News

Toda tu cosecha me pertenece

Hoy recibí un “Mensaje de notificación antivirus” de nuestro servidor de correo (protegido por kav4lms), así que obviamente me intrigó su contenido. Al analizar el correo de la cuarentena del servidor descubrí un par de datos interesantes, empezando por su encabezado:
“X-PHP-Script: .com/templates/beez/woolf2.php for 41.248.

El mensaje provenía de un servidor comprometido y se había utilizado un gestor de correos php para enviar los correos fraudulentos directo desde allí.
Al visitar la ubicación mencionada en el encabezado no fue difícil notar que el gestor de correos masivos GUI contenía un enlace a un sitio fraudulento que ahora se encuentra desconectado. Pero tras un estudio más profundo descubrí que el sitio alojaba ‘phish kits’, colecciones de archivos maliciosos que se pueden descargar gratis.

Estos ‘phish kits’ son archivos comprimidos que se pueden extraer de un servidor comprometido. Todo lo que deben hacer los cibercriminales (después de encontrar el servidor comprometido) es editar uno de los archivos en ese paquete y escribir la dirección de correo del usuario que recibirá los datos que se consigan. Pero en realidad la información no sólo se envía a la dirección de correo designada, también la recibe otro cibercriminal.

Esta estafa no es nueva, pero los delincuentes virtuales novatos no se dan cuenta de que están compartiendo sus ganancias mal habidas con otros criminales más experimentados.

Toda tu cosecha me pertenece

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada