Lector FEED-PHP 1.5.1
   
Formato RSS 2 ISO-8859-1 Ver lista de categorias Agregador i-Gavà.info Agregador AddThis Feed-RSS Agregador AddThis BookMark Agregador attensa Agregador Bitty Browser Agregador BLOGLINES Agregador Google Agregador excite MIX Agregador hub::mobile Agregador MY AOL Agregador MY MSN Agregador MY YAHOO Agregador netvibes Agregador NewsGator Agregador Pageflakes Agregador plusmo Agregador Pulck Agregador Rojo Agregador TheFreeDictionary Agregador webwag.this Agregador WIKIO Agregador Windows Live Agregador yourminis 










 Cargando...
Noticias :: zonavirus.com
Noticias Antivirus - zonavirus.com
Noticias relacionadas con la seguridad informatica, virus, antivirus, zonavirus.com
Wed, 13 Nov 2019 16:11:47 +0100

Pulsar para mostrar/ocultar texto. Nuevo mail malicioso que llega anexando fichero payment (swift).zip que desempaquetado es un exe malware.
[Noticias]   Wed, 13 Nov 2019 16:11:47 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Nuevo mail anexando fichero malicioso



TEXTO DEL MAIL

______________





Asunto: PAYMENT SWIFT 12/11/2019

De: info@floristeriamerian.com

Fecha: 12/11/2019 11:50



Good Morning,







Find attached swift copy of the payment made this morning.







Thank you.











Michelle Adalbert



Financial Controller



Centergrouprenzi Finance & Exchange GMBH

Langenhorner Chaussee 600. 22419 Hamburg

Phone: +49 015 361 288

Telefax: +49 015 387 523

Mobile: +49 01012349235

ABB Call Center: 19290

email: account@centregrouprenzi.com



ANEXADO : Payment (Swift).ZIP (---> desempaquetado es un Fichero malicioso indicando falso analisis de AVG, Pay?m?e?n?t? ?(?S?w?i?f?t?)?.?exe )







Checked by AVG - http://www.avg.com

Version: 2016.0.7752 / Virus Database: 4633/12789 - Release Date: 24/10/16



_____________






Informe preanalisis de virustotal sobre el fichero zipeado>

https://www.virustotal.com/gui/file/b115ca240d1872e95c457ce94ab06badeb6cdc23d9263b97153ec40f16e2d317/detection





El indicado fichero lo pasaremos a controlar a partir del ElistarA 42.32 de hoy





saludos



ms, 12-11-2019...



Pulsar para mostrar/ocultar texto. Un ransomware ha atacado la compañia de petroleos de mexico (pemex)
[Noticias]   Wed, 13 Nov 2019 14:55:30 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

UN RANSOMWARE HA ATACADO LA COMPAÑIA DE PETROLEOS DE MEXICO (PEMEX)





Este tipo de virus cifra y bloquea los archivos de sus víctimas a las que solicita un rescate





https://www.elsoldemexico.com.mx/finanzas/tecnologia/tbcdm6-malware-ok.png/alternates/LANDSCAPE_640/malware-ok.PNG

Foto: @xataka







Pemex confirmó este lunes que algunas de sus computadoras fueron secuestradas de forma virtual con un virus ransomware, por lo que equipo de seguridad de la empresa ya trabaja en repeler el ataque cibernético que se registra desde ayer:



https://www.elsoldemexico.com.mx/finanzas/hackers-ransomware-computadoras-pemex-ataque-cibernetico-informatica-4440395.html





Como se sabe los ransomware son un tipo de virus informático que encriptan u ocultan información delicada de un equipo informático; sin importar su naturaleza, es decir, siean ficheros de Word, pdf, xtml, fotos, videos y que impide o limita el acceso del usuario a su propio sistema informático.



Este tipo de virus cifra y bloquea los archivos de sus víctimas a las que se solicita un rescate, habitualmente en bitcoins, la moneda virtual, a cambio de recuperarlos. Es uno de los tipos de malware más peligrosos en la actualidad, de acuerdo con páginas web especializadas en el tema.



Uno de los casos más sonados de este tipo de malwares fue conocido como WannaCry ocurrido en 2017 que afectó a más de 150 países y diversos bancos así como instituciones públicas en el que los hackers solicitaron una compensación económica o rescate con bitcoins para liberar la información.



En 2017 una de las noticias más importantes en el mundo de la seguridad informática fueron los ataques de ransomware masivos causados por WannaCry, que en aquel entonces había dejado fuera de juego la Intranet de Telefónica en toda España.



Wanacry dejó muchas cosas en evidencia, como el mal que estaban haciendo los exploits de la NSA robados por The Shadow Brokers, y especialmente los riesgos de usar sistemas operativos obsoletos como Windows XP.





Ver información original al respecto en Fuente>

https://www.elsoldemexico.com.mx/finanzas/tecnologia/que-es-ransomware-el-virus-que-secuestro-a-pemex-4440633.html







Comentario:



Actualmente en ESPAÑA es el EMOTET el que ha hecho estragos al instalar ransomwares como el RYUK, que durante este pasado mes de Octubre ha afectado a Ayuntamientos, Notarias, Hospitales, Centros Comerciales, Empresas de todos tamaños y usuarios en general, claro.



No nos extrañaría que una variante de tantas que aparecen diariamente haya sido la causa de este ataque a PEMEX de Mexico, ante lo que podemos sugerir que instalen el bloqueador de McAfee (https://blog.satinfo.es/2019/solucion-a-la-actual-proliferacion-del-ransomware-ryuk-causada-por-el-emotet/) para evitar que las macros maliciosas del DOC que se ejecute, pueda instalar el EXE que contenga el ransomware..., suponiendo que sea del tipo que ha ocasionado los recientes percances en España.



saludos



ms, 12-11-2019...



Pulsar para mostrar/ocultar texto. El parche de meltdown te ha protegido de bluekeep, pero pronto dejará de hacerlo
[Noticias]   Wed, 13 Nov 2019 12:11:24 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

El parche de Meltdown te ha protegido de BlueKeep, pero pronto dejará de hacerlo





https://www.softzone.es/app/uploads-softzone.es/2019/11/bluekeep-800x419.jpg

BlueKeep



Como los expertos ya vaticinaron hace unos meses, la vulnerabilidad conocida como BlueKeep sigue afectando a algunos equipos. Por tanto, en estos momentos el exploit para el mencionado BlueKeep se utiliza para crear nuevos ataques en equipos con Windows no actualizados.



Esto es algo que se ha venido detectando a lo largo de los últimos días en algunos PCs con Windows que no están debidamente actualizados. De este modo, por lo visto la vulnerabilidad conocida como BlueKeep amenaza a algunos sistemas sin el parche para Meltdown en Windows XP y Windows 7. Hay que tener en cuenta que el mencionado ataque que aprovecha la vulnerabilidad BlueKeep, es algo de lo que se viene hablando desde hace varios meses.



Cabe mencionar que esto es algo que en estos momentos afecta al RDP de Windows, es decir, al protocolo de escritorio remoto. Por tanto, hace unos meses, el investigador de seguridad Kevin Beaumont ya nos habló de esta vulnerabilidad que afectaba al escritorio remoto y lanzó algunas soluciones. Esto se produjo después de que se conociera la vulnerabilidad BlueKeep y se conociesen los primeros fallos de seguridad.



Así, el pasado mes de octubre el investigador descubrió que las máquinas virtuales afectadas estaban presentando pantallazos azules o BSOD. Tras estudiar el tema, un análisis reveló que la vulnerabilidad BlueKeep se había utilizado para intentar algunos ataques, pero los equipos con el parche para Meltdown, lo frena, pero desembocaba en estas BSOD. Hay que tener en cuenta que el objetivo de estos ataques es instalar un malware de minado de criptomoneda en los sistemas.



BlueKeep provoca BSOD en equipos Windows con el parche Meltdown



Por todo ello, en esta ocasión Microsoft ha vuelto a recalcar su advertencia sobre la vulnerabilidad BlueKeep y recomienda actualizar los sistemas Windows lo antes posible. Así, en estos instantes hay actualizaciones disponibles para las versiones del sistema afectadas: Windows XP, Windows Server 2003, Windows Vista, Windows 7 y Windows Server 2008/R2.



https://www.softzone.es/app/uploads-softzone.es/2018/05/bsod.jpg

pantallazo azul



Al mismo tiempo, y como ahora se sabe, los autores del malware para estos recientes ataques, han compilado el módulo BlueKeep Metasploit a partir de un código de prueba de este verano. Como se ha visto, el propio ataque funciona en un principio, pero tiene un error, ya que en los sistemas parcheados para Meltdown, el exploit genera un error BSOD. Esto lo que hace es bloquear el sistema operativo atacado en lugar de abrir un shell remoto para el atacante.



También se ha querido aclarar que este pantallazo azul aparece debido a que los autores de la vulnerabilidad no implementaron el soporte kernel para las máquinas Windows parcheadas. Pero claro, una vez estos saben del error que están cometiendo, probablemente lo solucionarán en breve. Esto se derivará en que pronto veamos más ataques exitosos de BlueKeep.



Por tanto en estos instantes podemos afirmar que la vulnerabilidad BlueKeep de la que os hemos hablado, va a entrañar mucho peligro en breve. Esto se producirá cuando los atacantes solucionen el error cometido que frena el parche de Meltdown en estos instantes, algo que probablemente sucederá pronto.







Ver información original al respecto en Fuente>

https://www.softzone.es/noticias/seguridad/parche-meltdown-protegido-bluekeep-dejara-hacerlo/...



Pulsar para mostrar/ocultar texto. Cómo saber si una extensión de chrome es segura o no
[Noticias]   Wed, 13 Nov 2019 11:18:25 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Detectar extensión falsa en Chrome



https://www.redeszone.net/app/uploads-redeszone.net/2019/11/detectar-extension-falsa-chrome-650x340.jpg



La mayoría de navegadores modernos cuentan con complementos que pueden aportar interesantes funciones a nuestro día a día. Si hablamos del más popular, Google Chrome, cuenta con un gran abanico de posibilidades. Ahora bien, hay que tener en cuenta que no todas las extensiones que podemos instalar son seguras. Muchas de ellas pueden ser un problema importante que ponen en riesgo nuestra privacidad. En este artículo vamos a explicar cómo saber si una extensión para Chrome es segura o no.



Las extensiones para el navegador, un peligro presente



Como hemos mencionado, las extensiones para los navegadores son herramientas muy interesantes en muchos casos. Ofrecen funciones y complementos que pueden facilitar nuestro día a día. Las hay tanto gratuitas como de pago y están disponibles también para dispositivos móviles.



Sin embargo es importante saber que hoy en día representan una fuente importante de infección para nuestros dispositivos. Muchas de las principales amenazas llegan a través del navegador y son las extensiones una de las puertas de entrada. Por ello es importante tener en cuenta ciertos puntos para evitar problemas.



Tener extensiones instaladas en el navegador puede comprometer nuestra privacidad y seguridad. Podrían poner en riesgo el buen funcionamiento de nuestros dispositivos.

Cómo saber si una extensión para Chrome es segura o no



Google Chrome es hoy en día el navegador más popular. Está disponible tanto para equipos de escritorio como para dispositivos móviles. El hecho de ser el más utilizado hace que cuente con múltiples extensiones de todo tipo.



Más allá de tener más complementos disponibles también hay que tener en cuenta que es objetivo de los piratas informáticos. A fin de cuentas los ciberdelincuentes ponen sus miras en aquello que cuenta con más usuarios. Una manera de tener más probabilidad de éxito.



Vamos a dar una serie de pautas sobre cómo saber si una extensión para Chrome es segura o no. Algunos puntos a tener en cuenta cuando vayamos a instalar un complemento para nuestro navegador de Google.



Seguridad de las extensiones de Chrome



https://www.redeszone.net/app/uploads-redeszone.net/2019/11/seguridad-extensiones-chrome.jpg



¿Procede de fuentes oficiales?



Lo primero que debemos tener en cuenta para saber si una extensión para Chrome es segura o no es saber si procede de fuentes oficiales. La mayoría de casos en los que agregamos software ilegítimo en nuestros sistemas proceden de fuentes no oficiales o de terceros.



Es importante que cuando vayamos a instalar una extensión lo hagamos desde la tienda oficial de Chrome. De esta forma, aunque no tengamos garantías del 100%, correremos menos riesgo de estar instalando un complemento falso y que suponga un peligro para nuestra privacidad y seguridad.

Observar la extensión antes de instalarla



Antes de instalar una extensión hay que observarla bien. Necesitamos saber si el nombre de la misma se corresponde correctamente con lo que pretendemos instalar. También hay que mirar la información que ofrece y sus usos.



Es necesario por tanto observar todos los detalles posibles antes de agregarla. Así evitaremos instalar un complemento que realmente no sea lo esperado y pueda poner nuestro sistema en riesgo.



Ver los permisos que pide



Muchas extensiones fraudulentas se basan en los permisos que piden a los usuarios. A través de estos permisos pueden acceder a nuestra información, controlar diferentes periféricos del equipo, etc.



¿Pide permisos que realmente no necesita? Podríamos estar ante una extensión de Chrome fraudulenta. Hay que mirar muy bien los permisos que pide. Esto hay que aplicarlo no solo a la hora de instalar ese complemento, sino en caso de que sufra alguna actualización y pueda cambiar.



Consultar su última actualización



Antes de instalar un complemento para el navegador es interesante ver cuándo fue su última actualización. No queremos agregar software que esté desfasado y que pueda ser un problema de seguridad. Quizás para algo en concreto tengamos alternativas más recientes.



Ya sabemos que tener software desactualizado puede suponer un riesgo para nuestros sistemas. Por ello es importante mirar cuándo fue actualizada esa extensión.



Comentarios y valoraciones



Para saber si una extensión de Chrome puede ser peligrosa no hay mejor forma que mirar comentarios y valoraciones. ¿No tiene apenas comentarios y muy pocas puntuaciones? Podría ser una señal de peligro. Pero más aún lo sería si vemos que esos comentarios y valoraciones son muy negativos.



Busca datos en Google o redes sociales



Otra opción que tenemos para salir de dudas es buscar información en Google o en redes sociales y páginas especializadas. ¿Sospechamos que una extensión que queremos instalar puede ser un peligro? Siempre tendremos la opción de buscar en Google datos sobre la misma.



En definitiva estos son algunos puntos que podemos tener en cuenta a la hora de instalar una extensión en Chrome. Una serie de aspectos importantes para evitar agregar complementos maliciosos en nuestro navegador.









Ver información original al respecto en Fuente>

https://www.redeszone.net/tutoriales/seguridad/saber-extension-chrome-segura/...



Pulsar para mostrar/ocultar texto. Informes de los preanalisis de virustotal sobre nuevas muestras que pasaremos a controlar con elistara 42.32
[Noticias]   Wed, 13 Nov 2019 10:48:25 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Extracto de los analisis de nuevas muestras de malware que añadiremos al control del ElistarA 42.32 de hoy









BackDoor.NetWired

https://www.virustotal.com/gui/file/0400cef226621ad00d51b8880025664e3a916c0c3c3207f3525b8423af52a5f6/detection





Trojan.Totbrick, TrickBot o Trickster

https://www.virustotal.com/gui/file/378c98d4847f513d662f1e854cf22c1e3d326d50272cb483ca4ff8a792aac9d2/detection





Trojan.Emotet.C

https://www.virustotal.com/gui/file-analysis/MzRlZGQwYjNkNTFiNWEwMmQwYmRmOTc3NWI4MjBlYTY6MTU3MzU1MTc4OQ==/detection





Ransom.Crypted007

https://www.virustotal.com/gui/file/c1e09920963f917868c71c7043e6f1cf1c295d75da4779b01beeb5c597778592/detection





Trojan.Fsysna.C

https://www.virustotal.com/gui/file/408f75ad88bef7bb62d6c69705ddad77dd6a82749ffda15210c47dff794a19a9/detection











TRABAJO EN PROCESO





(Este post se irá actualizando a lo largo de la jornada, a medida que progresen mas analisis de nuevas muestras):













https://blog.satinfo.es/wp-content/uploads/2018/05/trabajo-en-proceso.jpg







saludos





ms, 12-11-2019...



Pulsar para mostrar/ocultar texto. Snatch, el ransomware que ha dejado sin servicio a los 440.000 clientes del proveedor de servicios smarterasp.net
[Noticias]   Wed, 13 Nov 2019 07:44:55 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

El proveedor de servicio SmarterASP.NET atacado con un ransomware



(AÑADE EXTENSION .kjhbx A LOS FICHEROS CIFRADOS)




El servicio de hosting SmarterASP.NET sufría el pasado 9 de noviembre un ataque por ransomware que ha dejado sin servicio total o parcialmente a unos 440.000 clientes.





La compañía ha reconocido en un comunicado oficial el ataque y ha informado a sus usuarios que se está llevando a cabo la restauración progresiva de sus cuentas.



Por lo que han podido comprobar algunos de los usuarios que han conseguido acceder a su cuenta, sus ficheros se encontraban cifrados y con la extensión «.kjhbx».





Un usuario compartía en Twitter la nota de rescate:



Your hosting accounts are under attack

Admin nov. 11, 2019

share

Your hosting account was under attack and hackers have encrypted all your data. We are now working with security experts to try to decrypt your data and also to make sure this would never happen again. Please stay tune for more info. Please know that we are getting thousands of messages in our email and we don't have enough staffs to reply them all. So please don’t email us. We will continue to put out notices on our Facebook page. Please check back soon.



Nota de rescate.



Por la nota, puede tratarse de una versión de Snatch. Aunque se desconocen más detalles sobre el ataque ni cuál fue el vector de entrada.



SmarterASP.NET se une a la lista de empresas de hosting golpeadas por un ransomware. A lo largo de este año, compañías como A2 y iNSYNQ se han visto afectadas por esta amenaza.



Por el momento no existe ninguna forma de descifrar los archivos cifrados por Snatch. No sabemos si la compañía ha optado por pagar el rescate o está utilizando copias de seguridad para restaurar sus sistemas.



Más información:



http://status.smarterasp.net/post/your-hosting-accounts-are-under-attack







Ver información original al respecto en Fuente>

https://unaaldia.hispasec.com/2019/11/el-proveedor-de-servicio-smarterasp-net-atacado-con-un-ransomware.html...



Pulsar para mostrar/ocultar texto. Nueva version de utilidad elistara 42.31
[Noticias]   Tue, 12 Nov 2019 18:56:34 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Para control de nuevas variantes víricas según muestras recibidas, hemos desarrollado la nueva versión 42.31 del ElistarA de hoy











ElistarA







---v42.31-(11 de Noviembre del 2019) (Muestras de (2)BackDoor.NetWired, KeyLogger.VBKryjetor "WkWyGAgQxiqAhW.exe", Malware.DHCPMon, Malware.Foisdiu, (3)Ransom.Crypted007 "csrss.exe", (3)Spy.AveMaria "MyApp.exe", (7)Trojan.Emotet.C "voldir.exe" y Trojan.Totbrick "*.exe")











saludos



ms, 11-11-2019
...



Pulsar para mostrar/ocultar texto. Se han detectado 105 millones de ataques a dispositivos iot procedentes de 276.000 direcciones de ip únicas
[Noticias]   Tue, 12 Nov 2019 15:21:55 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Los honeypots de Kaspersky han detectado, en el primer semestre de 2019, un total de 105 millones de ataques a dispositivos IoT procedentes de 276.000 direcciones de IP únicas. Esta cifra es siete veces mayor que la registrada en el mismo periodo de 2018, cuando solo se detectaron unos 12 millones de ataques procedentes de 69.000 direcciones IP.



https://cuadernosdeseguridad.com/wp-content/uploads/2019/11/metamorworks-768x512.jpg

dispositivos IoT



Los ciberdelicuentes aprovechan la escasa seguridad de los productos IoT para intensificar sus intentos de crear y monetizar las botnets de IoT. Esta es una de las conclusiones del informe elaborado por la compañía, IoT: una historia de malware sobre la actividad de los honeypots en el primer semestre de 2019.



Los ciberataques a dispositivos IoT continúan al alza. Aunque cada vez más personas y organizaciones adquieren dispositivos inteligentes (interactivos y conectados a la red), como routers o cámaras de seguridad DVR, no todo el mundo considera necesario protegerlos.



Sin embargo, los ciberdelincuentes ven cada vez más oportunidades financieras en la explotación de estos gadgets. Utilizan redes de dispositivos inteligentes infectados para realizar ataques DDoS o como proxy para otros tipos de acciones maliciosas. Para aprender más sobre cómo funcionan estos ataques y cómo prevenirlos, los expertos de Kaspersky instalaron honeypots para atraer la atención de los ciberdelincuentes y analizar sus actividades.



Según el análisis de los datos recogidos por los honeypots, los ataques a dispositivos IoT no suelen ser sofisticados, sino de tipo sigiloso, de forma que los usuarios ni siquiera se dan cuenta de que sus dispositivos están siendo atacados. La familia de malware detrás del 39% de los ataques – Mirai – es capaz de utilizar exploits, lo que significa que estas botnets pueden pasar desapercibidas a través de vulnerabilidades antiguas y no parcheadas del dispositivo y controlarlo.



Otra de las técnicas utilizadas son los ataques de fuerza bruta para conseguir las contraseñas, método elegido por la segunda familia de malware más extendida de la lista: Nyadrop. Nyadrop estuvo presente en el 38,57% de los ataques y a menudo sirve como descargador de Mirai. Esta familia se ha convertido en una de las amenazas más activas desde hace un par de años. La tercera botnet más común que amenaza a estos dispositivos inteleigentes es Gafgyt (2,12%) que también utiliza la técnica de fuerza bruta.



Además, los investigadores han podido localizar las regiones que se convirtieron con mayor frecuencia en fuentes de infección en el primer semestre de 2019. Por delante se sitúa China, un 30% de todos los ataques tienen lugar en este país, y a continuación, Brasil, con un 19%, seguido por Egipto (12%). Hace un año, en el primer semestre de 2018, la situación era diferente, con Brasil a la cabeza (28%), China (14%), y Japón en tercer lugar (11%).



Estamos observando cómo se intensifican los ataques IoT a medida que la gente se rodea de cada vez más de dispositivos inteligentes. A juzgar por el mayor número de ataques y la persistencia de los delincuentes, podemos decir que el IoT es un entorno fructífero para los atacantes, que utilizan incluso los métodos más primitivos, como adivinar la contraseña y las combinaciones de inicio de sesión dijo Dan Demeter, investigador de seguridad de Kaspersky.









Ver información original al respecto en Fuente>

https://cuadernosdeseguridad.com/2019/11/kaspersky-ataques-dispositivos/...



Pulsar para mostrar/ocultar texto. Nuevo mail con anexado malicioso del que pasamos a informar
[Noticias]   Tue, 12 Nov 2019 14:39:41 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Desde Grecia se recibe el siguiente mail:



TEXTO DEL MAIL

______________





Asunto: REQUEST FOR PROFORMA INVOICE FROM GREECE (RFQ #11122019)

De: "MICHAEL LATSOS (PICPRO COMPANY)" <info@ircastco.com>

Fecha: 11/11/2019 10:48



Good Morning,



Please find attached our order (RFQ #11122019).



Kindly please send us your proforma invoice with your bank account for payment and immediate export to greece.



I await your reply



With Regards

MICHAEL LATSOS





https://doc-10-08-docs.googleusercontent.com/docs/securesc/3j72k55horafftbrnvj7s5c2mbd8ssdt/c9q94289r4b634gstml8jijtd2gu0e0i/1573473600000/04192374323720033330/14343133551962449617/1Sbd6tmjTFKu7vNOhYeLfdKVUXRywHA8A?e=download&rid=0B2BKXixqct7nT1hLQ2lGVVhudG1jWFh0c05BRzNCR0MzcERrPQ&authuser=0&nonce=htn7voti02jr6&user=14343133551962449617&hash=rtl9h5o0qqugc80s6gv9sppjqbfchkho



M-PICSPRO

114-B, GIANNIS village Opposite HELLAS Park

ATHENS 110014

GREECE 110017

# +30 107386762, +309871710367

#+30 1129541648

Reach us at http://www.mpicspro.com ,



Also if you like our work please don't forget to like & review......



ANEXADO : (RFQ)11122019.zip ---> FICHERO MALICIOSO, NO EJECUTAR !!!

___________





Ya ha sido detectado p0r los AV actualizados, pero se avisa por si alguien lo recibe y ejecutara el fichero inadvertidamente...





saludos



ms, 11-11-2019...



Pulsar para mostrar/ocultar texto. Informes de los preanalisis de virustotal sobre nuevas muestras que pasaremos a controlar con elistara 42.31
[Noticias]   Tue, 12 Nov 2019 12:05:50 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Extracto de los analisis de nuevas muestras de malware que añadiremos al control del ElistarA 42.31 de hoy







KeyLogger.VBKryjetor

https://www.virustotal.com/gui/file/7b15afbcaa1bcb0d2a6bdf83f6c93658817962b19c35326b8077d7be44b39a69/detection





Malware.Foisdiu

https://www.virustotal.com/gui/file/ad2314a85700600cca831b51fdb7dc40c905b5518943be37923735a55d9cc2ad/detection





Ransom.Crypted007

https://www.virustotal.com/gui/file/09373a393e8819c73ab7be08beb452cb3b0041946386583302d04dce475086a6/detection





Trojan.Emotet.C

https://www.virustotal.com/gui/file/5405f887db71360e982a66d0e176528f936f7e0b16c6bb56449b3e8c27cb9b78/detection





Trojan.Totbrick, TrickBot o Trickster

https://www.virustotal.com/gui/file/37090acdd1a88753ed2eb63b45120b9914b6efc8650fc28e20e826ccfc3f870e/detection





Malware.DHCPMon

https://www.virustotal.com/gui/file/ed8bff96e5613985574982eaa37e17ed8244ee57ae334b6eb4ed67d139ca6cfd/detection





Spy.AveMaria

https://www.virustotal.com/gui/file/b4ca86388892407cf4a7e3916e4291b84111f6312d97d9d8a6b1dd0fc9e766f0/detection

















saludos





ms, 11-11-2019...



Pulsar para mostrar/ocultar texto. Nuevo mail que llega con un fichero doc con macros maliciosas
[Noticias]   Tue, 12 Nov 2019 11:46:21 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

NUEVO MAIL QUE LLEGA CON UN FICHERO DOC CON MACROS MALICIOSAS





Se recibe un mail anexado fichero malicioso...



TEXTO DEL MAIL

______________





Asunto: NOTICIA DEL BLOG DEL DESTINATARIO

De: "EIVASA" <aon.913136529@aon.at>

Fecha: 11/11/2019 9:40

Para: DESTINATARIO











Rellena solo el certificado, es que van todos los documentos juntos.









Atentamente





EIVASA



eivasa@astun.com





ANEXADO: Info 11.DOC ---> FICHERO CON MACROS MALICIOSAS






___________





El preanalisis de virustotal del fichero anexado es el siguiente>

https://www.virustotal.com/gui/file/66fe4bac9d731b8d2a585c0e2e5b9ea1c694859b2991e6ee4c593ad75f575f3c/detection





Tener presente que el fichero es del Office



File typeMS Word Document



y con macros maliciosas que no deben activarse, aparte de que ya indicamos siempre que NO SE DEBEN EJECUTAR FICHEROS ANEXADOS A MAILS NO SOLICITADOS, Y SI CONTIENEN MACROS, NO ACTIVARLAS AUNQUE LO PIDA EL MENSAJE.





saludos



ms, 11-11-2019...



Pulsar para mostrar/ocultar texto. «tienes una citación»: nuevo objetivo del malware predator the thief
[Noticias]   Tue, 12 Nov 2019 09:32:49 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

«Tienes una citación»: nuevo objetivo del malware Predator the Thief







https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2019/11/aliens-vs-predator-logo-2.jpg?resize=1024%2C291&ssl=1



Los empleados de compañías de seguros y empresas minoristas de Reino Unido están recibiendo e-mails presuntamente enviados por el Ministerio de Justicia del país.



Se ha descubierto una nueva campaña de ciberataque que tiene como objetivo a los empleados de las compañías de seguro y empresas minoristas de Reino Unido por medio de mensajes de e-mails que contienen una campaña de phishing. Estos e-mails dicen ser del Ministerio de Justicia e infectan a la víctima con un malware dedicado al robo de información.



Descubiertos por los investigadores de la compañía de ciberseguridad Cofense, los e-mails tienen como asunto del correo la palabra «Juzgado» («Court» en inglés) y añaden el logotipo de Ministerio de Justicia británico. Aparentemente las comunicaciones contienen información sobre «la citación», y piden a la víctima que haga clic sobre un enlace ya que se les solicita que vayan a los juzgados, para lo cual tienen un plazo de 14 días. Sin embargo, no hay información sobre qué trata el caso por el que la víctima ha sido citada.





https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2019/11/imagen1.jpg?w=533&ssl=1



Muestra del e-mail enviado en la campaña de phishing de Predator the Thief

Fuente de la imagen: Cofense.com





Si la víctima hace clic en el enlace, se les redirige a un proveedor de hosting en la nube que a su vez enlaza a un documento que contiene el malware Predator the Thief, el cual es común encontrar a la venta en foros underground de cibercriminales.



Este malware puede robar nombres de usuario, contraseñas, información sobre el navegador y carteras de criptomonedas (archivos .dat y .wallet de Ethereum, Mutibit, Electrum, Armory, Bytecoin y Bitcoin), así como también saca fotos usando la cámara del ordenador. El malware fue detectado por primera vez en julio de 2018.



Los e-mails de esta campaña de phishing usan una serie de capas para hacer que las características maliciosas del mensaje no sean detectadas por las diferentes medidas de seguridad informática del equipo infectado. El e-mail contiene un enlace a Google Docs, el cual es usado para hacer creer al usuario que el servicio está llevando a cabo comprobaciones de seguridad y que redirige automáticamente al usuario a Microsoft OneDrive, y este entrega un documento de Microsoft Word a la víctima. Al igual que en otras muchas campañas de phishing, el documento pide al usuario habilitar las macros; en caso de hacer esto, el malware es descargado mediante PowerShell. Entonces Predator infecta el endpoint e intenta capturar información sensible (cada paso de la cadena de ejecución del malware se podría evitar con una configuración adecuada de la tecnología de protección de los equipos de las víctimas, así como la educación adecuada de éstas últimas en temas de ciberseguridad).



Cadena de infección de Predator the Thief



https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2019/11/imagen2.jpg?resize=768%2C236&ssl=1

Fuente de la imagen: Cofense.com



Entonces, el malware se conecta al servidor de C2 y proporciona al atacante una puerta de enlace al equipo infectado, así como la posibilidad de robar datos sin ser detectado. Cuando el cibercriminal da por finalizada su actividad, Predator the Thief se autodestruye, limpiando cualquier evidencia que pueda haber dejado.



Sin embargo, a pesar de lo peligroso de la campaña, los usuarios que reciben este tipo de e-mail pueden detectar que hay algo de raro en su contenido (además de la dirección de correo desde la que se recibe la comunicación) con tan solo prestar un poco de atención y no dejarse llevar por la sorpresa de recibir una citación para los juzgados: el mensaje original utiliza la palabra «subpoena» (traducida al español como «citación»), la cual es utilizada frecuentemente en Estados Unidos mientras que las cortes en Reino Unido no la han usado desde el año 1999 (en Reino Unido se utiliza la expresión «witness summons«).



Datos técnicos de Predator the Thief



Escrito en C/C++, Predator the Thief tiene todas las características básicas de la gran mayoría de malwares dedicados al robo de información. Sin embargo, una de las cosas que lo hace único es el gran número de navegadores a los que afecta, lo que quiere decir que incluso un navegador poco conocido podría verse comprometido. Los atacantes distribuyen el malware a sus compradores a través de un canal de Telegram que también es usado como canal de atención al cliente. A pesar de que Predator the Thief dice tener capacidades Anti-VM, las versiones antiguas pueden ser detectadas por procesos de escaneo automáticos de los antivirus. De la misma forma, una versión nueva puede ser detectada fácilmente en un entorno sandbox una vez el binario se ha desempaquetado a sí mismo en la memoria del dispositivo (a pesar de esto hay que tener en cuenta que sus creadores están adaptando el malware con bastante rapidez mediante técnicas FUD (Fully UnDetectable).



Como se mencionó anteriormente, este malware tiene como objetivo carteras de criptomonedas, información del navegador, información FTP, y credenciales de e-mail. También puede hacer capturas de pantalla del equipo infectado. La información se almacena en el archivo «information.log» y se envía al servidor C2 mediante una petición HTTP POST y de ahí a una red endpoint «gate.get» por defecto. La información de este archivo contiene datos sobre el equipo y características del usuario, credenciales robadas y configuraciones de la red. Una vez se ha reunido la información y la muestra se ha exfiltrado correctamente al C2, el binario limpia todo rastro de la infección y se autodestruye. Esta «limpieza» hace mucho más difícil la investigación forense del equipo infectado.



Otro aspecto que dificulta la tarea ya no de detección, sino el análisis del malware en sí mismo, es el uso de métodos de ofuscación por los creadores de Predator. Aunque consideradas simples, las técnicas de ofuscación utilizadas (XOR, Base63, sustituciones, y cadenas de Stack, entre otras) son usadas para ocultar los métodos de la API, las rutas de las carpetas, las claves de registro, el servidor C2 y el panel de administrador, etc.



Quienes quieran mayor información sobre los detalles técnicos de este malware, pueden visitar la publicación de @Fumik0, un analista de malware francés que analizó las versiones 2.3.5 y 2.3.7 en su blog y quien explica paso a paso el funcionamiento del malware con bastante información extra en algunas partes.



¿Cómo protegernos?



Para ayudar a protegernos como individuos particulares y como empresas, existen diversas opciones:



A pesar de que las opciones de seguridad básicas interpretarían la URL de Google Docs como legítima -de hecho, la campaña ha evadido el control de seguridad «Secure Email Gateway» (SEG) de FireEye y puede haber sido pasada por alto por otros sistemas de securización- escanear los enlaces que se cargan con posterioridad debería revelar las intenciones del malware, y es en este punto donde el software de seguridad deberían bloquear las actividades que siguen a la ejecución del malware.

Deshabilitar las macros y monitorizar la ejecución de PowerShell junto a la educación de los usuarios sobre los peligros de tenerlas habilitadas.



Usar protección en nuestro endpoint que lleve a cabo un análisis de la memoria con el objetivo de comprobar si se ha ejecutado algún payload y frustrar la intrusión en el último paso de la cadena de infección.



Tener numerosas medidas de seguridad en la red que monitoricen si se extraen datos y si existen paquetes HTTP POST sospechosos, para así detectar la intrusión o bloquear la ruta de extracción de datos.



Si recibimos un correo electrónio de alguien que no conocemos incitándonos a hacer clic en algún enlace, es mejor no hacerlo y llamar primero a la persona que aparentemente nos envía el e-mail para verificar si realmente es legítimo o no.



Si por error descargamos el archivo, éste debe ser escaneado con una herramienta de seguridad, como un antivirus, antes de abrirlo.







Ver información original al respecto en Fuente>

https://unaaldia.hispasec.com/2019/11/tienes-una-citacion-nuevo-objetivo-del-malware-predator-the-thief.html...



Pulsar para mostrar/ocultar texto. Cuidado con un falso mail de mercadona con enlace malicioso
[Noticias]   Sun, 10 Nov 2019 12:23:02 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Retraso en pago de factura de Mercadona, así intentan colarnos un troyano por email

?

El phishing es una técnica bastante efectiva para infectar al usuario con malware o conseguir sus datos sin demasiado esfuerzo. Básicamente, se basa en replicar la apariencia de una comunicación de una empresa legítima ya sea por SMS o por correo electrónico, incluso replicando la apariencia de su página web con un dominio que suele ser bastante parecido. El último caso que hemos conocido está relacionado con Mercadona y un supuesto retraso en el pago de factura. Evidentemente, el único objetivo es hacernos pinchar en el enlace para robar nuestros datos.





Debemos extremar las precauciones a la hora de abrir los emails que recibimos. Está claro que los responsables de estos timos tienen bastante experiencia en llamar nuestra atención, utilizando para ello empresas muy conocidas con las que seguro estamos relacionados (Mercadona en este caso) y con mensajes muy llamativos (deuda no cobrada, retraso en factura, regalo, etc.).



https://www.adslzone.net/app/uploads/2018/05/mercadona-nueva-web-almacen-tienda-online.jpg

mercadona nueva web almacen tienda online



Estafa con Mercado: Retraso en pago de factura – Regularización!

Con el llamativo mensaje Retraso en pago de factura – Regularización!, este email cuenta con el logo de Mercadona en la parte superior y utilizar su característico color verde para intentar ser más creíble. El asunto, que a buen seguro nos llama la atención, da paso al siguiente texto:





Tuvimos que suspender tu cuenta porque detectamos un comportamiento irregular en tus operaciones.



Le recordamos que tiene pagos pendientes con nosotros y que puede regularizar su situación. Evitando que los valores continúen siendo corregidos y aumentados!



El pago de la cuota de entrada o la cuota única de este acuerdo es la formalización de su aceptación de esta negociación y sus condiciones, que se detallan a continuación.



Al final incluye un enlace a Regularizar la situación! e incluso tenemos información legal de Mercado como © Mercadona S.A. A46103834. Todos los derechos reservados. El problema viene al pinchar en el enlace que incluso Gmail catalogo de sospechoso y nos advierte:



Enlace sospechoso Este enlace te llevaría a un sitio web no fiable. ¿Seguro que quieres ir a citropocos.com.br?



https://www.adslzone.net/app/uploads/2019/11/screenshot.22.jpg



Sólo con eso bastaría para salir corriendo, pero es posible que alguno sea de dedo rápido y termine entrando en la falsa web. Nada más abrirla, se nos descargará el fichero VoucherCarrefourSpainEUR.zip que no debemos descomprimir bajo ningún concepto. Basta con pasar el fichero por Virustotal para que detecte varias amenazas. Sin ir más lejos los troyanos:



Win32/TrojanDownloader.Banload

Win32/Fuery.C!cl

Zpevdo



Por todo ello, si recibimos este supuesto email de Mercadona más vale que lo borremos sin ni siquiera abrirlo. Es básicamente un intento de colarlos un troyano en el ordenador utilizando para ello el phishing y la imagen de la conocida cadena de supermercados.









Ver información original al respecto en Fuente>

https://www.adslzone.net/2019/11/08/troyano-email-factura-mercadona-phishing/







COMENTARIO:



RECORDAR QUE NO DEBE EJECUTARSE FICHEROS, ENLACES O IMAGENES DE MAILS RECIBIDOS SIN HABER SIDO SOLICITADOS, AUNQUE SEA DE ALGUNA EMPRESA CONOCIDA, COMO EN ESTE CASO !!!



saludos



ms, 9-11-2019...



Pulsar para mostrar/ocultar texto. Nueva version de utilidad elistara 42.30
[Noticias]   Sat, 09 Nov 2019 14:48:42 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Para control de nuevas variantes víricas según muestras recibidas, hemos desarrollado la nueva versión 42.30 del ElistarA de hoy















ElistarA





---v42.30-( 8 de Noviembre del 2019) (Muestras de Malware.DHCPMon, Malware.Foisdiu, (4)Trojan.Emotet.C "voldir.exe", Trojan.Swisyn.AE "svchost.exe" y Trojan.Totbrick "*.exe")











saludos



ms, 8-11-2019
...



Pulsar para mostrar/ocultar texto. Xhelper, el virus que ya infectó 45.000 dispositivos android y no puede ser eliminado
[Noticias]   Sat, 09 Nov 2019 14:44:42 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Xhelper, el virus que ya infectó 45.000 dispositivos Android y no puede ser eliminado



El malware es capaz de reinstalarse después de que los usuarios lo quitaron manualmente. ¿Sobrevive incluso a un restablecimiento de fábrica?

7 noviembre, 2019



Un nuevo virus enciende las alarmas en el universo Android, el sistema operativo que corre en más del 80% de los smartphones a nivel mundial. Xhelper, tal como lo bautizaron, ya atacó más de 45.000 dispositivos y su alcance es cada vez mayor. Además, lo que más preocupa a expertos y usuarios es que no puede ser eliminado sencillamente.



Las casi 50.000 víctimas de Xhelper se acumularon en los últimos seis meses, especialmente en Estados Unidos, Rusia y La India.



Especialistas en seguridad informática explican que este malware es realmente resistente. De hecho, sería capaz de sobrevivir a un restablecimiento de fábrica, el método comúnmente empleado para dejar un móvil como si jamás lo hubiésemos usado.

Xhelper, un virus persistente



Desde la firma Symantec señalan que se observó un aumento en las detecciones de este programa malicioso, que se oculta en los equipos infectados, descarga aplicaciones adicionales y tiene la capacidad de resucitar.



¿Cómo es esto? De acuerdo a los investigadores, Xhelper logra reinstalarse después de que el usuario lo eliminó en forma manual.



Ahora bien, ¿cuán posible es que un malware, cualquiera sea, permanezca y siga actuando después de un restablecimiento de fábrica? Consultado por Forbes, un investigador de la mencionada empresa dijo: No sobrevive técnicamente a ese proceso (…) Creemos que puede haber sido eliminado y luego reinstalado por otro malware, dando así la impresión de sobrevivir.



Tal como usualmente comentamos en TN Tecno, para estar a salvo de este tipo de ataques es importante aplicar buenas prácticas en el uso de los móviles. En este caso, hay que evitar reinstalar las mismas apps después del restablecimiento de fábrica y principalmente eludir la descarga de aplicaciones fuera de Google Play, la tienda oficial para Android. También es fundamental revisar con atención los permisos que solicitan las herramientas, antes de su instalación. Y por supuesto disponer de un antivirus en el equipo.





Ver información original al respecto en Fuente>

https://sinmordaza.com/noticia/747281-xhelper-el-virus-que-ya-infecto-45-000-dispositivos-android-y-no-puede-ser-eliminado.html...



Pulsar para mostrar/ocultar texto. Muestras de nueva variante de virus swisyn infector de exes enviada desde venezuela
[Noticias]   Sat, 09 Nov 2019 12:02:24 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

MUESTRAS DE NUEVA VARIANTE DE VIRUS Swisyn INFECTOR DE EXES enviada desde Venezuela





Una nueva variante del virus SWISYN , que infecta EXES en donde se acceda, sea en el disco duro, en pendrives o incluso en los antiguos disquetes, y que el ElistarA ha detectado heuristicamente sus rutinas y pedido muestra para analizar, está haciendo estragos en Venezuela, pues donde se trabaje una vez se haya ejecutado, todos los EXE estarán infectados y modificados, si bien deja al final de dichos EXE su fichero original, sin modificar ni el icono, lo cual lo hace pasar muchas veces inadvertido.



A partir del ElistarA de hoy pasamos a controlar dicha nueva variante, eliminando los ficheros "madre" (originales de la infección) y renombrando a extensión .VXE a los infectados, evitando que cualquiera de ellos propague dicha infección.



El preanalisis de virustotal ofrece el siguiente informe:

https://www.virustotal.com/gui/file/48ea6f8e9c37bebcdb8f59f33efaa26e0a9d488af9bfc7c87b54118381c99e50/detection





La técnica usada es muy ingeniosa y logra incluso engañar al ElistarA, que siempre que es modificado informa de ello, pero en este caso logra "colar" al estar el programa integro al final ...





Si lo detectan con el ElistarA, MUCHO CUIDADO, pues el mismo ElistarA puede haber sido infectado sin dar señales de ello, y con ello ir infectando todos los EXE tras ejecutarlo !!!







saludos



ms, 8-11-2019...



Pulsar para mostrar/ocultar texto. Muestras pedidas por el elistara que resultan ser totbrick
[Noticias]   Sat, 09 Nov 2019 11:34:47 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Como se ve en el informe del ElistarA:



"Lista de Acciones (por Acción Directa):

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\UQOTIPU.EXE.Muestra EliStartPage v42.26

a "virus@satinfo.es". Gracias.

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\EXTVISUAL\UQOTIPU.EXE --> Eliminado

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\887E~1.EXE.Muestra EliStartPage v42.26

a "virus@satinfo.es". Gracias.

C:\USERS\ADMINISTRADOR\APPDATA\ROAMING\EXTVISUAL\887E~1.EXE --> Eliminado "





Las muestras recibidas ofrecen estos informes con el virustotal:





INFORME DEL UQOTIPU.EXE

https://www.virustotal.com/gui/file/1ddd7a344f90a9501792dc272674613ea8e4e7be58d0d4fb4591fa2d82fd71f7/detection





INFORME DEL 887E-1.EXE

https://www.virustotal.com/gui/file/1ddd7a344f90a9501792dc272674613ea8e4e7be58d0d4fb4591fa2d82fd71f7/detection





Ambos ficheros ya son controlados por el actual ElistarA, pero se avisa que muchas veces los TOTBRICK han sido descargados por el peligroso EMOTET, aparte de poder haberlo sido por cualquier otro downloader





Esperando que lo indicado les haya sido de interés, reciban saludos





saludos



ms, 8-11-2019...



Pulsar para mostrar/ocultar texto. Nuevo mail que adjunta un fichero doc con macros maliciosas
[Noticias]   Sat, 09 Nov 2019 11:04:48 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Se recibe un mail como respuesta a una Noticia del destinatario, en el que anexan un fichero DOC con macros maliciosas:





TRXTO DEL MAIL

______________





Asunto: Re: Noticias del destinatario

De: "EIVASA" <leroyw@coffmantrucks.com>

Fecha: 08/11/2019 9:36

Para: "destinatario"











Rellena solo el certificado, es que van todos los documentos juntos.







Gracias!





EIVASA





_________





El preanalisis de virustotal ofrece el siguiente informe>

https://www.virustotal.com/gui/file/79e3387b74bdabd11a25c8b04b23abc94ab18351d979f101874d4f0a521ee489/detection







Como siempre indicamos, NO DEBEN EJECUTARSE LOS FICHEROS RECIBIDOS EN MAILS NO SOLICITADOS, Y SI SON DOC, NO ABRIR SUS MACROS.



En este caso, la picardía es la de parecer responder a una noticia del usuario, pero no debemos dejarnos engañar !!!





saludos



ms, 8-11-2019...



Pulsar para mostrar/ocultar texto. Un nuevo mail que simula haber sido enviado por el bbva, adjunta fichero malicioso
[Noticias]   Sat, 09 Nov 2019 10:37:49 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Aparentando venir de Confirming.bbva@bbva.com, llega un mail anexando fichero malicioso que resulta ser un downloader



TEXTO DEL MAIL

_______________



Asunto: BBVA-Confirming Cesión de Créditos

De: Confirming.bbva@bbva.com

Fecha: 08/11/2019 0:44

Para: undisclosed-recipients:;





Muy Srs nuestros:



Nos complace adjuntarles información relativa a Cesión de Créditos.



Este mensaje se envia automaticamente desde BBVA como medio informativo a través del correo electrónico facilitado



...







FICHERO ANEXADO : Cesión de Créditos.gz (que contiene CESION DE CREDITOS.EXE ---> resulta ser fichero malicioso downloader que pasamos a controlar como downloader con el ElistarA de hoy)



_______________





Informe del preanalisis de virustotal >

https://www.virustotal.com/gui/file/846726f3fc82ff62c108f7cfa29d5046c89e02d7610932c25b3ac4a7646c37c5/detection





Ya detectado por algunos AV como Downloader:Win32/Dawnla, que segun Microsoft corresponde a https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:Win32/Dawnla.A!MSR&threatId=-2147222869



TENER EN CUENTA QUE AUN CONOCIENDO EL REMITENTE NO DEBE EJECUTARSE EL FICHERO ANEXADO A UN MAIL NO SOLICITADO, pues por ejemplo este, que aparenta ser del BBVA es malicioso !!!





Esperando que lo indicado haya sido de su interés, reciba saludos



ms, 8-11-2019







https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=TrojanDownloader:Win32/Dawnla.A!MSR&threatId=-2147222869...



Pulsar para mostrar/ocultar texto. Informes de los preanalisis de virustotal sobre nuevas muestras que pasaremos a controlar con elistara 42.30
[Noticias]   Sat, 09 Nov 2019 09:47:19 +0100
Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador Enchilame Agregador Facebook Agregador Fresqui Agregador Furl Agregador Google Agregador Meneame Agregador Mister Wong Agregador Mixx Agregador MSN Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TwitThis Agregador Windows Live Agregador YahooMyWeb   Fuente en español (es)

Informes de los Preanalisis de VirusTotal sobre nuevas muestras que pasaremos a controlar con ElistarA 42.30





Extracto de los analisis de nuevas muestras de malware que añadiremos al control del ElistarA 42.30 de hoy







Malware.Foisdiu

https://www.virustotal.com/gui/file/692219cd46e619867b04d6ea3ed7a2179e3c998aa32e263a1ab75eec90d25f47/detection





Trojan.Emotet.Ctps://http://www.virustotal.com/gui/file/df159e1c84b06cf4634f46a45f88bcce5b42eda62066d5281f0102d75e69c83f/detection





Trojan.Swisyn

https://www.virustotal.com/gui/file/48ea6f8e9c37bebcdb8f59f33efaa26e0a9d488af9bfc7c87b54118381c99e50/detection





Malware.DHCPMon

https://www.virustotal.com/gui/file/692219cd46e619867b04d6ea3ed7a2179e3c998aa32e263a1ab75eec90d25f47/detection





Trojan.Totbrick, TrickBot o Trickster

https://www.virustotal.com/gui/file/9df13782a06a77cffe00501500a6c75edecf37d04bd532eb3a1c7995167e087b/detection















saludos





ms, 8-11-2019...



Otros agregadores para esta fuente:

Agregador accioname Agregador Bitacoras Agregador blinkbits Agregador blinklist Agregador Blogmemes Agregador del.icio.us Agregador digg Agregador diigo Agregador Enchilame Agregador Facebook Agregador favoriting Agregador Fresqui Agregador Furl Agregador Google Agregador i-Gava.Info Agregador jamespot Agregador linkedin Agregador Meneame Agregador minvertirol Agregador Mirlobolsa Agregador Mister Wong Agregador Mixx Agregador MSN Agregador negociame Agregador Neodiario.com Agregador NewsVine Agregador Promotingblogs Agregador Propeller Agregador Reddit Agregador Sphinn Agregador StumbleUpon Agregador Technorati Agregador TOPfn Agregador twine Agregador TwitThis Agregador webalalza Agregador webeame Agregador WIKIO Agregador Windows Live Agregador YahooMyWeb 


Convertido a HTML en 8.0904450416565 segundos