Victims:
Mobile users, Financial services

Industry:
E-commerce, Media

Geo:
Portugal, Turkey, Italy, Poland, Turkish, Germany, France

ChatGPT TTPs:
do not use without manual check
T1036, T1113, T1407, T1409, T1417, T1475, T1497.001, T1518, T1622

IOCs:
Hash: 3

Soft:
Android, Google Play, onenote

Algorithms:
sha256, base64

Functions:
takeScreenshot

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Perseus - это новое вредоносное ПО для Android, основанное на более ранних угрозах, таких как Cerberus и Phoenix, нацеленное на устройства в Турции и Италии с помощью приложений, замаскированных под сервисы IPTV. Он использует службы специальных возможностей для удаленного управления в режиме реального времени, фокусируясь на извлечении конфиденциальных данных из пользовательских заметок и используя механизм dropper для обхода ограничений Android 13+. Вредоносное ПО обладает мощными методами антианализа, оценивающими факторы окружения устройства для обеспечения скрытности, и поддерживает различные команды для управления поведением устройства.
-----

Perseus - это недавно идентифицированное вредоносное ПО для Android, которое демонстрирует эволюцию мобильных угроз, основываясь на характеристиках более ранних семейств вредоносных ПО, таких как Cerberus и Phoenix. Он интегрирует передовые технологии и использует законные функциональные возможности системы, чтобы поддерживать ее эффективность и избегать обнаружения. Вредоносное ПО в первую очередь нацелено на такие регионы, как Турция и Италия, и распространяется с помощью приложений, Маскировок под сервисы IPTV, используя знакомство пользователей с такими приложениями для повышения доверия и увеличения числа заражений.

После развертывания Perseus способен осуществлять интерактивное удаленное управление зараженными устройствами в режиме реального времени с помощью служб специальных возможностей. Его конструкция позволяет полностью использовать устройство в сочетании с целенаправленным сбором данных, уделяя особое внимание извлечению конфиденциальной информации из пользовательских заметок в различных приложениях. Эта функция свидетельствует о стратегической эволюции от типичной кражи учетных данных к захвату контекстных и персональных данных, что повышает их ценность для злоумышленников.

Perseus использует механизм dropper для обхода ограничений Android 13+ во время боковой загрузки. Она включает в себя строгие меры по борьбе с анализом, проведение обширных экологических проверок для выявления и уклонения от "песочницы" или попыток анализа. Эти проверки оценивают различные аспекты устройства, такие как наличие SIM-карты, состояние отладки и подлинность компонентов Аппаратного обеспечения, что в конечном итоге обеспечивает высокую степень секретности эксплуатации.

Примечательно, что вредоносное ПО обладает отличными возможностями для мониторинга заметок, хранящихся на устройствах. Выполняя команду "scan_notes", он автоматизирует поиск популярных приложений для создания заметок и систематически извлекает их содержимое, которое часто содержит конфиденциальную информацию. Эта функция отражает инновационный подход к работе с ценными областями данных, которые обычно игнорируются другими вредоносными ПО.

Что касается функциональности, Perseus наследует функции дистанционного управления от своих предшественников, способные захватывать содержимое экрана с помощью команд скриншотов и взаимодействовать с элементами пользовательского интерфейса устройства в режиме реального времени. Поддержка различных команд позволяет злоумышленникам значительно манипулировать поведением устройства. Однако двойные ветви вредоносного ПО — с английской и турецкой версиями — иллюстрируют его локализованную стратегию таргетинга и предполагают улучшения пользовательского интерфейса и средств отладки в английской версии.