Nueva campaña de Phishing se disfraza de advertencia de Spamhaus para propagar Malware


Desde hace bastante tiempo ha existido el spam, el cual es conocido como correo electrónico no solicitado, no deseado o de un remitente desconocido. Actualmente existe un método para evitar este tipo de correos, a través de las nombradas listas de bloqueo de spam (SBL), las cuales son usadas por los servidores de correo electrónico (email servers), con el fin de bloquear todos los correos que estén enlistados y evitar el spam, donde una de las organizaciones bien conocidas que se encarga de crearlas es Spamhaus.

Recientemente se ha observado una campaña de Phishing que pretende hacerse pasar por un correo de Spamhaus Project para distribuir malware, la misma, se realiza al alertar al destinatario que su email se ha agregado a una lista de bloqueo de spam, debido al envío de emails no solicitados, además, de no solucionarlo rápidamente, será agregado a la lista negra (Blacklist). Cabe destacar que para un administrador de correos electrónicos es una situación bastante grave, no solo por la importancia del mensaje, sino también por la ardua tarea que es deslistar una dirección IP o dominio de una lista negra (Blacklist).

El email en el asunto alerta al remitente que debe tomar acción urgentemente “Urgently Take Action”, en el contenido explica la razón, la cual es que la dirección de correo electrónico a sido agregada a la Lista de bloqueo de Spamhaus (Spamhaus Block List - SBL) y para evitar que escale a una blacklist, debe de seguir las instrucciones que se encuentran en el URL agregado en el email.


Phishing Email de Spamhaus


El correo electrónico contiene un enlace de Google Drive y una contraseña, las cuales supuestamente son para un archivo que contiene las instrucciones necesarias para eliminar la dirección de correo electrónico de la SBL. 

Al hacer click en el enlace, descarga un archivo protegido con contraseña nombrado “SPAMHAUS_SBL_i9k#888771.zip”, dentro del archivo contiene un Visual Basic Script (VBS) ofuscado, llamado SPAMHAUS_SBL_i9k.vbs. En el momento que se ejecuta el archivo VBS, crea un archivo de texto con nombre aleatorio en la carpeta %Temp%, el cual son ejecutables del malware Ursnif y son lanzados por el script.


Archivos ejecutables de Ursnif extraídos

Ursnif es un troyano usado para robar datos (data-stealing) que registra lo que se escribe en una computadora, sitios web visitados, lo copiado en el portapapeles (clipboard) y programas ejecutados. Toda la información es almacenada en archivos de logs y enviada al atacante. Cabe señalar que el uso de esta información suele ser usada para obtener datos importantes o control al comprometer todos los accesos de la víctima, como sus credenciales de inicio de sesión o incluso la red a la que está conectado.


Recomendaciones:

Desde Arkavia Networks sabemos la alta exposición a este tipo de ataques que aplican ingeniería social, es por eso que les dejamos las siguientes recomendaciones de prevención:

  1. Abra solo correo que espera recibir.
  2. En caso de abrirlo, examine el remite muy cuidadosamente.
  3. Realicé un escaneo a los URLs (si los contiene).
  4. No importa de donde provenga el correo, escanee los archivos descargados antes de abrirlos.
  5. De recibir frecuentemente estos correos, comunicarse con los administradores de la red o de correos para que tomen las medidas necesarias.


IOC

Ursnif (SHA-256)
5692db418539eda5d897e4eaabe43b31675220f2f6173b8c6c87b969d91329d4

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Nueva campaña de Phishing se disfraza de advertencia de Spamhaus para propagar Malware
Nueva campaña de Phishing se disfraza de advertencia de Spamhaus para propagar Malware
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9jIDadH71jm3p76M6hwir1rTEHuQcZhyDBEu4310i9YhSukAbSCTVhVwsutgTHSEHvGneSNKzdG3hF4vouAQ-Lj-tLK98KiGzYthrHUB_7ycg8ZH0WqMtOI2wnGybju5zguJvkl3cuUQ/s1600/Phishing+Spamhaus+Email.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9jIDadH71jm3p76M6hwir1rTEHuQcZhyDBEu4310i9YhSukAbSCTVhVwsutgTHSEHvGneSNKzdG3hF4vouAQ-Lj-tLK98KiGzYthrHUB_7ycg8ZH0WqMtOI2wnGybju5zguJvkl3cuUQ/s72-c/Phishing+Spamhaus+Email.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/02/nueva-campana-de-phishing-se-disfraza.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/02/nueva-campana-de-phishing-se-disfraza.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy