JAFF Ransomware via adjunto PDF con Docm

Continuamente recibimos correos de phishing provenientes de los orígenes más diversos, muchas veces incluyendo adjuntos con contenido malicioso. En este caso el adjunto resultaba un poco más interesante, ya que se trataba de un fichero PDF que incluía en su interior un documento DOCM, un documento Word con macros.

El correo electrónico que llegó a nuestros servidores incluía el asunto “Order”, y el contenido del mensaje estaba en blanco, realmente incluía contenido HTML definiendo una entidad tipo párrafo (<p>) con un espacio en blanco (&nbsp;), pero la diversión estaba en el adjunto.

Etapas de ataque

El adjunto era un fichero PDF correctamente formado que incluía en su interior un objeto OLE de tipo DOCM. Estaba diseñado para que una vez se abriera el documento PDF, se extrajera el fichero docm y ejecutara las macros que contiene en su interior. Estas macros descargaban un fichero de datos desde Internet que sería decodificado para posteriormente ejecutarse en el sistema.
[Read more…]

Qué es un TDS (Traffic Director System)

La idea para escribir este post surgió a raíz de haber  investigado múltiples casos de infecciones en equipos a causa de los omnipresentes Exploit Kits (EK). Una visita a un sitio web que aparentemente no debía comportar ningún riesgo, acababa con el usuario llamando al servicio de seguridad porque no podía abrir sus ficheros y comentando que le aparecía una imagen en la pantalla pidiéndole dinero por recuperar sus datos. Y en otros casos ni tan siquiera eso, porque se había infectado con un RAT o un troyano bancario y no era consciente de ello.

Existen métodos de redirección simples que se implementan directamente en el servidor web; son opciones que permiten gestionar las visitas a dicho sitio web y adaptar su comportamiento a las preferencias o características de los visitantes.

[Read more…]

Bitcoin Miner Attack

¿Qué son los Bitcoins?

Pare que tengamos algunas nociones sobre lo que son los bitcoins, acudimos a bitcoin.org para encontrar una definición. Según aparece en este sitio web Bitcoin es una innovadora red de pagos y un nuevo tipo de dinero”.  Se trata de un sistema que opera sin un organismo como autoridad central sobre tecnología peer-to-peer, la gestión de las transacciones y la emisión de la cryptomoneda se realiza colectivamente por los integrantes de la red.... Leer Más

TimThumb

En pleno auge de los blogs y el mundo blogger, WordPress se posicionaba como una buena alternativa para el desarrollo rápido y con un diseño atrayente, de sitios web dedicados a este fin.

Timthumb se creó en 2009 como un complemento de visualización de imágenes para sitios web desarrollados en WordPress. Consistía en un plugin que permitía redimensionar una imagen a partir de un original en formato gif,jpg o png, de forma dinámica, facilitando la posibilidad de mostrar miniaturas en el tamaño elegido y que se adaptara a nuestra página, partiendo de una imagen de un tamaño mayor.

tt0
[Read more…]

Nuevos caminos del Ransomware

Hace unos meses que muchos usuarios están sufriendo en sus propias carnes la amenaza de los ransomware, un malware que se instala en nuestro ordenador y muy eficientemente elige ciertos tipos de ficheros (los que más nos suelen importar: documentos de texto, fotografías, vídeos, hojas de cálculo, bases de datos, etc..) y los cifra, para posteriormente mostrarnos un llamativo mensaje invitándonos a pagar un rescate a cambio del software necesario para descifrar dichos archivos.

La situación es complicada, pero pagar el rescate tampoco asegura la recuperación de los datos. La única solución realmente efectiva es tener una copia de seguridad actualizada e ir con más cuidado la próxima vez.

[Read more…]

Squert

Dentro de la seguridad informática aplicada a la empresa, uno de los principales puntos que ha de cubrirse es la monitorización y vigilancia a nivel de red. Hay que monitorizar los datos que entran a través del perímetro, los datos que salen de la compañía y el tráfico entre equipos dentro de nuestra red. Esta disciplina es lo que se ha dado en llamar NSM (Network Security Monitoring) y que algunos hemos conocido de la mano de Richard Bejtlich y su libro “The Tao of network security monitoring”.... Leer Más

Tratando con bichos (I)

Casi diariamente nos topamos con notificaciones de phishing que llegan a la oficina, algunas llegan con un adjunto, generalmente en formato pdf o en algún formato de la suite Office (doc,xls,ppt ) y sus derivados. Este caso despertó mi interés y decidí investigar un poco más allá de la simple detección y bloqueo de URLs o adjuntos.
Esta vez el correo electrónico llegaba escrito en inglés, y diciendo algo sobre un recibo no devuelto, que amablemente nos remitían para que lo pudiéramos abonar.

El email en cuestión era éste:

origen: 	billing@logmein.com
asunto: 	Automatic payment failed - Credit Card rejected
adjunto: 	invoice_723961.doc

Dear customer,
 
Your subscription for LogMeIn Central Plus service will end within 72 hours.
You are receiving this notification because the automatic payment has failed.(Credit card: declined)
For more information, please find the payment invoice attached to this letter.
Payment must be submitted before 21/02/2015, in order to avoid delays and service interruptions.

Thank you for using LogMeIn
Copyright © 2003-2015 LogMeIn, Inc. All rights reserved.

[Read more…]

Adjunto MIMEtizado

En nuestro trabajo alguna vez nos han llegado correos electrónicos reenviados por clientes en referencia a mensajes sospechosos recibidos, supuestamente desde un banco en el que ni siquiera tienen cuenta corriente, y que incluyen ficheros adjuntos. Este tipo de correos suelen formar parte de campañas de phishing e incorporan contenido “no deseado” y peligroso que puede comprometer nuestros ordenadores.... Leer Más

SPIDERFOOT (I)

Hace un par de semanas llegó a mis oídos la existencia de una herramienta open source que nos puede ser útil a la hora de realizar las primeras fases de un pentesting: reconocimiento y mapping de servicios. Realizar estas primeros pasos de forma concienzuda puede hacer que las siguientes fases de nuestro pentesting puedan ser más dirigidas y eficaces a la hora de encontrar las posibles vulnerabilidades de nuestro objetivo.... Leer Más