Los cebos con temática de Zoom continúan siendo activamente utilizados por los ciberdelincuentes, ocupando un lugar destacado en los diez temas más utilizados en campañas de phishing. Desde el inicio del confinamiento, a medida que la popularidad de Zoom crecía, el número de ataques aumentó, e incluso después de que los investigadores descubrieran serios problemas […]
Contenido de Detección: Encontrando el Troyano Lokibot
Lokibot es un malware tipo troyano diseñado para recopilar una amplia gama de datos sensibles. Fue detectado por primera vez en 2015 y sigue siendo muy popular entre los ciberdelincuentes ya que puede ser adquirido en el foro clandestino por cualquier atacante. Hace un par de años, los «manitas» aprendieron a agregar direcciones de infraestructura […]
Resumen de Reglas: Grupos APT, Campañas de Malware y Telemetría de Windows
Esta semana nuestro Digest de Reglas cubre más contenido de lo habitual. Compila reglas para detectar ataques recientes de actores patrocinados por estados, campañas de malware realizadas por ciberdelincuentes y el abuso de la telemetría de Windows. Mustang Panda es el grupo de amenaza con sede en China que ha demostrado la capacidad de […]
Regla de la Semana: Troyano Bunitu
Hoy en la sección de la Regla de la Semana queremos destacar una nueva regla de caza de amenazas de Ariel Millahuel que ayuda a detectar muestras del Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan se utiliza para convertir sistemas infectados en un proxy para clientes remotos. Sus acciones maliciosas pueden ralentizar el tráfico de la […]
Contenido de Detección de Amenazas: Higaisa APT
Higaisa APT se conoce desde noviembre de 2019, cuando los investigadores de Tencent primero documentaron sus actividades. El grupo fue descubierto recientemente, pero los atacantes han estado operando durante varios años y usan herramientas comunes para complicar la atribución. Principalmente utilizan malware móvil y los troyanos Gh0st y PlugX. Los investigadores creen que Higaisa APT […]
Contenido de Detección: Ransomware Tycoon
A pesar de que aparecen nuevas familias de ransomware con bastante frecuencia, la mayoría de ellas se centran exclusivamente en sistemas Windows. Mucho más interesante es Tycoon, un ransomware multiplataforma en Java que puede cifrar archivos tanto en sistemas Windows como Linux. Se ha observado a esta familia en estado salvaje al menos desde diciembre […]
Contenido de Detección de Amenazas: Campaña de Espionaje del Grupo Sandworm
Una unidad de ciberespionaje patrocinada por el estado ruso conocida por sus ataques destructivos está comprometiendo activamente servidores de correo Exim a través de una vulnerabilidad crítica de seguridad (CVE-2019-10149). A finales de mayo, la Agencia de Seguridad Nacional publicó un Aviso de Seguridad Cibernética que advirtió sobre una campaña vinculada al Grupo Sandworm. El […]
Resumen de Reglas: Emotet, Ransomware y Troyanos
Hola a todos, volvemos con cinco nuevas reglas enviadas esta semana por los participantes del Programa de Amenazas Bounty. Puedes revisar nuestros resúmenes anteriores aquí, y si tienes alguna pregunta, eres bienvenido al chat. El malware similar a un gusano Pykspa puede instalarse para mantener la persistencia, escuchar el puerto entrante para comandos adicionales y […]
Regla de la Semana: Ejecución de Comandos en Azure VM
En la Regla de la Semana sección, te presentamos la Ejecución de Comandos en Azure VM (vía azureactivity) regla del equipo de SOC Prime: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Los adversarios pueden abusar de la funcionalidad de Azure VM para establecer un punto de apoyo en un entorno, lo que podría ser utilizado para mantener el acceso y escalar […]
Contenido de Detección: Himera Loader
La publicación de hoy está dedicada al malware cargador Himera que los adversarios han estado usando en campañas de phishing relacionadas con COVID-19 desde el mes pasado. Los ciberdelincuentes continúan explotando las solicitudes de la Ley de Licencia Familiar y Médica relacionadas con las pandemias de COVID19 en curso como señuelo, ya que este tema […]