Mensajes

Creo que estás suscrito en algún servicio.
Yo revisaría los app que tengas instalados, en alguno se te está cobrando un servicio que desconoces.
Al mes son casi 10 euros, alguna afiliación o suscripción anda por medio, lo raro es que no encuentro nada similar en la red.

Saludos.

ARCHIVOS ASOCIADOS:

2018-07-02-Emotet-malspam-16-email-examples.txt.zip 4.8 kB (4.767 bytes)
2018-07-02-Emotet-malspam-16-email-examples.txt (15.796 bytes)
2018-07-02-Emotet-malspam-infection-traffic-in-AD-environment.pcap.zip 4.6 MB (4.620.312 bytes)
2018-07-02-Emotet-malspam-infection-traffic-in-AD-environment.pcap (5,303,730 bytes) / li>
2018-07-02-malware-associated-with-Emotet-infection.zip 541 kB (541,462 bytes)
2018-07-02-descargar-Word-doc-with-macro-for-Emotet.doc (232,192 bytes)
2018-07-02-Emotet-malware-binary-1-of-2.exe (208,896 bytes)
2018-07-02-Emotet-malware-binary-2-of-2.exe (203,776 bytes)
2018-07-02-Zeus-Panda-Banker-caused-by-Emotet.exe (223,744 bytes)
 
NOTAS:

Se generó esta infección en un entorno de Active Directory (AD), solo para ver si sucedía algo inusual.
Entonces, el tráfico en el pcap de hoy es un poco más desordenado que en mis publicaciones normales de blog.
Por lo que puedo decir, no sucedió nada inusual, aparte del tráfico de infección esperado.



LISTA DE BLOQUES DE TRÁFICO DE INTERNET
Los indicadores no son una lista de bloqueo. Si siente la necesidad de bloquear el tráfico web, le sugiero las siguientes URL y dominio:

hxxp: //all4mums.ru/Client/Past-Due-invoice/
hxxp: //chinaspycam.com/includes/languages/english/html_includes/En/DOC/Account-20064/
hxxp: //chouett-vacances.com/Payment-and-address/Invoice-70195027-070118/
hxxp: //cqfsbj.cn/DOC/Auditor-of-State-Notification-of-EFT-Deposit/
hxxp: //minami.com.tw/DOC/Account-55907/
hxxp: //nagoyamicky.com/cacheqblog/Payment-and-address/Invoice-3838804/
hxxp: //own-transport.com/pub/OVERDUE-ACCOUNT/tracking-number-and-invoice-of-your-order/
hxxp: //www.caglarturizm.com.tr/INVOICE-STATUS/Please-pull-invoice-47924/
hxxp: //www.customaccessdatabase.com/En/Purchase/HRI-Monthly-Invoice/
hxxp: //www.gracetexpro.com/Greeting-eCard/
hxxp: //www.jxprint.ru/Order/Payment/
hxxp: //www.legionofboomfireworks.com/Statement/Direct-Deposit-Notice/
hxxp: //www.marcoantoniocasares.com/Purchase/Pay-Invoice/
hxxp: //www.perezdearceycia.cl/wp-content/FILE/Invoice-23382229-070218/
hxxp: //www.sewamobilbengkulu.web.id/4th-July-2018/
hxxp: //zlc-aa.org/New-Order-Upcoming/588052/
hxxp: //clubvolvoitalia.it/r3z6/
hxxp: //ericconsulting.com/7I3eUNF/
hxxp: //www.goldenfell.ru/media/5DzF30jL/
hxxp: //jmamusical.jp/wordpress/wp-content/L8J0igh/
hxxp: //www.mobsterljud.se/VJkuLg/
hxxp: //74.79.26.193: 990 / whoami.php
canariasmotor.top



DATOS DE 16 EJEMPLOS DE CORREO ELECTRÓNICO DEL MALSPAM:

Recibido: de ([80.14.105.108])
Recibido: desde ([103.55.69.138])
Recibido: desde ([137.59.225.35])
Recibido: desde ([196.250.41.105])
Recibido: de ([221.163.32.101])
Recibido: de 10.0.0.0 ([119.148.37.228])
Recibido: desde 10.0.0.16 ([211.221.155.202])
Recibido: desde 10.0.0.20 ([117.240.219.106])
Recibido: desde 10.0.0.28 ([189.194.248.28])
Recibido: desde 10.0.0.28 ([220.249.72.99])
Recibido: desde 10.0.0.30 ([221.163.32.101])
Recibido: de 10.0.0.36 ([14.51.231.1])
Recibido: desde 10.0.0.40 ([187.144.210.26])
Recibido: desde 10.0.0.49 ([122.160.85.51])
Recibido: desde 10.0.0.59 ([90.86.57.136])
Recibido: desde 10.0.0.63 ([221.163.32.101])
 

REMITENTES ESPOSOS:

De: alexa.ballantine@gmail.com <[suplantando el envío de la dirección de correo electrónico]>
De: Jamacapq@sbcglobal.net <[falso enviando la dirección de correo electrónico]>
De: ramakrishna3sbc32@gmail.com <[dirección de correo electrónico de envío falso]>
De: Amanda Fisher <[suplantando el envío de la dirección de correo electrónico]>
De: Andrew Clough <[suplantando el envío de la dirección de correo electrónico]>
De: andy <[dirección de correo electrónico de envío falso]>
De: Beacon Systems <[falsificó el envío de la dirección de correo electrónico]>
De: CYNTHIA HARRY <[falsificó el envío de la dirección de correo electrónico]>
De: Darren Hamm <[falsificó el envío de la dirección de correo electrónico]>
De: Kira Holden <[falso enviando dirección de correo electrónico]>
De: Marina Eckert <[falsificó el envío de la dirección de correo electrónico]>
De: Mike Andrews <[falsificó el envío de la dirección de correo electrónico]>
De: Phil Gibson <[falsificó el envío de la dirección de correo electrónico]>
De: Priyanka Kapadia <[falsificó el envío de la dirección de correo electrónico]>
De: robert biggs <[dirección de correo electrónico de envío falso]>
De: Terry Nelson <[falsificó el envío de la dirección de correo electrónico]>
 

LÍNEAS DE SUJETOS:

Asunto: Los deseos del 4 de julio
Asunto: =? UTF-8? B? Vm9zIGZhY3R1cmVzIGltcGF5w6llcyBkdSAwMi8wNy8yMDE4ICMwMTUtNTgyMQ ==? =
Asunto: Darren Hamm 4 de julio Tarjeta de felicitación
Asunto: Cuenta final
Asunto: FACTURA INCORRECTA
Asunto: Número de factura 13915
Asunto: Número de factura 55057
Asunto: Factura # 3988726
Asunto: FACTURA FQOVN / 2773110/730 pendientes
Asunto: FACTURA EXCEPCIONAL XOJR / 7763411/6403
Asunto: envíe copia de la factura
Asunto: RE: INVOICE BIA pendiente / 066250/5423
Asunto: RTZM3-9044531941
Asunto: factura de ventas
Asunto: Diseño de asesoramiento de remesa separado: documento en papel A4
Asunto: Votre facture du 02 juillet Nr. 08296866





URLS DE MALSPAM PARA DESCARGAR EL DOCUMENTO INICIAL DE WORD:

hxxp: //all4mums.ru/Client/Past-Due-invoice/
hxxp: //chinaspycam.com/includes/languages/english/html_includes/En/DOC/Account-20064/
hxxp: //chouett-vacances.com/Payment-and-address/Invoice-70195027-070118/
hxxp: //cqfsbj.cn/DOC/Auditor-of-State-Notification-of-EFT-Deposit/
hxxp: //minami.com.tw/DOC/Account-55907/
hxxp: //nagoyamicky.com/cacheqblog/Payment-and-address/Invoice-3838804/
hxxp: //own-transport.com/pub/OVERDUE-ACCOUNT/tracking-number-and-invoice-of-your-order/
hxxp: //www.caglarturizm.com.tr/INVOICE-STATUS/Please-pull-invoice-47924/
hxxp: //www.customaccessdatabase.com/En/Purchase/HRI-Monthly-Invoice/
hxxp: //www.gracetexpro.com/Greeting-eCard/
hxxp: //www.jxprint.ru/Order/Payment/
hxxp: //www.legionofboomfireworks.com/Statement/Direct-Deposit-Notice/
hxxp: //www.marcoantoniocasares.com/Purchase/Pay-Invoice/
hxxp: //www.perezdearceycia.cl/wp-content/FILE/Invoice-23382229-070218/
hxxp: //www.sewamobilbengkulu.web.id/4th-July-2018/
hxxp: //zlc-aa.org/New-Order-Upcoming/588052/
URLS DE MACRO EN LA PALABRA DESCARGADA DOC PARA GRABAR UN EMOTET BINARIO:

hxxp: //clubvolvoitalia.it/r3z6/
hxxp: //ericconsulting.com/7I3eUNF/
hxxp: //www.goldenfell.ru/media/5DzF30jL/
hxxp: //jmamusical.jp/wordpress/wp-content/L8J0igh/
hxxp: //www.mobsterljud.se/VJkuLg/
TRÁFICO DE INFECCIÓN EMOTET:

156.67.209.70 puerto 80 - www.sewamobilbengkulu.web.id - GET / 4th-July-2018 / - devuelto Word doc
94.141.21.54 puerto 80 - clubvolvoitalia.it - ​​GET / r3z6 / - devuelto Emotet binario
92.27.116.104 puerto 80: intentos de conexiones TCP, pero ninguna respuesta del servidor (causada por Emotet)
24.173.127.246 puerto 443 - 24.173.127.246:443 - POST / - causado por Emotet
185.45.193.240 puerto 443 - canariasmotor.top - Tráfico HTTPS / SSL / TLS causado por Zeus Panda Banker
74.79.26.193 puerto 990 - 74.79.26.193:990 - GET /whoami.php - causado por Emotet
74.79.26.193 puerto 990 - 74.79.26.193:990 - POST / - causado por Emotet
 

MALWARE
MALWARE RECUPERADO DE MI ANFITRIÓN INFECTADO DE WINDOWS:

SHA256 hash: 4b3159ce83df623e093304b48ebf600a4932a2dc8067792b5dec5248d29c4ccf
Tamaño del archivo: 232,192 bytes
Nombre de archivo: wishes-July-4th.doc (nombre aleatorio en 4 de julio o Día de la Independencia)
Descripción del archivo: documento de Word descargado del enlace en uno de los correos electrónicos. Tiene macro para recuperar Emotet.
SHA256 hash: da4e4afbc50adfaa1b0e3d9288ec77346d9b4ebc6bc8538c7801ef4412b19b71
Tamaño del archivo: 208,896 bytes
Ubicación del archivo: C: \ Users \ [username] \ AppData \ Local \ Microsoft \ Windows \ [random file name] .exe
Descripción del archivo: Emotet malware binary descargado por macro en Word doc descargado
SHA256 hash: 47280253fad49f9f5ebacb420b30985fc68f22fd3a6e51f41571648ce77a8edd
Tamaño del archivo: 203,776 bytes
Ubicación del archivo: C: \ Users \ [username] \ AppData \ Local \ Microsoft \ [random file name] .exe
Descripción del archivo: binario actualizado Malware malware después de que el host se infectó por un tiempo
SHA256 hash: 2527c9eb597bd85c4ca2e7a6550cc7480dbb3129dd3d6033e66e82b0988ee061
Tamaño del archivo: 223,744 bytes
Ubicación del archivo: C: \ Users \ [username] \ AppData \ Roaming \ [ruta del directorio existente] \ [nombre de archivo aleatorio] .exe
Descripción del archivo: Zeus Panda Banker descargado por mi host infectado con Emotet
 

NOTAS FINALES
Una vez más, aquí están los archivos asociados:

https://www.malware-traffic-analysis.net/2018/07/02/2018-07-02-Emotet-malspam-16-email-examples.txt.zip 4.8 kB (4.767 bytes)
https://www.malware-traffic-analysis.net/2018/07/02/2018-07-02-Emotet-malspam-infection-traffic-in-AD-environment.pcap.zip 4.6 MB (4.620.312 bytes)
https://www.malware-traffic-analysis.net/2018/07/02/2018-07-02-malware-associated-with-Emotet-infection.zip 541 kB (541,462 bytes)
Los archivos Zip están protegidos por contraseña con la contraseña estándar. Si no lo sabe, mire la página "sobre" de este sitio web.

Log Killer es una herramienta para servidores [Linux / Windows]. Esta herramienta eliminará todos tus registros, solo descarga la herramienta y ejecútala en el servidor; si tu SO del servidor es Windows, descarga el archivo por lotes pero, si tu servidor Linux, entonces debes ejecutar el script php.





Linux:



[youtube=640,360]https://youtu.be/_5wpKYaJQko[/youtube]

Link: https://github.com/Rizer0/Log-killer

Saludos.

Aviso de seguridad de Ubuntu 3695-1:

Wen Xu descubrió que la implementación del sistema de archivos ext4 en el kernel de Linux no inicializaba correctamente el controlador de suma de comprobación crc32c. Un atacante local podría usar esto para causar una denegación de servicio. Se descubrió que el controlador cdrom en el kernel de Linux contenía una verificación de límites incorrecta. Un atacante local podría usar esto para exponer información sensible. También se abordaron otros temas diversos.

Más información: https://packetstormsecurity.com/files/148401

Saludos.

No creo que puedas, si no mira la cantidad de mensajes que tiene, es una pasada...
No te lo tomes a mal, poder claro que puedes, solo es ir añadiendo noticias al foro, todo el mundo puede, solo hay que ser constante.

Saludos.

Que yo sepa, no...
Mañana a esta hora ya habrá posteado algo seguro.

Saludos.

Mientras que la criptomoneda ha experimentado un gran crecimiento en el último año, el envío de criptocoins aún requiere que los usuarios envíen las monedas a direcciones largas y difíciles de recordar. Debido a esto, al enviar cryptocoins, muchos usuarios simplemente copian la dirección en la memoria de una aplicación y la pegan en otra aplicación que están utilizando para enviar las monedas.

Los atacantes reconocen que los usuarios están copiando y pegando las direcciones y han creado malware para aprovechar esto. Este tipo de malware, llamado CryptoCurrency Clipboard Hijackers, funciona monitorizando el portapapeles de Windows en busca de direcciones de criptomoneda, y si se detecta uno, lo intercambiará con una dirección que ellos controlen. A menos que un usuario verifique dos veces la dirección después de pegarla, las monedas enviadas irán a una dirección bajo control de los atacantes en lugar del destinatario previsto.

Si bien hemos cubierto secuestradores de portapapeles de criptomonedas en el pasado y no son nuevos, la mayoría de las muestras anteriores monitorearon entre 400 y 600 mil direcciones de criptomoneda. ¡Esta semana BleepingComputer notó una muestra de este tipo de malware que monitorea más de 2.3 millones de direcciones de criptomonedas!



Para ilustrar cómo este malware reemplazará las direcciones de criptomoneda encontradas en el portapapeles de Windows, hemos creado el siguiente video.

[youtube=640,360]https://youtu.be/Ty-_IjavYH4[/youtube]

Más información: https://www.bleepingcomputer.com/news/security/clipboard-hijacker-malware-monitors-23-million-bitcoin-addresses/

Saludos.

Un error en la aplicación predeterminada de mensajes de texto de Samsung es enviar fotos aleatorias a otras personas.



Enviar imágenes a otros es una de las funciones más básicas de un teléfono inteligente, pero cuando la aplicación de mensajes de texto de su teléfono comienza a sacar fotos al azar sin su conocimiento, usted tiene un problema.

Y desafortunadamente, de acuerdo con algunas quejas en Reddit y los foros oficiales de Samsung, parece que eso es exactamente lo que le sucedió a un puñado de usuarios de teléfonos Samsung, incluidos los propietarios de dispositivos de último modelo como el Galaxy Note 8 y el Galaxy S9.

Según los informes de los usuarios, el problema proviene de los mensajes de Samsung, la aplicación de mensajes de texto predeterminada en los dispositivos Galaxy, que (por motivos que no se han determinado) envía erróneamente imágenes almacenadas en los dispositivos a contactos aleatorios a través de SMS. Un usuario de Reddit incluso afirma que, en lugar de enviar una foto, Samsung Messages envió su galería de fotos completa a un contacto en el medio de la noche.

Afortunadamente para esa persona (o tal vez no), esas imágenes fueron enviadas a su compañero. Pero para otros que pueden haber enviado fotos a destinatarios más sensibles, como un socio comercial o jefe, el error podría dar a otras personas un vistazo no deseado a su vida privada.

La parte más aterradora de este error es que cuando los errores de mensajes de Samsung envían fotos a otras personas, según se informa, no deja ninguna evidencia de que lo haga, lo que significa que la gente puede no saber que sus fotos se han liberado hasta que sea demasiado tarde .

Actualmente, la teoría predominante sobre qué está causando este error es una interacción extraña entre los mensajes de Samsung y las recientes actualizaciones de perfil de RCS que se han implementado en los operadores, incluido T-Mobile. El objetivo de RCS (Rich Communication Services) es mejorar el obsoleto protocolo de SMS con nuevas funciones como compartir mejor los medios, escribir indicadores y leer recibos. El problema ahora es que parece que la manera en que se maneja RCS en los mensajes de Samsung es un desastre.

Cuando se le solicitó un comentario, Samsung le envió una declaración a Gizmodo, diciendo: "Estamos al tanto de los informes sobre este asunto y nuestros equipos técnicos lo están investigando. Los clientes interesados ​​pueden contactarnos directamente al 1-800-SAMSUNG. "También nos comunicamos con T-Mobile, que respondió remitiendo usuarios a Samsung, diciendo:" No es un problema de T-Mobile ".

Mientras tanto, para los propietarios de Samsung preocupados de que su teléfono pueda enviar fotos sensibles a contactos aleatorios, actualmente hay dos soluciones principales para esto. El primero es ir a la configuración de la aplicación de su teléfono y revocar la capacidad de los mensajes de Samsung para acceder al almacenamiento. Hasta que se publique una solución real, esto evitará que los Mensajes envíen fotos o cualquier otra cosa almacenada en su dispositivo, lo quiera o no quiera.

La otra opción es cambiar a una aplicación de mensajes de texto diferente, como Android Messages o Textra, que no parecen estar afectados por lo que está plagando la aplicación de mensajes de texto de Samsung (hasta ahora). Afortunadamente, este problema se resuelve rápidamente, porque hasta que lo haga, no hay garantía de privacidad para las personas que usan la aplicación de mensajes de texto predeterminada de Samsung.


Saludos.

VPNFilter es una amenaza dirigida a una amplia gama de enrutadores y dispositivos de almacenamiento conectado a la red (NAS). VPNFilter puede recopilar información confidencial y alterar el tráfico de la red a medida que pasa a través de un enrutador infectado, además de hacer que el enrutador no se pueda utilizar. El malware también puede sobrevivir a un reinicio del enrutador.

Symantec ofrece esta herramienta gratuita en línea que realiza una verificación rápida para determinar si su enrutador puede verse afectado por VPNFilter.

La herramienta en línea comprueba si su dispositivo ha sido comprometido por un componente específico utilizado por VPNFilter, conocido como el plugin ssler. Si esta herramienta encuentra que su enrutador no está infectado con el complemento ssler, su enrutador aún puede verse comprometido por otras amenazas o componentes de VPNFilter. VPNFilter afecta a una amplia gama de enrutadores y una lista de enrutadores vulnerables está disponible en nuestro blog sobre este malware.

Qué hacer si estás infectado:

Si le preocupa que su enrutador esté infectado por VPNFilter, le recomendamos realizar los siguientes pasos en orden. Consulte la documentación de su dispositivo para obtener detalles específicos sobre cómo realizar estos pasos:

Realice un restablecimiento completo de su enrutador para restaurar su configuración de fábrica. Primero guarde la configuración de su enrutador, ya que necesitará reconfigurar su enrutador después de este paso.

Apague y reinicie el enrutador. Tenga en cuenta que simplemente reiniciar su enrutador sin realizar antes el restablecimiento de fábrica puede no eliminar VPNFilter.

Cambie la contraseña de administrador predeterminada para su enrutador a una contraseña más segura. Si es posible, desconecte su enrutador de Internet público mientras realiza este paso.

Aplique los últimos parches y actualizaciones para su enrutador.

Link: http://www.symantec.com/filtercheck/

Saludos.

Uno de los vectores de infección más comunes y efectivos, especialmente para empresas, es el uso de documentos maliciosos de Office. Solo este año, fuimos testigos de dos días cero para Flash y el motor de VBScript, que primero se incorporaron a los documentos de Office antes de obtener una adopción más amplia en los kits de exploits web.

Además de aprovechar vulnerabilidades de software, los atacantes abusan regularmente de las características normales de Office, como macros, o de otras más oscuras como Dynamic Data Exchange (DDE) y, por supuesto, ataques de enlace e incrustación de objetos (OLE), que también pueden combinarse con exploits . Los administradores del sistema pueden endurecer los puntos finales mediante la desactivación de ciertas funciones en toda la empresa, por ejemplo, para frustrar ciertos esquemas de ingeniería social que intentan engañar a los usuarios para que habiliten una macro maliciosa. En versiones recientes de Office, Microsoft también está bloqueando la activación de objetos considerados de alto riesgo, según una lista de extensiones que se pueden personalizar a través de la Política de grupo.

Pero un descubrimiento reciente del investigador de seguridad Matt Nelson, muestra que se puede aprovechar otro vector de infección, uno que elude la configuración de protección actual e incluso la nueva tecnología de Reducción de Superficie de Ataque de Microsoft. Al incorporar archivos de configuración especialmente diseñados en un documento de Office, un atacante puede engañar a un usuario para que ejecute código malicioso sin más advertencias o notificaciones.



El formato de archivo, específico para Windows 10 llamado .SettingContent.ms, es esencialmente código XML que se utiliza para crear accesos directos al Panel de control. Esta característica se puede abusar porque uno de sus elementos (DeepLink) permite ejecutar cualquier binario con parámetros. Todo lo que un atacante debe hacer es agregar su propio comando usando Powershell.exe o Cmd.exe. Y el resto es historia.



Más información: https://blog.malwarebytes.com/threat-analysis/2018/07/new-macro-less-technique-used-distribute-malware/

Saludos.