Novedades
Alerta en LATAM por intensa actividad de Gh0st RAT, un troyano de acceso remoto utilizado por atacantes para controlar los equipos infectados, originalmente atribuidos a grupos en China. Gh0st RAT y sus variantes siguen siendo algunas de las herramientas RAT más utilizadas en existencia debido a su eficacia. Actualmente Ghost RAT posee una variante BOTNET denominada Gh0st.Rat.Botnet.
Gh0st RAT es un troyano de acceso remoto utilizado por atacantes para controlar los equipos infectados, originalmente atribuidos a grupos en China. Gh0st RAT y sus variantes siguen siendo algunas de las herramientas RAT más utilizadas en existencia debido a su eficacia.
Actualmente Ghost RAT posee una variante BOTNET denominada Gh0st.Rat.Botnet.
Gh0st RAT es un remote Access control de código abierto el cual posee las siguientes técnicas:
Gh0st RAT utiliza el siguiente esquema de ataque siguiendo un modelo típico de ciclo de vida del malware dirigido. Un ejemplo de cómo podría funcionar es el siguiente:
Este RAT envía un E-Mail de phishing con una URL maliciosa para que el usuario acceda y descargue el archivo RAT, una vez descargado e instalado en el objetivo, el malware comienza a descargar los paquetes de C&C estableciendo una conexión con el servidor del atacante.
Al finalizar, el atacante comienza a ejecutar comandos para la captura de datos personales, ya sea la ejecución de un keylogger como la lectura de archivos o toma de posesión de estos últimos.
Este RAT envía un E-Mail de phishing con una URL maliciosa para que el usuario acceda y descargue el archivo RAT, una vez descargado e instalado en el objetivo, el malware comienza a descargar los paquetes de C&C estableciendo una conexión con el servidor del atacante.
Al finalizar, el atacante comienza a ejecutar comandos para la captura de datos personales, ya sea la ejecución de un keylogger como la lectura de archivos o toma de posesión de estos últimos.
IP:
Dominio:
• https://www.rsa.com/content/dam/en/case-study/gh0st-rat.pdf
• https://attack.mitre.org/software/S0032/
• https://www.abuseipdb.com/check/66.240.205.34
• https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a66.240.205.34&run=toolpage
Netwalker es un malware tipo ransomware, que ya había atacado en U.S.A. afectando la operación de varios centros de salud hace unos meses. Chequea estas recomendaciones.
Microsoft lanzó un comunicado de emergencia sobre cuatro vulnerabilidades de día cero, las cuales afectan a los servidores Exchange versión 2010/2013/2016/2019. Estas tienen como objetivo obtener acceso a los servidores Microsoft Exchange para realizar intentos de robo de correo electrónico, así también como introducir malware y de esta manera seguir escalando privilegios una vez dentro de la red.
Hoy analizamos EMOTET, este troyano bancario es muy famoso por su capacidad de evadir antimalwares tradicionales ya que es polimórfico, es decir, muta a sí mismo una vez desplegado. Tiene características de gusano, propagándose rápidamente entre otros.
El grupo Lazarus lanzo una variante del ransomware MACROMATA. Conoce el análisis del S.O.C. de RAN Security sobre esta amenaza.
¿Has escuchado de MITRE ATT&CK? ATT&CK por sus siglas en inglés, significa: "tácticas, técnicas del adversario y conocimiento común". En una fuente de información colaborativa entre los profesionales de seguridad. Permite identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. Es una fuente a tener en cuenta para entender cómo operan los atacantes.
Proteger tu equipo telefónico con aplicaciones y antivirus que existen en el mercado, contribuyen al cuidado, funcionamiento y protección de tus datos.