Mallory pivots from this family to the IOCs, detections, and named campaigns that touch your stack, and pages you when something new lands.
1 CVE Mallory has correlated with this family across public research and vendor advisories. Each row links to the full Mallory page for that vulnerability.
...затем заражают Windows-системы новым стилером BusySnake... На зараженной машине стилер похищает данные из буфера обмена, делает скриншоты, собирает пользовательские документы, а также извлекает пароли и файлы cookie из Firefox и браузеров на базе Chromium... BusySnake способен развернуть обратный SSH-туннель, установить RustDesk для удаленного управления системой и запускать произвольные Python-скрипты прямо в памяти.
2 distinct threat actors attributed by public researchers. Open in Mallory to see the full evidence chain and overlapping campaigns.
...затем заражают Windows-системы новым стилером BusySnake... На зараженной машине стилер похищает данные из буфера обмена, делает скриншоты, собирает пользовательские документы, а также извлекает пароли и файлы cookie из Firefox и браузеров на базе Chromium... BusySnake способен развернуть обратный SSH-туннель, установить RustDesk для удаленного управления системой и запускать произвольные Python-скрипты прямо в памяти.
...затем заражают Windows-системы новым стилером BusySnake... На зараженной машине стилер похищает данные из буфера обмена, делает скриншоты, собирает пользовательские документы, а также извлекает пароли и файлы cookie из Firefox и браузеров на базе Chromium... BusySnake способен развернуть обратный SSH-туннель, установить RustDesk для удаленного управления системой и запускать произвольные Python-скрипты прямо в памяти.
16 distinct techniques documented for this family, organized by ATT&CK tactic.
This diverse stack enables them to maintain stealthy host control, exfiltrate credentials, and deploy tailored modules.
извлекает пароли и файлы cookie из Firefox и браузеров на базе Chromium
40 indicators attributed across vendor reports, sandbox runs, and researcher write-ups. Full values are available in Mallory.
IPs, domains, and DNS infrastructure linked to this family.
File hashes (MD5, SHA-1, SHA-256) from samples and reports.
3 sources tracked across advisories, community write-ups, and news. New activity surfaces here as Mallory finds it.
Python-based stealer used in phishing campaigns against government and electric power organizations. It persists via a scheduled task, steals clipboard data, screenshots, documents, browser passwords and cookies, OTP secrets, cryptocurrency wallet files, and Telegram tdata, and can also receive commands from C2 to open reverse SSH tunnels, install RustDesk, and execute in-memory Python scripts.
A named stealer/infostealer used in a covert phishing campaign attributed to Armored Likho, enabling credential exfiltration and stealthy host control via a modular, obfuscated malware stack.
The file is heuristically detected as an NSIS-based Trojan dropper variant named BusySnake.
Match every observed IP, domain, and hash against your live telemetry.
Named campaigns wielding this family, with evidence pinned to each claim.
CVEs this family uses for access and lateral movement.
YARA, Sigma, Snort, and vendor rules, auto-deployed to your SIEM.
Every documented technique, ranked by evidence weight.
Reddit, Mastodon, and CTI community discussion around this family.