Tendencias de malware Mayo 2017. Destacado: Wannacry y Phishings a Gmail

1 de junio de 2017 Por

Un mes más, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordar que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:


Para poder observar de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales, una vez más queremos mostraros unas graficas que consideramos interesantes. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación:
[Read more…]

EternalBlue vía IoT (PoC)

25 de mayo de 2017 Por

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

Oleada de ataques con keyloggers –> keybase & Hawkeye

24 de mayo de 2017 Por

La semana pasada fuimos testigos de una oleada de documentos office con macros maliciosas y que revisaremos en esta entrada. Los hashes de los documentos son:

Si ejecutamos 1) se produce el siguiente comportamiento en el sistema (pinchar en las imágenes para ver la versión ampliada – se abren en una pestaña nueva):

[Read more…]

Un viernes movidito con ransomware

12 de mayo de 2017 Por

Poco a poco se consume la mañana del viernes: responder unos cuantos correos, revisar la planificación del proyecto PROY_123, seguimiento de imputaciones, etc. Aprovecho uno de estos cambios de contexto para hacer un “break” y buscar algún plan para el fin de semana. ¿Qué se cuece por ahí?, ¿qué planes me propondrá Twitter?

Unas rápidas búsquedas sobre las tendencias de #FelizFinde me ponen los dientes largos: playas paradisíacas, rutas de senderismo, gastronomía, etc. Vamos, un sinfín de planazos cada cual más apetecible que el anterior. Sin embargo, lo que llama mi atención es la escalada de otro topic: Telefónica. ¿Telefónica trending topic?. Muy bien debe ir la bolsa –es lo primero que me viene a la cabeza– para que llegue al primer puesto rebasando las otras propuestas que os comentaba. :)

[Read more…]

Tendencias malware Abril 2017. Destacado: Hajime y Shadow Brokers Leak.

9 de mayo de 2017 Por

Como todos los meses, desde el laboratorio de malware seguimos compartiendo con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

[Read more…]

Tendencias de malware. Marzo 2017

3 de abril de 2017 Por

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas. Este mes destacaremos Torrentlocker y PowerShell WMIOps

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Este mes traemos algo nuevo que esperamos que os guste y nos ayude a ver de un modo más visual determinadas tendencias. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y fuentes propias, direcciones IP de command and controls (en adelante C2). Vamos a ver la información recopilada y a representarla de la siguiente manera:
[Read more…]

Tendencias malware Febrero. Destacados: Chrome EK y RAT Remcos

2 de marzo de 2017 Por

Como todos los meses, desde el laboratorio de malware queremos compartir con vosotros lo que se está cociendo en el mundo del malware. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Esta vez queremos repasar una vía de infección que solemos mencionar al final del post más en detalle. Se trata de un exploit kit que, en este caso, ha afectado a muchos sitios españoles.

Su objetivo es Chrome y consiste en un ExploitKit (Rig-EK) que, cuando infecta un servidor web, modifica las cabeceras de todas las webs que contiene para que muestren su texto de forma incorrecta y abran una ventana que informa al usuario de que necesitas una actualización para poder visualizar las fuentes de ese tipo de texto “nuevo”:

Fuente: http://www.malware-traffic-analysis.net/2017/02/22/index2.html

En caso de dar Click en el botón para actualizar, se descarga un ejecutable con el nombre “Chrome Font Vx.xx.exe”.

Fuente: http://www.malware-traffic-analysis.net/2017/02/22/index2.html

Este ejecutable es el ransomware Spora (que ya repasamos en el boletín anterior) y que puede hacer peligrar la información de nuestro equipo y la de aquellos en los que conectemos un USB que antes hayamos utilizado en el nuestro.

Otro caso que hemos observado es el incremento de intentos de infección a través de un RAT bastante nuevo (publicado a finales de 2016, actualmente en la versión 1.7.4.1), que llega en un correo con un documento de Word con macros.

Se trata de Remcos, y guarda mucho parecido con otros RATs que se distribuyen a través de un “Builder” (software que permite crear el ejecutable que infecta a las víctimas), como Posion Ivy o Darkcomet. Lo que destaca en este es que, debido a su constante y reciente desarrollo, cuenta con técnicas relativamente nuevas de escalada de privilegios y de detección de entornos de análisis, que lo hacen realmente interesante en comparación a su competencia más antigua.

Otro detalle que lo diferencia de otros RAT es la capacidad de crear “tareas automáticas”, funcionalidad que al menos nosotros no solemos encontrar en RAT de este tipo. De esta forma, se asegura que los clientes instalados en sus víctimas se actualicen o envíen cualquier tipo de información periódicamente a sus servidores sin necesidad de interacción.

Como siempre, para terminar nos gustaría repasar la actividad reciente de los ExploitKits (EK) con más impacto durante este mes, en este caso RIG EK.

Este EK, a través de técnicas de infección como la descrita arriba para Chrome (y otros navegadores como Internet Explorer o componentes de estos como FlashPlayer), ha estado instalando ransomware como Cryptomix o Spora y troyanos como Dreambot en las víctimas cuyos navegadores cumplen los requisitos de versiones desactualizadas para alguno de sus exploits.

Recordad que una de las mejores medidas para evitar infecciones a través de este vector de ataque consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Desde el laboratorio de malware esperamos que esta información que compartimos cada mes os sea de utilidad.

Tendencias de malware. Enero 2017

7 de febrero de 2017 Por

Un mes más, desde el laboratorio de malware de S2 Grupo, queremos compartir con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:


[Read more…]

Tendencias de malware. Diciembre 2016

5 de enero de 2017 Por

Durante este mes de diciembre hemos observado desde el laboratorio de malware de S2 Grupo distintas amenazas que una vez más queríamos compartir con vosotros. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada este mes desde el laboratorio:

malwarediciembre

Antes que nada, nos gustaría remarcar el respiro que, al menos a nosotros, nos ha dado Locky este mes, con una cantidad tremendamente reducida de SPAM en comparación con los dos meses anteriores. Esto no significa que haya desaparecido ni mucho menos ya que han estado llegando a muchos sitios correos con textos de “asunto:” como los siguientes: [Read more…]

Tendencias de malware. Noviembre 2016

13 de diciembre de 2016 Por

Durante este pasado mes de noviembre hemos observado desde el laboratorio de malware de S2 Grupo distintas amenazas que queríamos compartir con vosotros. En este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación mostramos un diagrama con la información recopilada desde el laboratorio:

lab-malware-nov16

El primer caso que es necesario repasar es la intensa campaña de spam que hemos sufrido recientemente en el que nos llegaba un fichero adjunto comprimido, que contenía un archivo en formato JavaScript conocido como Nemucod. En caso de ser ejecutado, este instala en nuestro equipo una variante muy común del Ransomware Locky (amigo durante ya varios meses) en formato dll.
[Read more…]