Из отчета:

Здесь “domainh”, “pageh” и “porth” – cubehash-хэши от имени домена, страницы и порта, с которыми будет производиться сравнение записей из истории браузера. Отметим, что не обязательно все три поля должны присутствовать в каждом правиле.

В исследованном нами конфигурационном файле содержалось 359 записей в этой секции. Мы восстановили оригинальные значения и получили результаты, схожие с теми, что рассматривались в предыдущем разделе: злоумышленников интересуют доступ на уровне администратора в крупные интернет-СМИ, информационные и коммерческие площадки, рекламные партнерские агентства, внутренние ресурсы государственных компаний, разработчики систем ДБО и т.п.

Мы видим, что основные группы паттернов те же, добавились большие корпорации и внутренние государственные ресурсы. Среди целей был обнаружен ресурс darkmoney.cc, который представляет особый интерес – это форум киберпреступников, предназначенный для обналичивания денег и всего, что с этим связано. Видимо, логика злоумышленников следующая: если человек читает darkmoney.cc, значит, у него есть, что обналичивать, и мы остаемся тут жить.

Пруф https://kasperskycontenthub.com/secu...report_RUS.pdf