Nueva campaña del malware Emotet

jueves, 29 de noviembre de 2018


Regresa el malware “Emotet”, y se deja evidenciar con una nueva ingeniería social, utilizando un mensaje de acción de gracias en Estados Unidos aprovechando la contingencia de las fechas de fin de año.

Los investigadores de seguridad de Forcepoint, identificaron nuevos cambios en su forma de ataque, como ya es de conocimiento el malware es enviado por correo electrónico con un archivo adjunto que utiliza macros incrustadas que se conectan por medio de una PowerShell para la carga útil de Emotet.

Lo nuevo de esta campaña se basa en que ahora enmascara un archivo HTML en un archivo Word, donde la macro ahora utiliza la función Shapes, la encargada de llamar a la función de Shell usando un WindowStyle de vbHide.

No olvidar que este malware bancario tiene la capacidad de interceptar y guardar tráfico de la red y comprometer información sensible como sus datos bancarios.

Chile no celebra acción de gracias, pero este tipo de campañas van dirigidos a los usuarios utilizando la ingeniería social como estrategia para ganar la confianza del usuario. Es posible que utilicen el mismo malware pero cambiando el mensaje de correo y archivo.

RECOMENDACIONES

Se sugiere bloquear los siguiente hash.

·             d11b78494e303c2b5fb0425017f1ac7f96b8e6c0
·             d88eec6d588aae7081186ab55256660c82dd61be
·             ed68bf8de0bc1c6c0b184c948804d4cfaf7c6eea
·             fe786b7956b7fd129b2165a6dac52c1f775af3cd
·             e1975502f8080bd6d63483e0e4b62bff8399a817
·             64542c0ff4838b589fc3393676675ce4dc41ece8
·             85e7aec4ac3e5c9035ba2cc3a0e4999f956f42a9
·             575a829d6f21d31acb3b3b9c003a2a74cde682c6
·             009f49a35f4f445f82e19d908c4e2b983eac726a
·             1d209a0a0df092fb1b5a1225bd421156c1936df0
·             330df78ddd5c1c642e67a42bf58047f30d3b23bf
·             9a00a0e540a134e59f596fef2ce31c9e72d863dd
·             c15893443f1716343e6d157b380437c2f4295478

Se sugiere bloquear los siguiente Dominios.

·             hxxp://bemnyc[.]com/dFl8aeN
·             hxxp://tvaradze[.]com/8Z3cdkK
·             hxxp://mentoryourmind[.]org/orfhuwL
·             hxxp://bahiacreativa[.]com/Z24ooLp
·             hxxp://chang[.]be/BF0i0qax

Se sugiere bloquear las siguientes IPs correspondientes al C2 (Command & control).

·             181.143.208.106:8090
·             186.64.69.115:443
·             186.1.6.67:443
·             65.87.40.115:80
·             221.120.97.51:8080
·             190.16.177.117:80
·             181.39.66.26:990
·             81.136.248.12:8080
·             181.170.212.29:80
·             98.144.133.221:80
·             210.2.86.72:8080
·             37.120.175.15:80
·             23.254.203.51:8080
·             190.189.16.174:8080
·             210.2.86.94:8080
·             216.14.176.17:80
·             165.227.213.173:8080
·             190.180.96.117:8080
·             49.212.135.76:443
·             100.34.98.47:80
·             213.123.212.188:8080
·             190.113.233.4:80
·             133.242.208.183:8080
·             198.199.185.25:443
·             139.59.242.76:8080
·             190.145.67.134:443
·             69.198.17.20:8080
·             5.9.128.163:8080
·             192.155.90.90:7080
·             173.242.103.80:80
·             67.79.6.38:8080
·             77.68.30.48:443
·             159.65.76.245:443
·             186.146.1.36:80


REFERENCIAS


--> https://www.forcepoint.com/blog/security-labs/thanks-giving-emotet

COMPARTIR:

Twitter Facebook Google Pinterest
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Nueva campaña del malware Emotet
Nueva campaña del malware Emotet
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_0lSaAECUNQqlFXCKM-FAMxZEZqSL0wgzWLh29mRTSOxuHxmxSlG6ar5Xjj5U11NgiRM0fCrQLaisd5h2DNWdK_UtjpZk-LEqiwBRZnSnTVxWRuqkd5TsZ14cHg-N2bYiALd6J0w95bM/s640/Captura+de+pantalla+2018-11-29+a+la%2528s%2529+09.32.36.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_0lSaAECUNQqlFXCKM-FAMxZEZqSL0wgzWLh29mRTSOxuHxmxSlG6ar5Xjj5U11NgiRM0fCrQLaisd5h2DNWdK_UtjpZk-LEqiwBRZnSnTVxWRuqkd5TsZ14cHg-N2bYiALd6J0w95bM/s72-c/Captura+de+pantalla+2018-11-29+a+la%2528s%2529+09.32.36.png
Arkavia Networks News
https://www.arkalabs.cl/2018/11/nueva-campana-del-malware-emotet.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2018/11/nueva-campana-del-malware-emotet.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy