Lmst
Login

#Stealer

securityaffairssecurityaffairs@infosec.exchange
2026-02-24

#Arkanix #Stealer: #AI-assisted info-stealer shuts down after brief campaign
securityaffairs.com/188431/cyb
#securityaffairs #hacking #malware

Olly 👾Olly42@nerdculture.de
2026-02-10

:microsoft: Evelyn Stealer Malware abuses VS Code Extensions to steal Developer Credentials & Crypto.

IT-Security researchers have disclosed details of a malware campaign that's targeting software developers with a new information stealer called Evelyn Stealer by weaponizing the Microsoft Visual Studio Code [VS Code] extension ecosystem.

⚠️"The malware is designed to exfiltrate sensitive information, including developer credentials and cryptocurrency-related data. Compromised developer environments can also be abused as access points into broader organizational systems," Trend Micro said in an analysis.⚠️

trendmicro.com/en_us/research/

#microsoft #vscode #evelyn #stealer #it #security #privacy #engineer #media #developer #infosec #tech #news

The activity is designed to single out organizations with software development teams that rely on VS Code and third-party extensions, along with those with access to production systems, cloud resources, or digital assets. 👾It's worth noting that details of the campaign were first documented by Koi Security last month, when details emerged of three VS Code extensions — BigBlack.bitcoin-black, BigBlack.codo-ai, and BigBlack.mrbigblacktheme — that ultimately dropped a malicious downloader DLL ["Lightshot.dll"] responsible for launching a hidden PowerShell command to fetch and execute a second-stage payload ["runtime.exe"].👾 The executable, for its part, decrypts and injects the main stealer payload into a legitimate Windows process ["grpconv.exe"] directly in memory, allowing it to harvest sensitive data and exfiltrate it to a remote server ["server09.mentality[.]cloud"] over FTP in the form of a ZIP file. ⁉️Some of the information collected by the malware includes:⁉️ • Clipboard content • Installed apps • Cryptocurrency wallets • Running processes • Desktop screenshots • Stored Wi-Fi credentials • System information • Credentials and stored cookies from Google Chrome and Microsoft Edge[ImageSource: Trend Micro] 👾In addition, it implements safeguards to detect analysis and virtual environments and takes steps to terminate active browser processes to ensure a seamless data collection process and prevent any potential interference when attempting to extract cookies and credentials.👾 This is achieved by launching the browser via the command line by setting the following flags for detection and forensic traces: • headless=new, to run in headless mode • disable-gpu, to prevent GPU acceleration • no-sandbox, to disable browser security sandbox • disable-extensions, to prevent legitimate security extensions from interfering • disable-logging, to disable browser log generation • silent-launch, to suppress startup notifications • no-first-run, to bypass initial setup dialogs • disable-popup-blocking, to ensure malicious content can execute • window-position=-10000,-10000, to position the window off-screen • window-size=1,1, to minimize window to 1x1 pixel ⁉️"The [DLL] downloader creates a mutual exclusion (mutex) object to ensure that only one instance of the malware can run at any given time, ensuring that multiple instances of the malware cannot be executed on a compromised host," Trend Micro said. "The Evelyn Stealer campaign reflects the operationalization of attacks against developer communities, which are seen as high-value targets given their important role in the software development ecosystem."⁉️
Habrhabr@zhub.link
2026-02-06

Вредоносное ПО Mamont снова атакует РФ

Троян Mamont продолжает вести свою вредоносную деятельность, направленную на пользователей Android-смартфонов. В ходе отслеживания активности семейств вредоносных программ для операционных систем Android эксперты отдела исследований киберугроз «Перспективного мониторинга» обнаружили вариацию вредоносного ПО Mamont с названием Фото(92).apk , датированную 2026 годом. В ходе тщательного анализа этого образца была выявлена новая панель управления C&C — fensteadom[.]com.

habr.com/ru/companies/pm/artic

#вредоносное_по #android #stealer #mamont #мошенники_в_интернете #telegram

Gi7w0rmGi7w0rm@infosec.exchange
2026-02-04

When you finally reverse the loader for that malware sample #VirusTotal flagged as "APT XYZ". and it turns out to be just a #Vidar #Stealer dropper.
4 Stages including Steganography for nothing 😕

The Eclectic Light Companyeclecticlight.co@web.brid.gy
2026-01-30

More malware from Google search

fed.brid.gy/r/https://eclectic

<p>Little more than a month after I reported that Google&#8217;s AI was <a href="https://eclecticlight.co/2025/12/11/how-online-search-and-ai-can-install-malware/">offering links to malicious scripts</a>, that is happening again, with a slight twist. I&#8217;m grateful to Olena of Clario for informing me that there&#8217;s a new campaign in progress to deliver AMOS (alias SOMA) stealers to Macs. You can read Vladyslav Kolchin&#8217;s account of this in <a href="https://mackeeper.com/blog/suspicious-ads-on-google-which-contain-harmful-content-for-mac-users/" rel="noopener" target="_blank">his blog post</a>.</p> <p>Vladyslav has discovered these in forged Apple-like sites linked from docs.google.com and business.google.com, as well as in articles posted on Medium. I had success in finding the last of those, which appeared at the top of Google&#8217;s sponsored results when searching for <code>how to clear cache on macos tahoe</code>.</p> <p><span class="alignnone"><a href="https://eclecticlight.co/wp-content/uploads/2026/01/mediummw1.jpg"><img alt="" class="alignnone size-full wp-image-90431" height="665" src="https://eclecticlight.co/wp-content/uploads/2026/01/mediummw1.jpg" width="940" /></a></span></p> <p>That took me to Clear Mareks&#8217; stories in medium.com, where there&#8217;s the familiar ploy to get us to paste a malicious command into Terminal. On another occasion, you might be presented with a page claiming to be official Apple Support, although it obviously isn&#8
ZATAZ - "\o/"zataz@mastox.eu
2026-01-28

🕹️ PacMan Leak : comprendre les Stealers autrement

// À l’occasion de la Journée des Données Personnelles, découvrez PacMan Leak, un projet inédit signé #ZATAZ pour expliquer simplement – et différemment – le fonctionnement d’un stealer.

Ludique, visuel, percutant.

--> zataz.com/wp-content/uploads/E

#DataPrivacyDay #stealer #cyberéducation #infosec #zataz @Damien_Bancal

James_inthe_boxjames_inthe_box@infosec.exchange
2026-01-14

#destiny #stealer at:

http://wittenhorst\.eu/tmp/imgs.exe

c2: 86.54.42.197

1313@2137.social
2026-01-09

Malware atakujący Discord oraz popularne przeglądarki internetowe – szczegółowa analiza VVS Stealer sekurak.pl/malware-atakujacy-d #Aktualnoci #Chrome #Discord #Maas #Mozilla #Stealer #Vss

sekurak Newssekurakbot@mastodon.com.pl
2026-01-09

Malware atakujący Discord oraz popularne przeglądarki internetowe – szczegółowa analiza VVS Stealer

Badacze z Unit42 (Palo Alto Networks) opublikowali szczegółową analizę nowego zagrożenia jakim jest VVS Stealer (znany również pod nazwą VVS $tealer). Tym razem atakujący obrali za cel użytkowników platformy Discord. Malware, napisany w Pythonie oraz zaciemniony z wykorzystaniem komercyjnego narzędzia Pyarmor jest dystrybuowany za pomocą tejże platformy oraz sprzedawany za...

#Aktualności #Chrome #Discord #Maas #Mozilla #Stealer #Vss

sekurak.pl/malware-atakujacy-d

Bradmalware_traffic@infosec.exchange
2026-01-01

2026-01-01 (Thursday): #LummaStealer infection with follow-up malware.

A #pcap of the infection traffic, the #Lumma #Stealer files, and a list of IOCs are available at malware-traffic-analysis.net/2

Lumma Stealer C2 domain: offenms[.]cyou

The follow-up malware is using memory-scanner[.]cc for its C2 traffic, just like I saw on 2025-12-30. But this follow-up malware also used another C2 domain: communicationfirewall-security[.]cc

A screenshot of my blog post for the Lumma Stealer infectionTraffic from the Lumma Stealer infection filtered in Wireshark.
Zdrojákzdrojak@zdrojak.cz
2025-12-31

Bezpečnostní výzkumníci KOI objevili novou rozsáhlou kampaň škodlivých browser rozšíření, které cíleně sbírají citlivé informace o online schůzkách (např. Zoom, Teams, Google Meet) a budují databázi firemních meetingů a „meeting intelligence“.

Co se děje?

Kyberzločinci pod označením Zoom Stealer skrývají škodlivý kód v běžně vypadajících […]

https://zdrojak.cz/zpravicky/zoom-stealer-skodlive-rozsireni-prohlizece-krade-firemni-data-ze-schuzek/
AppleBülteniapplebulteni
2025-12-30

MacSync Stealer, Swift diliyle geliştirilmiş yeni bir varyantla ortaya çıktı

applebulteni.com/2025/12/30/ma

Anna Wasilewska-Śpiochavolha@infosec.exchange
2025-12-30

Nazwa nowa, branding sezonowy, mechanizm dobrze znany. Zespół RIFFSEC przygotował raport - po polsku - o złośliwym oprogramowaniu SantaStealer, czyli infostealerze sprzedawanym na Telegramie w modelu malware-as-a-service, który pojawił się na przełomie listopada i grudnia br.

drive.google.com/file/d/11mZ3Q

#cyberbezpieczenstwo #stealer #malware

CyberKaida (サイバーかいだ)cyberkaida@infosec.exchange
2025-12-29

Fake Doom WADs that are actually malware hosted on SourceForge almost got my friend.

Please be careful downloading mods as a streamer!

#Doom #WAD #SourceForge #Malware #VTuber #ReverseEngineering #Stealer

virustotal.com/gui/collection/

urlscan.io/result/019b5efd-425

app.any.run/tasks/200a705f-e10

Command and control:
virustotal.com/gui/url/db81a78

urlscan.io/result/019b6790-557

Screenshot of a mod page on SourceForge. It is distributing malware.
Habrhabr@zhub.link
2025-12-26

Анализируем вредоносное ПО на примере семпла от группировки BO Team: подробный мануал для начинающих

Хабр, всем привет! На связи Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. Сегодня мы разберем loader от группировки BO Team. Материал предназначен для начинающих ИБ-специалистов и представляет собой краткий мануал, который поясняет, как быстро определить функциональность вредоносного ПО, достать из семпла индикаторы и какие инструменты можно использовать для анализа.

habr.com/ru/companies/ru_mts/a

#BO_Team #RED_Security #анализ_вредоносного_ПО #реверсинжиниринг #Кибербезопасность #Loader #Stealer #анализ_памяти #статический_анализ #динамический_анализ

Bradmalware_traffic@infosec.exchange
2025-12-23

2025-12-23 (Tuesday): Based on yesterday's Jamf article, I downloaded the fake installer for #MacSyncStealer from zkcall[.]net and ran it on a macOS host in my lab.

A #pcap of the #MacSync #Stealer traffic, the associated IOCs, the #malware sample, and a link to the Jamf article are at www.malware-traffic-analysis.net/2025/12/23/index.html

Of note, the zkcall[.]net download page also has a link for a Windows download. The downloaded EXE file appears to be #DonutLoader, based on one of the follow-up EXE files it retrieved and ran: app.any.run/tasks/afd3ae74-297

Downloading the initial file, a DMG image.Screenshot showing the malicious downloaded DMG image and the associated malicious Mach-O file within the installer.app content.Traffic generated by the MacSync Stealer malware, filtered in Wireshark.Example of the data exfiltrated through the MacSync Stealer C2 traffic.
:mastodon: deciodecio@infosec.exchange
2025-12-11

[related]
ce nouvel enchainement malveillant #chatfix a été analysé par l'équipe de huntress qui parle d'évolution fondamentale:

Cette campagne représente une évolution fondamentale dans le domaine de l'ingénierie sociale : les cybercriminels ne se contentent plus d'imiter les plateformes de confiance, ils les utilisent activement, corrompant les résultats de recherche afin que leur « aide » malveillante apparaisse comme la première réponse trouvée par les victimes. Les logiciels malveillants n'ont plus besoin de se faire passer pour des logiciels « propres » puisqu'ils peuvent désormais se faire passer pour de l'aide.

c'est toute la chaine de confiance de l'utilisateur qui est effectivement exploitée:

  • Confiance dans les moteurs de recherche
  • Confiance dans la plateforme chatgpt (sites bien connus )
  • Confiance dans le format de la proposition d'aide chatgpt
  • Confiance dans le contenu (proposition d'aide qui semble raisonnable)
  • Confiance dans le comportement (pour les mac user il deviens -hélas- habituel de copier coller des commandes par terminal notamment dans les forum de support)

IOCs inside
⬇️
"AMOS Stealer Exploits AI Trust: Malware Delivered Through ChatGPT and Grok"
👇
huntress.com/blog/amos-stealer

#CyberVeille #AMOS #stealer #macos

:mastodon: deciodecio@infosec.exchange
2025-11-11

"Rumors are spreading about a mayor #LawEnforcement operation against #Rhadamanthys #Stealer."

🍿 :blobcatpopcorn:

via @Gi7w0rm

👇
🐦 🔗 x.com/Gi7w0rm/status/198826467

#CyberVeille #infosec

Niebezpiecznik Newsniebezpiecznikbot@mastodon.com.pl
2025-10-20

[AKTUALIZACJA] Przejęli mu konto, ale pomoc techniczna Google nie chce mu pomóc

Co może się stać, kiedy ktoś przejmie Wasze konto Google? Dużo. Strasznych. Rzeczy. Czy można takie konto odzyskać? Niby można, ale przypadek Mateusza pokazuje, że …nie można. I to pomimo nawiązania kontaktu z pomocą techniczną Google i pomimo posiadania wielu dowodów na to, że przejęte konto do Mateusza należy.
Oto jedna z najbardziej kuriozalnych historii, jaką ostatnio widzieliśmy. Istny cyfrowy paragraf 22. Zobaczcie jak Mateusz wpadł w czarną dziurę i uświadomcie sobie, jak niewiele znaczycie dla firm takich jak Google, pomimo tego, że przez lata płacicie im za różne usługi. Artykuł doczytajcie do końca, tam informujemy co warto zrobić, aby nie ponieść takich strat, jakie poniósł Mateusz w wyniku pewnej luki w procesach Google.
Kolega podesłał mi linka, w którego kliknąłem…
Historia Mateusza zaczyna się 25 września, kiedy odzywa się do niego znajomy na Discordzie. Znajomy przesła mu linka do strony https://vampirk-beta.netlify[.]app a Mateusz pobiera z niej plik .exe (MD5: 1E7997DFEF983BE219D95A1842FEE298) myśląc że to gra o której rozmawiają. I “grę” tę uruchamia. A robi to dlatego, że pracuje w branży gier komputerowych i takie prośby od znajomych nie były dla niego niczym niecodziennym.

Problem w tym, że konto znajomego, który do Mateusza napisał zostało wcześniej przejęte przez atakującego, a pobrana gra okazała się trojanem…
Efekt? Atakujący przejmuje konta Mateusza, zarówno to na Discordzie jak również inne — w tym niestety konto Google. Ale najwyraźniej kradnie tylko ciasteczka i samo “wejście w sesję Mateusza” nie daje mu możliwości przejęcia pełnej kontroli nad kontem zapewne przez brak hasła, więc robi coś bardzo sprytnego:
Włamywacz prosi mnie [...]

#Ataki #Discord #GMail #Google #Malware #PomocTechniczna #Stealer #Support

niebezpiecznik.pl/post/przejet

Bradmalware_traffic@infosec.exchange
2025-10-16

2025-10-16 (Thursday): Unidentified #stealer/#Loader found when searching for URLs that follow patterns previously seen for Koi Loader/Koi Stealer.

Details at github.com/malware-traffic/ind

Page to download the initial file.HTTPS URLs seen from the infection.Traffic from the infection filtered in Wireshark.Example of the post-infection data exfiltration traffic.

Client Info

Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst