Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
abril
(Total:
59
)
- 1,5 millones de contraseñas asociadas a correos de...
- Un argentino compró el dominio oficial de Google A...
- Vulnerabilidad en F5 BIG-IP en Kerberos Key Distri...
- Un error de Google permitía acceder a información ...
- Malware en MacOS gracias a una vulnerabilidad en G...
- Windows Defender bloqueará malware de minado de cr...
- Engañan a varios políticos europeos a través de vi...
- 250GB datos robados al Departamento de Policía Met...
- microCLAUDIA; vacuna contra el ransomware y otros ...
- Estudiante de Stanford encontró fallo en el sistem...
- ¿Qué es la MAC Address o dirección MAC Media?
- Oleada de ciberataques tumba las webs del INE, Jus...
- Actualizaciones de seguridad graves e importantes ...
- Microsoft presenta interfaz gráfica GUI de aplicac...
- Técnicas de ataque del ransomware Ryuk: víctimas; ...
- Rusia y su relación con el ransomware
- Herramientas para el análisis archivos de Microsof...
- Quanta, proveedor hardware de Apple, víctima del r...
- Mueren dos personas que circulaban en un Tesla sin...
- La Policía Española desmantela el primer taller il...
- Ataque Airstrike: bypass de BitLocker con escalada...
- Distribuyen malware en plantillas PDF maliciosos
- Estados Unidos sanciona direcciones de criptomoned...
- The Phone House España victima del grupo de ransom...
- Los Houston Rockets de la NBA, nueva victima del r...
- Hackean la web de Más Madrid y desvían 8.000 euros...
- Creador del Bitcoin, Satoshi Nakamoto, la 19ª pers...
- Informe del ransomware Clop
- Consejos para realizar copias de seguridad
- Error en WhatsApp permite desactivar y bloquear cu...
- Falsa oferta de trabajo de LinkedIn instala un tro...
- Troyano bancario IcedID: ¿el nuevo Emotet?
- ¿Qué es el "checksum" de un fichero bajado de inte...
- Ransomware: DoppelPaymer (BitPaymer)
- Finaliza concurso hacking Pwn2Own 2021
- journalctl; analizar logs del sistema en Linux
- Microsoft fabricará cascos de realidad aumentada p...
- Verifica si tu número de teléfono ha sido filtrado...
- Filtran información personal de 500 millones de us...
- ownCloud vs NextCloud crea tu propia nube personal
- XPEnology: el SO operativo DSM de Synology
- Alertan cheats contienen troyano en juegos como Ca...
- Monitorización Discos Duros HDD y unidades SSD con...
- Rendimiento memoria RAM DDR5 Vs DDR4
- Análisis ransomware Avaddon
- Detenido mafioso italiano tras ser reconocido en u...
- Asterisk: centralita Telefonía IP (VoIP) de código...
- Ejemplos útiles directivas de grupo de Windows 10
- Los números de teléfono y datos personales de 533 ...
- Completo Análisis del ransomware REvil (Sodinokibi)
- Usar Telegram cómo nube personal ilimitada
- Android envía 20 veces más datos a Google que iOS ...
- Hackearon 7 correos electrónicos de parlamentarios...
- Disponible distro hacking ético y pentester Parrot...
- Centro de Operaciones de Seguridad (SOC)
- Vulnerabilidades críticas en VMware vRealize Opera...
- Mes de la videovigilancia en Instant Byte: webinar...
- Google detuvo una operación antiterrorista en USA ...
- Proteger seguridad servidor NAS QNAP
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Troyano bancario IcedID: ¿el nuevo Emotet?
Una campaña de phishing vía correo electrónico generalizada que utiliza archivos adjuntos maliciosos de Microsoft Excel y macros de Excel 4 está entregando IcedID en grandes volúmenes, lo que sugiere que está llenando el vacío de Emotet. También se utiliza para desplegar algunas variantes de ransomware.
- Según los investigadores, el troyano bancario conocido como IcedID parece tomar el lugar del troyano Emotet recientemente desmantelado.
IcedID (también conocido como BokBot), tiene similitudes con Emotet en que es un malware modular nacido como un troyano bancario utilizado para robar información financiera. Sin embargo, cada vez más, se utiliza como cuentagotas para otro malware, anotaron los investigadores, al igual que Emotet.
Mapa zonas activas recibiendo campañas IcedID (Abril 2021)
Según Ashwin Vamshi y Abhijit Mohanta, investigadores de Uptycs, el malware está circulando a velocidades cada vez mayores, gracias a una ola de campañas de correo electrónico que utilizan archivos adjuntos de hojas de cálculo de Microsoft Excel.
Crecimiento IcedID
De hecho, en los primeros tres meses del año, la telemetría Uptyc reportó más de 15,000 solicitudes HTTP de más de 4,000 documentos maliciosos, la mayoría de los cuales (93%) eran hojas de cálculo de Microsoft Excel que usaban las extensiones .XLS o .XLS. .XLSM .
Maldoc: Macros Excel 4.0
Si está abierto, se le pedirá a los destinos que «habiliten el contenido» para ver el mensaje. Habilitar el contenido permite que se ejecuten las fórmulas macro integradas de Excel 4.
«.XLSM admite la incrustación de fórmulas macro de Excel 4.0 utilizadas en las celdas de la hoja de cálculo de Excel», según un análisis publicado el miércoles. «Los atacantes aprovechan esta funcionalidad para incrustar comandos arbitrarios, que generalmente descargan una carga útil maliciosa de la URL utilizando las fórmulas del documento». Las URL generalmente pertenecen a sitios web legítimos pero pirateados, agregaron.
Al profundizar en la actividad, pudieron ver similitudes entre todos los ataques, lo que sugiere una campaña coordinada. Por ejemplo, todos los documentos recibieron nombres básicos relacionados con el negocio, como «caducado», «reclamo» o «reclamo y reclamo», junto con una serie aleatoria de números. Además, todas las solicitudes HTTP entregaron un archivo ejecutable de segunda etapa (un archivo .EXE o .DLL), ofuscado con una extensión falsa: .DAT, .GIF o .JPG.
De hecho, los archivos eran las familias de malware IcedID o QakBot.
Desde la perspectiva de la detección de evasiones, las macros también utilizaron tres técnicas para permanecer ocultas: «Después de una investigación, identificamos tres técnicas interesantes que se utilizan para dificultar el análisis», anotaron los investigadores. "Ocultar fórmulas macro en tres hojas diferentes; enmascare la fórmula macro con un carácter blanco sobre un fondo blanco; y reducir el contenido de la celda y hacer invisible el contenido original. «
Emotet, que se empaquetaba en una media de 100.000 o medio millón de correos electrónicos al día hasta su pausa en enero, llevó a Europol a llamarlo «el malware más peligroso del mundo».
Emotet se usa a menudo como un cargador de primera etapa, con la tarea de recuperar e instalar cargas útiles de malware secundario, incluidos Qakbot, Ryuk ransomware y TrickBot. Sus operadores a menudo alquilan su infraestructura a otros ciberdelincuentes en un modelo de malware como servicio (MaaS).
Operation LadyBird, un intento de eliminación global a principios de este año, cerró cientos de servidores de botnets compatibles con Emotet y eliminó las infecciones activas en más de 1 millón de terminales en todo el mundo. El malware nunca ha experimentado un resurgimiento real desde entonces, dejando un vacío en el mercado de la ciberdelincuencia en lo que respecta a las opciones de inicio de sesión inicial.
El volumen de muestras de IcedID que circulaban llevó a los investigadores de Uptycs a creer que era un candidato probable para convertirse en el nuevo Emotet.
«Sobre la base de esta tendencia creciente, creemos que IcedID surgirá como una encarnación de Emotet después de su interrupción», señalaron Vamshi y Mohanta. «Se informó recientemente que IcedID implementó operaciones de ransomware, cambiando a un modelo MaaS para distribuir malware».
«IcedID, Emotet y muchas otras cepas de malware comparten algunos elementos que facilitan evitar que afecten una infraestructura», dijo a Threatpost Dirk Schrader, vicepresidente global de investigación de seguridad de New Net Technologies. "Pueden ser sofisticados en la forma en que se esconden en un documento de oficina, sin embargo, este es solo el primer paso en la cadena de infección. IcedID no es diferente de los demás, ya que también intenta descargar, eliminar, complementos. Para estos dos primeros pasos, monitorear el estado del sistema es fundamental, verificando los cambios que ocurren en cualquier dispositivo.
Fuentes:
https://www.uptycs.com/blog/icedid-campaign-spotted-being-spiced-with-excel-4-macros
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.