La campaña de correos no deseado FELIXROOT esta devuelta

lunes, 30 de julio de 2018


Una campaña de spam fue descubierta por investigadores donde se ejecuta como backdoor FELIXROOT, que es un malware encargado de realizar trabajos de ciberespionaje.

Los corres no deseados operaban con archivos que contenían información acerca de un seminario que trataba sobre esfuerzos de protección ambiental.

Donde los archivos contenían códigos para explotar vulnerabilidades de Microsoft Office como lo son los CVE-2017-0199 y CVE-2017-11882 para descartar y ejecutar el binario de backdoor.

Según la información que se hizo pública, se informó que los documentos que se usaron como anzuela para engañar a los usuarios fueron escritos en ruso, donde la falla CVE-2017-0199 descarga una carga útil de segunda etapa para activar la vulnerabilidad CVE-2017-11882 que se encarga de ejecutar el backdoor final.

Al realizarse una explotación exitosa, el componente de cargador se ejecuta a través de RUNDLL32.EXE, y el componente backdoor se carga en la memoria.

La vulnerabilidad CVE-2017-0199 podrían permitir a los ciberdelincuentes descargar y ejecutar un script de Visual Basic que contiene comandos de PowerShell al momento de la víctima abrir el archivo malicioso.

Mientras que la vulnerabilidad CVE-2017-11882 permite la ejecución de un código remoto para la explotación arbitraria en el contexto de usuario.

Esta falla también involucra la huella dactilar objetivo a través de Windows Management Instrumentation (WMI), el registro de Windows, la ejecución remota de shell y la exfiltración de datos.

EL backdoor FELIXROOT se comunica con un servidor de comando y control mediante los protocoles HTTP y HTTPS POST. Mientras el tráfico C2 se cifra con AES convirtiéndose en Base64.

Cuando los datos se envían a través de la red, estos se cifran y establecen una estructura personalizada.

FELIXROOT tiene un comando que le permiten ejecutar tareas específicas, cuando ya todas las tareas se ejecutan, el código malicioso rompe el ciclo, devolviendo al búfer la terminación y eliminando todas las huellas del equipo objetivo, aplicando el siguiente proceso:

1.Elimina el archivo LNK del directorio de inicio.

2.Elimina la clave de registro HKCU \ Software \ Classes \ Applications \ rundll32.exe \ shell \ open

3.Elimina los componentes del cuentagotas del sistema.

Durante la investigación determinaron que esta falla de backdoor es una amenaza bastante crítica.


Fuente: Security Affairs

COMPARTIR:

Twitter Facebook Google Pinterest
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: La campaña de correos no deseado FELIXROOT esta devuelta
La campaña de correos no deseado FELIXROOT esta devuelta
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgU8rLqpQcZLoX62dTdFz82Lhb2I7cfLW29XGSnhU2rbAUOdF_8OEOOMM7ih3hPbtkwlf_9wp1N_SubJgijt0FT8q7VHYs972JUC-ZZQM1xUy_fvrP20zAr9DiA8uRLD-VH0bEKELD0gb8/s640/IMG172+%25282%2529.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgU8rLqpQcZLoX62dTdFz82Lhb2I7cfLW29XGSnhU2rbAUOdF_8OEOOMM7ih3hPbtkwlf_9wp1N_SubJgijt0FT8q7VHYs972JUC-ZZQM1xUy_fvrP20zAr9DiA8uRLD-VH0bEKELD0gb8/s72-c/IMG172+%25282%2529.jpg
Arkavia Networks News
https://www.arkalabs.cl/2018/07/la-campana-de-correos-no-deseado_30.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2018/07/la-campana-de-correos-no-deseado_30.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy