A Multi-Stage Steganographic Loader Campaign Deploying Diverse Payloads Globally

A sophisticated phishing campaign was identified distributing multiple malware families through a multi-stage loader utilizing steganography and fileless techniques. The infection chain begins with archive attachments containing files disguised as financial documents, primarily targeting Indian organizations using names related to GST, NEFT, RTGS, and IMPS transactions. The loader employs in-memory execution to avoid disk-based artifacts and uses embedded .NET Bitmap objects to conceal payloads. Various malware families have been deployed including Remcos RAT, Agent Tesla, MassLogger, Phantom Stealer, Dark Cloud, Red Line Stealer, Snake keyloggers, Formbook, and xworm. The final payloads establish persistence through registry Run keys, perform process hollowing, steal browser credentials, record audio and webcam, and exfiltrate data to command-and-control infrastructure. The campaign exhibits characteristics of a loader-as-a-service operation serving multiple threat actors globally.

Pulse ID: 6a3ac3d87dd519f2fec1d2ea
Pulse Link: https://otx.alienvault.com/pulse/6a3ac3d87dd519f2fec1d2ea
Pulse Author: AlienVault
Created: 2026-06-23 17:35:20

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#AgentTesla #Browser #Cloud #CyberSecurity #FormBook #ICS #India #InfoSec #KeyLogger #Malware #NET #OTX #OpenThreatExchange #Phishing #RAT #Remcos #RemcosRAT #SSL #Steganography #Tesla #Worm #XWorm #bot #AlienVault

Meta exposed worker keystroke data that was being used to train AI, making it accessible to anyone at the company.

The data included personnel and performance info, private convos, full transcriptions…

https://www.wired.com/story/meta-accidentally-let-employees-access-each-others-keystroke-data/

#META #KeyLogger #AI

Operation Poisson – Analyzing a Cybercriminal’s Entire Operation

A comprehensive analysis of 339 commands issued by a French-speaking threat actor nicknamed 'Poisson' over 33 days, targeting a French automotive small business and four French individuals. The attacker utilized a multi-stage fileless attack deploying a 70-line Python keylogger to harvest banking and email credentials. The operation leveraged free-tier infrastructure including Havoc C2 framework, Backblaze B2 storage, and DuckDNS. Most significantly, the attacker installed OpenSSH and Tailscale VPN on victim machines, creating persistent access that survived C2 server takedown. When the C2 went offline for 18 days, the attacker's access remained intact through the VPN mesh, demonstrating that VPN-mesh-based persistence is actively used in real-world intrusions and that traditional C2 takedown is insufficient for remediation.

Pulse ID: 6a3526fcbaffc5909dd73ce4
Pulse Link: https://otx.alienvault.com/pulse/6a3526fcbaffc5909dd73ce4
Pulse Author: AlienVault
Created: 2026-06-19 11:24:44

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Bank #CyberSecurity #DNS #Email #InfoSec #KeyLogger #Mac #OTX #OpenThreatExchange #Python #RAT #SSH #VPN #bot #AlienVault

Android Banker with Complete Device Takeover Capabilities

A newly identified Android banking trojan named Rokarolla has been discovered, distributed through malicious websites masquerading as popular applications like TikTok or Google Chrome. The malware targets 217 distinct cryptocurrency and banking applications using 137 sophisticated commands for device control. Capabilities include harvesting lock screen credentials, exfiltrating contact lists and SMS data, deploying keyloggers, blocking calls, creating fraudulent screen overlays, and disabling Google Play Protect. The infection begins with a dropper impersonating Google Play Protect that installs a secondary payload. Rokarolla communicates with C2 infrastructure via HTTPS, uses overlays to steal banking credentials and device unlock patterns, silently monitors WhatsApp contacts, hijacks SMS and calls, manipulates clipboard content for cryptocurrency theft, and employs snapshot-based screen surveillance. It maintains persistence by hiding its icon, muting device audio, and keeping screens active indefinitely.

Pulse ID: 6a315d684f0c09972ddea652
Pulse Link: https://otx.alienvault.com/pulse/6a315d684f0c09972ddea652
Pulse Author: AlienVault
Created: 2026-06-16 14:27:52

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Android #Bank #BankingTrojan #Chrome #Clipboard #CyberSecurity #Google #GooglePlay #HTTP #HTTPS #InfoSec #KeyLogger #Malware #OTX #OpenThreatExchange #RAT #SMS #Trojan #WhatsApp #bot #cryptocurrency #AlienVault

Der Praxisteil meines „Hacking- und Pentest-Hardware-Workshops” umfasst fünf Stationen. In Kleingruppen von maximal drei Personen arbeiten die Teilnehmenden etwa eine Stunde lang die Aufgaben durch. In dieser Zeit gehe ich von Station zu Station und gebe Tipps sowie zusätzliche Informationen. Bei der ersten Station „Gadgets & Logger” dreht sich alles um Spionagegadgets, Keylogger und Screenlogger.

=> Klicken Sie hier, um mehr über die Workshop-Inhalte zu erfahren: https://scheible.it/workshop (6.7. in Stuttgart)

#ITSicherheit #CyberAwareness #Seminar #SecurityKnowHow #Keylogger

𝗘𝘃𝗶𝗹𝗖𝗿𝗼𝘄 𝗞𝗲𝘆𝗹𝗼𝗴𝗴𝗲𝗿 - 𝗗𝗲𝗿 𝗞𝗲𝘆𝗹𝗼𝗴𝗴𝗲𝗿 𝗳𝘂̈𝗿 𝗡𝗲𝗿𝗱𝘀 ⌨️

Der typische Hardware-Keylogger ist darauf ausgelegt, möglichst einfach zu funktionieren. Meist genügt es, ihn einzustecken und loszulegen. Zum Auslesen der Daten muss lediglich eine bestimmte Tastenkombination betätigt werden, um sie in einer TXT-Datei zu speichern.

Der EvilCrow Keylogger ist anders. Er basiert auf einem Atmega32U4 mit Arduino-Lilypad-USB-Bootloader, einem ESP32-PICO für die WLAN-Kommunikation und einem MicroSD-Kartenleser. Die Software dazu ist auf GitHub zu finden.

Eigenen Projekten steht nichts im Wege 😉

#HackingHardware #EvilCrow #Keylogger #Workshop

𝗞𝗲𝘆𝗹𝗼𝗴𝗴𝗲𝗿-𝗞𝗮𝗯𝗲𝗹 - 𝗴𝗲𝘁𝗮𝗿𝗻𝘁𝗲 𝗛𝗮𝗰𝗸𝗶𝗻𝗴 𝗛𝗮𝗿𝗱𝘄𝗮𝗿𝗲 🖥️

Wie sieht euer Kabelmanagement am Rechner aus? Ist alles schön aufgeräumt, sodass neue, fremde Hardware direkt auffällt? 🔌

WLAN-Keylogger kombinieren das Beste aus zwei Welten: Die Unauffälligkeit eines Hardware-Adapters und die Reichweite des Internets. Und das ist auch noch in einem unauffälligen USB-Verlängerungskabel getarnt.

Die gesamte Technik befindet sich in der USB-A-Buchse. Sie ist nur etwas größer als gewöhnlich. Auch hier ist wieder ein WLAN-Modul integriert. Um die abgefangen Daten der letzten Tage oder Wochen auszulesen, muss der Angreifer nur in Reichweite kommen.

#HackingHardware #Keylogger #KeyloggerKabel #Workshop

𝗪𝗟𝗔𝗡-𝗞𝗲𝘆𝗹𝗼𝗴𝗴𝗲𝗿 - 𝗦𝗲𝘁 𝗮𝗻𝗱 𝗙𝗼𝗿𝗴𝗲𝘁 📶

Einmal nicht aufgepasst und schon sind sämtliche Tastatureingaben im Speicher des Keyloggers.

WLAN-Keylogger sind der Albtraum jedes Admins. Der Angreifer muss nur einmal kurz physischen Zugriff haben, um das Gerät zu platzieren. Danach muss er nie wieder an den Opfer-Rechner zurückkehren.

⌨️ Der Angreifer kann abends oder am Wochenende bequem vom Auto aus, das sich in Reichweite des WLANs befindet, die abgegriffenen Daten auslesen.

𝘕𝘦𝘹𝘵 𝘓𝘦𝘷𝘦𝘭: Die vorhandene WLAN-Verbindung kann für den Internetzugriff verwendet werden und die Eingaben können live an einen Server gestreamt werden. 🌐

#HackingHardware #Keylogger #WLANKeylogger #KeyloggerWiFi #Workshop

𝗗𝗮𝘀 𝗞𝗲𝘆𝗹𝗼𝗴𝗴𝗲𝗿-𝗠𝗼𝗱𝘂𝗹 - 𝗜𝗻𝗰𝗲𝗽𝘁𝗶𝗼𝗻 𝗶𝗻 𝗱𝗲𝗿 𝗧𝗮𝘀𝘁𝗮𝘁𝘂𝗿 ⌨️

In meinem Buch „Hardware & Security“ beschreibe ich ein fundamentales Problem: Das Vertrauen des Betriebssystems in die Hardware. Ein USB-Keylogger arbeitet auf der physikalischen Ebene. Er fängt die Scancodes ab, bevor sie das OS erreichen.

❓ Was passiert, wenn der Keylogger nicht hinter der Tastatur steckt, sondern darin?

Dieses winzige Modul wird direkt auf in der Tastatur an den USB-Anschluss gelötet. Von außen ist absolut nichts sichtbar. Kein verdächtiger USB-Stick, kein zusätzlicher Adapter.

Das ist die Königsdisziplin der Spionage: 𝘔𝘰𝘥𝘪𝘧𝘪𝘻𝘪𝘦𝘳𝘵𝘦 𝘏𝘢𝘳𝘥𝘸𝘢𝘳𝘦

#HackingHardware #Keylogger #USBKeylogger #KeyloggerModul #Workshop