Contenido de Detección: Troyano Floxif

Últimas Amenazas

mayo 14, 2020

2 min de lectura

Contenido de Detección: Troyano Floxif

Eugene Tkachenko
Eugene Tkachenko Líder del Programa Comunitario linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

El troyano Floxif es conocido principalmente por ser utilizado por el grupo Winnti, lo distribuyeron con el CCleaner infectado, que fue descargado por usuarios desde el sitio oficial. El ataque ocurrió en septiembre de 2017, supuestamente los atacantes obtuvieron acceso al entorno de construcción de CCleaner. El troyano Floxif se utilizó junto con el troyano Nyetya para recopilar información sobre los sistemas infectados y entregar la siguiente carga útil en etapa. Durante ese ataque, los ciberdelincuentes estaban interesados en las mayores compañías tecnológicas, incluyendo Google y Microsoft. Desde entonces, el troyano ha sido utilizado más de una vez en ataques, una de sus habilidades distintivas es la modificación de archivos legítimos convirtiéndolos en puertas traseras. Además, el troyano puede descargar malware adicional, ejecutar varios archivos .exe y neutralizar soluciones antimalware instaladas. Ariel MillahuelLa nueva regla de permite detectar Floxif durante la instalación y responder a una amenaza antes de que se cause un daño serio: https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

La detección de amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tácticas: Acceso a Credenciales, Acceso Inicial, Ejecución

Técnicas: Credenciales en Archivos (T1081), Ejecución mediante Carga de Módulo (T1129)

Puedes explorar las tácticas utilizadas por el grupo Winnti en la sección MITRE ATT&CK en Threat Detection Marketplace:  https://tdm.socprime.com/att-ck/

También recomendamos otra regla Sigma de Ariel Millahuel para detectar las campañas del grupo Winnti: https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

Y la regla YARA de Emanuele De Lucia – APT41 / Wicked Panda / Grupo 72 / Winnti Group YARA Malware Pack: https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Últimas Amenazas Articles

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Zahorulko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Zahorulko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Zahorulko