#ParsedReport #CompletenessHigh
19-03-2026

Casting a Wider Net: ClickFix, Deno, and LeakNets Scaling Threat

https://reliaquest.com/blog/threat-spotlight-casting-a-wider-net-clickfix-deno-and-leaknets-scaling-threat

Report completeness: High

Actors/Campaigns:
Leaknet

Threats:
Clickfix_technique
Deno_loader
Psexec_tool
Dll_sideloading_technique
Lolbin_technique

Victims:
Organizations

Industry:
E-commerce

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 3
Path: 2
Command: 1
Domain: 17
IP: 6

Soft:
PsExec, Node.js, Cloudflare Turnstile, Microsoft Teams

Algorithms:
base64

Languages:
javascript, typescript, powershell, java, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LeakNet усовершенствовала свою тактику вымогателей, используя приманки ClickFix на законных веб-сайтах, подвергшихся компрометации, устраняя зависимость от брокеров первоначального доступа. Их новый загрузчик на базе Deno выполняет полезные нагрузки в кодировке base64 в памяти для скрытных действий после эксплуатации, включая установление соединений C2 и перемещения внутри компании с помощью таких инструментов, как PsExec. LeakNet использует DLL sideloading для дополнительной маскировки вредоносного поведения, используя законные процессы при подготовке к последующим эксплойтам и вовлечению жертв.
-----

LeakNet, группа программ-вымогателей, усовершенствовала свои методы первоначального доступа, используя приманки ClickFix, поставляемые через законные веб-сайты, подвергшиеся компрометации. Этот сдвиг означает переход от использования брокеров первоначального доступа (IAB) для получения украденных учетных данных к непосредственному выполнению своих кампаний, тем самым расширяя возможности для атак. ClickFix использует тактику социальной инженерии, обманом заставляя пользователей выполнять вредоносные команды, которые могут привести к компрометации уязвимых сотрудников во время повседневного просмотра веб-страниц. Эта стратегия эффективно снижает их зависимость от доступа третьих лиц и позволяет быстрее и экономичнее находить жертв.

Совместно с ClickFix LeakNet представила загрузчик на основе Deno, который выполняет полезные нагрузки в кодировке base64 непосредственно в памяти, оставляя минимальные следы на диске. Такое поведение позволяет выполнять незаметные действия после эксплуатации, сочетаясь с законной деятельностью разработчика, используя такие инструменты, как скрипты Visual Basic Script (VBS) и PowerShell scripts. Загрузчик выполняет различные задачи, включая снятие отпечатков пальцев с машины-жертвы, установление соединения с системой управления (C2) и подготовку к дальнейшей эксплуатации путем перемещения внутри компании и размещения полезной нагрузки.

Действия LeakNet после эксплуатации выполняются по последовательной схеме, которая включает в себя DLL Sideloading, перемещение внутри компании с использованием PsExec и размещение полезных нагрузок в корзинах Amazon S3. Использование DLL sideloading использует законные процессы, при этом LeakNet размещает вредоносную библиотеку DLL рядом с доверенными исполняемыми файлами, скрывая вредоносное поведение в типичных системных каталогах, таких как "C:\ProgramData\USOShared ." Во время перемещения внутри компании группа запускает команды, подобные "klist", для идентификации доступных учетных записей, прежде чем использовать их, что ускоряет их работу.

Защита от меняющейся тактики LeakNet's требует многогранного подхода. Важные меры включают мониторинг подозрительного поведения в таких процессах, как msiexec, ограничение использования PsExec авторизованным персоналом и блокировку вновь зарегистрированных доменов, обычно используемых в их кампаниях. Организациям рекомендуется отказаться от традиционных методов обнаружения, основанных на сигнатурах, в пользу ориентированных на поведение предупреждений, которые могут идентифицировать уникальную сигнатуру операционных шагов LeakNet's.

Поскольку LeakNet продолжает расширять масштабы своей деятельности и совершенствовать свои методы, существует вероятность того, что аналогичная тактика может быть применена другими вредоносными акторами. Наблюдение за достижениями в области методов выполнения без файлов, таких как методы загрузки Deno и приложение ClickFix, может обеспечить дополнительные преимущества в области безопасности организациям, желающим усилить свою защиту от угроз программ-вымогателей. Понимание общего поведения, связанного с этими векторами атак, будет иметь решающее значение для своевременного вмешательства до того, как программа-вымогатель сможет зашифровать критически важные данные.

#ParsedReport #CompletenessMedium
19-03-2026

New Malware Targets Users of Cobra DocGuard Software

https://www.security.com/threat-intelligence/speagle-cobradocguard-infostealer

Report completeness: Medium

Actors/Campaigns:
Runningcrab

Threats:
Speagle
Supply_chain_technique
Plugx_rat

Victims:
Cobra docguard users, Defense sector

Industry:
Aerospace

Geo:
Chinese, Asian, Hong kong

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001.003, T1005, T1012, T1020, T1041, T1047, T1070.004, T1071.001, T1082, T1083, have more...

IOCs:
Registry: 2
File: 14
Hash: 4
Url: 2

Algorithms:
deflate, cbc, aes-128, sha256

Win API:
DeviceIoControl, SetFileInformationByHandle, DeleteFile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер информации.Speagle - это вредоносное ПО, нацеленное на пользователей законного приложения безопасности Cobra DocGuard, использующее сервер компрометации для извлечения конфиденциальных данных, особенно связанных с китайскими баллистическими ракетами, что свидетельствует о шпионаже. Он работает как 32-разрядный .Исполняемый файл NET, использующий поэтапный процесс сбора и эксфильтрации данных, который включает шифрование собранных данных AES-128 и использует запросы WMI для получения системной информации. После завершения своей деятельности Speagle использует механизм самоудаления, чтобы стереть следы своей деятельности в зараженных системах, иллюстрируя передовую тактику кибершпионажа.
-----

Новая вредоносная ПО под названием Стиллер.Speagle нацелен на пользователей приложения безопасности Cobra DocGuard. Вредоносное ПО извлекает конфиденциальную информацию с сервера компрометации, связанного с Cobra DocGuard, фокусируясь на документах, связанных с китайскими баллистическими ракетами. Переносчик инфекции в настоящее время неизвестен, но может быть связан с Компрометацией цепочки поставок. Speagle имитирует законную связь с серверами Cobra DocGuard, чтобы замаскировать кражу данных. Исследователи связывают это с организацией под названием Runningcrab, предполагающей участие спонсируемого государством или частным подрядчиком в шпионаже. Вредоносное ПО работает как 32-разрядное .Исполняемый файл NET и запускается путем определения местоположения установки Cobra DocGuard с помощью значений реестра. Speagle собирает данные поэтапно, начиная с уникальных идентификаторов и действительного идентификатора клиента, и организует информацию, используя пользовательскую структуру под названием "ErrorReport". Эксфильтрация включает в себя сериализацию отчета об ошибке в XML-строку, сжатие и шифрование его с помощью AES-128 в режиме CBC, а затем отправку его по протоколу HTTP на сервер компрометации. На более поздних этапах Speagle использует запросы WMI для обширного сбора данных и имеет варианты, которые явно выполняют поиск файлов, связанных с баллистическими ракетами. Он также оснащен механизмом самоудаления, который использует законный драйвер Cobra DocGuard для удаления следов его активности после работы.

#ParsedReport #CompletenessLow
19-03-2026

Perseus: DTO malware that takes notes

https://www.threatfabric.com/blogs/perseus-dto-malware-that-takes-notes

Report completeness: Low

Threats:
Perseus
Cerberus
Medusa_ransomware
Ermac
Massiv
Klopatra
Hvnc_tool

Victims:
Mobile users, Financial services

Industry:
E-commerce, Media

Geo:
Portugal, Turkey, Italy, Poland, Turkish, Germany, France

ChatGPT TTPs:
do not use without manual check
T1036, T1113, T1407, T1409, T1417, T1475, T1497.001, T1518, T1622

IOCs:
Hash: 3

Soft:
Android, Google Play, onenote

Algorithms:
sha256, base64

Functions:
takeScreenshot

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Perseus - это новое вредоносное ПО для Android, основанное на более ранних угрозах, таких как Cerberus и Phoenix, нацеленное на устройства в Турции и Италии с помощью приложений, замаскированных под сервисы IPTV. Он использует службы специальных возможностей для удаленного управления в режиме реального времени, фокусируясь на извлечении конфиденциальных данных из пользовательских заметок и используя механизм dropper для обхода ограничений Android 13+. Вредоносное ПО обладает мощными методами антианализа, оценивающими факторы окружения устройства для обеспечения скрытности, и поддерживает различные команды для управления поведением устройства.
-----

Perseus - это недавно идентифицированное вредоносное ПО для Android, которое демонстрирует эволюцию мобильных угроз, основываясь на характеристиках более ранних семейств вредоносных ПО, таких как Cerberus и Phoenix. Он интегрирует передовые технологии и использует законные функциональные возможности системы, чтобы поддерживать ее эффективность и избегать обнаружения. Вредоносное ПО в первую очередь нацелено на такие регионы, как Турция и Италия, и распространяется с помощью приложений, Маскировок под сервисы IPTV, используя знакомство пользователей с такими приложениями для повышения доверия и увеличения числа заражений.

После развертывания Perseus способен осуществлять интерактивное удаленное управление зараженными устройствами в режиме реального времени с помощью служб специальных возможностей. Его конструкция позволяет полностью использовать устройство в сочетании с целенаправленным сбором данных, уделяя особое внимание извлечению конфиденциальной информации из пользовательских заметок в различных приложениях. Эта функция свидетельствует о стратегической эволюции от типичной кражи учетных данных к захвату контекстных и персональных данных, что повышает их ценность для злоумышленников.

Perseus использует механизм dropper для обхода ограничений Android 13+ во время боковой загрузки. Она включает в себя строгие меры по борьбе с анализом, проведение обширных экологических проверок для выявления и уклонения от "песочницы" или попыток анализа. Эти проверки оценивают различные аспекты устройства, такие как наличие SIM-карты, состояние отладки и подлинность компонентов Аппаратного обеспечения, что в конечном итоге обеспечивает высокую степень секретности эксплуатации.

Примечательно, что вредоносное ПО обладает отличными возможностями для мониторинга заметок, хранящихся на устройствах. Выполняя команду "scan_notes", он автоматизирует поиск популярных приложений для создания заметок и систематически извлекает их содержимое, которое часто содержит конфиденциальную информацию. Эта функция отражает инновационный подход к работе с ценными областями данных, которые обычно игнорируются другими вредоносными ПО.

Что касается функциональности, Perseus наследует функции дистанционного управления от своих предшественников, способные захватывать содержимое экрана с помощью команд скриншотов и взаимодействовать с элементами пользовательского интерфейса устройства в режиме реального времени. Поддержка различных команд позволяет злоумышленникам значительно манипулировать поведением устройства. Однако двойные ветви вредоносного ПО — с английской и турецкой версиями — иллюстрируют его локализованную стратегию таргетинга и предполагают улучшения пользовательского интерфейса и средств отладки в английской версии.

#ParsedReport #CompletenessMedium
19-03-2026

New Malware Highlights Increased Systematic Targeting of Network Infrastructure

https://eclypsium.com/blog/condibot-monaco-malware-network-infrastructure/

Report completeness: Medium

Actors/Campaigns:
Unc3886

Threats:
Condibot
Condi
Mirai
Xmrig_miner
Xmrigcc_tool
Brickstorm
J-magic
Tinyshell
Supply_chain_technique

Victims:
Network infrastructure, Linux devices, Servers, Internet of things devices, Routers, Network devices, Juniper network equipment, Fortinet devices

Industry:
Iot

Geo:
Singapore, Monaco, Chinese, India

ChatGPT TTPs:
do not use without manual check
T1041, T1095, T1105, T1110.001, T1190, T1222.002, T1496, T1498, T1542.001, T1595, have more...

IOCs:
Hash: 9
IP: 2

Soft:
Linux, curl, ubuntu, Ivanti

Crypto:
monero

Algorithms:
sha1, md5, exhibit, sha256

Functions:
select

Platforms:
arm, mips, x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование Eclypsium подчеркивает растущую тенденцию к киберугрозам, нацеленным на сетевую инфраструктуру, в первую очередь с участием национальных государств и финансово мотивированных акторов, использующих уязвимости в устройствах различных поставщиков, в частности Fortinet. Недавно выявленные варианты вредоносного ПО включают CondiBot, DDoS-ботнет, производный от Mirai, который преобразует устройства Linux в DDoS-узлы, и "Monaco", который использует SSH-атаки методом перебора для развертывания майнеров Monero, добиваясь закрепления с помощью сложных методов. Анализ выявляет тревожный переход от использования слабых мест паролей к использованию уязвимостей программного обеспечения, что позволяет злоумышленникам сохранять необнаруженный доступ и облегчать перемещение внутри компании.
-----

Недавнее исследование Eclypsium выявило тревожную тенденцию в киберугрозах, нацеленных на сетевую инфраструктуру, что имеет значительные последствия для предприятий. Исследование показывает, что как акторы национальных государств, так и финансово мотивированные группы, включая операции по крипто-майнингу, все чаще используют уязвимости в Сетевых устройствах, особенно от Fortinet, но также распространяются и на различных других поставщиков.

6 марта 2026 года Eclypsium обнаружил два новых недокументированных варианта вредоносного ПО: CondiBot, вариант DDoS-ботнет, производный от Mirai, и "Monaco", SSH-сканер и майнер криптовалют. CondiBot предназначен для преобразования устройств Linux, подвергшихся компрометации, в узлы для крупномасштабных DDoS-атак, используя надежный механизм, который использует различные утилиты передачи файлов для загрузки своих двоичных файлов. Это вредоносное ПО нацелено на различные архитектуры Linux и устанавливает постоянный контроль над устройствами, подвергшимися компрометации, отключая возможности перезагрузки и уничтожая конкурирующие ботнет.

Вариант "Monaco", написанный на Go, использует атаки методом грубой силы на SSH-серверы для получения доступа и развертывания майнеров криптовалюты Monero. После успешной компрометации устройства он перестраивает устройство для майнинга путем развертывания программного обеспечения XMRig и обеспечивает закрепление с помощью таких методов, как демонизация и процессы разветвления, чтобы пережить системные сигналы, которые привели бы к завершению работы майнера. Monaco ориентирована на широкий спектр устройств, включая серверы, маршрутизаторы и оборудование Интернета вещей, на различных архитектурах, таких как x86 и ARM.

Анализ указывает на резкий рост использования уязвимостей, связанных с Сетевыми устройствами, при этом среднее время использования составляет ноль дней. Этот сдвиг подчеркивает тревожную тенденцию, когда использование уязвимостей программного обеспечения превзошло традиционные уязвимости паролей в качестве основного метода первоначального доступа. Злоумышленники используют встроенную прошивку сетевых устройств, которые часто не отслеживаются стандартными средствами безопасности, что позволяет осуществлять длительный необнаруженный доступ.

Последствия этих атак серьезны, поскольку они могут способствовать перемещению внутри компании, позволяя злоумышленникам перемещаться по сетям и получать доступ к конфиденциальной информации. Ставя под угрозу базовые устройства, такие как маршрутизаторы и коммутаторы, они могут поддерживать закрепление, которое выдерживает обычные меры безопасности и перезагрузки устройств.

#ParsedReport #CompletenessLow
19-03-2026

Head Mare campaign with PhantomPxPigeon backdoor and infected TrueConf software installation files

https://securelist.ru/head-mare-campaign-phantompxpigeon-backdoor-and-trueconf-software/114998/

Report completeness: Low

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Victims:
Education, Science, Energy, Transport, Russia

Industry:
Energy

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1195.002, T1204.002, T1566.002

IOCs:
Hash: 12
Domain: 2

Soft:
TrueConf

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2026 года группа Head Mare нацелилась на организации образовательного и энергетического секторов в России, используя обманчивые приглашения на видеоконференции для установки нового бэкдора PhantomPxPigeon. В кампании была задействована компрометация серверов TrueConf, которые распространяли вредоносные клиентские приложения, создавая риски как для непосредственных целей, так и для внешних пользователей, которые непреднамеренно загрузили зараженное программное обеспечение. Предварительные оценки предполагают, что злоумышленники, возможно, воспользовались исправленной уязвимостью BDU:2025-10116, чтобы облегчить подмену клиентского приложения.
-----

В феврале 2026 года началась кампания, атрибутируемая с группой Head Mare, нацеленная на образовательные и научные учреждения, а также организации энергетического сектора по всей России. Эта вредоносная активность была активна по крайней мере с декабря 2025 года, используя вектор атаки, который включал вводящие в заблуждение приглашения на видеоконференции. Жертвам, которые переходили по ссылкам-приглашениям, было предложено установить службу для присоединения к видеозвонку, что непреднамеренно привело к установке в их системах нового бэкдора, идентифицированного как PhantomPxPigeon.

В последнее время кампания активизировалась, выявив многочисленные серверы TrueConf с компрометацией в организациях, особенно в транспортном секторе и научных кругах. Злоумышленники использовали эти серверы для распространения вредоносных версий клиентского приложения TrueConf. Такой подход не только затронул организации, на которые была направлена прямая атака, но и создал риск для других организаций, сотрудники которых могли неосознанно загрузить зараженное клиентское программное обеспечение.

Предварительные оценки показывают, что первоначальный вектор атаки для подмены клиентского приложения остается неизвестным. Однако предполагается, что злоумышленники могли воспользоваться известной уязвимостью, обозначенной как BDU:2025-10116, которая была публично идентифицирована и исправлена поставщиком в августе 2025 года. Организациям, использующим программное обеспечение TrueConf, рекомендуется убедиться, что они используют последние версии серверов в соответствии с рекомендациями производителя по безопасности.

Для дальнейшего снижения риска организациям следует убедиться, что все клиентские дистрибутивы, загруженные с серверов TrueConf, содержат действительные цифровые подписи TrueConf и не были подделаны, поскольку обнаруженные вредоносные версии не имеют такой аутентичности. Организациям рекомендуется подтвердить целостность программного обеспечения через официальный веб-сайт поставщика. Между тем решения "Лаборатории Касперского" способны обнаруживать и блокировать эти вредоносные программы, а их служба управляемого обнаружения и реагирования активно выявляет связанные с ними вредоносные действия.

#ParsedReport #CompletenessMedium
19-03-2026

Linux & Cloud Detection Engineering - TeamPCP Container AttackScenario

https://www.elastic.co/security-labs/teampcp-container-attack-scenario

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: financially_motivated)

Threats:
Xmrig_miner
Socat_tool
Netcat_tool
Ncat_tool
Iodine_tool
Ngrok_tool
Wstunnel_tool
Proxychains_tool
React2shell_vuln
Frpc_tool

Victims:
Cloud native environments, Containerized environments, Kubernetes clusters, Web servers

TTPs:
Tactics: 7
Technics: 0

IOCs:
Url: 2
File: 4

Soft:
Linux, curl, busybox, aegis, Systemd, openssl, 3proxy

Algorithms:
base64, base32

Languages:
perl, ruby, php, lua, python

Links:
https://github.com/elastic/detection-rules/blob/ce3916f99fdf7e886d2889d7a815f59a248b7aff/rules/integrations/cloud\_defend/impact\_process\_killing.toml
have more...
https://github.com/elastic/detection-rules/blob/ce3916f99fdf7e886d2889d7a815f59a248b7aff/rules/integrations/cloud\_defend/execution\_payload\_downloaded\_and\_piped\_to\_shell.toml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье подробно описывается сложная многоэтапная атака группы вымогателей TeamPCP в контейнерных средах, демонстрирующая их методы - от выполнения вредоносных команд в контейнерах до установления закрепления и проведения разведки в кластерах Kubernetes. Первоначально группа получает интерактивное выполнение без записи файлов, а позже использует тактику перемещения внутри компании наряду с повышением привилегий, что указывает на их целенаправленный подход. Телеметрия с помощью инструмента Elastic D4C фиксирует закономерности этой последовательности атак, выделяя различные сомнительные поведения и действия, указывающие на "цепочку атак с криптоджекингом контейнеров"..
-----

В статье приводится подробный анализ многоэтапной атаки, выполненной группой программ-вымогателей TeamPCP в контейнерной среде, особое внимание уделяется тому, как инструмент Elastic D4C фиксирует и представляет телеметрию на различных этапах атаки. Операция иллюстрирует, как группа проходит весь жизненный цикл атаки, от первоначального выполнения до закрепления и, в конечном счете, достижения своих целей, которые могут включать криптоджекинг или внедрение программ-вымогателей.

Изначально злоумышленники добиваются интерактивного выполнения кода внутри контейнера без записи каких-либо файлов на диск, тем самым сводя к минимуму обнаруживаемые артефакты. Они используют такие команды, как curl, для загрузки скриптов и запуска интерпретатора оболочки, быстро выполняя вредоносные команды и пытаясь устранить конкурирующие процессы. Такое поведение, в частности целенаправленное отключение определенных процессов интеллектуального анализа данных, указывает на целенаправленную стратегию атаки и вызывает тревогу в системе телеметрии во время выполнения, которая фиксирует подозрительный характер вызова команд.

По мере продвижения атаки группа TeamPCP использует методы перемещения внутри компании, используя сценарий с именем kube.py , используя токены учетной записи службы для разведки в кластере Kubernetes. Этот этап отражает значительное повышение привилегий и доступа, поскольку злоумышленники методично собирают информацию об окружающей среде. Кроме того, попытка группы установить закрепление с помощью Служб systemd внутри контейнера представляет собой аномалию, поскольку такие действия обычно подразумевают намерения повлиять на хост-систему и находиться за пределами обычных жизненных циклов контейнера.

Последующие этапы включают развертывание средств туннелирования для поддержания постоянного подключения и выполнение закодированных полезных нагрузок для сокрытия злонамеренных намерений. Злоумышленники также проводят разведку, перечисляя ресурсы Kubernetes и используя уязвимые веб—серверы для получения доступа к оболочке - каждое из этих действий свидетельствует об их оперативном масштабе и изощренности.

Правила телеметрии D4C на протяжении всего процесса атаки эффективно обнаруживают целый ряд поведений, таких как необычное выполнение команд, исходящих с веб-серверов, установка необходимых инструментов и последовательные манипуляции с правами доступа к файлам. Такой всесторонний охват позволяет аналитикам безопасности распознавать закономерности, связанные с различными этапами операций TeamPCP's.

В заключении, связывающем воедино различные потоки телеметрии, анализ подчеркивает, что использование как журналов времени выполнения контейнера, так и журналов аудита Kubernetes имеет решающее значение для построения всеобъемлющего описания атаки. Обобщение предупреждений выявляет четкую последовательность событий, ведущих к "цепочке атак с криптоджекингом контейнеров", предоставляя защитникам последовательный обзор и полезную информацию о внутриконтейнерных угрозах и поведении, указывающих на действия по эксплуатации с высоким риском.

#ParsedReport #CompletenessLow
19-03-2026

MacSync Stealer: SEO Poisoning and ClickFix-Based macOS Malware Delivery Chain

https://www.cloudsek.com/blog/macsync-stealer-seo-poisoning-and-clickfix-based-macos-malware-delivery-chain

Report completeness: Low

Threats:
Macc_stealer
Seo_poisoning_technique
Clickfix_technique

Victims:
Macos users, Cryptocurrency wallet users, Ledger live users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.002, T1059.004, T1071.001, T1083, T1105, T1204.004, T1518, T1552.004, have more...

IOCs:
File: 6
Coin: 4

Soft:
macOS, Ledger Live, curl, Mac OS, openssl, Chrome, Opera, Firefox, IndexedDB, Chromium, have more...

Wallets:
electrum, coinomi, wassabi, bitcoincore

Algorithms:
zip, gzip, base64

Win API:
Arc

Languages:
applescript

Platforms:
apple, intel