El troyano Zloader (también conocido como Zeus Sphinx y Terdot) fue detectado por primera vez en agosto de 2015. Está basado en el código fuente filtrado del troyano Zeus v2 y los cibercriminales lo usaron en ataques a organizaciones financieras en todo el mundo recopilando datos sensibles mediante inyecciones web. A principios de 2018, el […]
Digest de Reglas: Troyanos, Ciberespías y el grupo RATicate
Esta semana en nuestro resumen hay reglas desarrolladas exclusivamente por participantes del Programa de Recompensas de Amenazas. El actor de amenazas detrás de la reciente variante de Ursnif posiblemente conduzca operaciones de ciberdelito dirigidas que aún están en curso. En el corazón de estas campañas se encuentra una variante del troyano Ursnif que fue reutilizada […]
Regla de la Semana: Detección de Malware QakBot
El troyano bancario QakBot (también conocido como QBot) ha sido utilizado en ataques a organizaciones durante más de 10 años, y sus autores monitorean continuamente las tendencias del panorama de amenazas, añadiendo nuevas características o eliminándolas si no funcionan correctamente. En 2017, este malware poseía capacidades similares a un gusano y era capaz de bloquear […]
Contenido de Detección: Campaña del Ladrón de Información Kpot
COVID-19 es, con mucho, el tema más popular explotado por los ciberdelincuentes en campañas de phishing y malspam. Recientemente, los atacantes han encontrado una manera nueva y efectiva de convencer al usuario para que abra un archivo adjunto malicioso. Investigadores de IBM X-Force descubrieron una campaña maliciosa que utilizaba correos electrónicos que pretendían ser mensajes […]
Contenido de Detección de Amenazas: Troyano TAINTEDSCRIBE
La semana pasada, CISA, FBI y DoD publicaron informes de análisis de malware sobre herramientas recientemente descubiertas del notorio grupo Lazarus que realizan operaciones en beneficio del gobierno de Corea del Norte. Las variantes de malware, llamadas COPPERHEDGE, TAINTEDSCRIBE y PEBBLEDASH, pueden ser utilizadas para el reconocimiento y la eliminación de información confidencial en sistemas […]
Contenido de Detección: Cazando el RAT Netwire
NetWire es un troyano de acceso remoto disponible públicamente que forma parte de la familia de malware NetWiredRC utilizada por ciberdelincuentes desde 2012. Su funcionalidad principal se centra en el robo de credenciales y registro de teclas, pero también tiene capacidades de control remoto. Los adversarios suelen distribuir NetWire a través de malspam y correos […]
Entrevista con el Desarrollador: Emir Erdogan
Estamos siguiendo con las entrevistas a los miembros del Programa de Recompensas por Amenazas (https://my.socprime.com/en/tdm-developers), y hoy queremos presentarles a Emir Erdogan. Emir ha estado participando en el programa desde septiembre de 2019, tiene más de 110 reglas Sigma publicadas a su nombre, pero Emir también publica reglas YARA para detectar amenazas reales. Sus reglas […]
Contenido de Búsqueda de Amenazas: Detección Múltiple de HawkEye
Comenzamos la semana con una nueva regla de Emir Erdogan – HawkEye Multiple Detection (Campaña de Phishing con temática de Covid19). Este malware también es conocido como Predator Pain, roba una variedad de información sensible del sistema infectado, incluida información sobre billeteras de bitcoin y credenciales para navegadores y clientes de correo. El ladrón es […]
Resumen de Reglas: RCE, CVE, OilRig y más
Este resumen incluye reglas tanto de los miembros del Programa de Recompensa de Amenazas como del equipo de SOC Prime. Comencemos con reglas de Arunkumar Krishna que debutarán en nuestro Resumen de Reglas con CVE-2020-0932: Un Error de Ejecución de Código Remoto en Microsoft SharePoint. CVE-2020-0932 fue parcheado en abril, permite que usuarios autenticados ejecuten […]
Regla de la Semana: Detección de Ransomware Nefilim/Nephilim
Esta semana queremos destacar la regla Sigma de la comunidad por Emir Erdogan que ayuda a detectar el ransomware Nefilim/Nephilim utilizado en ataques destructivos. Esta familia de ransomware fue descubierta por primera vez hace dos meses, y su código se basa en el ransomware NEMTY que surgió el verano pasado como un programa de afiliados […]