Virus nieuws

Er zijn natuurlijk veel redenen dat je een virus of malware op je computer aan kunt treffen. Maar het grootste risico ben jezelf. Emails van bekende met een attachement, links naar onbekende websites; erger nog, een email van je bank. Allemaal risico volle emails die je gewoon niet moet openen. Onderstaand een lijst meet de top 10 van belangrijkste bedreigingen.

De beste bescherming?

Online backup van je gegevens, Crypto locker infecteerd ook je eigen backup. Bel nu voor de beste bescherming, of kijk hier voor onze tijdelijke aanbieding

Bel nu Onze landelijke website

Is het al te laat?

Neem snel contact op en we kunnen alles op afstand verwijderen, maken we gelijk je computer wat sneller. Bel 0623626623

De laatste virus meldingen overgenomen van

Trojan.Aybord (12)
Aybord is een trojan virus dat na installatie probeert om schadelijke bestanden te install ... Android.Lastacloud (0)
Lastacloud is een trojan virus dat zich richt op tablets en smartphones werkend op OS Andr ... Android.Fitikser (0)
Android.Fitikser is een zgh. trojaans paard dat zich richt op smartphone en tablets draaie ... Trojan.Beginto (8)
Beginto is een trojaans paard dat na installatie een backdoor installeert op het getroffen ... W32.Wabot Wabot is een internetworm die zich verspreidt via het IRC- chatprogramma. Het probeert om ... Trojan.Sakurel (16)
Sakurel is een zogeheten trojan. Na infectie installeert het een backdoor waarmee de virus ...

Voorbeeld van de werking van een virus of malware
CactusPete APT group’s updated Bisonal backdoor
Author: Konstantin Zykov
Link :
Email :
Description: A new CactusPete campaign shows that the group’s favored types of target remain the same. The victims of the new variant of the Bisonal backdoor were from financial and military sectors located in Eastern Europe.
Full content:

CactusPete (also known as Karma Panda or Tonto Team) is an APT group that has been publicly known since at least 2013. Some of the group’s activities have been previously described in public by multiple sources. We have been investigating and privately reporting on this group’s activity for years as well. Historically, their activity has been focused on military, diplomatic and infrastructure targets in Asia and Eastern Europe.

This is also true of the group’s latest activities.

A new CactusPete campaign, spotted at the end of February 2020 by Kaspersky, shows that the group’s favored types of target remain the same. The victims of the new variant of the Bisonal backdoor, according to our telemetry, were from financial and military sectors located in Eastern Europe. Our research started from only one sample, but by using the Kaspersky Threat Attribution Engine (KTAE) we found 300+ almost identical samples. All of them appeared between March 2019 and April 2020. This underlines the speed of CactusPete’s development – more than 20 samples per month. The target location forced the group to use a hardcoded Cyrillic codepage during string manipulations. This is important, for example, during remote shell functionality, to correctly handle the Cyrillic output from executed commands.

The method of malware distribution for the new campaign remains unknown, but previous campaigns indicate that it’s their usual way of distributing malware. The attackers’ preferred way to deliver malware is spear-phishing messages with “magic” attachments. The attachments never contain zero-day exploits, but they do include recently discovered and patched vulnerabilities, or any other crafty approaches that might help them deliver the payload. Running these attachments leads to infection.

Once the malware starts it tries to reach a hardcoded C2. The communication takes place using the unmodified HTTP-based protocol, the request and response body are RC4-encrypted, and the encryption key is also hardcoded into the sample. As the result of the RC4 encryption may contain binary data, the malware additionally encodes it in BASE64, to match the HTTP specification.


The handshake consists of several steps: initial request, victim network details and a more detailed victim information request. This is the complete list of victim specific information that is sent to the C2 during the handshake steps:

  • Hostname, IP and MAC address;
  • Windows version;
  • Time set on infected host;
  • Flags that indicates if the malware was executed on VMware environment;
  • Proxy usage flag;
  • System default CodePage Identifier;

After the handshake has been completed, the backdoor waits for a command, periodically pinging the C2 server. The response body from the C2 ping might hold the command and parameters (optionally). The updated Bisonal backdoor version maintains functionality similar to past backdoors built from the same codebase:

  • Execute a remote shell;
  • Silently start a program on a victim host;
  • Retrieve a list of processes from the victim host;
  • Terminate any process;
  • Upload/Download/Delete files to/from victim host;
  • Retrieve a list of available drives from the victim host;
  • Retrieve a filelist of a specified folder from the victim host;

This is what it looks like in code.

 Screenshot of the C2 command handling subroutine

This set of remote commands helps the attackers study the victim environment for lateral movement and deeper access to the target organization. The group continues to push various custom Mimikatz variants and keyloggers for credential harvesting purposes, along with privilege escalation malware.

What are they looking for?

Since the malware contains mostly information gathering functionality, most likely they hack into organizations to gain access to the victims’ sensitive data. If we recall that CactusPete targets military, diplomatic and infrastructure organizations, the information could be very sensitive indeed.

We would suggest the following countermeasures to prevent such threats:

  • Network monitoring, including unusual behavior detection;
  • Up-to-date software to prevent exploitation of vulnerabilities;
  • Up-to-date antivirus solutions;
  • Training employees to recognize email-based (social engineering) attacks;

CactusPete activity

CactusPete is a Chinese-speaking cyber-espionage APT group that uses medium-level technical capabilities, and the people behind it have upped their game. They appear to have received support and have access to more complex code like ShadowPad, which CactusPete deployed in 2020. The group’s activity has been recorded since at least 2013, although Korean public resources mark an even earlier date – 2009. Historically, CactusPete targets organizations within a limited range of countries – South Korea, Japan, the US and Taiwan. Last year’s campaigns show that the group has shifted towards other Asian and Eastern European organizations.

Here’s an overview of CactusPete activity in recent years, based on Kaspersky research results:

  • May 2018: a new wave of targeted attacks abusing CVE-2018-8174 (this exploit has been associated with the DarkHotel APT group, as described on Securelist), with diplomatic, defense, manufacturing, military and government targets in Asia and Eastern Europe;
  • December 2018 and early 2019: Bisonal backdoor modification with a set of spying payloads in a campaign targeting organizations within mining, defense, government and technology research targets in Eastern Europe and Asia;
  • September and October 2019: a DoubleT backdoor campaign, targeting military-related and unknown victims;
  • March 2019 to April 2020: Bisonal backdoor modification in a campaign targeting organizations in financial and military institutions in Eastern Europe;
  • December 2019 to April 2020: a modified DoubleT backdoor campaign, targeting telecom and governmental organizations and other victims in Asia and Eastern Europe;
  • Late 2019 and 2020: CactusPete started to deploy ShadowPad malware with victims including government organizations, energy, mining, and defense bodies and telcoms located in Asia and Eastern Europe;

Known alternative names for this APT group:
CactusPete, Karma Panda, Tonto Team

Known alternative names for the different payloads used:
Bisonal, Curious Korlia, DoubleT, DOUBLEPIPE, CALMTHORNE

In the end…

We call CatusPete an Advanced Persistent Threat (APT) group, but the Bisonal code we analyzed is not that advanced. Yet, interestingly, the CactusPete APT group has had success without advanced techniques, using plain code without complicated obfuscation and spear-phishing messages with “magic” attachments as the preferred method of distribution. Of course, the group does continuously modify the payload code, studies the suggested victim in order to craft a trustworthy phishing email, sends it to an existing email address in the targeted company and makes use of new vulnerabilities and other methods to inconspicuously deliver the payload once an attachment has been opened. The infection occurs, not because of advanced technologies used during the attack, but because of those who view the phishing emails and open the attachments. Companies need to conduct spear-phishing awareness training for employees in order to improve their computer security knowledge.


PDB path:
E:\vs2010\new big!\MyServe\Debug\MyServe.pdb


Related material:

Category: APT reports
Date: Thu, 13 Aug 2020 10:00:09 +0000
Local date: Thu, 13 Aug 2020 10:00:09 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 675 px
Internet Explorer and Windows zero-day exploits used in Operation PowerFall
Author: Boris Larin
Link :
Email :
Description: Kaspersky prevented an attack on a South Korean company by a malicious script for Internet Explorer. Closer analysis revealed that the attack used a previously unknown full chain that consisted of two zero-day exploits.
Full content:

Executive summary

In May 2020, Kaspersky technologies prevented an attack on a South Korean company by a malicious script for Internet Explorer. Closer analysis revealed that the attack used a previously unknown full chain that consisted of two zero-day exploits: a remote code execution exploit for Internet Explorer and an elevation of privilege exploit for Windows. Unlike a previous full chain that we discovered, used in Operation WizardOpium, the new full chain targeted the latest builds of Windows 10, and our tests demonstrated reliable exploitation of Internet Explorer 11 and Windows 10 build 18363 x64.

On June 8, 2020, we reported our discoveries to Microsoft, and the company confirmed the vulnerabilities. At the time of our report, the security team at Microsoft had already prepared a patch for vulnerability CVE-2020-0986 that was used in the zero-day elevation of privilege exploit, but before our discovery, the exploitability of this vulnerability was considered less likely. The patch for CVE-2020-0986 was released on June 9, 2020.

Microsoft assigned CVE-2020-1380 to a use-after-free vulnerability in JScript and the patch was released on August 11, 2020.

We are calling this and related attacks ‘Operation PowerFall’. Currently, we are unable to establish a definitive link with any known threat actors, but due to similarities with previously discovered exploits, we believe that DarkHotel may be behind this attack. Kaspersky products detect Operation PowerFall attacks with verdict PDM:Exploit.Win32.Generic.

Internet Explorer 11 remote code execution exploit

The most recent zero-day exploits for Internet Explorer discovered in the wild relied on the vulnerabilities CVE-2020-0674, CVE-2019-1429, CVE-2019-0676 and CVE-2018-8653 in the legacy JavaScript engine jscript.dll. In contrast, CVE-2020-1380 is a vulnerability in jscript9.dll, which has been used by default starting with Internet Explorer 9, and because of this, the mitigation steps recommended by Microsoft (restricting the usage of jscript.dll) cannot protect against this particular vulnerability.

CVE-2020-1380 is a Use-After-Free vulnerability that is caused by JIT optimization and the lack of necessary checks in just-in-time compiled code. A proof-of-concept (PoC) that triggers vulnerability is demonstrated below:

function func(O, A, F, O2) {
    arguments.push = Array.prototype.push;
    O = 1;
    arguments.length = 0;
    if (F == 1) {
        O = 2;

    // execute abp.valueOf() and write by dangling pointer
    A[5] = O;

// prepare objects
var an = new ArrayBuffer(0x8c);
var fa = new Float32Array(an);

// compile func
func(1, fa, 1, {});
for (var i = 0; i < 0x10000; i++) {
    func(1, fa, 1, 1);

var abp = {};
abp.valueOf = function() {

    // free 
    worker = new Worker('worker.js');
    worker.postMessage(an, [an]);
    worker = null;

    // sleep
    var start =;
    while ( - start < 200) {}

    // TODO: reclaim freed memory

    return 0

try {
    func(1, fa, 0, abp);
} catch (e) {

To understand this vulnerability, let us take a look at how func() is executed. It is important to understand what value is set to A[5]. According to the code, it should be an O argument. At function start, the O argument is re-assigned to 1, but then the function arguments length is set to 0. This operation does not clear function arguments (as it would normally do with regular array) but allows to put argument O2 into the arguments list at index zero using Array.prototype.push, meaning O = O2 now. Besides that, if the argument F is equal to 1, then O will be re-assigned once again, but to the integer number 2. It means that depending on the value of the F argument, the O argument is equal to either the value of the O2 argument or the integer number 2. The argument A is a typed array of 32-bit floating point numbers, and before assigning a value to index 5 of the array, this value should be converted to a float. Converting an integer to a float is a relatively simple task, but it become less straightforward when an object is converted to a float number. The exploit uses the object abp with an overridden valueOf() method. This method is executed when the object is converted to a float, but inside the method there is code that frees ArrayBuffer, which is viewed by Float32Array and where the returned value will be set. To prevent the value from being stored in the memory of the freed object, the JavaScript engine needs to check the status of the object before storing the value in it. To convert and store the float value safely, JScript9.dll uses the function Js::TypedArray<float,0>::BaseTypedDirectSetItem(). You can see decompiled code of this function below:

int Js::TypedArray<float,0>::BaseTypedDirectSetItem(Js::TypedArray<float,0> *this, unsigned int index, void *object, int reserved)
    Js::JavascriptConversion::ToNumber(object, this->type->library->context);
    if ( LOBYTE(this->view[0]->unusable) )
        Js::JavascriptError::ThrowTypeError(this->type->library->context, 0x800A15E4, 0);
    if ( index < this->count )
        *(float *)&this->buffer[4 * index] = Js::JavascriptConversion::ToNumber(
    return 1;
double Js::JavascriptConversion::ToNumber(void *object, struct Js::ScriptContext *context)
    if ( (unsigned char)object & 1 )
        return (double)((int)object >> 1);
    if ( *(void **)object == VirtualTableInfo<Js::JavascriptNumber>::Address[0] )
        return *((double *)object + 1);
    return Js::JavascriptConversion::ToNumber_Full(object, context);

This function checks the view[0]->unusable and count fields of the typed float array and when ArrayBuffer is freed during execution of the valueOf() method, both of these checks will fail because view[0]->unusable will be set to 1 and count will be set to 0 during the first call to Js::JavascriptConversion::ToNumber(). The problem lies in the fact that the function Js::TypedArray<float,0>::BaseTypedDirectSetItem() is used only in interpretation mode.

When the function func() is compiled just in time, the JavaScript engine will use the vulnerable code below.

if ( !((unsigned char)floatArray & 1) && *(void *)floatArray == &Js::TypedArray<float,0>::vftable )
  if ( floatArray->count > index )
    buffer = floatArray->buffer + 4*index;
    if ( object & 1 )
      *(float *)buffer = (double)(object >> 1);
      if ( *(void *)object != &Js::JavascriptNumber::vftable )
        Js::JavascriptConversion::ToFloat_Helper(object, (float *)buffer, context);
        *(float *)buffer = *(double *)(object->value);

And here is the code of the Js::JavascriptConversion::ToFloat_Helper() function.

void Js::JavascriptConversion::ToFloat_Helper(void *object, float *buffer, struct Js::ScriptContext *context)
  *buffer = Js::JavascriptConversion::ToNumber_Full(object, context);

As you can see, unlike in interpretation mode, in just-in-time compiled code, the life cycle of ArrayBuffer is not checked, and its memory can be freed and then reclaimed during a call to the valueOf() function. Additionally, the attacker can control at what index the returned value is written. However, in the case when “arguments.length = 0;”and “arguments.push(O2);” are replaced in PoC with “arguments[0] = O2;” then Js::JavascriptConversion::ToFloat_Helper() will not trigger the bug because implicit calls will be disabled and it will not perform a call to the valueOf() function.

To ensure that the function func() is compiled just in time, the exploit executes this function 0x10000 times, performing a harmless conversion of the integer, and only after that func() is executed once more, triggering the bug. To free ArrayBuffer, the exploit uses a common technique abusing the Web Workers API. The function postMessage() can be used to serialize objects to messages and send them to the worker. As a side effect, transferred objects are freed and become unusable in the current script context. When ArrayBuffer is freed, the exploit triggers garbage collection via code that simulates the use of the Sleep() function: it is a while loop that checks for the time lapse between and the previously stored value. After that, the exploit reclaims the memory with integer arrays.

for (var i = 0; i < T.length; i += 1) {
        T[i] = new Array((0x1000 - 0x20) / 4);
        T[i][0] = 0x666; // item needs to be set to allocate LargeHeapBucket

When a large number of arrays is created, Internet Explorer allocates new LargeHeapBlock objects, which are used by IE’s custom heap implementation. The LargeHeapBlock objects will store the addresses of buffers allocated for the arrays. If the expected memory layout is achieved successfully, the vulnerability will overwrite the value at the offset 0x14 of LargeHeapBlock with 0, which happens to be the allocated block count.

LargeHeapBlock structure for jscript9.dll x86

 After that, the exploit allocates a huge number of arrays and sets them to another array that was prepared at the initial stage of the exploitation. Then this array is set to null, and the exploit makes a call to the CollectGarbage() function. This results in defragmentation of the heap, and the modified LargeHeapBlock will be freed along with its associated array buffers. At this stage, the exploit creates a large amount of integer arrays in hopes of reclaiming the previously freed array buffers. The newly created arrays have a magic value set at index zero, and this value is checked through a dangling pointer to the previously freed array to detect if the exploitation was successful.

for (var i = 0; i < K.length; i += 1) {
            K[i] = new Array((0x1000 - 0x20) / 4);
            K[i][0] = 0x888; // store magic

        for (var i = 0; i < T.length; i += 1) {
            if (T[i][0] == 0x888) { // find array accessible through dangling pointer
                R = T[i];

As a result, the exploit creates two different JavascriptNativeIntArray objects with buffers pointing to the same location. This makes it possible to retrieve the addresses of the objects and even create new malformed objects. The exploit takes advantage of these primitives to create a malformed DataView object and get read/write access to the whole address space of the process.

After the building of the arbitrary read/write primitives, it is time to bypass Control Flow Guard (CFG) and get code execution. The exploit uses the Array’s vftable pointer to get the module base address of jscript9.dll. From there, it parses the PE header of jscript9.dll to get the address of the Import Directory Table and resolves the base addresses of the other modules. The goal here is to find the address of the function VirtualProtect(), which will be used to make the shellcode executable. After that, the exploit searches for two signatures in jscript9.dll. Those signatures correspond to the address of the Unicode string “split” and the address of the function: JsUtil::DoublyLinkedListElement<ThreadContext>::LinkToBeginning<ThreadContext>(). The address of the Unicode string “split” is used to get a code reference to the string and with its help, to resolve the address of the function Js::JavascriptString::EntrySplit(), which implements the string method split(). The address of the function LinkToBeginning<ThreadContext>() is used to obtain the address of the first ThreadContext object in the global linked list. The exploit locates the last entry in the linked list and uses it to get the location of the stack for the thread responsible for the execution of the script. After that comes the final stage. The exploit executes the split() method and an object with an overridden valueOf() method is provided as a limit argument. When the overridden valueOf() method is executed during the execution of the function Js::JavascriptString::EntrySplit(), the exploit will search the thread’s stack to find the return address, place the shellcode in a prepared buffer, obtain its address, and finally build a return-oriented programming (ROP) chain to execute the shellcode by overwriting the return address of the function.

Next stage

The shellcode is a reflective DLL loader for the portable executable (PE) module that is appended to the shellcode. The module is very small in size, and the whole functionality is located inside a single function. It creates a file within a temporary folder with the name ok.exe and writes to it the contents of another executable that is present in the remote code execution exploit. After that, ok.exe is executed.

The ok.exe executable contains is an elevation of privilege exploit for the arbitrary pointer dereference vulnerability CVE-2020-0986 in the GDI Print / Print Spooler API. Initially, this vulnerability was reported to Microsoft by an anonymous user working with Trend Micro’s Zero Day Initiative back in December 2019. Due to the patch not being released for six months since the original report, ZDI posted a public advisory for this vulnerability as a zero-day on May 19, 2020. The next day, the vulnerability was exploited in the previously mentioned attack.

The vulnerability makes it possible to read and write the arbitrary memory of the splwow64.exe process using interprocess communication, and use it to achieve code execution in the splwow64.exe process, bypassing the CFG and EncodePointer protection. The exploit comes with two executables embedded in its resources. The first executable is written to disk as CreateDC.exe and is used to create a device context (DC), which is required for exploitation. The second executable has the name PoPc.dll and if the exploitation is successful, it is executed by splwow64.exe with a medium integrity level. We will provide further details on CVE-2020-0986 and its exploitation in a follow-up post.

Execution of a malicious PowerShell command from splwow64.exe

The main functionality of PoPc.dll is also located inside a single function. It executes an encoded PowerShell command that proceeds to download a file from www[.]static-cdn1[.]com/, saves it to the temporary folder as upgrader.exe and executes it. We were unable to analyze upgrader.exe because Kaspersky technologies prevented the attack before the executable was downloaded.



Category: Featured
Date: Wed, 12 Aug 2020 07:00:28 +0000
Local date: Wed, 12 Aug 2020 07:00:28 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 800 px
Ataques DDoS en el segundo trimestre de 2020
Author: Oleg Kupreev
Link :
Email :
Description: Por lo general, el segundo trimestre es más tranquilo que el primero, pero este año fue una excepción. Desafortunadamente, la tendencia de baja a largo plazo en el número de ataques se interrumpió, y ahora observamos un aumento.
Full content:

Resumen de noticias

En el último trimestre, se descubrieron dos nuevos métodos para amplificar los ataques DDoS. A mediados de mayo, investigadores israelíes informaron que los servidores DNS tenían  una vulnerabilidad en el mecanismo de delegación de solicitudes entre servidores DNS. El esquema de explotación de la vulnerabilidad recibió el nombre de NXNSAttack: el atacante envía una solicitud a un servidor DNS recursivo legítimo y a varios subdominios en la zona de responsabilidad de su propio servidor DNS malicioso. En respuesta, el servidor malicioso delega la solicitud a múltiples servidores NS falsos en el dominio de la víctima, pero sin especificar sus direcciones. Como resultado, el servidor DNS legítimo consulta todos los subdominios propuestos, lo que provoca que el volumen de tráfico aumente en 1620 veces. La vulnerabilidad está subsanada en las nuevas versiones del software para servidores DNS.

Aproximadamente una semana después, investigadores chinos publicaron información sobre otro método de amplificación DDoS, que recibió el nombre de RangeAmp: el método explota las solicitudes de HTTP Range para descargar archivos en partes. Los expertos descubrieron que una solicitud HTTP Range maliciosa puede obligar a las redes de entrega de contenido (CDN) a multiplicar la carga sobre el sitio de destino. Los investigadores identifican dos tipos de ataques RangeAmp: el primero implica enviar tráfico desde un servidor CDN directamente a los servidores del recurso de destino y amplificarlo de 724 a 43330 veces. En el segundo caso, se transfieren grandes volúmenes de tráfico basura entre los dos servidores CDN. En este caso, el factor de amplificación puede llegar a 7500. Según los investigadores, la mayoría de los proveedores de CDN han lanzado actualizaciones para proteger sus servidores contra este tipo de ataque, o han anunciado su intención de hacerlo.

Mientras los investigadores estudian las nuevas formas de amplificar los ataques, los propietarios de botnets DDoS buscan nuevos recursos para expandirlos. En junio, nuestros colegas de Trend Micro descubrieron que los programas maliciosos Kaiji y XORDDoS, que antes se especializaba en dispositivos IoT, ahora tienen como blanco a los servidores Docker que no cuentan con protección. Si el ataque tenía éxito, el bot XORDDoS penetraba en todos los contenedores del servidor, y Kaiji creaba uno propio. Los contenedores Docker pueden ser de poca utilidad para los ataques DDoS, en particular, debido a la capacidad de limitar la cantidad de protocolos de red que usan. Por lo tanto, los contenedores sin protección suelen atacar sobre todo a los bots de criptominería. Sin embargo, algunos programas maliciosos combinan con éxito un bot DDoS y un criptominero. Por ejemplo, recientemente en Internet se descubrió un bot que puede organizar ataques DDoS mediante los protocolos TCP, UDP o HTTP, o extraer criptomonedas Monero para sus propietarios.

Los relevantes eventos sociopolíticos que marcaron el segundo trimestre de 2020 no pudieron dejar de afectar el panorama de los ataques DDoS. Así, a fines de mayo en los Estados Unidos, aumentó el número de ataques contra organizaciones de derechos humanos. Esta actividad coincidió con las protestas que se desarrollaban en el país. El otro bando del conflicto también sufrió daños: los sistemas informáticos estatales del estado de Minnesota fueron blanco de ataques DDoS. En particular, delincuentes desconocidos dejaron fuera de servicio el sitio web de la policía de Minneapolis. Al mismo tiempo, se publicaron tweets que afirmaban que el ataque fue realizado por hacktivistas anónimos que en ocasiones anteriores habían amenazado con exponer los crímenes de la policía, pero el grupo no se responsabilizó por el incidente.

En junio, a lo largo de varios días, Rusia llevó a cabo una votación sobre las enmiendas a la constitución,  cuya preparación tampoco se libró de ataques DDoS. El día siguiente al inicio de la votación, la Comisión central de elecciones informó haber sufrido un ataque. Inmediatamente después, fue atacado el servicio de votación en línea. Sin embargo, los funcionarios declararon que no se logró interrumpir su operación. Al mismo tiempo, este servicio al comienzo de la votación funcionó de manera intermitente, ya que no fue capaz de soportar la carga legítima. Los atacantes también prestaron su atención al  recurso de información “constitution2020.rf. Según representantes de la Comisión central de elecciones, el 28 de junio el recurso fue golpeado por flujos de tráfico de basura procedentes del Reino Unido y Singapur.

Los medios masivos de información también tuvieron su parte. Esta vez sufrió ataques el periódico sociopolítico independiente “Belorussky Partizan”. Según representantes del portal, el ataque empezó desde direcciones IP extranjeras y luego se sumaron las bielorrusas. Como resultado, la publicación tuvo que cambiar su IP. Recientemente, los sitios de Internet en Bielorrusia atraen cada vez más la atención de los organizadores de ataques DDoS.

En muchos países, el segundo trimestre estuvo marcado por la lucha contra la pandemia del COVID-19, mientras que las empresas e instituciones educativas siguieron trabajando de forma remota. En consecuencia, continuaron los ataques activos a los recursos en línea. Así, en Rusia, según Rostelecom, aumentó en más de cinco veces  el número de intentos de deshabilitar los recursos de aprendizaje como diarios electrónicos, plataformas educativas, sitios de exámenes, etc.

Sin embargo, no todas las interrupciones de la comunicación a gran escala son consecuencia de los ataques DDoS. A mediados de junio, usuarios de Estados Unidos experimentaron problemas de acceso a las redes de los operadores móviles TMobile y Verizon. En Twitter se publicaron informes sobre un ataque DDoS a gran escala contra estos proveedores y una serie de redes sociales, presuntamente llevadas a cabo desde China, pero esta información no se confirmó. Por el contrario, según lo declarado por T-Mobile, en realidad los recursos afectados, entre ellas las redes de sus competidores,  dejaron de funcionar debido a un desperfecto en las líneas de cable de su proveedor en el sureste del país, que causó la congestión de red.

Mientra los problemas técnicos y los atacantes deshabilitaban recursos útiles, la policía holandesa, cerró 15 sitios que vendían servicios para organizar ataques DDoS, y abril arrestó a un adolescente de diecinueve años que había intentado interferir en el funcionamiento de varios portales del gobierno en marzo. La policía holandesa mostró su determinación al lidiar con recursos e individuos relacionados con DDoS, y afirma que tiene la intención de dificultar al máximo la implementación de tales ataques.

Otros países también continúan luchando contra los ataques DDoS. Por ejemplo, en Israel se sentenció a seis meses de servicio comunitario y pago de multas a los antiguos copropietarios de un sitio de venta de servicios para organizar ataques. El sitio web malicioso llamado vDOS estuvo activo durante cuatro años y se cerró en 2016.

Tendencias del trimestre

Los últimos años observamos una significativa caída del número de ataques DDoS los segundos trimestres, que contrasta con la tensión de los primeros trimestres. Sin embargo, de abril a junio de 2020, el panorama se mantuvo casi igual que en el período del informe anterior: el número total de ataques aumentó ligeramente, el número de ataques inteligentes disminuyó levemente, pero en general, los datos de los dos trimestres son casi los mismos.

Comparación del número de ataques DDoS, primer y segundo trimestre de 2020 y segundo de 2019. Los datos del segundo trimestre de 2019 se toman como 100%. (descargar

El hecho de que en el segundo trimestre “bajo” hayamos obtenido índices casi idénticos que los del primer trimestre “alto” indica un crecimiento sin precedentes en el mercado de ataques durante el período cubierto por el informe. Esto se ve claramente si comparamos las cifras del segundo trimestre de 2020 con los datos del mismo período de 2019: el número total de ataques se triplicó y el número de ataques inteligentes se duplicó.

El promedio de duración de los ataques no cambió ni en comparación con el primer trimestre, ni con el año pasado y se mantuvo en el nivel de aproximadamente 20 minutos. Los ataques inteligentes están a la cabeza, con una duración promedio de varias horas. Esta tendencia se ha conservado durante mucho tiempo, así que no hay nada nuevo. Sin embargo, vale la pena señalar que el segundo trimestre vimos un ataque inteligente inusualmente largo que afectó la duración máxima de DDoS y aumentó 4,5 veces en comparación con el año pasado. Al calcular los promedios, excluimos este ataque de la muestra.

Duración de los ataques DDoS, primer y segundo trimestre de 2020 y segundo de 2019. Los datos del segundo trimestre de 2019 se toman como 100%. (descargar)

Al igual que en el período cubierto por el informe anterior, en el segundo trimestre las instituciones educativas y gubernamentales fueron atacadas con mayor frecuencia. Al mismo tiempo, el número de ataques contra el sector educativo disminuyó considerablemente desde la segunda mitad de junio, lo que puede atribuirse al comienzo de las vacaciones.

Estadísticas del trimestre

Resultados del trimestre

  • Los tres principales países por número de ataques siguen siendo los mismos: China (65,12%), Estados Unidos (20,28%) y la región administrativa especial de Hong Kong (6,08%).
  • Rumanía salió del TOP 10, para ocupar el puesto 17, mientras que Gran Bretaña, por el contrario, subió del puesto 18 al 10.
  • Los cinco primeros puestos, tanto por el número de blancos, como por el de ataques, los ocupan China (66,02%), EE.UU. (19,32%), Hong Kong (6,34%), Sudáfrica (1,63%) y Singapur (1,04%).
  • Ha habido un punto de inflexión en la disminución ya habitual del número de ataques: este trimestre fue un poco mayor, con un pico de 298 ataques el 9 de abril.
  • En el segundo trimestre, observamos dos caídas bruscas de varios días (del 30 de abril al 6 de mayo, y del 10 al 12 de junio), cuando el número de ataques no superó los 10-15 por día.
  • La actividad de botnets DDoS aumentó los miércoles y jueves, y cayó los sábados.
  • Incluso los ataques más largos duraron menos de nueve días (215, 214 y 210 horas), que es la mitad de las duraciones alcanzadas por los líderes del trimestre anterior (aproximadamente 19 días).
  • Las inundaciones SYN siguen siendo la principal herramienta para perpetrar ataques DDoS (94,7%), los ataques ICMP representaron el 4,9% y los demás tipos de DDoS han pasado a segundo plano.
  • La proporción de botnets de Windows y Linux se ha mantenido casi sin cambios: estos últimos siguen siendo responsables de la gran mayoría (97,4%) de los ataques.

Geografía de los ataques

En el segundo trimestre de 2020, China ocupó de nuevo, con amplia ventaja, el primer lugar en la estadística del número de ataques (65,12%), el segundo sigue siendo de Estados Unidos (20,28%) y el tercero, de Hong Kong (6,08%). Al mismo tiempo, si bien la participación de los dos primeros países aumentó desde el último trimestre, en 3,59 y 1,2 puntos porcentuales respectivamente, la participación de Hong Kong disminuyó ligeramente, en 1,26 p.p.

En la conformación del TOP 10 no hay muchas diferencias. Aquí, todavía vemos a Sudáfrica (1,28%) y Singapur (1,14%): ambos países subieron una línea y ahora ocupan las posiciones cuarta y quinta, respectivamente. Les siguen India (0,33%) y Australia (0,38%), que pasaron del noveno al séptimo y del décimo al sexto lugar, respectivamente. Les sigue Canadá (0,24%), que perdió un poco de terreno y bajó al noveno puesto.

El recién llegado a este ranking es Gran Bretaña, que subió desde el lejano puesto 18 (0,18%, un aumento de 0,1 puntos porcentuales) y comparte el décimo lugar con Corea del Sur. En la séptima posición, con una participación del 0,26% están los países de la Unión Europea, que individualmente rara vez se convierten en el objetivo de ataques DDoS. Pero Rumanía cayó del cuarto puesto al decimotercero y abandonó el TOP 10.

Distribución de ataques DDoS por país, primer y segundo trimestres de 2019 (descargar)

Ya es tradición que la distribución geográfica de objetivos únicos refleje en gran medida la distribución de los ataques en general. Seis de los diez países están presentes en todas las estadísticas de este trimestre y los cinco primeros coinciden completamente: tenemos de nuevo a China (66,02%), Estados Unidos (19,32%), Hong Kong (6,34%), Sudáfrica (1,63%) y Singapur (1,04%). Al mismo tiempo, se registró un aumento en el porcentaje de objetivos, en comparación con el período de informe anterior, solo en China, de 13,31 puntos porcentuales, mientras que el resto de los países mostraron una ligera disminución.

Australia, que el trimestre pasado estaba en el noveno lugar, ocupó el sexto (0,3%). Además, Vietnam regresó al TOP 10 después de una breve ausencia. Con un ligero aumento en el número de objetivos en su territorio (de solo 0,06 puntos porcentuales, hasta el 0,23%), tomó la séptima posición, desplazando a Corea del Sur, que ahora comparte los dos últimos puestos con el recién llegado de este trimestre, Japón (0,18%) y por delante de India (cuyos 0,23% de objetivos le dieron el octavo puesto).

Distribución de objetivos DDoS únicos por país, primer y segundo trimestres de 2020 (descargar)

Dinámica del número de ataques DDoS

Por lo general, el segundo trimestre es más tranquilo que el primero, pero este año fue una excepción. Desafortunadamente, la tendencia de baja a largo plazo en el número de ataques se interrumpió, y ahora observamos un aumento. Los picos ocurrieron el 9 de abril (298 ataques) y el 1 de abril (287 ataques por día). Además, dos veces, el 13 y el 16 de mayo, el número de ataques superó el pico de los dos trimestres anteriores. Y a principios de mayo, al parecer los organizadores del DDoS decidieron tomarse unas vacaciones: del 30 de abril al 6 de mayo, el número de ataques no llegó a 15 por día, y del 2 al 4 de mayo solo hubo de 8 a 9 ataques. Otro período tranquilo tuvo lugar del 10 al 12 de junio: hubo de 13 a 15, y 13 ataques por día, respectivamente.

Como resultado, vemos que en los últimos tres trimestres hubo un récord máximo y uno mínimo. Vale la pena señalar que los días más tranquilos repiten el récord absoluto del historial de observaciones establecido en el último trimestre de 2019, pero los más activos están lejos de alcanzar el nivel del tercer trimestre, que fue relativamente tranquilo. Al mismo tiempo, el número promedio de ataques aumentó en casi un 30% en comparación con el período cubierto por el informe anterior.

Dinámica del número de ataques DDoS, segundo trimestre de 2020 (descargar)

En el segundo trimestre, los organizadores de los ataques prefirieron lanzarlos los miércoles (16,53%) y descansaron de su duro trabajo los sábados (11,65% en total). Sin embargo, la diferencia entre el “líder” y el “antilíder” no es grande: apenas 4,88 p.p. En comparación con el trimestre anterior, aumentó significativamente la proporción de ataques de los miércoles (por 5,37 p.p.) y los jueves (por 3,22 p.p.) y disminuyó la de los lunes (menos 3,14 p.p.).

Distribución de ataques DDoS por días de la semana, primer y segundo trimestre de 2020 (descargar)

Duración y tipos de ataques DDoS

La duración promedio de los ataques disminuyó ligeramente en comparación con el período de informe anterior (en 4 puntos porcentuales) debido a un aumento en la proporción de ataques ultracortos y una disminución de 0,1 puntos porcentuales en la proporción de ataques de varios días, debido a, en mayor medida, la ausencia de ataques ultralargos. Si en el primer trimestre vimos ataques que duraron hasta 20 días, esta vez los tres ataques de mayor envergadura duraron 215, 214 y 210 horas, es decir, menos de nueve días.

Al mismo tiempo, la distribución de los ataques por duración se mantuvo prácticamente sin cambios: el aumento de 4 p.p. mencionado es el evento más significativo, las diferencias restantes varían de 0,06 a 1,9 p.p., magnitudes que están cerca del error estadístico. De esta manera, los ataques más cortos (hasta 4 horas) representaron el 85,97% del total de ataques DDoS; los ataques que duraron 5-9 horas, el 8,87%; los de hasta 19 horas, el 3,46%; los de hasta 49 horas, el 1,39 % y los de hasta 99 horas, 0,11%. Los ataques de 100 a 139 horas fueron un poco más numerosos (0,16%) y los ataques más largos representaron el 0,05% del total de ataques DDoS.

Distribución de ataques DDoS por duración en horas, primer y segundo trimestre de 2020 (descargar)

La participación de las inundaciones SYN en este trimestre fue del 94,7% (un aumento de 2,1 p.p.). Por segundo trimestre consecutivo, le siguen los ataques de inundación ICMP: 4,9%, que es 1,3 p.p. más que en el período del informe anterior. Los ataques TCP representaron el 0,2% del número total de ataques, y cierran la estadística los ataques UDP y HTTP (0,1% cada uno). La participación de los últimos tres grupos disminuyó en comparación con el trimestre anterior.

Distribución de ataques DDoS por tipo, segundo trimestre de 2020 (descargar)

La proporción de botnets Windows disminuyó en 0,41 p.p. en comparación con el trimestre anterior y ascendió a 5,22%. Por lo tanto, las botnets de Linux representan el 94,78% de todas las redes de zombi.

Correlación de ataques de botnets Windows y Linux, primer y segundo trimestres de 2020 (descargar)


El segundo trimestre de 2020 se caracterizó por la gran cantidad de ataques DDoS. Observamos una pausa de abril a junio, pero esta vez la actividad de los ataques DDoS aumentó en comparación con el período cubierto por informe anterior. Lo más probable es que esto se deba a la pandemia de coronavirus y a las medidas restrictivas que en muchos países se prolongaron durante parte del trimestre o su totalidad. El paso forzado de la vida a Internet ha aumentado el número de posibles blancos DDoS. Por lo demás, poco ha cambiado en el segundo trimestre: la composición del número de ataques y objetivos del TOP 10 es casi la misma, y lo mismo pasa con la distribución de los ataques por duración. La proporción de todos los tipos de DDoS ha disminuido notablemente, excepto las inundaciones SYN e ICMP, pero es demasiado pronto para hablar de cualquier tendencia al respecto.

Esperamos que las cifras del tercer trimestre, que también suelen ser bajas, estén más o menos al mismo nivel que las del segundo, o disminuyan un poco. Por el momento, no tenemos motivos para suponer lo contrario. Será muy interesante observar los ataques en el cuarto trimestre: por tradición, el final del año y la temporada de vacaciones son ricos en DDoS, por lo que si la tendencia continúa al mismo nivel (sobre todo si llegamos a ver la segunda ola de la epidemia), es muy posible que el mercado DDoS experimente un marcado crecimiento.

Category: Destacados
Date: Mon, 10 Aug 2020 10:00:29 +0000
Local date: Mon, 10 Aug 2020 10:00:29 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 960 px
DDoS attacks in Q2 2020
Author: Oleg Kupreev
Link :
Email :
Description: The second quarter is normally calmer than the first, but this year is an exception. The long-term downward trend in DDoS-attacks has unfortunately been interrupted, and this time we are witnessing an increase.
Full content:

News overview

Not just one but two new DDoS amplification methods were discovered last quarter. In mid-May, Israeli researchers reported a new DNS server vulnerability that lurks in the DNS delegation process. The vulnerability exploitation scheme was dubbed “NXNSAttack”. The hacker sends to a legitimate recursive DNS server a request to several subdomains within the authoritative zone of its own malicious DNS server. In response, the malicious server delegates the request to a large number of fake NS servers within the target domain without specifying their IP addresses. As a result, the legitimate DNS server queries all of the suggested subdomains, which leads to traffic growing 1620 times. A new version of DNS server software fixes the vulnerability.

About a week later, Chinese researchers posted information about another DDoS amplification method, named RangeAmp. The method exploits HTTP range requests that allow downloading files in parts. The experts found that a malicious range request can make content delivery networks (CDNs) increase load on a target site several times. The researchers identify two types of RangeAmp attacks. The first involves sending traffic from the CDN server directly to the servers of the target resource while amplifying it 724 to 43330 times. In the other case, increased volumes of garbage traffic are transferred between two CDN servers, with the amplification factor reaching 7500. According to the researchers, most CDN providers have released updates that safeguard their servers from this kind of attack or have stated an intention to do so.

As researchers investigate these new ways of amplifying attacks, DDoS botnet owners look for new resources to expand them. In June, our colleagues at Trend Micro discovered that the Kaiji and XORDDoS malicious programs, which formerly specialized in IoT devices, were targeting unprotected Docker servers. In the event of a successful attack, a XORDDoS bot penetrated every container on the server, and Kaiji created one of its own. Docker containers may prove unsuited for DDoS attacks — in particular because of the possibility of limiting the number of network protocols they use. Therefore, unprotected containers are attacked primarily by mining bots. However, some malware successfully combines a DDoS bot and a miner. For example, a bot that can both stage TCP, UDP and HHTP DDoS attacks, and hijack cryptocurrency for its operators was recently discovered in the wild.

The resonant socio-political events that marked the first quarter of 2020 could not but alter the picture of DDoS attacks. Thus, attacks on human rights organizations in the United States soared 1,120 times at the end of May. This activity coincided with the protests that unfolded in that country. The opposite side of the conflict was affected, too: the Minnesota State Information Technology Services were targeted by a DDoS attack. In particular, unknown hackers knocked out the Minneapolis police website. Around the same time, several tweets alleged that Anonymous hacktivists, who had previously threatened to expose police crimes, were behind the attack, but the group did not claim responsibility for the incident.

In June, Russia hosted a multi-day vote on amendments to its constitution, and preparations for the event were marked by DDoS attacks. The day after the voting began, the Central Election Commission said it had been attacked. The online voting service was hit right after the CEC, but officials said its operation was not disrupted. The service was experiencing outages at the beginning of the voting process: it could not handle legitimate load. The конституция information website (covering the amendments into the RF constitution) was attacked as well. According to a CEC spokesperson, the site was inundated by garbage traffic originating in Great Britain and Singapore on June 28.

The media traditionally received their share of the attacks. This time, the Belarus Partisan independent social and political publication came under attack. According to a spokeswoman, the portal was flooded from foreign IP addresses before sources located in Belarus joined in. The owners of the website were forced to change its IP address. Belarusian online media have increasingly been targeted by DDoS operators.

The second quarter of the year in many countries saw measures to fight the COVID-19 pandemic, with the employees of many countries and institutions working remotely as before. Accordingly, the number of attacks on online resources remained high. According to Russia’s Rostelecom, the number of attempts at knocking offline education websites, such as e-diaries, instructional platforms, testing sites, etc., grew more than five times.

However, not every large-scale communication outage is a consequence of a DDoS attack. In mid-June, users the United States experienced problems accessing T-Mobile and Verizon networks. There were tweets about a large-scale DDoS attack on these wireless carriers and several social networks, allegedly originating in China, but these reports were left unconfirmed. On the contrary, T-Mobile stated that in reality, the affected resources, including those of the company’s competitors’, became inaccessible due to a wired provider failure in the Southeast, which caused network overload.

As failures and threat actors knocked out useful services, Dutch police shut down fifteen websites that sold DDoS attack services. In addition to that, in April Dutch law enforcement officers arrested a nineteen-year-old who attempted to disrupt the operation of several government portals in March. Police was determined to fight against services and individuals linked to DDoS activity. They have declared an intention to complicate this sort of attacks as much as they can.

Other countries have continued to fight DDoS attacks, too. In Israel, for example, former co-owners of a website that sold attack services were sentenced to six months of community service and fines. The malware service vDOS lasted four years and was shut down in 2016.

Quarter trends

Over the past few years, we have seen a significant drop in the number of DDoS attacks in the second quarter compared to the first, which is usually a tense period. However, from April to June of 2020, the picture remained nearly the same as in the previous reporting period: the overall number of attacks increased slightly, the number of smart attacks decreased slightly, but the profiles for the two quarters hardly differed overall.

Comparative number of DDoS attacks, Q1 and Q2 2020, and Q2 2019. Q2 2019 data taken as 100% (download)

The fact that the data we obtained for the “low” second quarter was virtually identical to that for the “high” first quarter is a testament to unprecedented growth in attacks in the reporting period. This is easy to see if one compares the figures for the second quarter of 2020 with the data for the same period in 2019: the total number of attacks more than tripled, and the number of smart attacks more than doubled.

The duration of attacks on the average did not change in comparison with the first quarter or with last year, remaining at the level of around twenty minutes. Smart attacks, which lasted an average of several hours, were the longest. This trend has persisted for a long time, so this was nothing new to us. However, we should note that we observed an unusually long smart attack activity in the second quarter. This affected the maximum DDoS duration, which increased 4.5 times compared to last year. We excluded that attack from the sample when calculating averages.

Duration of DDoS attacks, the Q1 and Q2 2020, and Q2 2019 Q2 2019 data taken as 100% (download)

Just like the previous reporting period, the second quarter saw educational and government institutions targeted the most frequently. At the same time, the number of attacks on the educational sector decreased sharply starting in the second half of June, which could be attributed to the start of the summer break.

Quarter statistics

Quarter results

  • The top three of the most attacked countries are the same: China (65.12%), the United States (20.28%) and Hong Kong, China (6.08%).
  • Romania dropped out of the top ten and was ranked the 17th, whereas Great Britain rose from the eighteenth to the tenth position.
  • The top five places in terms of both the number of targets and the number of attacks are occupied by China (66.02%), the United States (19.32%), Hong Kong, China (6.34%), South Africa (1.63%) and Singapore (1.04%).
  • We are seeing the now-familiar trend of attacks abating begin to reverse: this April, their number grew, peaking at 298 on April 9.
  • In the second quarter, we observed two dips several days long each, April 30 to May 6 and June 10–12, when the number of attacks remained within the range of ten to fifteen per day.
  • DDoS botnet activity increased on Wednesdays and Thursdays and decreased on Saturdays.
  • Even the longest attacks did not reach nine days (215, 214 and 210 hours), which is more than half the number of the previous quarter’s longest-lasting attacks (about 19 days).
  • SYN flood remains the main DDoS attack tool (94.7%), ICMP attacks accounted for 4.9 percent, and other types of DDoS attacks were sidelined.
  • The ratio of Windows-to-Linux botnets remained virtually unchanged, with the latter still responsible for the absolute majority (94.78%) of attacks.

Attack geography

In the second quarter of 2020, China (65.12%) again led by a wide margin, followed, as before, by the United States (20.28%) and Hong Kong, China (6.08%). The share of the first two countries increased by 3.59 and 1.2 p.p., respectively, whereas the share of Hong Kong, China decreased slightly, by 1.26 p.p.

Changes in the top ten were few as well. We are still seeing there South Africa (1.28%) Singapore (1.14%), both countries rising by a notch, now occupying the fourth and fifth positions, respectively. Next up is India (0.33%) and Australia (0.38%), which rose from ninth to seventh and from tenth to sixth place, respectively. These are followed by Canada (0.24%), which slipped to the ninth row.

Great Britain (0.18%; rose by 0.1 p.p.) is the newcomer in the rankings, sharing tenth place with South Korea. The EU countries, seldom targeted individually  by DDoS operators, were seventh, with a share of 0.26%. Romania, however, slid from fourth to seventeenth place, dropping out of the top ten.

Distribution of DDoS attacks by country, Q1 and Q2 2020 (download)

The geographical distribution of unique targets traditionally replicates the distribution of attacks to a large extent. Six out of ten countries in the rankings overlap in the second quarter, with the top five being complete matches: China (66.02%), the United States (19.32%), Hong Kong, China (6.34%), South Africa (1.63%) and Singapore (1.04%). At the same time, only China registered an increase in the share of targets compared to the previous reporting period, by 13.31 p.p., while the rest showed a slight decline.

Sixth place went to Australia (0.3%), which was ninth in the first quarter. In addition, Vietnam returned to the top ten after a brief absence: with a small increase in the share of targets on its territory (just 0.06 p.p., to 0.23%), it occupied seventh position, displacing South Korea, which now shares the last two rows in the rankings with this quarter’s newcomer, Japan (0.18%), and has overtaken India, whose 0.23% of targets ensured that it took eighth place.

Distribution of unique DDoS attack targets by country, Q1 and Q2 2020 (download)

Dynamics of the number of DDoS attacks

The second quarter is normally calmer than the first, but this year is an exception. The long-term downward trend in attacks has unfortunately been interrupted, and this time we are witnessing an increase. The peaks occurred on April 9 (298 attacks) and April 1 (287 attacks within one day). Besides, the number of attacks exceeded the peak for the past two quarters twice, on May 13 and 16. In early May, DDoS operators apparently decided to go on a break: not once did the number of attacks reach fifteen within a day between April 30 and May 6, and between May 2 and May 4, just eight or nine per day were registered. The period of June 10–12 saw another lull, with 13, 15 and 13 attacks respectively.

The last three quarters have thus seen both a record high and a record low number of attacks. It is worth noting here that the quietest days repeated the absolute record in the observation period, set in the last quarter of 2019, but the busiest ones fall far short of even the relatively quiet third quarter. That said, the average number of attacks increased by almost thirty percent compared to the previous reporting period.

Dynamics of the number of DDoS attacks in Q2 2020 (download)

In the second quarter, the operators of the attacks preferred to work on Wednesdays (16.53%) and rested from their wicked deeds on Saturdays (only 11.65%). However, the difference between the “leader” and “anti-leader” is small, just 4.88 p.p. Compared to the last quarter, the share of attacks increased significantly on Wednesdays (by 5.37 p.p.) and Thursdays (by 3.22 p.p.), while Monday dropped (minus 3.14 p.p.).

Distribution of DDoS attacks by day of the week, Q1 and Q2 2020 (download)

Duration and types of DDoS attacks

The average duration of attacks decreased slightly (by 4 p.p.) when compared to the previous reporting period due to an increase in the share of ultrashort attacks and a decrease of 0.1 p.p. in the share of multi-day attacks, but more so due to an absence of ultra-long attacks. Whereas the first quarter saw attacks that lasted up to twenty days, this time, the top three lasted 215, 214 and 210 hours, that is less than nine days.

The distribution of attacks by duration has hardly changed: the aforementioned increase by 4 p.p. is the most significant event, with the remaining differences being within the range of 0.06 to 1.9 p.p., almost a statistical blip. Thus, the shortest attacks (up to four hours) accounted for 85.97% of the total number of DDoS attacks, those lasting five to nine hours for 8.87%, attacks up to 19 hours for 3.46%, attacks up to 49 hours for 1.39%, and attacks up to 99 hours in duration, for 0.11%. Attacks within the range of 100 to 139 hours proved to be slightly more numerous (0.16%), and the longest attacks accounted for 0.05% of the total DDoS attack number.

Distribution of DDoS attacks by duration (hours), Q1 and Q2 2020 (download)

The share of SYN flooding in the quarter was 94.7% (up by 2.1 p.p.). For a second consecutive quarter, the leader is followed by ICMP flooding (4.9%), which is 1.3 p.p. above the previous reporting period. TCP attacks accounted for 0.2% of the total number, and UDP and HTTP attacks (0.1%) round out the list. The share of the last three groups dropped when compared to the previous quarter.

Distribution of DDoS attacks by type, Q2 2020 (download)

The share of Windows botnets decreased by 0.41 p.p. to 5.22% compared to the previous quarter. Linux botnets thus account for 94.78% of all zombie networks.

Ratio of Windows and Linux botnet attacks, Q1 and Q2 2020 (download)


The second quarter of 2020 is notable for the number of DDoS attacks: the period from April through June normally sees a lull, but this year, DDoS activity increased in comparison to the previous reporting period. This is most likely due to the coronavirus pandemic and restrictive measures that lasted for part or all of the quarter in many countries. The forced migration of many day-to-day activities online led to an increase in potential DDoS targets. Little changed in the second quarter otherwise: the composition of the top ten list in terms of the number of attacks and targets was virtually the same, as was the distribution of attacks by duration. The proportion of all types of DDoS attacks, except for SYN and ICMP flood, dropped markedly, but talking about any kind of trend in this regard would be premature.

We expect third-quarter results, typically low, to be at about the same level as the second quarter, or to decrease slightly, having no reasons to believe otherwise at the time of writing this. It will be exceptionally interesting to watch attacks in the fourth quarter: the end of the year and the holiday season traditionally see no shortage of DDoS attacks, so if the trend continues — especially if we are hit by a second wave of the epidemic — it is possible that the DDoS market will grow significantly.


Category: DDoS reports
Date: Mon, 10 Aug 2020 10:00:11 +0000
Local date: Mon, 10 Aug 2020 10:00:11 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 960 px
Spam y phishing en el segundo trimestre de 2020
Author: Tatyana Kulikova
Link :
Email :
Description: En el segundo trimestre de 2020, la mayor parte del spam se registró en abril: 51,45%. El porcentaje promedio de spam en el tráfico de correo global fue del 50,18%, es decir 4,43 puntos porcentuales menos que el porcentaje del período del informe anterior.
Full content:

Particularidades del trimestre

Ataques selectivos

En el segundo trimestre, los phishers usaron con frecuencia ataques selectivos, por lo general contra compañías no muy grandes. Para atraer la atención, los ciberestafadores falsificaban cartas y sitios web de organizaciones cuyos productos o servicios podrían atraer a víctimas potenciales.

En el proceso de falsificación, a los estafadores no parecía importarles que los elementos del sitio lucieran creíbles, con la excepción del formulario para ingresar el nombre de usuario y la contraseña. En uno de los sitios fraudulentos que descubrimos, este formulario incluso utilizaba un captcha real.

El principal pretexto que los ciberdelincuentes utilizan para inducir a las víctimas a que ingresen datos, es el catálogo electrónico, al que supuestamente solo se puede acceder después de ingresar el nombre de usuario y la contraseña de su cuenta de correo.

En un caso, los phishers buscaron inicios de sesión y contraseñas de cuentas corporativas utilizando el servicio para crear y almacenar presentaciones Microsoft Sway. En la presentación, se le pedía al usuario que diera un vistazo a los documentos de otra compañía que trabaja en el mismo campo. Para ello, tenía que seguir el enlace e ingresar el nombre de usuario y la contraseña de su correo corporativo.

Por su diseño, es fácil darse cuenta de que el sitio es falso. Suele estar echo a la rápida, y la información en la página no guarda coherencia, ya que se la obtiene de diferentes fuentes. Además, estas páginas se crean en hostings gratuitos: los ciberdelincuentes no están dispuestos a invertir mucho en falsificaciones.

Un ataque de phishing selectivo puede tener consecuencias graves: tras obtener acceso a la cuenta de correo de un empleado, los ciberdelincuentes pueden usarla para llevar a cabo nuevos ataques contra la propia compañía, sus empleados o contratistas.

Esperando el paquete: no pierda datos ni infecte su computadora

En el pico de la pandemia, el transporte de correo postal entre países fue difícil y el tiempo de entrega aumentó notablemente. Las organizaciones de correo postal y paquetes se apresuraron a notificar a los destinatarios sobre posibles retrasos y dificultades. Fueron estas notificaciones las que los estafadores comenzaron a falsificar: le pedían a la víctima que abriera un archivo adjunto para ver la dirección del almacén donde era posible recoger el envío que no llegó al destinatario.

Otro truco relativamente original utilizado por los ciberdelincuentes fue un mensaje que contenía una imagen en miniatura de un recibo postal. Los estafadores esperaban que el destinatario intrigado pensara que el archivo adjunto (que, aunque contenía JPG como parte de su nombre, era un archivo ACE ejecutable) era la versión completa y lo abriera. En los envíos masivos que encontramos, esta era la manera en que se distribuía el spyware Noon. El engaño se puede reconocer si el software de correo permite ver los nombres completos de los archivos adjuntos.

En otro esquema fraudulento, se le decía a la víctima potencial que, debido a que estaba prohibido el envío de ciertos tipos de productos, su pedido no podía ser enviado. Pero podría enviarse de nuevo tan pronto como se levantasen las restricciones. Y que todos los documentos necesarios y un nuevo número de seguimiento podían encontrarse en el archivo adjunto. Pero en realidad, este contenía la puerta trasera Androm, que permite el acceso remoto a la computadora de la víctima.

Los estafadores, en nombre del servicio de mensajería, enviaron cartas advirtiendo que el paquete no se entregaría debido a que no se habían pagado los costos de transporte. Como pago, el “servicio de mensajería” aceptaba códigos de tarjetas prepagas del sistema de pago Paysafecard (tienen un valor nominal de € 10 a € 100 y permiten, por ejemplo, pagar con ellas en tiendas que la acepten). Proponían enviar el código de la tarjeta con un valor nominal de 50 € por correo electrónico, algo que, por cierto, está prohibido por las normas del sistema de pago. Este método de pago no fue elegido por los ciberdelincuentes por casualidad: es casi imposible bloquear o revocar un pago de Paysafecard.

Phishing bancario en medio de la pandemia

A menudo, los ataques de phishing bancario en el segundo trimestre se llevaron a cabo mediante mensajes en los que se ofrecía a los clientes de las instituciones de crédito diversos beneficios y bonificaciones en relación con la pandemia. Para obtener ayuda, había que descargar un archivo con instrucciones o seguir un enlace. Como resultado, y dependiendo del esquema, los estafadores podrían obtener acceso a la computadora del usuario, sus datos personales o datos de autenticación en varios servicios.

El tema del COVID-19 también estuvo presente en las famosas falsificaciones de mensajes de los bancos, que informaban que la cuenta del cliente estaba bloqueada y que, para desbloquearla, la víctima debía ingresar su nombre de usuario y contraseña en una página especial:

Debido a la pandemia, también se actualizó el esquema utilizado por los ciberdelincuentes durante más de 10 años: en el texto del mensaje, se ofrece a la víctima un préstamo con una conveniente tasa de interés y, para obtener información detallada, se le recomienda abrir el archivo adjunto. Esta vez, la reducción de la tasa se debía a la pandemia.

Impuestos y beneficios

El comienzo del segundo trimestre es en muchos países el periodo de presentación de declaraciones de impuestos. Este año, debido a la pandemia, las autoridades fiscales de algunos países redujeron la carga impositiva y eximieron a los ciudadanos del pago de impuestos. Por supuesto, los estafadores no pasaron por alto esta situación: en los correos que encontramos, informaban, por ejemplo, que el estado había aprobado un pago de compensación. El contribuyente solo tenía ir al sitio web del servicio de impuestos, que, por supuesto, era falso. Las cartas no estaban muy bien hechas, y para distinguir las notificaciones falsas de las oficiales, bastaba con prestar atención al campo Remitente.

Hubo estafadores más creativos que crearon toda una leyenda: en una carta del Servicio de Impuestos Internos (IRS) de EE. UU., informaron que el gobierno, junto con la ONU y el Banco Mundial, habían aprobado un pago de compensación por la “pandemia”, por un monto de 500 000 dólares, que debería haberse transferido a la víctima de no ser por un obstáculo, una mujer llamada Annie Morton. Esta persona se había hecho presente en la oficina de impuestos con un poder notarial para recibir el pago. Según ella, el receptor había muerto de COVID-19 y ella debía recibir los 500 000 dólares. Para negar su propia muerte, la víctima tenía que ponerse en contacto con un empleado específico del IRS (y solo con él para evitar errores).

Es probable que las demás acciones fueran idénticas a las del famoso truco de la muerte de un pariente rico, cuando se le pide a la víctima que -para recibir la herencia- pague los servicios de un abogado, quien luego desaparece con el anticipo recibido. Se puede suponer que, en lugar de pagar los servicios de un abogado, los estafadores le pidan a la víctima que pague una tarifa por el papeleo que demuestre que todavía está viva.

Obtener una compensación y perderlo todo

Los reembolsos de impuestos no son la única ayuda que los gobiernos brindan a personas y empresas en una situación difícil debido a la pandemia. Así, a los residentes de Brasil se les “permitió” no pagar la electricidad, pero tenían que registrarse en un sitio web haciendo clic en el enlace de un mensaje supuestamente enviado por el gobierno. El hipervínculo estaba diseñado de tal manera que el usuario pensara que iba a un portal del gobierno, pero en realidad, después de abrirlo, en la computadora de la víctima se instalaba el descargador de troyanos Sneaky, que descargaba y lanzaba otro troyano.

Otro peligro potencial para aquellos que deciden solicitar una compensación en un sitio sospechoso es que pueden perder su información personal. Por ejemplo, en uno de los envíos masivos que ofrecían compensación a personas mayores de 70 años, se les proponía ir un sitio web y completar un cuestionario donde tenían que indicar su apellido, nombre, sexo, dirección postal y también el SSN, número de seguro social (para ciudadanos estadounidenses).

Era bastante fácil detectar la falsificación: bastaba con mirar el campo “Remitente” y prestar atención al tema de la carta, que era extraño para una notificación oficial:

Una vez que la víctima ingresaba todos los datos en el cuestionario, se la redirigía a la verdadera página oficial del Fondo de respuesta al coronavirus de la OMS (COVID-19 Solidarity Response Fund), donde se le solicitaba hacer una donación. De esta manera, los cibercriminales, que con engaños obtenían los datos de los usuarios, creaban la ilusión de que el perfil era oficial y se convirtieron en propietarios de una extensa base de datos de personas mayores de 70 años.

Los mensajes falsos que prometen una compensación del gobierno podrían acarrear otra amenaza: en lugar de recibir dinero, la víctima potencial se arriesga a entregar el suyo a los estafadores. Por ejemplo, en una carta falsa del Fondo Monetario Internacional, se informaba que el destinatario y otros 64 afortunados habían sido seleccionados para recibir una compensación del fondo de 500 millones para apoyar a las víctimas de la pandemia, organizado por el FMI, China y la Unión Europea. Para recibir 950 000 euros, solo tenía que comunicarse con la oficina en la dirección indicada. Y luego todo se desarrollaba según el esquema de los falsos premios de lotería: para recibir el dinero, tenía que pagar una comisión.

Pseudoreclutadores: despedido por spammers profesionales

En varios países, debilitamiento de la economía durante la pandemia ha provocado una ola de desempleo, y los ciberdelincuentes no se perdieron esta ocasión. Por ejemplo, en uno de los correos descubiertos, supuestamente enviados en nombre del Departamento de Trabajo de los EE. UU., se ofrecía informarse sobre las innovaciones en la ley de licencia médica y familiar. Según el remitente, había sido enmendada después de la entrada en vigor de la nueva ley sobre COVID-19, y toda la información sobre las enmiendas figuraba en el anexo. Pero en realidad, éste contenía el troyano Trojan-Downloader.MSOffice.SLoad.gen, cuya tarea más frecuente es descargar e instalar ransomware.

Otra forma en que los estafadores intentaron “sorprender” a las posibles víctimas fue enviando una carta de renuncia. En ella se informaba al empleado que debido a la crisis causada por la pandemia, la compañía se veía obligada a separarse de él. Es cierto que la reducción tuvo lugar “de conformidad con todas las reglas”: en el archivo adjunto, según el autor de la carta, estaban los documentos para tramitar el sueldo de meses. Naturalmente, en lugar de dinero, la víctima encontraba solo malware.

Sus datos son requeridos urgentemente

A finales del segundo trimestre de 2020, se produjo un notable aumento del número de mensajes con phishing telefónico en el tráfico de correo. En los envíos masivos se informaba de un intento sospechoso (desde otro país) de iniciar sesión en una cuenta de Microsoft y se recomendaba ponerse en contacto con el servicio de asistencia técnica llamando al número de teléfono especificado. Con este truco, los atacantes no necesitaban crear numerosas páginas falsas, ya que intentaban obtener toda la información necesaria sobre el inicio de sesión y la contraseña por teléfono.

Una forma aún menos ortodoxa de obtener datos personales se encontraba en los correos con ofertas para suscribirse a noticias relacionadas con el tema COVID-19. Bastaba con que el usuario confirmara su dirección de correo electrónico. Además de robar datos personales, dichos formularios se pueden usar para recopilar datos sobre la actividad de una dirección de correo electrónico.

Estadísticas: spam

Porcentaje de spam en el tráfico postal

Porcentaje de spam en el tráfico de correo global, primer y segundo trimestres de 2020 (descargar)

En el segundo trimestre de 2020, la mayor parte del spam se registró en abril: 51,45%. El porcentaje promedio de spam en el tráfico de correo global fue del 50,18%, es decir 4,43 puntos porcentuales menos que el porcentaje del período del informe anterior.

Países-fuente de spam

Países-fuente de spam en el mundo, segundo trimestre de 2020 (descargar)

Los cinco primeros lugares entre los países con la mayor cantidad de spam saliente fueron compartidos por los mismos participantes que en el primer trimestre de 2020. Como antes, Rusia está a la cabeza (18,52%), y Alemania está en segundo lugar (11,94%), tras desplazar a Estados Unidos (10,65%)  a la tercera posición. El cuarto y quinto lugar, como en el informe del período anterior, están ocupados por Francia (7,06%) y China (7,02%).

El sexto lugar lo ocupan Países Bajos (4,21%), seguido por Brasil (2,91%), Turquía (2,89%), España (2,83%). Japón, con una participación del 2,42%, cierra el TOP 10.

Tamaño de los mensajes spam

Tamaño de los mensajes de spam, primer y segundo trimestres de 2020 (descargar)

La proporción de mensaje muy pequeños continúa disminuyendo: en el segundo trimestre cayó en 8,6 puntos porcentuales, llegando al 51,30%. La proporción de mensajes de 5 a 10 KB de tamaño disminuyó ligeramente (en 0,66 pp) en comparación con el trimestre anterior y fue del 4,90%. Pero la proporción de mensajes de spam cuyo tamaño está en el rango de 10 a 20 KB, aumentó en 4,73 puntos porcentuales y ascendió al 11,09%. Hay menos mensajes de spam grandes de 10 a 20 KB, alcanzando el 2,51% en este trimestre: 1,99 puntos porcentuales menos que en el primer trimestre.

Archivos adjuntos maliciosos: familias de malware

Número de detecciones de antivirus por correo electrónico, primer y segundo trimestre de 2020 (descargar)

En solo el segundo trimestre de 2020, nuestras soluciones de seguridad detectaron 43 028 445 archivos adjuntos de correo electrónico malicioso, seis millones y medio más que en el período cubierto por el informe anterior.

TOP 10 de archivos adjuntos maliciosos en el tráfico de correo electrónico, segundo trimestre de 2020 (descargar)

En el segundo trimestre, el primer lugar en términos de prevalencia en el tráfico de correo lo ocupó Trojan.Win32.Agentb.gen (13,27%), seguido de Trojan-PSW.MSIL.Agensla.gen (7,86%) y Exploit.MSOffice.CVE-2017-11882.gen (7,64%).

TOP 10 de familias maliciosas en el tráfico de correo electrónico, segundo trimestre de 2020 (descargar)

La familia de malware más propagada este trimestre, como en el primer trimestre, fue Trojan.Win32.Agentb (13,33%), seguido de Trojan-PSW.MSIL.Agensla (9,40%), y en tercer lugar se ubica Exploit.MSOffice.CVE-2017-11882 (7,66%).

Países fuente de adjuntos maliciosos

Distribución de las reacciones del antivirus de correo por país, segundo trimestre de 2020 (descargar)

El líder por el número de detecciones del antivirus de correo electrónico en el segundo trimestre de 2020, al igual que en el primer trimestre, fue España (8,38%). Rusia ocupó el segundo lugar (7,37%) y Alemania ocupó el tercer lugar (7,00%).

Estadísticas: phishing

En el segundo trimestre de 2020, el sistema antiphishing impidió 106 337 531 intentos de remitir a los usuarios a páginas fraudulentas, casi 13 millones menos que el resultado del primer trimestre. La proporción de usuarios únicos atacados ascendió al 8,26% del número total de usuarios de productos de Kaspersky Lab en el mundo, y se agregaron 1 694 705 máscaras de phishing a las bases de datos del sistema.

Geografía de los ataques

Como ya es tradición, Venezuela es el país con la mayor proporción de usuarios atacados por phishers (17,56%).

Geografía de los ataques de phishing, segundo trimestre de 2020 (descargar)

4,05 puntos porcentuales más abajo, ocupando el segundo lugar está Portugal (13,51%), seguido de Túnez (13,12%).

País %*
Venezuela 17,56%
Portugal 13,51%
Túnez 13,12%
Francia 13,08%
Brasil 12,91%
Qatar 11,94%
Bahréin 11,88%
Guadalupe 11,73%
Bélgica 11,56%
Martinica 11,34%

*Porcentaje de usuarios en cuyos equipos reaccionó el sistema Antiphishing, del total de usuarios de productos de Kaspersky en el país

Dominios de nivel superior

Hemos decidido que a partir de este trimestre llevaremos estadísticas sobre los dominios de nivel superior que se utilizaron en los ataques de phishing. Como era previsible, la zona de dominio COM ocupó el primer lugar por un margen enorme (43,56% del número total de dominios de nivel superior involucrados en ataques). Lessiguen NET (3,96%) y TOR (3,26%). La zona rusa RU (2,91%) está en cuarto lugar, y ORG, cuya participación en el trimestre actual fue de 2,55%, está en quinto lugar.

Dominios de nivel superior más utilizados por los phishers, segundo trimestre de 2020 (descargar)

Organizaciones atacadas

La estadística de las categorías de las organizaciones atacadas por los phishers se basa en las detecciones de nuestro antiphishing en los equipos de los usuarios. Este componente detecta las páginas con contenidos phishing a las que el usuario trata de llegar al pulsar enlaces contenidos en el mensaje o en Internet. Carece de importancia de qué forma se haga el paso: sea como resultado de pulsar un enlace en un mensaje phishing, en un mensaje de una red social o debido a las acciones de un programa malicioso. Cuando el sistema de defensa reacciona, el usuario recibe una advertencia sobre la posible amenaza.

Al igual que en el primer trimestre, el mayor número de ataques de phishing recayó en las organizaciones en la categoría “Tiendas en línea”: su participación creció en 1,3 puntos porcentuales y fue del 19,42%. El segundo lugar, como antes, fue ocupado por “Portales globales de Internet”, cuya proporción de ataques permaneció prácticamente sin cambios (16,22%). La categoría “Bancos” (11,61%) volvió al tercer lugar, desplazando a “Redes sociales” (10,08%) al cuarto.

Distribución de organizaciones cuyos usuarios fueron atacados por phishers, por categoría, segundo trimestre de 2020 (descargar)


Al analizar los resultados del primer trimestre, asumimos que el COVID-19 sería el principal tema para los spammers y phishers en el futuro. Y así sucedió: fueron raros los correos no deseados que no mencionaran la pandemia, mientras que los phishers adaptaron viejos esquemas a la agenda actual y crearon otros.

El promedio de spam en el tráfico mundial de correo (50,18%) este trimestre disminuyó en 4,43 puntos porcentuales en comparación con el período cubierto por el informe anterior, y el número de intentos de desviar a usuarios a páginas de phishing ascendió a casi 106 millones.

En el segundo trimestre, el primer lugar en la lista de países fuente de spam lo ocupó Rusia, con una participación del 18,52%. Nuestras soluciones de seguridad bloquearon 43 028 445 archivos adjuntos de correo electrónico malicioso, y la familia de malware más popular en el correo electrónico fue Trojan.Win32.Agentb.gen: su participación en el tráfico de correo fue del 13,33%.

Category: Destacados
Date: Fri, 07 Aug 2020 10:00:08 +0000
Local date: Fri, 07 Aug 2020 10:00:08 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 960 px
Spam and phishing in Q2 2020
Author: Tatyana Kulikova
Link :
Email :
Description: In Q2 2020, the largest share of spam (51.45 percent) was recorded in April. The average percentage of spam in global email traffic was 50,18%, down by 4.43 percentage points from the previous reporting period.
Full content:

Quarterly highlights

Targeted attacks

The second quarter often saw phishers resort to targeted attacks, especially against fairly small companies. To attract attention, scammers imitated email messages and websites of companies whose products or services their potential victims could be using.

The scammers did not try to make any of the website elements appear credible as they created the fake. The login form is the only exception. One of the phishing websites we discovered even used a real captcha on that form.

The main pretext that scammers use to prompt the target to enter their information is offering an online catalog that purportedly only becomes available once the target provides the login and password to their email account.

In one instance, phishers used Microsoft Sway, the service for creating and sharing presentations, to hunt for logins and passwords for corporate accounts. The user was offered to view presentations belonging to another company in the same industry by following a link and entering the login and password for their work email account.

A fake website can be recognized by its design. The workmanship is often rough, and the chunks of information on the various pages are disjointed due to being pulled from diverse sources. Besides, pages like that are created on free hosting websites, as cybercriminals are not prepared to invest too much money in the fakes.

A targeted phishing attack may lead to serious consequences: after gaining access to an employee’s mailbox, cybercriminals can use it for further attacks on the company itself, or its employees or partners.

Waiting for your package: keeping your data secure and your computer, clean

As the pandemic reached its peak, mail service between countries became complicated and delivery times noticeably increased. Organizations responsible for delivery of letters and parcels rushed to notify recipients about all kinds of possible delays and hiccups. This is exactly the type of email messages that scammers started to imitate: the target was offered to open the attachment to find out the address of the warehouse with the package that had failed to reach them.

Another, relatively original, trick employed by cybercriminals was a message containing a miniature image of a postal receipt. The scammers expected the curious recipient to take the attachment, which was an ACE archive despite its name containing “jpg”, for the real thing and open it. The mailshots we detected used this as a method of spreading the Noon spyware. The scam can only be detected if the email client displays the full names of attachments.

In another fraudulent scheme, the target was to told that their order could not be dispatched due to a restriction on mailing of certain types of goods, but the processing of the package would be resumed once the restrictions were lifted. All required documents and a new tracking number could purportedly be found in the attached archive. In reality, the attachment contained a copy of the Androm backdoor, which opened remote access to the victim’s computer.

Scammers posing as courier service employees sent out email warning that packages could not be delivered due to failure to pay for the shipping. The “couriers” accepted codes for prepaid cards issued by Paysafecard as payment. These cards range from €10 to €100 and can be used in stores that accept this payment method. The victim was offered to email a €50 card code – incidentally, an activity that the payment system’s rules explicitly forbid. The cybercriminals chose this payment method for a reason: blocking or revoking a Paysafecard payment is next to impossible.

Banking phishing amid a pandemic

Banking phishing attacks in the second quarter of the year often employed emails that offered borrowers various pandemic-related discounts and bonuses. Accessing the benefits involved downloading a file with a manual or following a link. As a result, the scammers could access the user’s computer, personal data or credentials for various services, depending on the scheme.

The COVID-19 theme was present, too, in the widely known fake bank emails informing customers that their accounts had been blocked, and that they needed to enter their login and password on a special page to get back their access.

The pandemic saw the revival of a more-than-a-decade-old scheme, in which scammers sent victims emails offering to open the attachment to get the details of a low-rate loan. This time, the rate reduction was linked to the pandemic.

Taxes and exemptions

The beginning of the second quarter is the time for submitting tax forms in many countries. This year, tax authorities in some countries reduced the tax burden or exempted citizens from paying taxes. Scammers naturally grabbed the opportunity: mailshots we detected reported that the government had approved a compensation payout, and claiming it involved following a link to the tax agency’s website, which, unsurprisingly, proved to be fake. Some of the email messages were not too well crafted, and looking closely at the From field was all it took to detect a fake.

More ingenious scammers made up a whole legend: in an email presented as being from the IRS (United States Internal Revenue Service), they said there was a $500,000 “pandemic payment”, authorized jointly by the UN and the World Bank, that could be transferred to the recipient if it had not been for a woman named Annie Morton. The lady, the email said, had showed up at an IRS office carrying a warrant for the payment. She purportedly said that the intended recipient had succumbed to COVID-19, and she was the one to receive the $500,000. The message insisted that the victim contact a certain IRS employee – and not any other, so as to avoid a mistake – to prove that they were alive.

Subsequent steps would most likely be identical to the well-known inheritance scam, where the victim would be offered to pay for the services of a lawyer, who would then disappear with the advance money. One might guess that instead of the advance, the scammers would ask for a fee for executing papers that would prove the victim was still alive.

Getting refunded and losing it all

Tax refunds are not the only type of aid that states have been providing to individuals and companies distressed by the pandemic. And not the only type the scammers have been using. Thus, Brazilians were “allowed” not to pay their energy bills, and all they had to do was register on a website by following a link in an “email from the government”. The hyperlink had an appearance designed to trick the user into thinking that they were being redirected to a government portal, whereas in reality, the victim had a trojan installed on their computer, which downloaded and then ran another trojan, Sneaky.

Personal information leak is another hazard faced by those who risk registering for “compensation” on a suspicious website. For example, one mailshot offered individuals aged over seventy to go to a website and fill out a form, which contained fields for the last name, first name, gender, mailing address and SSN (social security number, for US citizens).

Identifying a fake email is easy. One just needs to take a closer look at the From field and the subject, which appears odd for an official email.

Once the target filled out the entire form, they were redirected to the official Web page of the World Health Organization’s COVID-19 Solidarity Response Fund, a real organization, to give a donation. This helped the scammers to create an illusion that the questionnaire was official and to build a vast database containing the details of individuals over seventy years of age.

Fake emails promising government compensations carried one more threat: instead of getting paid, the victim risked losing their own money to the cybercriminals. Thus, a fake email from the International Monetary Fund announced that the recipient and sixty-four other “lucky” individuals had been selected to receive compensations from a five-hundred-million-dollar fund set up by the IMF, China and the European Union for supporting victims of the pandemic. Getting €950,000 was a matter of contacting the IMF office at the address stated in the message. Subsequent events followed the lottery-scam script: getting the money required paying a commission first.

Fake HR: getting dismissed by professional spammers

The pandemic-related economic downturns in several countries caused a surge in unemployment, an opportunity that cybercriminals were quick to take advantage of. One mailshot, sent in the name of the US Department of Labor, offered looking at the latest changes to the parental leave and sick leave laws. The sender said these laws had been amended following the adoption of the coronavirus relief act, and all details on the amendments were available in the attachment. What the attachment really contained was Trojan-Downloader.MSOffice.SLoad.gen, a trojan mostly used for downloading and installing ransomware.

Another way scammers “surprised” potential victims was dismissal notices. The employee was informed that the company had been forced to discharge them due to the pandemic-induced recession. The dismissal “followed the book”, in that the attachment, according to the author of the email, contained a request form for two months’ worth of pay. Needless to say, the victim only found malware attached.

Your data wanted, now

The share of voice phishing in email traffic rose noticeably at the end of Q2 2020. One mailshot warned of a suspicious attempt at logging in to the target’s Microsoft account, originating in another country, and recommended that the target contact support by phone at the supplied number. This spared the scammers the need to create a large number of fake pages, as they tried to get all the information they needed over the phone.

An even less conventional way of obtaining personal data could be found in emails that offered subscription to COVID-19 updates, where the target only needed to verify their email address. Besides personal data theft, forms like this can be used for collecting mailbox usage statistics.

Statistics: spam

Proportion of spam in email traffic

Proportion of spam in global email traffic, Q1 2020 – Q2 2020 (download)

In Q2 2020, the largest share of spam (51.45 percent) was recorded in April. The average percentage of spam in global email traffic was 50,18%, down by 4.43 percentage points from the previous reporting period.

Proportion of spam in Runet email traffic, Q1 2020 – Q2 2020 (download)

The Russian segment of the World Wide Web presents the opposite picture, with the end of the quarter accounting for the larger share of spam: spam peaked in June as it reached 51.23 percent. The quarterly average was 50.35 percent, 1.06 p.p. lower that the first quarter’s average.

Sources of spam by country

Countries where spam originated in Q2 2020 (download)

The composition of the top five Q1 2020 spam leaders remained unchanged in the second quarter. Russia kept the lead with 18.52 percent, followed by Germany with 11.94 percent, which had overtaken the US, now third with 10.65 percent. France (7.06 percent) and China (7.02 percent) remained fourth and fifth, respectively.

Sixth was the Netherlands (4.21 percent), closely followed by Brazil (2.91 percent), Turkey (2.89 percent), Spain (2.83 percent) and lastly, Japan (2.42 percent).

Spam email size

Spam email size, Q1 – Q2 2002 (download)

The share of extra small emails kept going down, dropping by 8.6 p.p. to 51.30 percent in Q2 2020. Emails between 5 KB and 10 KB decreased slightly (by 0.66 p.p.) compared to the previous quarter, to 4.90 percent. Meanwhile, the share of spam messages within the range of 10 KB to 20 KB rose by 4.73 p.p. to 11.09 percent. The share of larger messages between 100 KB and 200 KB in the second quarter fell by 1.99 p.p. to 2.51 percent compared to Q1 2020.

Malicious attachments: malware families

Number of Mail Anti-Virus triggerings, Q1 2020 – Q2 2020 (download)

Our security solutions detected a total of 43,028,445 malicious email attachments in Q2 2020, an increase of six and a half million year-on-year.

TOP 10 malicious attachments in mail traffic, Q2 2020 (download)

Trojan.Win32.Agentb.gen (13.27 percent) was the most widespread malware in email attachments in the second quarter of the year, followed by Trojan-PSW.MSIL.Agensla.gen (7.86 percent) in second place and Exploit.MSOffice.CVE-2017-11882.gen (7.64 percent) in third place.

TOP 10 malware families in mail traffic, Q2 2020 (download)

The most widespread malware family in the second quarter, as in the previous one, was Trojan.Win32.Agentb (13.33 percent), followed by Trojan-PSW.MSIL.Agensla (9.40 percent) and Exploit.MSOffice.CVE-2017-11882 (7.66 percent).

Countries targeted by malicious mailshots

Distribution of Mail Anti-Virus triggerings by country, Q2 2020 (download)

Spain (8.38%) took the lead in Mail Anti-Virus triggerings in Q2 2020, just as in Q1 2020. Second came Russia with 7.37 percent of attacks, and third came Germany with 7.00 percent.

Statistics: phishing

Kaspersky Anti-Phishing helped to prevent 106,337,531 attempts at redirecting users to phishing Web pages in Q2 2020, a figure that is almost thirteen million lower than that for the first quarter. The share of unique attacked users accounted for 8.26 percent of the total Kaspersky users in the world, with 1,694,705 phishing wildcards added to the system database.

Attack geography

Venezuela was traditionally the country with the largest share of users attacked by phishers (17.56 percent).

Geography of phishing attacks, Q2 2020 (download)

Portugal was 4.05 p.p. behind with 13.51 percent, closely followed by Tunisia with 13.12 percent.

Country %*
Venezuela 17.56%
Portugal 13.51%
Tunisia 13.12%
France 13.08%
Brazil 12.91%
Qatar 11.94%
Bahrain 11.88%
Guadeloupe 11.73%
Belgium 11.56%
Martinique 11.34%

*Share of users on whose computers Anti-Phishing was triggered out of all Kaspersky users in the country

Top-level domains

Starting with this quarter, we have decided to maintain statistics on top-level domains used in phishing attacks. Quite predictably, COM led by a huge margin, with 43.56 percent of the total number of top-level domain names employed in attacks. It was followed by NET (3.96 percent) and TOP (3.26 percent). The Russia-specific RU domain took fourth place with 2.91 percent, followed by ORG with 2.55 percent.

Top-level domains most popular with phishers, Q2 2020 (download)

Organizations under attack

The rating of attacks by phishers on different categories of organizations is based on detections by Kaspersky Anti-Phishing component. This component detects pages with phishing content that the user tried to access by following email or Web links, regardless of how the user got to the page: by clicking a link in a phishing email or in a message on a social network, or after being redirected by a malicious program. When the component is triggered, a banner is displayed in the browser warning the user about a potential threat.

 As in the first quarter, the Online Stores category accounted for the largest share of phishing attacks, its share increasing by 1.3 p.p. to 19.42 percent. Global Web Portals again received the second-largest share of attacks, virtually unchanged at 16.22 percent. Banks (11.61 percent) returned to third place, pushing Social Networks (10.08 percent) to fourth place.

Distribution of organizations subjected to phishing attacks by category, Q2 2020 (download)


In our summary of the first quarter, we hypothesized that COVID-19 would remain spammers’ and fishers’ key theme in the future. That is exactly what happened: seldom did a mailshot fail to mention the pandemic as phishers added relevance to their tried and tested schemes and came up with brand-new ones.

The average share of spam in global email traffic in Q2 2020 dropped by 4.43 p.p. to 50.18 percent compared to the previous reporting period, and attempts to access phishing pages amounted to 106 million.

First place in the list of spam sources in Q2 went to Russia with a share of 18.52 percent. Our security solutions blocked a total of 43,028,445 malicious email attachments, with the most widespread “email-specific” malware family being Trojan.Win32.Agentb.gen, which infected 13.33 percent of the total email traffic.

Category: Featured
Date: Fri, 07 Aug 2020 10:00:07 +0000
Local date: Fri, 07 Aug 2020 10:00:07 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 960 px
Incident Response Analyst Report 2019
Author: Ayman Shaaban
Link :
Email :
Description: As an incident response service provider, Kaspersky delivers a global service that results in a global visibility of adversaries’ cyber-incident tactics and techniques on the wild. In this report, we share our teams’ conclusions and analysis based on incident responses and statistics from 2019.
Full content:

 Download full report (PDF)

As an incident response service provider, Kaspersky delivers a global service that results in global visibility of adversaries’ cyber-incident tactics and techniques used in the wild. In this report, we share our teams’ conclusions and analysis based on incident responses and statistics from 2019. As well as a range of highlights, this report will cover the affected industries, the most widespread attack tactics and techniques, how long it took to detect and stop adversaries after initial entry and the most exploited vulnerabilities. The report also provides some high-level recommendations on how to increase resilience to attacks.

The insights used in this report come from incident investigations by Kaspersky teams from around the world. The main digital forensic and incident response operations unit is called the Global Emergency Response Team (GERT) and includes experts in Europe, Latin America, North America, Russia and the Middle East. The work of the Computer Incidents Investigation Unit (CIIU) and the Global Research and Analysis Team (GReAT) are also included in this report.

Executive summary

In 2019, we noticed greater commitment among victims to understand the root causes of cyberattacks and improve the level of cybersecurity within their environments to reduce the probability of similar attacks taking place again in the future.

Analysis showed that less than a quarter of received requests turned out to be false positives, mostly after security tools issued alerts about suspicious files or activity. The majority of true positive incidents were triggered by the discovery of suspicious files, followed by encrypted files, suspicious activity and alerts from security tools.

Most of the incident handling requests were received from the Middle East, Europe, the CIS and Latin America, from a wide spectrum of business sectors, including industrial, financial, government, telecoms, transportation and healthcare. Industrial businesses were the most affected by cyberattacks, with oil and gas companies leading the way. They were followed by financial institutions, dominated by banks, which bore the brunt of all money theft incidents in 2019. Ransomware’s presence continued in 2019 and was felt most by government bodies, telecoms and IT companies in various regions.

Verticals and industries

Adversaries used a variety of initial vectors to compromise victims’ environments. Initial vectors included exploitation, misconfiguration, insiders, leaked credentials and malicious removable media. But the most common were exploitation of unpatched vulnerabilities, malicious emails, followed by brute-force attacks.

In addition to exploiting vulnerabilities, adversaries used several legitimate tools in different attack phases. This made attacks harder to discover and allowed the adversaries to keep a low profile until their goals were achieved. Most of the legitimate tools were used for credential harvesting from live systems, evading security, network discovery and unloading security solutions.

Although we started working on incidents the first day of a request in 70% of cases, analysis revealed that the time between attack success and its discovery varies between an average of one day in ransomware incidents to 10 days in cases of financial theft, up to 122 days in cyber-espionage and data-theft operations.


Based on 2019 incident response insights, applying the following recommendations can help protect businesses from falling victim to similar attacks:

  • Apply complex password policies
  • Avoid management interfaces exposed to the internet
  • Only allow remote access for necessary external services with multi-factor authentication – with necessary privileges only
  • Regular system audits to identify vulnerable services and misconfigurations
  • Continually tune security tools to avoid false positives
  • Apply powerful audit policy with log retention period of at least six months
  • Monitor and investigate all alerts generated by security tools
  • Patch your publicly available services immediately
  • Enhance your email protection and employee awareness
  • Forbid use of PsExec to simplify security operations
  • Threat hunting with rich telemetry, specifically deep tracing of PowerShell to detect attacks
  • Quickly engage security operations after discovering incidents to reduce potential damage and/or data loss
  • Back up your data frequently and on separated infrastructure


Reasons for incident response

Significant effects on infrastructure, such as encrypted assets, money loss, data leakage or suspicious emails, led to 30% of requests for investigations. More than 50% of requests came as a result of alerts in security toolstacks: endpoint (EPP, EDR), network (NTA) and others (FW, IDS/IPS, etc.).

Organizations often only become aware of an incident after a noticeable impact, even when standard security toolstacks have already produced alerts identifying some aspects of the attack. Lack of security operations staff is the most common reason for missing these indicators. Suspicious files identified by security operations and suspicious endpoint activity led to the discovery of an incident in 75% of cases, while suspicious network activities in 60% of cases were false positives.

One of the most common reasons for an incident response service request is a ransomware attack: a challenge even for mature security operations. For more details on types of ransomware and how to combat it, view our story “Cities under ransomware siege“.


Distribution of reasons for top regions

A suspicious file is the most prevalent reason to engage incident response services. This shows that file-oriented detection is the most popular approach in many organizations. The distribution also shows that 100% of cases involving financial cybercrime and data leakage that we investigated occurred in CIS countries.

Distribution of reasons for industries

Although, different industries suffered from different incidents, 100% of money theft incidents occurred inside the financial industry (banks).

Detection of ransomware once the repercussions had been felt occurred primarily within the government, telecom and IT sectors.

Initial vectors or how adversaries get in

Common initial vectors include the exploitation of vulnerabilities (0- and 1-day), malicious emails and brute-force attacks. Patch management for 1-day vulnerabilities and applying password policies (or not using management interfaces on the internet) are well suited to address most cases. 0-day vulnerabilities and social engineering attacks via email are much harder to address and require a decent level of maturity from internal security operations.

By linking the popular initial compromise vectors with how an incident was detected, we can see detected suspicious files were detected from malicious emails. And cases detected after file encryption mostly took place after brute-force or vulnerability exploitation attacks.
Sometimes we act as complimentary experts for a primary incident response team from the victim’s organization and we have no information on all of their findings – hence the ‘Unknown reasons’ on the charts. Malicious emails are most likely to be detected by a variety of security toolstack, but that’s not showing distrubution of 0- to 1-day vulnerabilities.

The distribution of how long an attack went unnoticed and how an organization was compromised shows that cases that begin with vulnerability exploitation on an organization’s network perimeter went unnoticed for longest. Social enginnering attacks via email were the most short-lived.

Tools and exploits

30% of all incidents were tied to legitimate tools

In cyberattacks, adversaries use legitimate tools which can’t be detected as malicious utilities as they are often used in everyday activities. Suspicious events that blend with normal activity can be identified after deep analysis of a malicious attack and connecting the use of such tools to the incident. The top used tools are PowerShell, PsExec, SoftPerfect Network Scanner and ProcDump.

Most legitimate tools are used for harvesting credentials from memory, evading security mechanisms by unloading security solutions and for discovering services in the network. PowerShell can be used virtually for any task.

Let’s weight those tools based on occurrence in incidents – we will also see tactics (MITRE ATT&CK) where they are usually applied.


Most of the identified exploits in incident cases appeared in 2019 along with a well-known remote code execution vulnerability in Windows SMB service (MS17-010) being actively exploited by a large number of adversaries.

MS17-010 SMB service in Microsoft Windows
Remote code execution vulnerability that was used in several large attacks such as WannaCry, NotPetya, WannaMine, etc.
CVE-2019-0604 Microsoft Sharepoint
Remote code execution vulnerability allows adversaries to execute arbitrary code without authentication in Microsoft Sharepoint.
CVE-2019-19781 Citrix Application Delivery Controller & Citrix Gateway
This vulnerability allows unauthenticated remote code execution on all hosts connected to Citrix infrastructure.
CVE-2019-0708 RDP service in Microsoft Windows
Remote code execution vulnerability (codename: BlueKeep) for a very widespread and, unfortunately, frequently publicly available RDP service.
CVE-2018-7600 Drupal
Remote code execution vulnerability also known as Drupalgeddon2. Widely used in installation of backdoors, web miners and other malware on compromised web servers.
CVE-2019-11510 Pulse Secure SSL VPN
Unauthenticated retrieval of VPN server user credentials. Instant access to victim organization through legitimate channel.

Attack duration

For a number of incidents, Kaspersky specialists have established the time period between the beginning of an adversary’s activity and the end of the attack. As a result of the subsequent analysis, all incidents were divided into three categories of attack duration.

Rush hours or days Average weeks Long-lasting months or longer
This category includes attacks lasting up to a week. These are mainly incidents involving ransomware attacks. Due to the high speed of development, effective counteraction to these attacks is possible only by preventive methods.
In some cases, a delay of up to a week has been observed between the initial compromise and the beginning of the adversary’s activity.
This group includes attacks that have been developing for a week or several weeks. In most cases, this activity was aimed at the direct theft of money. Typically, the adversaries achieved their goals within a week. Incidents that lasted more than a month were included in this group. This activity is almost always aimed at stealing sensitive data.
Such attacks are characterized by interchanging active and passive phases. The total duration of active phases is on average close to the duration of attacks from the previous group.
Common threat:
Ransomware infection
Common threat:
Financial theft
Common threat:
Cyber-espionage and theft of confidential data
Common attack vector:
  • Downloading of a malicious file by link in email
  • Downloading of a malicious file from infected site
  • Exploitation of vulnerabilities on network perimeter
  • Credentials brute-force attack
Common attack vector:
  • Downloading a malicious file by link in email
  • Exploitation of vulnerabilities on network perimeter
Common attack vector:
  • Exploitation of vulnerabilities on network perimeter
Attack duration (median):
1 day
Attack duration (median):
10 days
Attack duration (median):
122 days
Incident response duration:
Hours to days
Incident response duration:
Incident response duration:

Operational metrics

False positives rate

False positives in incident responses are a very expensive exercise. A false positive means that triage of a security event led to the involvement of incident response experts who later ascertained that there was no incident. Usually this is a sign that an organization doesn’t have a specialist in threat hunting or they are managed by an external SOC that doesn’t have the full context for an event.

Age of attack

This is the time taken to detect an incident by an organization after an attack starts. Usually detecting the attack in the first few hours or even days is good; with more low-profile attacks it can take weeks, which is still OK, but taking months or years is definitely bad.

How fast we responded

How long it took us to respond after an organization contacted us. 70% of the time we start work from day one, but in some cases a variety of factors can influence the timeframe.

How long response took

Distribution of the time required for incident response activities can vary from a few hours to months based on how deep the adversaries were able to dig into the compromised network and how old the first compromise is.

MITRE ATT&CK tactics and techniques


In 2019, the cyberattack curve was not flattened. There was an increase in the number of incidents accompanied by greater commitment among victims to understand the full attack picture. Victims from all regions suffered from a variety of attacks and all business types were targeted.

Improved security and audit planning with continuous maintenance of procedures along with rapid patch management could have minimized damages and losses in many of the analyzed incidents. In addition, having security monitoring and an investigation plan either on-premises or performed by a third party could have helped in stopping adversaries in the early phases of the attack chain, or start detections immediately after compromise.

Various tactics and techniques were used by adversaries to achieve their targets, trying multiple times till they succeeded. This indicates the importance of security being an organized process with continuous improvements instead of separate, independent actions.

Adversaries made greater use of legitimate tools in different phases of their cyberattacks, especially in the early phases. This highlights the need to monitor and justify the use of legitimate administration tools and scanning utilities within internal networks, limiting their use to administrators and necessary actions only.

Applying a powerful auditing policy with a log retention period of at least six months can help reduce analysis times during incident investigation and help limit the types of damage caused. Having insufficient logs on endpoints and network levels means it takes longer to collect and analyze evidence from different data sources in order to gain a complete picture of an attack.

Category: Featured
Date: Thu, 06 Aug 2020 10:00:34 +0000
Local date: Thu, 06 Aug 2020 10:00:34 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1400 px
itemImageHeight: 933 px
Zoom informa sobre una vulnerabilidad que permitía infiltrarse en videoconferencias ajenas
Author: Securelist
Link :
Email :
Description: Zoom informa sobre una vulnerabilidad que permitía infiltrarse en videoconferencias ajenas
Full content:


Se han publicado los detalles sobre una vulnerabilidad parchada en el cliente web de la plataforma de videoconferencias Zoom que hacía posible que los atacantes consigan la clave numérica que se utiliza para proteger las reuniones privadas en la plataforma de forma predeterminada.

Cada llamada de Zoom está protegida de forma predeterminada por una contraseña numérica de seis dígitos, lo que permite un millón de combinaciones numéricas. A pesar de que esto ofrece una notable protección, el problema radica en que no existía un límite de intentos de conexión, por lo que un atacante empecinado podría probar diferentes combinaciones hasta poder ingresar a una reunión activa.

La vulnerabilidad fue descubierta por Tom Anthony de la compañía SearchPilot, que explicó que, de esta manera, y con la ayuda de programas muy sencillos que agilicen esta tarea, “el atacante tiene la oportunidad de probar con 1 millón de contraseñas en sólo minutos para conseguir el acceso a las reuniones de Zoom privadas (y protegidas por contraseñas) de otras personas”, explicó Anthony.

Por si esto fuera poco, como las reuniones recurrentes utilizan la misma contraseña, el conseguir la clave de una otorga acceso a todas las reuniones futuras de ese grupo.

El investigador hizo una demostración en la que consiguió la contraseña de una reunión en 25 minutos y después de revisar 91.000 contraseñas. Pero aclaró que con un sistema más sofisticado y dividiendo el trabajo entre 4 o 5 servidores, se podría conseguir la clave en mucho menos tiempo.

En una semana, Zoom solucionó este problema estableciendo un límite de intentos para ingresar a una reunión en su plataforma y cambiando las contraseñas predeterminadas para que sean más largas y alfanuméricas. Asimismo, hay que tomar en cuenta que aun antes de esta actualización el usuario tenía la opción de personalizar sus claves por una de su preferencia –que podía combinar caracteres numéricos y alfanuméricos-, lo que aumentaría su protección.

La solución se dio a principios de abril, pero los detalles sobre la vulnerabilidad se publicaron esta semana. Según la información proporcionada, no existen evidencias de que algún hacker haya utilizado este ataque antes de que la vulnerabilidad fuese parchada.

Zoom bug gave hackers access to any private meeting Tech Radar
Zoom bug lets attackers to crack private meeting passwords Cybersafe News
Zoom security flaw meant random people could have spied on your calls The Independent UK

Category: News
Date: Mon, 03 Aug 2020 13:15:17 +0000
Local date: Mon, 03 Aug 2020 13:15:17 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
WastedLocker: technical analysis
Author: Fedor Sinitsyn
Link :
Email :
Description: According to currently available information, in the attack on Garmin a targeted build of the Trojan WastedLocker was used. We have performed technical analysis of the Trojan sample.
Full content:

The use of crypto-ransomware in targeted attacks has become an ordinary occurrence lately: new incidents are being reported every month, sometimes even more often.

On July 23, Garmin, a major manufacturer of navigation equipment and smart devices, including smart watches and bracelets, experienced a massive service outage. As confirmed by an official statement later, the cause of the downtime was a cybersecurity incident involving data encryption. The situation was so dire that at the time of writing of this post (7/29) the operation of the affected online services had not been fully restored.

According to currently available information, the attack saw the threat actors use a targeted build of the trojan WastedLocker. An increase in the activity of this malware was noticed in the first half of this year.

We have performed technical analysis of a WastedLocker sample.

Command line arguments

It is worth noting that WastedLocker has a command line interface that allows it to process several arguments that control the way it operates.

 -p <directory-path>

Priority processing: the trojan will encrypt the specified directory first, and then add it to an internal exclusion list (to avoid processing it twice) and encrypt all the remaining directories on available drives.

 -f <directory-path>

Encrypt only the specified directory.

 -u username:password \\hostname

Encrypt files on the specified network resource using the provided credentials for authentication.


Launch the sequence of actions:

  1. Delete ;
  2. Copy to %WINDIR%\system32\<rand>.exe using a random substring from the list of subkeys of the registry key SYSTEM\CurrentControlSet\Control\;
  3. Create a service with a name chosen similarly to the method described above. If a service with this name already exists, append the prefix “Ms” (e.g. if the service “Power” already exists, the malware will create a new one with the name “MsPower”). The command line for the new service will be set to “%WINDIR%\system32\<rand>.exe -s”;
  4. Start this service and wait until it finishes working;
  5. Delete the service.


Start the created service. It will lead to the encryption of any files the malware can find.

UAC bypass

Another interesting feature of WastedLocker is the chosen method of UAC bypass. When the trojan starts, it will check the integrity level it was run on. If this level is not high enough, the malware will try to silently elevate its privileges using a known bypass technique.

  1. Create a new directory in %appdata%; the directory name is chosen at random from the substrings found in the list of subkeys of the registry key SYSTEM\CurrentControlSet\Control\;
  2. Copy a random EXE or DLL file from the system directory to this new directory;
  3. Write the trojan’s own body into the alternate NTFS stream “:bin” of this system file;
  4. Create a new temporary directory and set its mount point to “C:\Windows ” (with a trailing whitespace) using the API function NtFsControlFile with the flag IO_REPARSE_TAG_MOUNT_POINT;
  5. Create a new subdirectory named “system32” inside the temporary directory. As a result of the previous step, this new subdirectory can be equally successfully addressed as “%temp%\<directory_name>\system32” or “C:\Windows \system32” (note the whitespace);
  6. Copy the legitimate winsat.exe and winmm.dll into this subdirectory;
  7. Patch winmm.dll: replace the entry point code with a short fragment of malicious code whose only purpose is to launch the content of the alternate NTFS stream created on step 2;
  8. Launch winsat.exe, which will trigger the loading of the patched winmm.dll as a result of DLL hijacking.

The above sequence of actions results in WastedLocker being relaunched from the alternate NTFS stream with elevated administrative privileges without displaying the UAC prompt.

Procmon log fragment during the launch of WastedLocker

Cryptographic scheme

To encrypt victims’ files, the developers of the trojan employed a combination of the AES and RSA algorithms that has already become a ‘classic’ among different crypto-ransomware families.

The search mask to choose which files will be encrypted, as well as the list of the ignored paths are set in the configuration of the malware.

Part of the trojan config showing the ignored path substrings

For each processed file, WastedLocker generates a unique 256 bit key and a 128 bit IV which will be used to encrypt the file content using the AES-256 algorithm in CBC mode. The implementation of the file operations is worthy of note, as it employs file mapping for data access. It must have been an attempt by the criminals to maximize the trojan’s performance and/or avoid detection by security solutions. Each encrypted file will get a new additional extension: “.garminwasted“.

The trojan also implements a way of integrity control as part of its file encryption routine. The malware calculates an MD5 hash of the original content of each processed file, and this hash may be utilized during decryption to ensure the correctness of the procedure.

WastedLocker uses a publicly available reference implementation of an RSA algorithm named “rsaref”.

The AES key, IV and the MD5 hash of the original content, as well as some auxiliary information, are encrypted with a public RSA key embedded in the trojan’s body. The sample under consideration contains a 4096 bit public RSA key.

The public RSA key format used by WastedLocker

It should be noted that this kind of cryptographic scheme, using one public RSA key for all victims of a given malware sample, could be considered a weakness if WastedLocker were to be mass-distributed. In this case a decryptor from one victim would have to contain the only private RSA key that would allow all the victims to decrypt their files.

However, as we can see, WastedLocker is used in attacks targeted at a specific organization which makes this decryption approach worthless in real-world scenarios.

The result of RSA encryption is Base64 encoded and saved in a new file with the extension .garminwasted_info, and what is notable, a new info file is created for each of the victim’s encrypted files. This is a rare approach that was previously used by the BitPaymer and DoppelPaymer trojans.

An example list of encrypted files from our test machine

Ransom note left by the trojan


This WastedLocker sample we analyzed is targeted and crafted specifically to be used in this particular attack. It uses a “classic” AES+RSA cryptographic scheme which is strong and properly implemented, and therefore the files encrypted by this sample cannot be decrypted without the threat actors’ private RSA key.

The Garmin incident is the next in a series of targeted attacks on large organizations involving crypto-ransomware. Unfortunately, there is no reason to believe that this trend will decline in the near future.

That is why it is crucial to follow a number of recommendations that may help prevent this type of attacks:

  1. Use up-to-date OS and application versions;
  2. Refrain from opening RDP access on the Internet unless necessary. Preferably, use VPN to secure remote access;
  3. Use modern endpoint security solutions, such as Kaspersky Endpoint Security for Business, that support behavior detection, automatic file rollback and a number of other technologies to protect from ransomware.
  4. Improve user education in the field of cybersecurity. Kaspersky Security Awareness offers computer-based training products that combine expertise in cybersecurity with best-practice educational techniques and technologies.
  5. Use a reliable data backup scheme.

Kaspersky products protect from this threat, detecting it as Trojan-Ransom.Win32.Wasted.d and PDM:Trojan.Win32.Generic. The relevant behavioral detection logic was added in 2017.



Category: Featured
Date: Fri, 31 Jul 2020 11:00:30 +0000
Local date: Fri, 31 Jul 2020 11:00:30 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1280 px
itemImageHeight: 840 px
Autoridades advierten sobre 62.000 dispositivos QNAP NAS infectados con el malware QSnatch
Author: Securelist
Link :
Email :
Description: Las autoridades de Estados Unidos y el Reino Unido han emitido un informe conjunto en el que advierten sobre dos campañas del malware QSnatch.
Full content:


Las autoridades de Estados Unidos y el Reino Unido han emitido un informe conjunto en el que advierten sobre dos campañas del malware QSnatch que están afectando a decenas de miles de dispositivos de almacenamiento conectado a red (NAS) del fabricante taiwanés QNAP.
El Centro Nacional de Seguridad Informática (NCSC) de los Estados Unidos y la Agencia de Infraestructura de Ciberseguridad (CISA) del Departamento de Seguridad Nacional del Reino Unido aseguran que hasta mediados de junio, el malware QSnatch había infectado 62.000 dispositivos QNAP NAS: 7.600 en Estados Unidos y 3.900 en el Reino Unido.
La amenaza es capaz de registrar y robar contraseñas y credenciales de acceso, establecer una puerta trasera SSH y webshell, recolectar archivos y evitar que los usuarios abran la aplicación de seguridad de QNAP o instalen actualizaciones que puedan neutralizar la amenaza.
Aunque se han descubierto muchos detalles operativos sobre el malware, todavía no se sabe cómo se propaga. Sin embargo, las entidades que emitieron la alerta dijeron que es posible que se inyecte en el firmware del dispositivo durante la etapa de infección y después se ejecute el código malicioso desde la aplicación para terminar de comprometerla.
“Aunque no se conocen las identidades y objetivos de aquellos que están usando QSnatch con malas intenciones, se sabe que el malware es relativamente sofisticado y quienes lo usan tienen los conocimientos de seguridad necesarios para hacerlo funcionar”, dice la alerta emitida por las autoridades.
Se han detectado variantes del malware atacando los dispositivos durante varios años, pero las entidades se centraron en dos campañas que difundieron la amenaza: la primera estuvo activa desde 2014 hasta mediados de 2017, y la última se realizó desde finales de 2018 hasta finales de 2019. Ambas campañas utilizaron variantes diferentes de QSnatch.
“QSnatch recolecta información confidencial de dispositivos infectados, incluyendo credenciales de acceso y configuraciones del sistema. Debido a esto, es posible que los dispositivos QNAP que hayan sido infectados sigan vulnerables a volverse a infectar después de eliminar el malware”, dijo QNAP después de emitir sus actualizaciones de seguridad en 2019.
Las autoridades dicen que la infraestructura del servidor de QSnatch que se usó en la última campaña maliciosa está desactivada, pero que los dispositivos infectados siguen activos en Internet. Es por eso que NCSC y CISA piden a los usuarios de QNAP que sigan las estrategias de mitigación propiciadas por la empresa para deshacerse de la infección de QSnatch y prevenir infecciones futuras.
CISA says 62,000 QNAP NAS devices have been infected with the QSnatch malware ZDNet
62,000 QNAP NAS devices infected with persistent QSnatch malware Help Net Security
UK/US Governments Warn of QNAP NAS Malware Infosecurity Magazine

Category: News
Date: Thu, 30 Jul 2020 14:00:53 +0000
Local date: Thu, 30 Jul 2020 14:00:53 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
APT trends report Q2 2020
Author: GReAT
Link :
Email :
Description: This summary is based on our threat intelligence research and provides a representative snapshot of what we have published and discussed, focusing on activities that we observed during Q2 2020.
Full content:

For more than three years, the Global Research and Analysis Team (GReAT) at Kaspersky has been publishing quarterly summaries of advanced persistent threat (APT) activity. The summaries are based on our threat intelligence research and provide a representative snapshot of what we have published and discussed in greater detail in our private APT reports. They are designed to highlight the significant events and findings that we feel people should be aware of.

This is our latest installment, focusing on activities that we observed during Q2 2020.

Readers who would like to learn more about our intelligence reports or request more information on a specific report are encouraged to contact ‘‘.

The most remarkable findings

On May 11, the UK-based supercomputing center, ARCHER, announced that it would shut down access to its network while it investigated a security incident. The website stated that the “ARCHER facility is based around a Cray XC30 supercomputer (with 4920 nodes) that provides the central computational resource”. At the same time, the German-based bwHPC also announced a security incident and decided to restrict access to its resources. The Swiss National Supercomputing Centre, at the time involved in a project to study the small membrane protein of the coronavirus, confirmed that it, and other European high-performance computer facilities, had been attacked and that it had temporarily closed. On May 15, the EGI Computer Security and Incident Response Team (EGI-CSIRT) published an alert covering two incidents that, according to its report, may or may not be related. Both incidents describe the targeting of academic data centers for “CPU mining purposes”. The alert includes a number of IoCs, which complement other OSINT (open-source intelligence) observations. Although we weren’t able to establish with a high degree of certitude that the ARCHER hack and the incidents described by EGI-CSIRT are related, we suspect they might be. Some media speculated that all these attacks might be related to COVID-19 research being carried out at the supercomputing centers.

Interestingly, last July 16th 2020, NCSC published an advisory describing malicious activity targeting institutions related to research to find a vaccine for COVID-19. In this case, the malware used in the attacks belongs to a family called WellMess, as originally described by LAC Co back in 2018. Until recently, this malware was not believed to be related to any APT activity. Surprisingly, NCSC attributes this activity to the APT-29 threat actor. However, it does not provide any public proof.

From our own research, we can confirm that WellMess’s activity seems to follow a cycle, being used in campaigns every three months or so since its discovery. We observed a peak of activity in fall of 2019, followed by an increase in the number of C2s in February 2020. We also observed high-profile targeting, including telcos, government and contractors in MENA and the EU. However, from our side we cannot confirm attribution or targeting of health institutions at the moment.

For more details about WellMess, you can check our presentation from GReAT ideas here:

Russian-speaking activity

In May, researchers at Leonardo published a report about “Penquin_x64”, a previously undocumented variant of Turla’s Penquin GNU/Linux backdoor. Kaspersky has publicly documented the Penquin family, tracing it back to its Unix ancestors in the Moonlight Maze operation of the 1990s. We followed up on this latest research by generating network probes that detect Penquin_x64 infected hosts at scale, allowing us to discover that tens of internet hoster’s servers in Europe and the US are still compromised today. We think it’s possible that, following public disclosure of Turla’s GNU/Linux tools, the Turla threat actor may have been repurposing Penquin to conduct operations other than traditional intelligence.

In June, we discovered two different domain names, “emro-who[.]in” and “emro-who[.]org”, typo-squatting the World Health Organization (WHO) Regional Office for the Eastern Mediterranean (EMRO). These domains, registered on June 21 using the registrar, seem to be used as sender domains for a spear-phishing campaign. This type of typo-squatting is reminiscent of Sofacy campaigns against other international organizations. Moreover, we have seen recently used to register SPLM and XTUNNEL C2 (command-and-control) servers and we have seen this autonomous system used by Sofacy in the past for a SPLM C2.

Hades is an elusive, highly dynamic threat actor that commonly engages in tailored hacking and special access operations, such as the OlympicDestroyer attack or the ExPetr (aka NotPetya) and Badrabbit attacks. On May 28, the US National Security Agency (NSA) published an alert detailing the use by Hades of an Exim vulnerability (CVE-2019-10149) for what appears to be a potentially large hacking operation designed for mass access. Our own report expanded on the scripts used in this operation, as well as providing other IoCs that we discovered.

Chinese-speaking activity

In late 2019, and again in March this year, we described ongoing malicious activities from a previously unknown threat actor that we named Holy Water. Holy Water notably leveraged a Go language and Google Drive-command-driven implant that we dubbed Godlike12. Following the publication of our report, and notifications to relevant incident response organizations, new Holy Water samples were submitted to VirusTotal. The newly discovered samples include Telegram-controlled and open-source-based Python implants that were probably deployed on the victim’s networks after a successful intrusion.

In March, one of our YARA rules from previous research on ShadowPad attacks detected a recently compiled executable file uploaded to VirusTotal. Later we found a few other samples from our own telemetry. ShadowPad is a modular attack platform consisting of a root module and various plugin modules responsible for diverse functionalities. ShadowPad was first discovered by Kaspersky in 2017. In August of that year, one of our customers detected suspicious network activities. After thorough investigation, we found a legitimate software module that had been compromised and backdoored by an advanced threat actor in a sophisticated software supply-chain attack. We notified the software vendor and also published the outcome of our investigations in a technical white paper. Since then, ShadowPad malware has been deployed in a number of major cyberattacks, with a different subset of plugins used in different attack cases: the CCleaner incident in 2017 and the ShadowHammer attacks in 2018 are the major examples of such attacks.

When analyzing new samples from ShadowPad malware, compiled and used in attacks since late 2019, our investigation revealed a strong connection between these recent ShadowPad malware samples and the CactusPete threat actor. CactusPete started deploying ShadowPad malware to a few victims at the beginning of 2019 through its HighProof backdoor. However, since late 2019, ShadowPad has been commonly used in CactusPete attacks.

This quarter, we described another CactusPete attack campaign which started in December 2019 In this campaign, the CactusPete threat actor used a new method to drop an updated version of the DoubleT backdoor onto the computers. The attackers implanted a new dropper module in the Microsoft Word Startup directory, most likely through a malicious document. This malicious dropper is responsible for dropping and executing a new version of the DoubleT backdoor, which utilizes a new method of encrypting the C2 server address.

While analysing compromised machines in Central Asia, we revealed an additional infection that was unrelated to the initial subject of our investigation. This led us to detect previously unknown malware that we dubbed B&W, which provides an attacker with the capabilities to remotely control a victim’s machine. Further analysis of the samples, infrastructure and other related artefacts allowed us to conclude, with medium confidence, that the newly found malware is related to the SixLittleMonkeys APT. This group is known to have been active for several years, targeting government entities in Central Asia.

HoneyMyte is an APT threat actor that we have been tracking for several years. In February, our fellow researchers at Avira blogged about HoneyMyte PlugX variants that they had recently observed targeting Hong Kong. PlugX has been used by multiple APT groups over the past decade, especially shared among Chinese-speaking threat actors, and has changed in many ways. Avira´s post covers the PlugX loader and backdoor payload, including its USB capabilities. In May, we published an update on this threat actor, specifically providing timely indicators to aid in threat hunting for some of the PlugX variants found in the wild between January and May this year.

In May, we discovered a watering hole on the website of a Southeast Asian top official. This watering hole, set up in March, seemed to leverage whitelisting and social engineering techniques to infect its targets. The final payload was a simple ZIP archive containing a readme file prompting the victim to execute a CobaltStrike implant. The mechanism used to execute CobaltStrike was DLL side-loading, which decrypted and executed a CobaltStrike stager shellcode. Analysis of the code, the infrastructure and the victimology led us to attribute this watering-hole, with high confidence, to the HoneyMyte APT threat actor.

Quarian is a little-known malicious program that Chinese-speaking actors have used since around 2012. We hadn’t spotted any further activity until we observed a resurgence in an attack by the Icefog group in 2019. We tracked the activity of the malware following this and noticed a new variant that was used during several attacks on Middle Eastern and African governments during 2020. In one case, we could see that this variant was deployed following exploitation of the CVE-2020-0688 vulnerability on the network of a government entity. This vulnerability, which was publicly reported in February 2020, allows an authenticated user to run commands as SYSTEM on a Microsoft Exchange server. In this case, the server was indeed compromised and was hosting the ChinaChopper webshell, which was used to obtain, and later launch, the Quarian and PlugX backdoors. Our analysis led us to assume, with medium to high confidence, that the group behind these attacks is one we track under the name CloudComputating – a Chinese-speaking actor that, based on previous reports, has targeted high-profile Middle Eastern diplomatic targets.

In March, researchers at Check Point Research published a report describing an APT campaign that targeted Mongolia’s public sector and leveraged a coronavirus-themed lure to conduct its initial intrusion. We were able to discover further samples and another COVID-themed document with the same targeting, as well as additional targets in Russia. We attribute this activity with medium confidence to IronHusky.

Middle East

The MuddyWater APT was discovered in 2017 and has been active in the Middle East ever since. In 2019, we reported activity against telecoms providers in Iraq and Iran, as well as government bodies in Lebanon. We recently discovered MuddyWater using a new C++ toolchain in a new wave of attacks in which the actor leveraged an open-source utility called Secure Socket Funneling for lateral movement.

At the end of May, we observed that Oilrig had included the DNSExfitrator tool in its toolset. It allows the threat actor to use the DNS over HTTPS (DoH) protocol. Use of the DNS protocol for malware communications is a technique that Oilrig has been using for a long time. The difference between DNS- and DoH-based requests is that, instead of plain text requests to port 53, they would use port 443 in encrypted packets. Oilrig added the publicly available DNSExfiltrator tool to its arsenal, which allows DoH queries to Google and Cloudflare services. This time, the operators decided to use subdomains of a COVID-related domain which are hardcoded in the DNSExfitrator detected samples.

Southеast Asia and Korean Peninsula

BlueNoroff is one of the most prolific financially motivated APT actors and we have published several reports of BlueNoroff campaigns targeting financial institutions. Recently, we uncovered another campaign that has been active since at least 2017. In this campaign, the group sends spear-phishing emails containing an archived Windows shortcut file. The file names are disguised as security or cryptocurrency related files in order to entice users into executing them. The infection chain started from this shortcut file is a complex multi-stage infection procedure. Before delivering the Windows executable payload, the actor uses two VBS and three PowerShell scripts in order to collect system information. The actor very carefully delivers the final payload only to the intended targets. The backdoor payload also utilizes a multi-stage infection procedure. The actor uses it to control infected hosts and implants additional malware for surveillance. These malicious programs are responsible for stealing the user’s keystrokes and saving a screenshot of the infected machine. The main targets of this campaign are financial institutions, such as cryptocurrency businesses, and fintech companies. We identified diverse victims from 10 countries, as well as more potential victims from open source intelligence.

The Lazarus group has been a major threat actor for several years. Alongside goals like cyber-espionage and cyber-sabotage, this threat actor has targeted banks and other financial companies around the globe. The group continues to be very active. We recently observed the Lazarus group attacking a software vendor in South Korea using Bookcode, malware that we evaluate to be a Manuscrypt variant, utilizing a watering-hole attack to deliver it. Manuscrypt is one of the Lazarus group’s tools that is actively being updated and used. The group attacked the same victim twice. Almost a year prior to compromising this victim, Lazarus attempted to infect it by masquerading as a well-known security tool, but failed. We were able to construct the group’s post-exploitation activity, identifying various freeware and red-teaming tools used. Although Lazarus has recently tended to focus more on targeting the financial industry, we believe that in this campaign they were seeking to exfiltrate intellectual property. We also observed that they previously spread Bookcode using a decoy document related to a company working in the defense sector. Based on our observations, we evaluate that the Bookcode malware is being used exclusively for cyber-espionage campaigns.

In April, we released an early warning about the VHD ransomware, which was first spotted in late March. This ransomware stood out because of its self-replication method. The use of a spreading utility compiled with victim-specific credentials was reminiscent of APT campaigns, but at the time we were unable to link the attack to an existing group. However, Kaspersky was able to identify an incident in which the VHD ransomware was deployed, in close conjunction with known Lazarus tools, against businesses in France and Asia. This indicates that Lazarus is behind the VHD ransomware campaigns that have been documented so far. As far as we know, this is also the first time it has been established that the Lazarus group has resorted to targeted ransomware attacks for financial gain.

Last year we created a private report on a malware framework that we named MATA, which we attribute, with low confidence, to the Lazarus group. This framework included several components, such as a loader, orchestrator and plug-ins. Initially, this framework targeted Windows and Linux. However, in April we discovered a suspicious macOS file uploaded to VirusTotal using a rule to detect the MATA malware framework. After looking into this malware, we confirmed that it was a macOS variant of the MATA malware. The malware developers Trojanized an open-source two-factor authentication application and utilized another open-source application template. While investigating, to find more solid evidence for attribution, we found an old Manuscrypt strain that used a similar configuration structure. We also discovered a cluster of C2 servers probably related to this campaign.

The MATA framework was not the only way that Lazarus targeted macOS. We also observed a cluster of activity linked to Operation AppleJeus. The other was similar to the macOS malware used in a campaign that we call TangDaiwbo. This is a multi-platform cryptocurrency exchange campaign: Lazarus utilizes macro-embedded Office documents and spreads PowerShell or macOS malware, depending on the victim’s system.

Early this year, we reported improvements in a Lazarus campaign targeting a cryptocurrency business. In this campaign, Lazarus adopted a downloader that sends compromised host information and selectively fetches the next-stage payload. Recently, we identified a Lazarus campaign with similar strategies, but targeting academic and automotive sectors. Lazarus also adopted new methods to deliver its tools. First of all, the group elaborated its weaponized document by adopting remote template injection techniques. Previously, Lazarus delivered macro-embedded documents to the victim, but the group has now applied one more stage to hinder detection. The group also utilized an open-source PDF reader named Sumatra PDF to make Trojanized applications. They created a Trojanized PDF reader, sending it to the victim with a crafted PDF file. If the victim opens this file, the Trojanised PDF viewer implants malicious files and shows decoy documents to deceive the victim. The actor delivers the final payload very carefully, and executes it in memory. Fortunately, we were able to get the final payload and confirm that it was a Manuscrypt variant that we had already described. We also found that it’s the same malware variant that the US CISA (Cybersecurity and Infrastructure Security Agency) recently reported, named COPPERHEDGE.

Following our report describing the long-standing PhantomLance campaign in Southeast Asia, we published a private report providing detailed attribution based on discovered overlaps with reported campaigns of the OceanLotus APT. In particular, we found multiple code similarities with the previous Android campaign, as well as similarities in macOS backdoors, infrastructure overlap with Windows backdoors and a couple of cross-platform resemblances. Based on our research, we believe, with medium confidence, that PhantomLance is a modern Android campaign conducted by OceanLotus. Apart from the attribution details, we described the actor’s spreading strategy using techniques to bypass app market filters. We also provided additional details about samples associated with previously reported suspected infrastructure, as well as the latest sample deployed in 2020 that uses Firebase to decrypt its payload.

Additionally, OceanLotus has been using new variants of its multi-stage loader since the second half of 2019. The new variants use target-specific information (username, hostname, etc.) of the targeted host that they obtained beforehand, in order to ensure their final implant is deployed on the right victim. The group continues to deploy its backdoor implant, as well as Cobalt Strike Beacon, configuring them with updated infrastructure.

Other interesting discoveries

The Deceptikons APT is a long-running espionage group believed to have been providing mercenary services for almost a decade now. The group is not technically sophisticated and has not, to our knowledge, deployed zero-day exploits. The Deceptikons infrastructure and malware set is clever, rather than technically advanced. It is also highly persistent and in many ways reminds us of WildNeutron. Deceptikon’s repeated targeting of commercial and non-governmental organizations is somewhat unusual for APT actors. In 2019, Deceptikons spear-phished a set of European law firms, deploying PowerShell scripts. As in previous campaigns, the actor used modified LNK files requiring user interaction to initially compromise systems and execute a PowerShell backdoor. In all likelihood, the group’s motivations included obtaining specific financial information, details of negotiations, and perhaps even evidence of the law firms’ clientele.

MagicScroll (aka AcidBox) is the name we’ve given to a sophisticated malware framework, whose main purpose is to decrypt and load an arbitrary payload in kernel mode. The framework consists of several stages. The first stage is a Windows security provider that is loaded by the system on boot and executed in user mode. This decrypts and runs a second payload, which is physically stored in the registry. Although we weren’t able to find a victim with this second stage, we were able to find a file that matches the expected format of the second stage. This second stage payload utilizes a well-known vulnerability in a VirtualBox driver (CVE-2008-3431) to load the third stage, which is designed to run in kernel mode. The kernel mode payload is decrypted from a resource from the second stage, using the key retrieved from the registry. Unfortunately, we couldn’t find a decryption key to decrypt the third stage payload, so we don’t know what the last part of this malware framework looks like. Although the code is quite sophisticated, we couldn’t identify any similarity with other known frameworks.

Aarogya Setu is the name of a mandatory COVID-19 mobile tracking app developed by the National Informatics Centre, an organization that comes under the Ministry of Electronics and Information Technology in India. It allows its users to connect to essential health services in India. With cyber criminals and APT actors taking advantage of pandemic-tracking applications to distribute Trojanized mobile apps, we investigated and identified apps that mimic the appearance and behavior of the legitimate Aarogya Setu app while deploying Android RATs. We consider one of these to be a new version of a RAT that we previously reported being used by the Transparent Tribe threat actor.

Final thoughts

The threat landscape isn’t always full of “groundbreaking” events.  However, a review of the activities of APT threat actors indicates that there are always interesting developments. Our regular quarterly reviews are intended to highlight these key developments.

Here are the main trends that we’ve seen in Q2 2020.

  • Geo-politics remains an important motive for some APT threat actors, as shown in the activities of MuddyWater, the compromise of the Middle East Eye website and the campaigns of CloudComputating and HoneyMyte groups.
  • As is clear from the activities of Lazarus and BlueNoroff, financial gain is another driver for some threat actors – including the use of ransomware attacks.
  • While Southeast Asia continues to be an active region for APT activities, this quarter we have also observed heavy activity by Chinese-speaking groups, including ShadowPad, HoneyMyte, CactusPete, CloudComputating and SixLittleMonkeys.
  • APT threat actors continue to exploit software vulnerabilities – examples this quarter include Hades and MagicScroll.
  • We have noted before that the use of mobile implants is no longer a novelty, and this quarter is no exception, as illustrated by the PhantomLance campaign.
  • It is clear that APT actors, like opportunistic cybercriminals, continue to exploit the COVID-19 pandemic as a theme to lure potential victims. However, we would note once again that this doesn’t represent a shift in TTPs.

As always, we would note that our reports are the product of our visibility into the threat landscape. However, it should be borne in mind that, while we strive to continually improve, there is always the possibility that other sophisticated attacks may fly under our radar.


Category: APT reports
Date: Wed, 29 Jul 2020 10:00:09 +0000
Local date: Wed, 29 Jul 2020 10:00:09 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1000 px
itemImageHeight: 750 px
Lazarus on the hunt for big game
Author: Ivan Kwiatkowski
Link :
Email :
Description: By investigating a number of targeted ransomware attacks and through discussions with some of our trusted industry partners, we feel that we now have a good grasp on how the ransomware ecosystem is structured.
Full content:

We may only be six months in, but there’s little doubt that 2020 will go down in history as a rather unpleasant year. In the field of cybersecurity, the collective hurt mostly crystallized around the increasing prevalence of targeted ransomware attacks. By investigating a number of these incidents and through discussions with some of our trusted industry partners, we feel that we now have a good grasp on how the ransomware ecosystem is structured.

Structure of the ransomware ecosystem

Criminals piggyback on widespread botnet infections (for instance, the infamous Emotet and Trickbot malware families) to spread into the network of promising victims and license ransomware “products” from third-party developers. When the attackers have a good understanding of the target’s finances and IT processes, they deploy the ransomware on all the company’s assets and enter the negotiation phase.

This ecosystem operates in independent, highly specialized clusters, which in most cases have no links to each other beyond their business ties. This is why the concept of threat actors gets fuzzy: the group responsible for the initial breach is unlikely to be the party that compromised the victim’s Active Directory server, which in turn is not the one that wrote the actual ransomware code used during the incident. What’s more, over the course of two incidents, the same criminals may switch business partners and could be leveraging different botnet and/or ransomware families altogether.

But of course, no complex ecosystem could ever be described by a single, rigid set of rules and this one is no exception. In this blog post, we describe one of these outliers over two separate investigations that occurred between March and May 2020.

Case #1: The VHD ransomware

This first incident occurred in Europe and caught our attention for two reasons: it features a ransomware family we were unaware of, and involved a spreading technique reminiscent of APT groups (see the “spreading utility” details below). The ransomware itself is nothing special: it’s written in C++ and crawls all connected disks to encrypt files and delete any folder called “System Volume Information” (which are linked to Windows’ restore point feature). The program also stops processes that could be locking important files, such as Microsoft Exchange and SQL Server. Files are encrypted with a combination of AES-256 in ECB mode and RSA-2048. In our initial report published at the time we noted two peculiarities with this program’s implementation:

  • The ransomware uses Mersenne Twister as a source of randomness, but unfortunately for the victims the RNG is reseeded every time new data is consumed. Still, this is unorthodox cryptography, as is the decision to use the “electronic codebook” (ECB) mode for the AES algorithm. The combination of ECB and AES is not semantically secure, which means the patterns of the original clear data are preserved upon encryption. This was reiterated by cybersecurity researchers who analyzed Zoom security in April 2020.
  • VHD implements a mechanism to resume operations if the encryption process is interrupted. For files larger than 16MB, the ransomware stores the current cryptographic materials on the hard drive, in clear text. This information is not deleted securely afterwards, which implies there may be a chance to recover some of the files.

The Mersenne Twister RNG is reseeded every time it is called.

To the best of our knowledge, this malware family was first discussed publicly in this blog post.

A spreading utility, discovered along the ransomware, propagated the program inside the network. It contained a list of administrative credentials and IP addresses specific to the victim, and leveraged them to brute-force the SMB service on every discovered machine. Whenever a successful connection was made, a network share was mounted, and the VHD ransomware was copied and executed through WMI calls. This stood out to us as an uncharacteristic technique for cybercrime groups; instead, it reminded us of the APT campaigns Sony SPE, Shamoon and OlympicDestroyer, three previous wipers with worming capabilities.

We were left with more questions than answers. We felt that this attack did not fit the usual modus operandi of known big-game hunting groups. In addition, we were only able to find a very limited number of VHD ransomware samples in our telemetry, and a few public references. This indicated that this ransomware family might not be traded widely on dark market forums, as would usually be the case.

Case #2: Hakuna MATA

A second incident, two months later, was handled by Kaspersky’s Incident Response team (GERT). That meant we were able to get a complete picture of the infection chain leading to the installation of the VHD ransomware.

In this instance, we believe initial access was achieved through opportunistic exploitation of a vulnerable VPN gateway. After that, the attackers obtained administrative privileges, deployed a backdoor on the compromised system and were able to take over the Active Directory server. They then deployed the VHD ransomware to all the machines in the network. In this instance, there was no spreading utility, but the ransomware was staged through a downloader written in Python that we still believe to be in development. The whole infection took place over the course of 10 hours.

A more relevant piece of information is that the backdoor used during this incident is an instance of a multiplatform framework we call MATA (some vendors also call it Dacls). On July 22, we published a blog article dedicated to this framework. In it, we provide an in-depth description of its capabilities and provide evidence of its links to the Lazarus group. Other members of the industry independently reached similar conclusions.

The forensics evidence gathered during the incident response process is strong enough that we feel comfortable stating with a high degree of confidence that there was only a single threat actor in the victim’s network during the time of the incident.


The data we have at our disposal tends to indicate that the VHD ransomware is not a commercial off-the-shelf product; and as far as we know, the Lazarus group is the sole owner of the MATA framework. Hence, we conclude that the VHD ransomware is also owned and operated by Lazarus.

Circling back to our introduction, this observation is at odds with what we know about the cybercrime ecosystem. Lazarus has always existed at a special crossroads between APT and financial crime, and there have long been rumors in the threat intelligence community that the group was a client of various botnet services. We can only speculate about the reason why they are now running solo ops: maybe they find it difficult to interact with the cybercrime underworld, or maybe they felt they could no longer afford to share their profits with third parties.

It’s obvious the group cannot match the efficiency of other cybercrime gangs with their hit-and-run approach to targeted ransomware. Could they really set an adequate ransom price for their victim during the 10 hours it took to deploy the ransomware? Were they even able to figure out where the backups were located? In the end, the only thing that matters is whether these operations turned a profit for Lazarus.

Only time will tell whether they jump into hunting big game full time, or scrap it as a failed experiment.

Indicators of compromise

The spreader utility contains a list of administrative credentials and IP addresses specific to the victim, which is why it’s not listed in the IoC section.

As the instance of the MATA framework was extracted from memory, no relevant hashes can be provided for it in the IoC section.

VHD ransomware

Domains and IPs
172.93.184[.]62                  MATA C2
23.227.199[.]69                  MATA C2
104.232.71[.]7                     MATA C2
mnmski.cafe24[.]com       Staging endpoint for the ransomware (personal web space hosted at a legit web service and used                                                as a redirection to another compromised legit website).

Category: APT reports
Date: Tue, 28 Jul 2020 10:00:27 +0000
Local date: Tue, 28 Jul 2020 10:00:27 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1000 px
itemImageHeight: 625 px
Las guerras de streaming: la perspectiva del ciberdelincuente
Author: Kaspersky
Link :
Email :
Description: El año pasado, nos preocupamos por saber cómo los ciberdelincuentes usan los programas de TV más populares para propagar su malware. Pero este año nos concentramos en otro sector del entretenimiento: las plataformas de streaming.
Full content:

Las ciberamenazas no se limitan al mundo de las grandes empresas y las campañas a gran escala. Los ataques más frecuentes no son los APTs ni las fugas masivas de datos masivas, sino los encuentros cotidianos de los usuarios con el malware y el spam. Y, una de las áreas más vulnerables es la del entretenimiento, en particular porque estamos habituados a encontrar todo lo que deseamos ver o escuchar, por muy poco dinero o gratis. Por esta razón, el año pasado, nos preocupamos por saber cómo los ciberdelincuentes usan los programas de TV más populares para propagar su malware. Pero este año nos concentramos en otro sector no menos popular del entretenimiento: las plataformas de streaming.

2019 fue oficialmente el año en que empezaron las guerras del streaming, puesto que casi todas las principales compañías de la industria, sin importar a qué costo, se apresuraron a generar ganancias con el nuevo método de consumo de contenidos preferido de los consumidores: las plataformas de streaming. Todo comenzó con Apple TV+. Luego vino Disney+. Y después, la más reciente incorporación: HBO Max, un proyecto nacido de la adquisión de Time Warner por 85.400 millones de dólares. Ni qué decir del montón de diferentes plataformas locales que surgieron en varias partes del mundo. De hecho, se espera que el mercado mundial del streaming de video alcance los 688 700 millones de dólares hasta 2024.

Para los ciberdelincuentes, migrar a este mercado significa la apertura de un nuevo  y lucrativo canal de ataques. De hecho, apenas unas horas después del lanzamiento de Disney+, miles de cuentas de usuarios fueron hackeadas y sus contraseñas y direcciones de correo electrónico fueron cambiadas. Los ciberdelincuentes revendieron dichas cuentas en línea por de 3 a 11 dólares.

Y no solo los nuevos servicios de streaming son vulnerables. Servicios conocidos desde hace varios años, como Netflix y Hulu son blancos preferidos para la distribución de malware, robo de contraseñas y lanzamiento de ataques de spam y phishing. Su atractivo no ha hecho más que aumentar gracias al pico de suscriptores registrado en el primer semestre del año, cuando mucha gente perdió su trabajo o se vio obligada a permanecer en casa. En el primer trimestre de 2020, Netflix sumó 15 millones de suscriptores, más del doble de lo esperado. Esto significa que al menos otros 15 millones de personas son vulnerables a los ataques de los ciberdelincuentes contra los servicios de streaming. De hecho, una reciente investigación de Flixed, un servicio que ayuda a encontrar el mejor sustituto para el cable, determinó que más de 1 de cada 10 personas habían sufrido el hackeo de su cuenta.

No solo son millones los dueños de cuentas que están susceptibles, sino hay otros millones más que acceden a los servicios mediante parientes y amigos con quienes comparten sus contraseñas, además de una cantidad indeterminada de usuarios que intentan acceder a estas plataformas aprovechando descuentos, o se ven obligados a encontrar otros métodos para ver contenidos en áreas donde estos servicios no están disponibles.

Para ayudar a los usuarios en todo el mundo a conocer la realidad de las ciberamenazas, y protegerse, hemos hecho un análisis en profundidad del escenario de la ciberdelincuencia en los servicios de streaming.


En este informe, hemos analizado varios tipos de amenazas: malware relacionado con plataformas de streaming y los contenidos originales que publican, así como los mensajes phishing de correo y sitios web y páginas de inicio de sesión fraudulentos.

Para ello, nos hemos basado en los resultados de  Kaspersky Security Network (KSN), un sistema para el procesamiento de datos anónimos relacionados con amenazas a la ciberseguridad que son compartidos de forma voluntaria por los usuarios de Kaspersky. Los resultados muestran a los usuarios (móviles o de PC) que se encontraron con varias amenazas entre enero de 2019 y el 8 de abril de 2020.

Las plataformas de streaming analizadas en este informe son las siguientes:

1) Netflix: Fue el primer servicio de este tipo. Lanzado en 1997, originalmente era una tienda de alquiler de DVD s en línea, antes de convertirse al streaming a mediados de la primera década de este siglo. Sigue siendo la plataforma de streaming más popular con 183 millones de miembros con cuentas de pago en más de 190 países.

2) Hulu: Este servicio, lanzado en EE.UU. en 2008, ofrece a sus suscriptores no solo una biblioteca de programas y películas por streaming (originales y no originales), sino también la oportunidad de mirar los últimos episodios de series transmitidas por las principales cadenas televisivas de ese país. Actualmente cuenta con 32,1 millones de suscriptores en EE.UU.

3) Amazon Prime Video: Este servicio de streaming de video se lanzó en 2006 y es ofrecido a todos los suscriptores de Amazon Prime (esta suscripción incluye envío postal en dos días, música y libros gratuitos). Amazon prime Video ofrece acceso a un catálogo de videos y series de televisión, originales y otras. También se puede pagar por complementos que permiten acceder a contenidos de otros canales, como Starz y HBO. Amazon prime cuenta con más de 150 millones de suscriptores en todo el mundo. Por supuesto,  esta cantidad incluye a todos los miembros Prime, algunos de los cuales pueden no ser usuarios del servicio de streaming de video.

4) Disney +: Lanzado en noviembre de 2019, ofrece acceso a la biblioteca completa de contenidos de Pixar, National Geographic y Disney. También ofrece todos los títulos relacionados con la franquicia Star Wars y varias otras series originales. Actualmente cuenta con 54,5 millones de suscriptores en todo el mundo.

5) Apple TV Plus: Lanzado en noviembre de 2019, poco antes de que lo hiciera Disney Plus. Consiste de programas originales y está disponible en más de 100 países. La cantidad de suscriptores no está clara, pero fuentes externas estiman que esté entre los 10 y 33 millones. Sin embargo, cualquiera que haya comprado un Apple TV, iPod, iPad, iPhone o Mac a partir del 10 de septiembre de 2019, obtiene una suscripción gratuita por un año.

Programas maliciosos para las plataformas de streaming:

Cuando se trata de plataformas de streaming, los programas maliciosos y otras amenazas, como los programas publicitarios, suelen descargarse cuando el usuario intenta acceder a través de los canales oficiales, ya sea mediante cuentas compradas con descuentos, o un “crack” que les permita ampliar la duración de su cuenta gratuita, o una suscripción gratuita. Muchas veces, estos enlaces o archivos no oficiales vienen junto con programas maliciosos, como troyanos y puertas traseras.

KSN nos ha permitido buscar programas maliciosos que venían junto con archivos que contenían el nombre de las cinco plataformas arriba mencionadas cuyo fin es obtener credenciales de inicio de sesión, una suscripción o descargar la plataforma para su visualización. Los resultados muestran a los usuarios (móviles o de PC) que se encontraron con varias amenazas mientras intentaban ingresar a Netflix, Hulu, Amazon Prime Video, Disney +, y Apple TV Plus a través de canales no oficiales.

También nos enfocamos en los verificadores de cuentas, que son herramientas para verificar credenciales filtradas, a menudo a consecuencia de fugas de datos, en varios sitios. Debido a que muchos usuarios reutilizan sus datos de inicio de sesión, las contraseñas y nombres de usuario filtrados pueden permitirles acceder a múltiples cuentas en línea, y las herramientas verificadoras de cuentas permiten que los ciberdelincuentes determinen exactamente las cuentas, de manera que puedan vender el acceso a las mismas (o robar la información financiera o personal relacionada con ellas).

Además, los usuarios pueden acceder o descargar verificadores de cuentas disponibles en línea en un intento de obtener acceso gratuito a las plataformas de streaming. Por supuesto, el uso de estas herramientas implica el riesgo creciente de encontrarse con malware. Para saber el número de usuarios que se encontraron con varias amenazas mientras utilizaban verificadores de cuentas para las cinco plataformas de streaming arriba mencionadas, estudiamos los archivos que descargaban varias amenazas y contenían el nombre de una de las plataformas de streaming junto a los términos clave “checker” (verificador), “brute” o “cracker”. Los resultados muestran a los usuarios (móviles o de PC) que se encontraron con varias amenazas mientras buscaban verificadores de cuentas para Netflix, Hulu, Amazon Prime Video, Disney +, y Apple TV Plus.

Programas maliciosos para series originales:

Asimismo, analizamos los programas maliciosos asociados con los programas originales de estas plataformas durante el mismo periodo. El proceso resultó ser el mismo que el de los programas maliciosos relacionados con las plataformas de streaming. KSN nos permitió buscar programas maliciosos que venían con archivos que contenían el nombre de conocidos programas televisivos originales.

Disney+, antes del 8 de abril, tenía un importante lanzamiento de contenido original: The Mandalorian. Por el contrario, otros, como Netflix, tienen extensas bibliotecas de contenidos originales. Por lo tanto, seleccionamos los más populares o más vistos. Puesto que muchas de estas plataformas no suelen publicar la cantidad de vistas, recurrimos a fuentes públicas, como Rotten Tomatoes, IMDB y Metacritic para elaborar la siguiente lista:

Disney +:

  • The Mandalorian


  • Sex Education
  • Ozark
  • Stranger Things
  • The Witcher
  • Love is Blind
  • BoJack Horseman
  • Orange is the New Black
  • Tiger King

Amazon Prime Video:

  • Catastrophe
  • Fleabag
  • Transparent
  • Bosch
  • The Expanse
  • The Marvelous Mrs. Maisel
  • The Man in the High Castle


  • Castle Rock
  • High Fidelity
  • Little Fires Everywhere
  • Veronika Mars
  • The Handmaid’s Tale

Apple TV Plus:

  • Servant
  • Dickinson
  • Ghostwriter
  • The Morning Show

Los resultados muestran a los usuarios (móviles o de PC) que se encontraron con varias amenazas en archivos maliciosos que contenían uno o más de los señuelos arriba mostrados.

  • Nuestros principales hallazgos: Un método común de phishing es pedirle al usuario que confirme o actualice la información de pago de su cuenta en una plataforma de streaming. Si el usuario lo hace, los ciberdelincuentes acceden a la información financiera de la víctima, como los datos de su tarjeta de crédito y de facturación.
  • Ninguno de los usuarios de Kaspersky se encontró con amenazas mientras intentaba acceder a Apple TV Plus.
  • Netflix es, de lejos, la plataforma que más usan los ciberdelincuentes como señuelo para inducir a los usuarios de Kaspersky a que descarguen varias amenazas, ya sea cuando acceden a la plataforma, modifican la aplicación o recopilan la información de inicio de sesión.
  • En su intento de acceder a las plataformas de streaming, 5577 usuarios únicos de Kaspersky se encontraron con enlaces con el nombre de plataformas legítimas, como Hulu, Netflix, Amazon Prime o Disney+, como señuelo, o mientras los atacantes intentaban capturar las credenciales de los usuarios de estas plataformas.
  • Hubo un total de 23 936 intentos de infectar a estos 5577 usuarios.
  • La amenaza con que más se toparon en todos los ataques que usurparon el nombre de una de las cinco plataformas de streaming ya mencionadas, fueron diferentes tipos de troyanos, que totalizaron el 47% de todas las amenazas detectadas.
  • La mayoría de los ataques detectados que contenían el nombre de Netflix como señuelo provenía de Alemania. Para Amazon prime: EE.UU. Para Hulu: República Dominicana. .
  • 6661 usuarios de Kaspersky se encontraron con malware al entrar en contacto con las verificadores de cuentas mientras intentaban acceder a Hulku, Netflis, Amazon Prime o Disney+.
  • Hubo un total de 57 784 intentos de infectar a estos 6661 usuarios.
  • Las cinco series más utilizadas por los ciberdelincuentes para atraer la atención de los usuarios e inducirlos a instalar varias amenazas, fueron The Mandalorian, una serie original de Disney+, seguida de Stranger Things, The Witcher, Sex Education, y Orange is the New Black de Netflix.
  • Más de la mitad de los ataques (51%) que se camuflaron como una de las cinco series más usadas como señuelo, provino de España.

Usando el phishing para pescar credenciales

Una de las formas más antiguas y efectivas de robar credenciales de cuentas es el phishing. A los ciberdelincuentes puede incluso no importarles acceder a las cuentas de plataformas de streaming pirateadas. Una vez que han obtenido el correo electrónico y la contraseña de la cuenta, pueden usarlos con varios propósitos: lanzar más ataques de spam o phishing, acceder a otras cuentas de la víctima (es frecuente que los usuarios usen una misma contraseña para varias de sus cuentas), o capturar la información de facturación o de la tarjeta de crédito asociadas con la cuenta.

Entre las estafas a través del phishing relacionadas con las plataformas de streaming, está la imitación de las páginas de inicio de sesión con el fin de capturar las credenciales de sus víctimas. Y Netflix sigue siendo el blanco más atractivo. Los investigadores de Kaspersky detectaron páginas falsificadas de inicio de sesión de Netflix en cuatro idiomas: francés, portugués, español e inglés. También descubrieron similares falsificaciones para Hulu.

Página fraudulenta de inicio de sesión de Netflix en español

Página fraudulenta de inicio de sesión en Hulu

Con el lanzamiento de Disney+, los ciberdelincuentes tuvieron otro blanco y comenzaron a crear páginas de phishing dirigidas a los usuarios.

Página de phishing en italiano urgiendo al usuario a suscribirse a una cuenta gratuita de Disney+

Estas estafas de phishing no son una novedad. En 2019, Kaspersky detectó que los ciberdelincuentes explotaban los eventos deportivos y de entretenimiento más importantes para lanzar sus ataques. Los usuarios son tentados con ofertas como acceso gratuito a la última temporada de Game of Thrones y para ello solo tienen que crear una cuenta gratuita e ingresar su información de pago. Estos ciberdelincuentes usaron el mismo esquema en el lanzamiento de Disney+ para robar los datos financieros de la víctima.

Oferta fraudulenta para un año de suscipción gratuita a Disney+. Si el usuario continúa, se le pide que introduzca sus datos de pago, incluyendo los dígitos de seguridad de su tarjeta de crédito

Otro tipo de ataque muy común con fines de lucro consiste en engañar a los usuarios para que confirmen sus datos de pago o añadan otros. Por supuesto, si lo hace, los ciberdelincuentes acceden a los fondos asociados con la tarjeta de crédito o la cuenta bancaria de la víctima. Estos ataques se realizan mediante falsas páginas de phishing que lucen como las originales (ver abajo) y como mensajes de correo enviados a las cuentas del usuario.

Izquierda: página falsificada de pago de Netflix pidiendo al usuario que añada un nuevo método de pago. Derecha: una estafa de phishing pidiendo al usuario que añada sus datos de pago a su cuenta de Hulu

El contenido de los mensajes de correo es similar: se le advierte al usuario que su método de pago ya no es válido o que debe confirmarlo, y que si no lo hace pronto, quedará suspendido el acceso a su cuenta, o su membresía. Los usuarios que caen en la trampa corren el riesgo de que las credenciales de sus cuentas, sus datos bancarios y de sus tarjetas de crédito queden expuestos.

Mensaje phishing de correo pidiendo al destinatario que cambie a un nuevo y válido método de pago para su cuenta de Amazon Prime

El phishing es un método antiguo y a menudo exitoso que usan los ciberdelincuentes para lucrar rápida y fácilmente a costa de sus víctimas. Dado que la cantidad de suscriptores de los servicios de streaming solo tiende a crecer, es probable que también lo haga el número de estafas por phishing relacionadas con estas plataformas, así como el de las plataformas atcadas.

Descargue su app favorita de streaming… junto a malware

Los servicios de streaming no solo constituyen un blanco primario para las estafas de spam y phishing, sino que también son convenientes para propagar malware. Por supuesto, quienes se suscribieron a las plataformas de streaming mediante los canales oficiales y solo usan las versiones aprobadas por ellas, pueden, en la mayoría de los casos, evitar la descarga accidental de malware u otras amenazas. Pero quienes buscan acceder a ellas (mediante cuentas “hackeadas”, la descarga de versiones gratuitas o usando suscripciones gratuitas), son mucho más susceptibles a descargar amenazas junto al deseado acceso. Pero tampoco los suscriptores son inmunes. Pueden toparse con programas maliciosos si descargan versiones no oficiales o modificadas de la app (p.ej., Netfix con fondo negro en lugar del rojo). También pueden convertirse en víctimas del malware si los ciberdelincuentes intentan robar las credenciales de sus cuentas.

La cantidad de usuarios únicos de Kaspersky que encontraron amenazas que llevaban el nombre de plataformas legítimas como señuelo mientras miraban conocidas plataformas de streaming a través de medios no oficiales son:

Gráfico que describe la cantidad de usuarios únicos que se encontraron con amenazas que llevaban el nombre de conocidas plataformas de streaming mientras accedían a ellas a través de medios no oficiales entre enero de 2019 y el 8 de abril de 2020 (descargar)

Netflix fue, de lejos, la plataforma favorita de los ciberdelincuentes para engañar a los usuarios e inducirlos a descargar amenazas, seguida de Hulu y Amazon Prime, en el segundo y tercer lugar, respectivamente. Solo 28 usuarios se encontraron con amenazas cuando miraban Disney+ a través de medios no oficiales, y ninguno mientras miraba Apple TV Plus.

Disney+ es un servicio nuevo, lo que parcialmente explica las bajas cifras. Además, está disponible en muchos menos países que Amazon Prime y Netflix: 15 contra más de 100. Por otra parte, ya que Hulu solo está disponible en EE.UU., cualquier usuario fuera de ese país que quiera acceder a ella, tiene que hacerlo a través de medios no oficiales, lo que aumenta las probabilidades de encontrarse con amenazas.

La virtual ausencia de Apple TV Plus en las estadísticas, se debe a que muchos usuarios recibieron una suscripción anual gratuita cuando compraron dispositivos para Apple TV u otros dispositivos Apple a partir del 10 de septiembre de 2019. Puesto que la mayoría de los programas maliciosos se descarga cuando los usuarios intentan acceder a dichas plataformas sin contar con una suscripción legítima; entonces, cuantos más usuarios cuenten con la suscripción legítima, habrá menos descargas de malware. Si bien los usuarios pueden encontrarse con programas maliciosos mientras intentan convertir contenidos o videos de DVD a un formato compatible con Apple TV, si ya cuentan con ella, no necesitan buscar fuentes no oficiales para mirar Apple TV Plus.

Además, Apple TV Plus ha hecho grandes esfuerzos para entrar en la batalla del streaming. Investigaciones sugieren que menos del 10% de los usuarios elegibles para la suscripción anual gratuita la aprovechó.  Y, si bien está disponible en más de 100 países, podría tener apenas 10 millones de suscriptores. Dada esta popularidad relativamente baja, no resulta sorprendente que no sea un blanco atractivo para los ciberdelincuentes.

La cantidad total de intentos por infectar usuarios que intentaban acceder a conocidas plataformas de streaming a través de medios no oficiales que usurpan los nombres de estas plataformas como señuelo, fue de 23 936.

Gráfico que describe la cantidad de intentos de infectar usuarios que intentaban acceder a conocidas plataformas de streaming a través de medios no oficiales que usurpan los nombres de estas plataformas como señuelo entre enero de 2019 y el 8 de abril de 2020 (descargar)

Distribución porcentual de diferentes tipos de amenazas que usurpan los nombres de conocidas plataformas de streaming con las que los usuarios se encontraron entre enero de 2019 y el 8 de abril de 2020 (descargar)

La amenaza más común con la que se encontraron los usuarios mientras accedían a plataformas de streaming a través de plataformas no oficiales (47%) es también la más peligrosa: los troyanos. Este tipo de archivos maliciosos les permite a los ciberdelincuentes hacer de todo, desde eliminar o bloquear datos hasta interrumpir el rendimiento del equipo. Algunos de los troyanos distribuidos eran troyanos espía:  archivos maliciosos muy peligrosos que rastrean las actividades de la víctima en el dispositivo infectado. Las víctimas infectadas con estos espías pueden sufrir el robo de sus archivos y fotos, así como de los inicios de sesión y contraseñas de sus cuentas bancarias.

La segunda amenaza más común que detectamos fue “not-a-virus”, ya sea riskware o adware. El riskware abarca desde administradores de descargas hasta herramientas de administración remota, y el adware bombardea a los usuarios con publicidad no deseada.

Algo alarmante es el porcentaje considerable de usuarios que se encontraron con puertas traseras. Estos archivos maliciosos conceden a los ciberdelincuentes el control remoto del dispositivo de la víctima y para realizar todas las tareas que deseen, incluyendo usar el equipo como parte de redes zombi.

Amenazas encontradas por región

Países con el mayor número de ataques detectados: Hulu
1) República Doiminicana 10,5%
2) Estados Unidos 10,4%
3) Indonesia 5,6%
4) India 4,9%
5) China 4,5%

Amenazas que se propagaron por todo el mundo usurpando el nombre de Hulu como señuelo para usuarios que intentaban mirar plataformas a través de medios no oficiales  El segundo número mayor de ataques provino de EE.UU., lo que no resulta sorprendente. Dado que se trata de un servicio de EE.UU., es muy conocido en ese país, lo que lo convierte en un blanco atractivo para los ciberdelincuentes.

Países con el mayor número de ataques detectados: Netflix
1) Alemania 11,2%
2) Argelia 8,2%
3) India 7,8%
4) Brasil 7,8%
5) Francia 4,3%

Los usuarios de Netflix se encontraron con amenazas en todo el mundo. La cantidad mayor de ataques provino de Alemania. Esto puede deberse a que Alemania es uno de los diez países más populares para Netflix.

Países con el mayor número de ataques detectados: Amazon Prime Video
1) Estados Unidos 36,5%
2) India 17,8%
3) Alemania 15,1%
4) Brasil 4,3%
5) Filipinas 2,8%

Usuarios en todo el mundo que se encontraron con amenazas cuando intentaban mirar Amazon Prime Video a través de medios no oficiales, con el mayor número de ataques proveniente de EE.UU. (36,5%): el mayor mercado de Amazon. Alemania es el mayor mercado extranjero de Amazon, lo que explica la gran cantidad de usuarios que se encontraron con amenazas, e India se convirtió en un gran mercado para Amazon en 2018. El 76,5% de todos los ataques que contenían menciones a Amazon Prime provino de estos cinco países.

Países con el mayor número de ataques detectados: Disney+
1) Argelia 30%
2) Países Bajos 14%
3) Arabia Saudita 8,5%
4) India 7,7%
5) Irlanda 7,7%

El mayor número de intentos de infección detectados que usurparon el nombre Disney+ provino de Argelia (30%) El servicio no está disponible en Argelia, por lo que quien quiera acceder a él, debe hacerlo de forma ilegal, aumentando así las probabilidades de encontrarse con archivos maliciosos. Lo mismo se aplica a Arabia Saudita.

El rol de los verificadores:

Al mismo tiempo que los suscriptores de Disney+ se enteraban de que sus cuentas habían sido hackeadas y se quedaron sin ellas, esas mismas cuentas empezaron a  aparecer en los foros de hackers. De hecho, la venta de cuentas de plataformas de streaming en el mercado negro es un gran negocio que funciona desde hace años. Para comprar una cuenta de plataformas de streaming solo hay que introducir “free netflix accounts” (cuentas gratuitas de Netflix) o “purchase cheap hulu suscriptions” (comprar suscripciones baratas para Hulu) en el navegador Google y aparecerán numerosos resultados.  Hay sitios web completamente dedicados a la venta de inicios de sesión de cuentas a bajos precios.

Las credenciales se recopilan de varias formas. La más común es a través de correos phishing y sitios web falsos (ver arriba). En 2016, Trend Micro descubrió un esquema en el que, engaño mediante, se inducía a los usuarios de Netflix a hacer clic en enlaces maliciosos que recibían por correo; una vez hecho esto, los programas maliciosos adjuntos automáticamente recopilaban los datos de inicio de sesión de sus cuentas.  Con este ardid, los atacantes recopilaron más de 300 000 contraseñas que luego vendieron.

Una popular herramienta para recopilar credenciales son los llamados verificadores de cuentas. Los verificadores de cuentas prueban contraseñas descubiertas mediante una fuga o en un sitio de vertido en otros sitios web para ver si efectivamente permiten el acceso a cuentas. Una vez que encuentran las coincidencias (es decir, un correo electrónico y una contraseña para una cuenta vigente de Amazon Prime), los ciberdelincuentes se adueñan de ella y de todos los datos financieros que figuran en ella, y los revenden en línea.

Gráfico que describe el número de usuarios únicos que se encontraron con amenazas agrupadas con verificadores de cuentas de conocidas plataformas de streaming, entre enero de 2019 y el 8 de abril de 2020 (descargar)

No solo los ciberdelincuentes recurren a los verificadores, sino también cualquiera que busque acceder a una cuenta de plataformas de streaming puede dar con ellas, ya sea de forma intencional o casual. Por desgracia, estas herramientas suelen venir agrupadas con otras amenazas, incluyendo malware. Entre enero de 2019 y el 8 de abril de 2020, 6661 usuarios de Kaspersky se encontraron con amenazas cuando buscaban verificadores de cuentas en su afán de acceder a plataformas de streaming. En total, hubo 570784 intentos de infectar a estos usuarios a través de los verificadores de cuentas. Una vez más, Netflix fue la plataforma más buscada mediante las verificadores de cuentas, con 6292 usuarios que quedaron expuestos a amenazas de esta manera, y se detectaron 52 889 intentos de infección.

La segunda plataforma más buscada por los usuarios cuando se encontraron con amenazas a través de los verificadores de cuentas, fue Hulu. Esto podría, una vez más, atribuirse a que, actualmente, Hulu solo está disponible dentro de EE.UU. Esto significa que, para muchos, la única forma de acceder a ella es mediante credenciales robadas o comprando suscripciones gratuitas.

Respecto a Amazon Prime, pocos usuarios se encontraron con amenazas asociadas con los verificadores de cuentas. Esto puede deberse al modelo de suscripción de Amazon Prime Video, que viene como parte de un paquete para cualquier cuentahabiente de Amazon con una suscripción Prime. Quienes buscan acceder a Amazon Prime Video pueden estar detrás de credenciales para cuentas generales de Amazon, en lugar de cuentas específicas de Amazon Prime Video.

Ningún usuario se encontró con amenazas mediante los verificadores de cuentas asociadas con Apple TV Plus. Por supuesto, esto puede deberse a que Apple concedió cuentas gratuitas por un año.

La amenaza detrás de los contenidos originales

Servicios de streaming como Netflix ganaron popularidad no solo por ofrecer películas y series de terceros, sino además por producir sus propios contenidos. Algunas de las series más populares de Netflix son originales y se estima que este año generarán 17 300 millones de dólares. Plataformas como Apple TV Plus siguieron este camino, con una inversión de 6 mil millones de dólares en contenidos originales para su lanzamiento. Para quienes quieren ver estas producciones originales sin pagar los 5-10 dólares mensuales que  cuesta una suscripción, la única forma es descargándolas desde un tercero. Esto, por supuesto, conlleva el riesgo de descargar también programas maliciosos.

En cuanto al número de usuarios únicos afectados, las 10 series (entre las 25 mencionadas en la sección Metodología de este informe) más usadas por los ciberdelincuentes como señuelo para propagar sus amenazas, incluyendo malware, son:

1) The Mandalorian (Disney +) 1614
2) Stranger Things (Netflix) 1291
3) The Witcher (Netflix) 1076
4) Sex Education (Netflix) 420
5) Orange is the New Black (Netflix) 253
6) Ozark (Netflix) 177
7) The Man in the High Castle (Amazon Prime Video) 142
8) The Expanse (Amazon Prime Video) 119
9) Fleabag (Amazon Prime Video) 102
10) Castle Rock (Hulu) 99

Las 10 series originales de Amazon Prime, Apple TV Plus, Hulu, Netflix y Disney + más utilizadas como señuelo para propagar amenazas y el número de usuarios únicos que se encontraron con amenazas.

La serie más utilizada como señuelo fue The Mandalorian (1614), una serie original de Disney+ estrenada en 2019. Se convirtió en el primer éxito original de la plataforma y la serie con mayor demanda en el streaming en noviembre del año pasado. Stranger Things (1291), seguida de cerca por The Witcher (1076), tuvieron la mayor cantidad de usuarios que se encontraron con amenazas, en segundo y tercer lugar, respectivamente. Sex Education se ubicó en un distante cuarto lugar con 420. De las 10 series originales usadas como señuelo que tuvieron el mayor número de usuarios que se encontraron con amenazas, 5 fueron de Netflix, 3 de Amazon Prime Video, 1 de Hulu y 1 de Disney+.

Netflix posee el catálogo más extenso de contenidos originales, por lo que no sorprende que sus producciones estén entre las más utilizadas para camuflar archivos maliciosos. Stranger Things es una de las series más populares de esta plataforma: el estreno de su tercera temporada atrajo a 26,4 millones de televidentes en solo cuatro días, marcando un récord. The Witcher también fue un gran éxito para Netflix, con 76 millones de televidentes en todo el mundo que miraron al menos los primeros dos minutos. Sex Education, que cuenta con dos temporadas, tuvo unos 40 millones de usuarios en la primera temporada.

Las cinco series más usadas como señuelo, en detalle:

4502 usuarios de Kaspersky se encontraron con malware camuflado como las cinco series más usadas como señuelo por los ciberdelincuentes (The Mandalorian, Stranger Things, The Witcher, Sex Education, Orange is the New Black). Las primera es original de Disney+, mientras que las restantes cuatro son de Netflix.

Hubo un total de 18 947 intentos de infectar a estos usuarios mediante las cinco series usadas como señuelo arriba mencionadas; la mayor cantidad de intentos (5855) le correspondió a The Mandalorian.

La distribución de las amenazas específicas detectadas es:

Distribución porcentual de las diferentes amenazas lanzadas contra los usuarios y que usurpaban el nombre de una de las cinco series más utilizadas como señuelo por los ciberdelincuentes (descargar)

Casi dos tercios de estas amenazas detectadas (74%) eran troyanos. Entre los troyanos se encontraban desde espías,  droppers y descargadores, hasta secuestradores, bancarios (diseñados para robar dinero desde cuentas bancarias), y PSWs (diseñados para robar inicios de sesión y contraseñas). La segunda amenaza más común detectada, fueron los archivos “not-a-virus”. Una reducida cantidad de programas maliciosos genéricos (Objetos Peligrosos), puertas traseras y exploits, también se encontraba entre los detectados.

Los países donde se detectó el mayor número de amenazas distribuidas camufladas como las cinco series mencionadas, son:

1) España 51,2%
2) Rusia 17,6%
3) India 2,7%
4) Sudáfrica 2%
5) Bielorrusia 1,9%
6) Etiopía 1,8%
7) Argelia 1,8%
8) Turquíz 1,5%
9) Kenia 1,4%
10) Filipinas 1,4%

Los diez países donde se detectó la mayor cantidad de ataques que usurpaban el nombre de una de las cinco series más usadas como señuelo por los ciperbiratas (The Mandalorian, Stranger Things, The Witcher, Sex Education, y Orange is the New Black)

Más de la mitad de los ataques detectados que usurpaban el nombre de una de las cinco series más usadas como señuelo por los ciberdelincuentes, provino de España. En marzo, Disney+ anunció su alianza estratégica con Telefónica de España, uno de los operadores telefónicos más grandes del mundo, para lanzar en ese país el principal servicio de streaming por suscripción: Movistar Plus. Es muy probable que esto signifique que Disney+ ha llamado bastante la atención en España, por lo que no sorprendería que una gran cantidad de interesados quiera descargar su serie más exitosa. Además, Netflix es la segunda plataforma de streaming en España, después de Movistar.

Un porcentaje significativo de los ataques (17,6%) provino de Rusia, mientras que el tercer porcentaje más representativo provino de India. Disney+ fue lanzado en India como parte de Hotstar la plataforma de streaming local, y se estima que sumaron 8 millones de suscriptores hasta abril. Netflix también ha crecido notoriamente en India en los últimos meses.

El futuro

Las guerras en el streaming acaban de comenzar, así como las diferentes formas de ciberdelincuencia  asociadas a este medio. La pandemia a nivel mundial y la consecuente alza en la cantidad de suscriptores han llamado poderosamente la atención de los ciberdelincuentes.

El aumento del número de plataformas conlleva que los usuarios sean más vulnerables a los ataques de los ciberdelincuentes: cuantas más suscripciones tiene un usuario,  más difícil resulta vigilar las actividades sospechosas en ellas, especialmente si deja de usar una de ellas, pero su suscripción se mantiene vigente. Además, los usuarios tienden a utilizar las mismas contraseñas en todas sus cuentas, lo que significa que si los ciberdelincuentes logran hackear una de ellas, podrían usar las mismas credenciales para hackear otras y lograr su objetivo de robar los datos personales y bancarios de las víctimas.

Por otro lado, la compraventa de contenidos de dichas plataformas es cada vez más cara. Cada suscripción individual puede costar entre 6 y 12 dólares mensuales. De hecho, suscribirse a las cinco plataformas de streaming que hemos analizado aquí, costaría 36 dólares mensuales, sin mencionar las suscripciones a otras plataformas o canales locales. Cuantas más plataformas haya, más suscripciones tendrán que comprar los usuarios para ver todos sus contenidos favoritos, y eso significa que tendrán que gastar más dinero del que quizás tengan.  En otras palabras, cuanto más caro se ponga el streaming, más usuarios se verán tentados a acceder a estos servicios de formas menos caras: comprando cuentas con rebajas, usando verificadores de cuentas, o cayendo en la trampa de las suscripciones gratuitas. Esto los hará más vulnerables a infecciones con malware y a otras ciberamenazas.

En cuanto a las plataformas de streaming más usadas como señuelo para inducir a los usuarios a descargar amenazas, Netflix es, de lejos, la más utilizada, ya sea para engañar a los usuarios que intentan acceder a esta plataforma o mirar sus contenidos originales. A nivel mundial, Netflix posee la mayor cantidad de suscriptores (es difícil saber cuántos usuarios miran Amazon Prime Video porque Amazon solo cuenta el total de miembros de Prime). Sin embargo, esto podría cambiar a medida que nuevas plataformas aumenten su base de suscriptores. Disney+ alcanzó los 54,5 millones de suscriptores en apenas seis meses, lo que señala que podría convertirse en un duro competidor de Netflix. A medida que ciertos contenidos y plataformas cobren mayor popularidad, también lo harán los blancos principales de los ataques de ciberdelincuentes.

No importa la plataforma o programa que se mire, es importante tomar ciertas precauciones para estar protegido.

Para estar protegido contra las estafas del phishing relacionadas con las plataformas de streaming, los expertos de Kaspersky recomiendan:

  • Examinar la dirección del remitente: si proviene de un servidor de correo gratuito o contiene simbolos que no tienen ningún sentido, es muy probable que se trate de un correo fraudulento.
  • Prestar atención al texto: las compañías reconocidas no envían correos con malos formatos ni redactan con errores ortográficos.
  • No abrir adjuntos ni hacer clic en enlaces incluidos en correos supuestamente enviados por los servicios de streaming, especialmente si el remitente insiste en ello. Es mejor ir al sitio oficial directamente y acceder a la cuenta desde ahí.
  • Hay que desconfiar de aquellas ofertas que parezcan muy buenas para ser ciertas, como las que ofrecen un año de suscripción gratuita.
  • No visitar sitios web hasta comprobar que son legítimos y que comienzan con “https”.
  • Una vez en el sitio, hay que comprobar que sea auténtico.
      • Revisar cuidadosamente el formato de la URL y que el nombre del servicio esté escrito correctamente, y también hay que leer los comentarios y verificar la fecha de registro del dominio antes de proceder con la descarga.
  • Usar una solución de seguridad confiable, como Kaspersky Security Cloud, que es capaz de identificar adjuntos maliciosos y de bloquear sitios de phishing.

Para protegerse contra el malware al mirar plataformas de streaming o sus series originales:

  • Cuando sea posible, solo acceder a las plataformas a través de la propia suscripción legítima en el sitio web legítimo o desde la app descargada de sitios oficiales.
  • No descargar versiones ilegítimas ni modificaciones de las apps de estas plataformas.
  • Usar contraseñas distintas y sólidas para cada cuenta que se tenga.
  • Usar una solución confiable, como Kaspersky Security Cloud, diseñada para brindar protección avanzada en todos los dispositivos.
Category: Investigación
Date: Tue, 28 Jul 2020 10:00:15 +0000
Local date: Tue, 28 Jul 2020 10:00:15 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 600 px
Un grupo de hackers iraní filtra por accidente sus propios videos de capacitación para sus nuevos reclutas
Author: Securelist
Link :
Email :
Description: Investigadores de seguridad han encontrado 40GB de información almacenada de forma insegura en un servidor desprotegido. Todo indica que los archivos pertenecen a un grupo de ciberatacantes al que se acusa de tener vínculos con el gobierno de Irán, y… Leer el artículo completo
Full content:


Investigadores de seguridad han encontrado 40GB de información almacenada de forma insegura en un servidor desprotegido. Todo indica que los archivos pertenecen a un grupo de ciberatacantes al que se acusa de tener vínculos con el gobierno de Irán, y contenían información para el entrenamiento de sus nuevos reclutas.

El grupo de hackers que se conoce como Charming Kitten, ITG18, APT 35, Phosphorous y NewsBeef, ha estado activo desde 2011 llevando a cabo en su mayoría operaciones de ciberespionaje a infraestructuras críticas, organizaciones, individuos y entidades gubernamentales de diferentes partes del mundo.

El servidor estuvo disponible durante tres días, lo que dio a los investigadores del equipo de Servicios de Inteligencia para Respuesta a Incidentes (IRIS) de IBM suficiente tiempo para descargar y analizar el contenido. IBM indicó que la filtración fue posible “debido a problemas operativos” que le permitieron analizar más de 40GB de información que quedaron expuestos.

Los datos contenían casi cinco horas de videos de entrenamiento para los nuevos reclutas del grupo de hackers. Los videos describían diferentes ciberataques y enseñaban cómo realizarlos. En su gran mayoría, mostraban cómo extraer datos de diferentes servicios, incluyendo contactos, imágenes, documentos y archivos en la nube.

También ofrecían demostraciones de ataques realizados y utilizaban de ejemplo ataques a dos miembros de las fuerzas navales de Estados Unidos y de Grecia. En aquellos casos se robó un sinfín de información personal a ambas víctimas, incluyendo archivos personales y datos financieros.

Haciendo referencia a estos dos incidentes, IBM afirmó: “IBM X-Force IRIS no ha encontrado evidencia de que se hayan comprometido las credenciales de las redes profesionales de los dos miembros del ejército (…). Sin embargo, es probable que el atacante haya estado buscando información específica de los militares y haya permitido que ITG18 extienda sus operaciones de espionaje más allá de EE. UU. y la fuerza naval de Grecia”.

Los videos filtrados no sólo sacaron a la luz las tácticas operativas del grupo cibercriminal, también expusieron los rostros y números de teléfono de algunos integrantes y personas vinculadas con el grupo, un dato muy valioso para las autoridades.

“A pesar de sus intenciones, el operador de ITG18 cometió errores que permitieron que el grupo ISIS de IBM consiguiera valiosa información sobre la manera en que este grupo actúa sobre sus objetivos y capacita a sus operadores”, dijo IBM. “IBM considera que ITG10 es un grupo determinado que ha hecho una inversión significativa en sus operaciones. El grupo ha demostrado persistencia en sus operaciones y la creación consistente de nuevas infraestructuras a pesar de las múltiples exposiciones públicas y frecuentes denuncias de sus actividades”.

Iran-Linked Hackers Accidentally Exposed 40 GB of Their Files • Security Week
Iran-linked APT35 accidentally exposed 40 GB associated with their operations • Security Affairs
Leaked videos offer rare behind-the-scenes look at Iranian APT operationSecurity, Hackers • SC Magazine

Category: News
Date: Thu, 23 Jul 2020 12:22:34 +0000
Local date: Thu, 23 Jul 2020 12:22:34 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
MATA: Multi-platform targeted malware framework
Author: GReAT
Link :
Email :
Description: The MATA malware framework possesses several components, such as loader, orchestrator and plugins. The framework is able to target Windows, Linux and macOS operating systems.
Full content:

As the IT and OT environment becomes more complex, adversaries are quick to adapt their attack strategy. For example, as users’ work environments diversify, adversaries are busy acquiring the TTPs to infiltrate systems. Recently, we reported to our Threat Intelligence Portal customers a similar malware framework that internally we called MATA. The MATA malware framework possesses several components, such as loader, orchestrator and plugins. This comprehensive framework is able to target Windows, Linux and macOS operating systems.

The first artefacts we found relating to MATA were used around April 2018. After that, the actor behind this advanced malware framework used it aggressively to infiltrate corporate entities around the world. We identified several victims from our telemetry and figured out the purpose of this malware framework.

Windows version of MATA

The Windows version of MATA consists of several components. According to our telemetry, the actor used a loader malware to load the encrypted next-stage payload. We’re not sure that the loaded payload is the orchestrator malware, but almost all victims have the loader and orchestrator on the same machine.

Component of the Windows version of MATA


This loader takes a hardcoded hex-string, converts it to binary and AES-decrypts it in order to obtain the path to the payload file. Each loader has a hard-coded path to load the encrypted payload. The payload file is then AES-decrypted and loaded.

From the loader malware found on one of the compromised victims, we discovered that the parent process which executes the loader malware is the “C:\Windows\System32\wbem\WmiPrvSE.exe” process. The WmiPrvSE.exe process is “WMI Provider Host process”, and it usually means the actor has executed this loader malware from a remote host to move laterally. Therefore, we assess that the actor used this loader to compromise additional hosts in the same network.

Orchestrator and plugins

We discovered the orchestrator malware in the lsass.exe process on victims’ machines. This orchestrator malware loads encrypted configuration data from a registry key and decrypts it with the AES algorithm. Unless the registry value exists, the malware uses hard-coded configuration data. The following is a configuration value example from one orchestrator malware sample:

Victim ID Random 24-bit number
Internal version number 3.1.1 (0x030101)
Timeout 20 minutes
C2 addresses 108.170.31[.]81:443



Disk path or URL of plugin (up to 15) to be loaded on start Not used in this malware

The orchestrator can load 15 plugins at the same time. There are three ways to load them:

  • Download the plugin from the specified HTTP or HTTPS server
  • Load the AES-encrypted plugin file from a specified disk path
  • Download the plugin file from the current MataNet connection

The malware authors call their infrastructure MataNet. For covert communication, they employ TLS1.2 connections with the help of the “openssl-1.1.0f” open source library, which is statically linked inside this module. Additionally, the traffic between MataNet nodes is encrypted with a random RC4 session key. MataNet implements both client and server mode. In server mode the certificate file “c_2910.cls” and the private key file “k_3872.cls” are loaded for TLS encryption. However, this mode is never used.

The MataNet client establishes periodic connections with its C2. Every message has a 12-byte-long header, where the first DWORD is the message ID and the rest is the auxiliary data, as described in the table below:

Message ID Description
0x400 Complete the current MataNet session and delay the next session until the number of logical drives is changed or a new active user session is started.
0x500 Delete configuration registry key and stop MATA execution until next reboot.
0x601 Send configuration data to C2.
0x602 Download and set new configuration data.
0x700 Send the C2 the infected host basic information such as victim ID, internal version number, Windows version, computer name, user name, IP address and MAC address.
0x701 Send the C2 the configuration settings such as victim ID, internal version number and session timeout.

The main functionality of the orchestrator is loading each plugin file and executing them in memory. Each DLL file type plugin provides an interface for the orchestrator and provides rich functionality that can control infected machines.

Plugin name Description
MATA_Plug_Cmd.dll Run “cmd.exe /c” or “powershell.exe” with the specified parameters, and receive the output of the command execution.
MATA_Plug_Process.dll Manipulate process (listing process, killing process, creating process, creating process with logged-on user session ID).
MATA_Plug_TestConnect.dll Check TCP connection with given IP:port or IP range.

Ping given host or IP range.

MATA_Plug_WebProxy.dll Create a HTTP proxy server. The server listens for incoming TCP connections on the specified port, processing CONNECT requests from clients to the HTTP server and forwarding all traffic between client and server.
MATA_Plug_File.dll Manipulate files (write received data to given file, send given file after LZNT1 compression, compress given folder to %TEMP%\~DESKTOP[8random hex].ZIP and send, wipe given file, search file, list file and folder, timestomping file).
MATA_Plug_Load.dll Inject DLL file into the given process using PID and process name, or inject XORed DLL file into given process, optionally call export function with arguments.
MATA_Plug_P2PReverse.dll Connect between MataNet server on one side and an arbitrary TCP server on the other, then forward traffic between them. IPs and ports for both sides are specified on the call to this interface.

There is an interesting string inside the MATA_Plug_WebProxy plugin – “Proxy-agent: matt-dot-net” – which is a reference to Matt McKnight’s open source project. There are some differences though. Matt’s project is written in C# rather than C++. The MATA proxy is noticeably simpler, as there is no cache and no SSL support, for instance. It’s possible that MATA’s authors found and used the source code of an early version of Matt’s proxy server. It looks like the malware author rewrote the code from C# to C++ but left this footprint unchanged.

Proxy-agent of MATA_Plug_WebProxy.dll plugin

Non-Windows version of MATA

The MATA framework targets not only the Windows system but also Linux and macOS systems.

Linux version

During our research, we also found a package containing different MATA files together with a set of hacking tools. In this case, the package was found on a legitimate distribution site, which might indicate that this is the way the malware was distributed. It included a Windows MATA orchestrator, a Linux tool for listing folders, scripts for exploiting Atlassian Confluence Server (CVE-2019-3396), a legitimate socat tool and a Linux version of the MATA orchestrator bundled together with a set of plugins. China-based security vendor Netlab also published a highly detailed blog on this malware.

The module is designed to run as a daemon. Upon launch, the module checks if it is already running by reading the PID from “/var/run/” and checks if the “/proc/%pid%/cmdline” file content is equal to “/flash/bin/mountd”. Note that “/flash/bin/mountd” is an unusual path for standard Linux desktop or server installations. This path suggests that MATA’s Linux targets are diskless network devices such as routers, firewalls or IoT devices based on x86_64. The module can be run with the “/pro” switch to skip the “” check. The AES-encrypted configuration is stored in the “$HOME/.memcache” file. The behavior of this module is the same as the Windows MATA orchestrator previously described. The plugin names of Linux MATA and the corresponding Windows plugins are:

Linux plugin Corresponding Windows plugin
/bin/bash MATA_Plug_Cmd
plugin_file MATA_Plug_File
plugin_process MATA_Plug_Process
plugin_test MATA_Plug_TestConnect
plugin_reverse_p2p MATA_Plug_P2PReverse

Note that the Linux version of MATA has a logsend plugin. This plugin implements an interesting new feature, a “scan” command that tries to establish a TCP connection on ports 8291 (used for administration of MikroTik RouterOS devices) and 8292 (“Bloomberg Professional” software) and random IP addresses excluding addresses belonging to private networks. Any successful connection is logged and sent to the C2. These logs might be used by attackers for target selection.

macOS version

We discovered another MATA malware target for macOS uploaded to VirusTotal on April 8, 2020. The malicious Apple Disk Image file is a Trojanized macOS application based on an open-source two-factor authentication application named MinaOTP.

Trojanized macOS application

The Trojanized main TinkaOTP module is responsible for moving the malicious Mach-O file to the Library folder and executing it using the following command:
cp ~/Library/.mina > /dev/null 2>&1 && chmod +x ~/Library/.mina > /dev/null 2>&1 && ~/Library/.mina > /dev/null 2>&1

Upon launch, this malicious Mach-o file loads the initial configuration file from “/Library/Caches/”.

Like another strain running on a different platform, the macOS MATA malware also runs on a plugin basis. Its plugin list is almost identical to the Linux version, except that it also contains a plugin named “plugin_socks”. The “plugin_socks” plugin is similar to “plugin_reverse_p2p” and is responsible for configuring proxy servers.


Based on our telemetry, we have been able to identify several victims who were infected by the MATA framework. The infection is not restricted to a specific territory. Victims were recorded in Poland, Germany, Turkey, Korea, Japan and India. Moreover, the actor compromised systems in various industries, including a software development company, an e-commerce company and an internet service provider.

We assess that MATA was used by an APT actor, and from one victim we identified one of their intentions. After deploying MATA malware and its plugins, the actor attempted to find the victim’s databases and execute several database queries to acquire customer lists. We’re not sure if they completed the exfiltration of the customer database, but it’s certain that customer databases from victims are one of their interests. In addition, MATA was used to distribute VHD ransomware to one victim, something that will be described in detail in an upcoming blog post.

Victims of MATA


We assess that the MATA framework is linked to the Lazarus APT group. The MATA orchestrator uses two unique filenames, c_2910.cls and k_3872.cls, which have only previously been seen in several Manuscrypt variants, including the samples (0137f688436c468d43b3e50878ec1a1f) mentioned in the US-CERT publication.

Unique file name

Moreover, MATA uses global configuration data including a randomly generated session ID, date-based version information, a sleep interval and multiple C2s and C2 server addresses. We’ve seen that one of the Manuscrypt variants (ab09f6a249ca88d1a036eee7a02cdd16) shares a similar configuration structure with the MATA framework. This old Manuscrypt variant is an active backdoor that has similar configuration data such as session ID, sleep interval, number of C2 addresses, infected date, and C2 addresses. They are not identical, but they have a similar structure.

Manuscrypt configuration structure


The MATA framework is significant in that it is able to target multiple platforms: Windows, Linux and macOS. In addition, the actor behind this advanced malware framework utilized it for a type of cybercrime attack that steals customer databases and distributes ransomware. We evaluate that this malware is going to evolve, so we will be monitoring its activity in order to protect our customers.

For more information please contact:

Indicators of compromise

File Hashes (malicious documents, Trojans, emails, decoys)

Windows Loader


Windows MATA

bea49839390e4f1eb3cb38d0fcaf897e    rdata.dat
8910bdaaa6d3d40e9f60523d3a34f914    sdata.dat

Registry path


Linux MATA

859e7e9a11b37d355955f85b9a305fec    mdata.dat
80c0efb9e129f7f9b05a783df6959812    ldata.dat, mdata.dat
d2f94e178c254669fb9656d5513356d2   mdata.dat

Linux log collector

982bf527b9fe16205fea606d1beed7fa    hdata.dat

Open-source Linux SoCat

e883bf5fd22eb6237eb84d80bbcf2ac9    sdata.dat

Script for exploiting Atlassian Confluence Server

a99b7ef095f44cf35453465c64f0c70c    check.vm, r.vm
199b4c116ac14964e9646b2f27595156    r.vm


81f8f0526740b55fe484c42126cd8396    TinkaOTP.dmg
f05437d510287448325bac98a1378de1    SubMenu.nib

C2 address

Category: APT reports
Date: Wed, 22 Jul 2020 10:00:57 +0000
Local date: Wed, 22 Jul 2020 10:00:57 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1000 px
itemImageHeight: 562 px
GReAT thoughts: Awesome IDA Pro plugins
Author: Boris Larin
Link :
Email :
Description: In the second ‘GReAT Ideas. Powered by SAS’ webinar, I’ll be talking about awesome IDA Pro plugins that I regularly use. This article is a sneak peek into what I’ll be discussing.
Full content:

The Global Research & Analysis Team here at Kaspersky has a tradition of meeting up once a month and sharing cutting-edge research, interesting techniques and useful tools. We recently took the unprecedented decision to make our internal meetings public for a few months and present them as a series of talks called ‘GReAT Ideas. Powered by SAS’. In the second edition that takes place on July 22, 2020, I’ll be talking about awesome IDA Pro plugins that I regularly use. This article is a sneak peek into what I’ll be discussing.

Highlighting control-flow transfer instructions

When you are reverse-engineering a binary it’s very important to follow control-flow transfer instructions and especially those instructions that are used to transfer the control flow to other procedures. For x86/64 architectures this is done by the CALL instruction. If you’re an experienced reverse engineer, you can usually get a general idea of what a function does just by taking a quick look at the function assembly (especially true when the function is relatively small). When it comes to understanding what a function does, the first thing you’re most likely to do is check how many CALL instructions it has and what other functions they execute. If a function just performs calculations, stores some values in memory, and you don’t really care about such details, then you can skip this function and continue reverse-engineering. It’s quite different when a function executes other functions; you might want to understand what these functions do first to get the bigger picture.

All development environments for writing code support syntax highlighting because it greatly assists in software coding. However, syntax highlighting can also greatly assist in software reversing. Let’s take a quick look at syntax highlight capabilities provided by IDA Pro and other tools for reverse engineering.

As you can see, Immunity Debugger, x64dbg and radare2 all highlight control-flow transfer instructions, but not IDA Pro. The default IDA Pro theme just looks plain. However, it’s possible to brighten things up a bit if you go to “Options -> Colors…”. In the IDA Colors window you can configure different colors for instruction mnemonics, registers, addresses, constants and variables. It makes IDA Pro output much more pleasant on the eye, but it doesn’t solve the problem completely because all instruction mnemonics will have the same color and if you rely on address highlighting, it’s not going to work with indirect function calls. Why doesn’t IDA Pro have an option to highlight CALL instructions? To this day, this omission bothers me. And it seems it’s not just me because there have been a number of scripts and plugins aimed at the same issue – and – to name just a couple. These scripts use API functions set_color()/set_item_color() to set background color behind an instruction. And while it definitely does the job, the final result is not as good as it could be if it was possible to change the color of some particular instruction mnemonics.

At some point, I decided to check if there was a way to change the color of some particular instructions with a more advanced plugin and dived into IDA Pro SDK header files. I found what I was looking for inside the lines.hpp header file, which reveals the internal format used by IDA Pro to display disassembled text. It turns out that the API functions generate_disassembly() and generate_disasm_line() output disassembled text lines along with special escape sequences that are used to implement syntax highlighting. If you use idc.generate_disasm_line(ea, flags) with IDAPython, then these color escape sequences will be removed from the output, but you can still take a look at raw disassembled text lines if you use ida_lines.generate_disasm_line(ea, flags). The format for color escape sequences is fairly simple and a typical color sequence looks like this: #COLOR_ON #COLOR_xxx text #COLOR_OFF #COLOR_xxx. #COLOR_ON is equal to ‘\x01’ and the #COLOR_xxx value for instruction mnemonic is defined as COLOR_INSN and equal to ‘\x05’. As a result, the disassembly text line for the CALL instruction will always begin with ‘\x01\x05call\x02\x05’. IDA Pro SDK also provides the function hook_to_notification_point() that can be used to install callbacks for different events, and those events include the UI notification ui_gen_idanode_text which can be used to provide custom text for an IDA graph node. So, the plan is as follows: we make a callback for ui_gen_idanode_text notification, check if the disassembled text line at the current address starts with ‘\x01\x05call\x02\x05’, and if so, we replace COLOR_INSN with the ID of some another color. After writing the necessary code and testing it, I was happy to see that my plan worked out pretty well!

I achieved exactly what I wanted, but I still wasn’t completely satisfied. The problem with this approach is that it is only going to work with x86/64, but what about ARM, MIPS, etc.? I needed a CPU-agnostic solution. Thankfully, it was quite easy to implement. Each processor module has a special exported structure (processor_t) called LPH. This structure has an instruc field that is a pointer to an array of processor instructions. Each instruction in this table is represented by an instruction mnemonic and a combination of its features. These features include what operand it modifies (CF_CHGX), which operand it uses (CF_USEX), whether it halts execution (CF_STOP), makes a jump to another location (CF_JUMP) or calls another procedure (CF_CALL). It means that at plugin start we can parse the list of instructions from the loaded processor module, find all the instructions that have the CF_CALL feature and use them later in comparison. You can see the results below.

As long as the processor module fills the instruc table properly, my plugin should work fine. So far, I’ve only encountered problems with PowerPC, because in this particular case all necessary instructions like “bl” and “bctrl” are missing in the instruc table. But it’s still possible to create workarounds for them.

Download link

Identification of known functions

Identification of known functions is a huge reverse engineering problem. The two scenarios below are likely to be familiar to you:

  • You are reverse-engineering a binary without debug symbols that is statically linked with a known library and you want to automatically rename all functions from this library in your IDA Pro database file.
  • You’ve spent some time reverse engineering a binary without debug symbols, but a new version of the binary appears and you want to port all your renamed functions to a new IDA Pro database file.

To address the first issue, Hex-Rays, the company behind IDA Pro, has come up with a technology for storing and applying signatures for library function identification. This technology is called FLIRT. It makes it possible to use a special utility to preprocesses *.obj and *.lib files, produce the file *.pat with the function patterns and other necessary data and then convert it into the signature file *.sig. In the end you get a signature file for a specific library that you can put into the “sig\<arch>” folder inside the IDA Pro directory and apply it to your IDA Pro database from the “View -> Open subviews -> Signatures” window. If the functions in a library match those functions present in your IDA Pro database byte to byte, then they will be recognized and renamed properly.

While the previously described method partially solves the first issue, it doesn’t help at all with the second issue. Officially, FLIRT only provides a way to create signature files for libraries, so it can’t be used to transfer knowledge from one IDA Pro database to another. After many years, this problem was finally addressed in IDA Pro 7.2. This release introduced a new technology called Lumina server. It can be used to push and retrieve metadata about functions (names, comments, etc.) present in a database. However, it doesn’t really help when you want to transfer this info from one database to another without sharing this info with the rest of the world. That’s because currently only a public Lumina server is available. It means the only way to do this is to use plugins. Thankfully, these kinds of plugins have been around for ages. IDA2PAT and IDB2SIG can be used to generate a FLIRT file from an existing IDA Pro database and then apply it to a new database just as if it was a regular signature file for a library. They are fairly easy to use and if a function is not identified in the new database, you can see straightaway that it was changed. The original IDA2PAT and IDB2SIG plugins are not maintained, so you might want to use a fork with IDA Pro 7.* support or modern IDAPython port

As was previously mentioned, the downside of FLIRT technology is that it only works when the signature closely matches the bytes of the function body. This could be a problem when, for example, you only have the source code of a library and when you try to compile it the result doesn’t really match your analyzed binary. In such cases, binary diffing comes in handy. The great feature of BinDiff and Diaphora plugins is that they can not only be used to compare functions between different binaries but also port function names and comments. You might also want to give Karta a try. It’s been developed especially for identifying library functions in a binary directly from the source code. You can read more about how it works in here.

YARA + IDA Pro = ❤

YARA is the Swiss Army knife of pattern matching. It’s probably the most beloved tool of malware researchers – and still massively underrated by everyone else. Pattern matching can be really useful in reverse engineering and YARA is the tool to use. Here are just some of the uses: look for important constants, magic values, GUIDs in your IDA Pro database and print a message, rename an address or leave a comment when a match is found. The key here is to know what you can look for with YARA and how it can improve your workflow. For example, the plugin findcrypt-yara uses YARA to find common cryptographic constants.

Below I demonstrate how you can use YARA within IDA Pro by yourself. Note that you need to install the yara-python package first.

import idaapi, idautils, idc
import yara

# rules can be compiled from a file path or as string 
rules = yara.compile(filepath=file_with_rules)

# iterate all segments present in database
for segment_start in idautils.Segments():

	segment_size = get_segm_end(segment_start) - segment_start

	# read segment data
	data = get_bytes(segment_start, segment_size)

	# scan segment data with rules
	matches = rules.match(data=data)

	# iterate all matched data
	for m in matches:
		for s in m.strings:

			offset = s[0]
			name = s[1]

			# leave a comment with pattern name at matched offset in database
			set_cmt(get_item_head(segment_start+offset), name, 0)

Let me know about your favorite IDA Pro plugins on Twitter and sign up for our upcoming ‘GReAT Ideas. Powered by SAS’ webinar to learn more about some other awesome plugins.

Category: Featured
Date: Tue, 21 Jul 2020 10:00:17 +0000
Local date: Tue, 21 Jul 2020 10:00:17 +0000
Language: en-US
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 808 px
Zoom parcha una vulnerabilidad “de día cero” que afecta a Windows 7
Author: Securelist
Link :
Email :
Description: El popular servicio de videollamadas Zoom ha publicado un parche para proteger a sus usuarios de los riesgos de una vulnerabilidad que acababa de ser descubierta en sus servicios. Sin embargo, puede que sus esfuerzos no sean suficientes para evitar… Leer el artículo completo
Full content:


El popular servicio de videollamadas Zoom ha publicado un parche para proteger a sus usuarios de los riesgos de una vulnerabilidad que acababa de ser descubierta en sus servicios. Sin embargo, puede que sus esfuerzos no sean suficientes para evitar que se use esta vulnerabilidad para atacar a los usuarios de versiones antiguas de Windows que son vulnerables, pero han dejado de recibir el soporte técnico de Microsoft.

No se han compartido especificaciones sobre la amenaza, pero se ha advertido que puede propagarse mediante archivos infectados o enlaces comprometidos sin que el sistema muestre advertencia alguna del peligro.

“Esta vulnerabilidad sólo puede explotarse en Windows 7 y versiones más antiguas de Windows. Es posible que también pueda serlo en Windows Server 2008 R2 y versiones anteriores, aunque aún no hemos hecho las pruebas necesarias”, dijo Mitja Kolsek, co-fundador de 0patch.s

A pesar de que Windows 7 ya se considera una versión anticuada del sistema operativo y ha dejado de recibir soporte técnico de Microsoft, todavía representa una porción muy alta de los usuarios de computadoras. Se calcula que ocupa el segundo lugar en el mercado, con el 27,5% de usuarios aun favoreciendo su uso.

“Lo más seguro es que todos los componentes de seguridad estén actualizados, incluyendo el sistema operativo”, explicó Timothy Chiu, portavoz de la empresa de seguridad K2 Cyber Security. “No es suficiente que sólo la aplicación lo esté”. Pero la situación se complica en las versiones más antiguas, como Windows 7, que ya no recibe parches de Microsoft: “En este caso, es posible que Zoom pueda parchar su código, pero es muy improbable que vaya a recibir apoyo de Microsoft”.

Se descubrió la falla gracias al reporte de un cliente a través de la compañía Acros Security. “Zoom toma muy en serio todos los informes de vulnerabilidades potenciales”, indicó Zoom la semana pasada, cuando reconoció públicamente la vulnerabilidad. A los pocos días, publicó el parche.

“Zoom ha solucionado el problema, que afecta a los usuarios de Windows 7 y versiones anteriores”, indicó. “Los usuarios pueden mantener su seguridad aplicando las actualizaciones o descargando la última versión de Zoom con todas sus actualizaciones de seguridad desde”.

Unpatched Critical Flaw Disclosed in Zoom Software for Windows 7 or Earlier • The Hacker News
Zoom Confirms Zero-Day Security Vulnerability For Windows 7 Users • Forbes
Zoom Patches Zero-Day Vulnerability in Windows 7 • Dark Reading

Category: News
Date: Wed, 15 Jul 2020 12:47:37 +0000
Local date: Wed, 15 Jul 2020 12:47:37 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
Tetrade: el malware bancario brasileño se globaliza
Author: GReAT
Link :
Email :
Description: Este artículo es un análisis profundo para comprender estas cuatro familias de troyanos bancarios: Guildma, Javali, Melcoz y Grandoreiro, y su expansión fuera del país, con los ataques lanzados contra usuarios en América Latina y Europa.
Full content:


Brasil es famoso por los numerosos troyanos bancarios desarrollados por los delincuentes locales. En el submundo delictivo de este país se encuentran algunos de los ciberpiratas más activos y creativos del mundo. Al igual que sus pares en China y en Rusia, sus ciberataques tienen un fuerte sabor local, y por mucho tiempo se limitaron a los clientes de bancos locales. Pero ahora sus ataques y operaciones se expanden agresivamente fuera de sus fronteras, atacando a bancos en otros países. Tetrade es nuestra descripción de cuatro grandes familias de troyanos bancarios, creados, desarrollados y propagados por los piratas brasileños, pero ahora a escala global.

Esta no es su primera vez, pues en 2011 hicieron un tímido intento, con troyanos muy básicos que tenían bajas posibilidades de éxito, pero ahora la situación es completamente distinta. Los troyanos bancarios brasileños han tenido una marcada evolución: adoptaron técnicas para evitar la detección, crearon programas maliciosos muy modulares y con alta ofuscación, con flujos de ejecución muy complejos y llenos de artimañas que dificultaban en extremo su análisis.

Al menos desde el año 2000 los bancos brasileños operan en un ciberambiente muy hostil, lleno de fraudes. A pesar de la temprana adopción de tecnologías para proteger a sus clientes, de la implementación de complementos, tokens, tokens virtuales, la autenticación de dos factores, tarjetas de crédito con CHIP y PIN y de otras formas de proteger a sus millones de clientes, los fraudes siguen campeándose mientras el país carece de una sólida legislación para castigar a los ciberpiratas.

Este artículo es un análisis profundo para comprender estas cuatro familias de troyanos bancarios:  Guildma, Javali, Melcoz y Grandoreiro, y su expansión fuera del país, con los ataques lanzados contra usuarios en América Latina y Europa.

Los piratas brasileños están listos para el abordaje al mundo. ¿Están listos los sistemas financieros y los analistas de seguridad para repeler el ataque?

Guildma: lleno de artimañas

También conocido como Astaroth
Visto por primera vez 2015
Artimañas LOLBin y Flujos de Datos Alternativos NTFS (ADS), vaciado de procesos, cargas útiles alojadas en publicaciones en YouTube y Facebook
Listos para robar datos de víctimas residentes en… Chile, Uruguay, Perú, Ecuador, Colombia, China, Europa. Víctimas confirmadas en Brasil

El programa malicioso Guildma ha estado activo al menos desde 2015, cuando atacó a usuarios de bancos exclusivamente en Brasil. A partir de entonces, se ha actualizado de manera constante con nuevos blancos, nuevas características y capacidad de hacer pasar desapercibida su campaña, y ahora dirige sus ataques hacia otros países en América Latina. El grupo detrás de este ataque ha demostrado poseer sólidos conocimientos del uso de herramientas legítimas para realizar un flujo complejo de ejecución, simulando ocultarse en el sistema y evitando que los sistemas de análisis automatizado detecten sus actividades.

Recientemente se ha detectado una nueva versión circulando en Internet que abusa de los Flujos de Datos Alternativos NTFS (ADS) para almacenar el contenido de las cargas útiles maliciosas descargadas durante la ejecución. Este programa malicioso es altamente modular, con un flujo de ejecución muy complejo. El principal vector que este grupo utiliza es el envío de archivos maliciosos en formato comprimido y adjuntos al mensaje de correo. El tipo de archivo varía de VBS a LNK; en la última campaña adjuntaron un archivo HTML que ejecuta un Javascript para descargar el archivo malicioso;

Este malware se basa en artimañas antidepuración, antivirtualización y antiemulación, además del vaciado de procesos, y las técnicas LOLBin (binarios proporcionados por el sistema operativo) y Flujos de Datos Alternativos NTFS para almacenar las cargas útiles descargadas, que provienen de servicios de hosting en la nube, como CloudFlare’s Workers, Amazon AWS y otros sitios web conocidos, como YouTube y Facebook, para almacenar información del c2.

Desde LNK hasta una puerta trasera bancaria completa

La propagación de Guildma depende en gran medida de envíos masivos de mensajes de correo que contienen el archivo malicioso en formato comprimido y adjuntado al cuerpo del mensaje. El tipo de archivo varía desde archivos Visual Basic Script a LNK. La mayoría de los mensajes phishing simulan ser propuestas de negocios, paquetes enviados por servicios de correo postal o cualquier otro tema corporativo, incluyendo la pandemia de COVID-19, pero siempre con una apariencia corporativa:

Recibo de compra de alcohol en gel: artimaña de Guildma para engañar a sus víctimas

Observamos que a principios de noviembre de 2019 se añadió otra capa a la cadena de infección. En lugar de adjuntar el archivo comprimido directamente al cuerpo del mensaje de correo, los atacantes adjuntaron un archivo HTML que ejecuta un Javascript para descargar el archivo.

Javascript se ejecuta para descargar el archivo comprimido LNK

Para descargar los módulos adicionales, este malware usa la herramienta BITSAdmin, que este grupo ha utilizado por algunos años para evitar la detección, ya que se trata de una herramienta permitida por el sistema operativo Windows. A fines de septiembre de 2019 comenzamos a ver que se propagaba una nueva versión de Guildma mediante una nueva técnica de almacenaje de las cargas útiles descargadas en Flujos de Datos Alternativos NTFS para ocultarse en el sistema.

c:\windows\system32\cmd.exe /c type “c:\users\public\Libraries\radm\koddsuffyi.gif” > “c:\users\public\Libraries\radm\desktop.ini:koddsuffyi.gif” && erase “c:\users\public\Libraries\radm\koddsuffyi.gif”

La carga útil descargada se almacena en desktop.ini’s ADS

El uso de ADS permite que el archivo se oculte en el sistema y no aparezca, por ejemplo, en el explorador de archivos. Para ver los datos alternativos se puede usar el comando “DIR” añadiendo el conmutador “/R” que específicamente muestra los flujos de datos alternativos.

Cargas útiles almacenadas en datos ADS de desktop.ini

Una vez que los módulos adicionales se ocultan, el malware se ejecuta mediante la DLL Search Order Hijacking. Hemos notado que Guildma utiliza diferentes procesos en este paso, para esta versión del malware usa ExtExport.Exe, que está relacionado con Internet Explorer. La biblioteca que se carga es el resultado de una concatenación de dos archivos (64a.dll<random> y <random>64b.dll) que se descargaron previamente, como podemos ver en la imagen de arriba. El archivo resultante se nombrará con diferentes bibliotecas conocidas que ExtExport carga durante su ejecución. Una vez cargado, concatena otros tres archivos y también los carga.

Algunas técnicas anti-depuración y anti-emulación utilizadas por el cargador

Esta etapa verifica si hay herramientas depuradoras, ambiente virtual, IDs de producto de Windows conocidas y normalmente usados por las cajas de arena, nombres de usuario comunes y algunas series específicas de discos que muy probablemente son de algún entorno de análisis identificado por dichas técnicas. Si no detecta nada, el malware procede a descifrar la tercera etapa y la ejecuta usando la técnica de vaciado de procesos, muy común entre los desarrolladores de programas maliciosos. Para esta versión, las cargas útiles se cifran con el mismo algoritmo con base en XOR que se usó en anteriores versiones; sin embargo, en esta última versión cifran dos veces la carga útil, utilizando diferentes llaves.

El contenido del archivo se cifra dos veces usando llaves distintas.

Para ejecutar los módulos adicionales, este malware usa la técnica del vaciado de procesos para ocultar su carga útil maliciosa dentro de procesos autorizados, como svchost.exe. Las cargas útiles se cifran y almacenan en el sistema de archivos y se descifran en la memoria, al ejecutarse.

La carga útil final instalada en el sistema se encarga de monitorear las actividades del usuario: los sitios web que visita y las aplicaciones que usa, y verifica si están en la lista de blancos; si la respuesta es afirmativa, el módulo se ejecuta permitiendo que los ciberpiratas controlen las operaciones bancarias.

Este módulo permite que los ciberpiratas realicen algunas operaciones bancarias muy específicas, como:

  • Tomar el control completo de la navegación de sitios usando un sistema similar a VNC.
  • Activar/desactivar la superposición de pantalla
  • Solicitar token por SMS
  • Validar el código QR
  • Solicitar una contraseña de transacción

En realidad, el atacante puede realizar todas las transacciones de pagos a través del equipo de la víctima, evitando así los sistemas antifraude diseñados para detectar transacciones bancarias desde equipos sospechosos.

Youtube y Facebook para servidores de administración (C2s)

Después de concluir con todos los pasos de carga, el malware se ejecuta en el sistema. Luego, comienza a monitorear el sistema infectado, se comunica con el servidor C2 y, de ser necesario, descarga módulos adicionales. En las últimas versiones, comenzó a almacenar la información del C2 en páginas de YouTube y Facebook, en formato cifrado.

Información del C2 alojada en una página de YouTube

Las nuevas versiones de Guildma descubiertas en 2020 usan un proceso automatizado para generar miles de URLs cada día, por lo general abusando de TLDs genéricas. Nuestros sistemas detectan más de 200 URLs distintas cada día, como:

Algunas URLs de Guildma para descargar el malware

Nuestra telemetría muestra que las detecciones de Guildma se dan por todo el mundo:

Guildma: muy propagado

En el código de este malware también se encuentran los blancos previstos de Guildma: este programa malicioso está diseñado para robar los datos de clientes bancarios residentes en Chile, Uruguay, Perú, Ecuador, Colombia, China, Europa y, por supuesto, Brasil. Sin embargo, este código se descubrió solo en una versión de Guildma y ya no aparece en las versiones más recientes.

Del código de Guildma: país de posibles blancos

Javali: grande y furioso

Visto por primera vez 2017
Artimañas Grandes archivos para evitar la detección, descarga lateral de DLLs, ajustes de configuración alojados en Google Docs
Víctimas confirmadas en Brasil y México

Javali ataca en países de habla española y portuguesa, y está activo desde noviembre de 2017; se concentra especialmente en clientes de instituciones financieras en Brasil y México. Javali es un malware de múltiples etapas y distribuye la carga útil inicial a través de mensajes phishing de correo, a veces como un adjunto y otras como un enlace a un sitio web. Estos mensajes de correo incluyen un archivo MSI (Instalador de Microsoft) con un Visual Basic Script incrustado que descarga la carga útil maliciosa desde un servidor C2 remoto; también utiliza la descarga lateral de DLLs, así como varias capas de ofuscación para ocultar sus actividades maliciosas de analistas y  soluciones de seguridad.

El descargador inicial de Microsoft Installer contiene una acción incrustada que activa un Visual Basic Script. Este script establece conexión con un servidor remoto y descarga la segunda etapa del malware.

Uso de los eventos ‘CustomAction’ de MSI para ejecutar el decargador VBS.

El paquete del archivo ZIP descargado contiene varios archivos y la carga útil maliciosa diseñada para robar los datos financieros de las víctimas. Una vez descomprimido el paquete, es común encontrar una variedad de archivos, incluyendo ejecutables legítimos pero vulnerables a cargas paralelas de DLLs:

Contenido de un Javali típico.Paquete ZIP, incluyendo un archivo DLL de 602 MB…

La DLL legítima utilizada en este caso es de aproximadamente 600 KB, pero aquí tenemos una biblioteca ofuscada de más de 600 MB. Este tamaño del archivo hace que sea más difícil realizar el análisis y la detección. Por otra parte, debido a las limitaciones de tamaño, no permite que se lo suba a multiescáners, como VirusTotal y otros. Una vez que se quitan todas las secciones vacías de la librería, la carga útil final es un binario de 27.5 MB…

Después de desofuscar todo, podemos ver las URLs y el nombre de los bancos a los que apunta el malware:

Javali después de desofuscarse: apunta a clientes de banca en México

GDocs para malware

Una vez que uno de los eventos activadores implementados en su código llama a la biblioteca, ésta realiza la lectura de un archivo de configuración desde un documento de Google compartido. Si no logra comunicarse con esa dirección, utiliza el código implementado en el archivo.

Ajustes de configuración almacenados en un Documento de Google

La configuración original:





Por razones obvias, la información del host aparece ofuscada. Javali usa una biblioteca de terceros llamada IndyProject para comunicarse con el C2. En las campañas más recientes, también comenzaron a usar YouTube como host para la información del C2, tal como lo hace Guildma.

Tras un análisis en profundidad del código de la biblioteca, podemos ver en algunos ejemplos una lista de blancos de este malware. Según la muestra analizada, los sitios web de criptomonedas, como Bittrex, o de soluciones de pago, como Mercado Pago, un minorista muy popular en América Latina, también están en la mira. Para capturar las credenciales de inicio de sesión desde todos los sitios web en la lista, Javali monitorea procesos para encontrar navegadores abiertos o aplicaciones bancarias personalizadas. Entre los navegadores web más monitoreados, se encuentran:  Mozilla Firefox, Google Chrome, Internet Explorer y Microsoft Edge.

La distribución de víctimas se concentra principalmente en Brasil, aunque unos mensajes de correo recientes muestran un interés en México.

Javali: apuntando a Brasil y México

Javali usa binarios que figuran en listas blancas y están firmados, archivos Microsoft Installer, y secuestra  DLLs para perpetrar infecciones masivas, mientras concentra sus esfuerzos en determinados países. Logra hacer esto controlando los medios de distribución y enviando solo mensajes phishing de correo a los TLDs que les interesan, por lo que podemos esperar su propagación principalmente en América Latina.

Melcoz, un operador a nivel mundial

Visto por primera vez 2018 (en todo el mundo), pero activo por años en Brasil
Artimañas Secuestro de DLLs, cargadores Autoit, módulo para robar billeteras Bitcoin
Víctimas confirmadas en Brasil, Chile, México, España, Portugal

Melcoz es una familia de troyanos bancarios desarrollada por un grupo que ha estado activo por muchos años en Brasil, pero que al menos desde 2018 se han expandido a todo el mundo. Sus ataques recientes parecen inspirados en sus pares de Europa del este. Sus nuevas operaciones son muy profesionales, escalables y persistentes, porque crean diferentes versiones del malware y cuentan con una infraestructura significativamente mejorada que permite a grupos de ciberpiratas de varios países operar de forma colectiva.

Venimos detectando ataques de este grupo contra blancos en Chile desde 2018, y más recientemente, en México. Sin embargo, es muy probable que haya víctimas en otros países, ya que algunos de los bancos atacados operan a nivel internacional. Por ahora, los ataques del grupo parecen concentrarse en América Latina. El hecho de que estos grupos hablen diferentes idiomas (portugués y español), nos lleva pensar que los ciberpiratas brasileños trabajan con grupos locales de codificadores y mulas monetarias para retirar el dinero robado, que están gestionados por diferentes operadores y que venden accesos a su infraestructura y a sus creadores de malware. Cada campaña se realiza con su propia ID, que varía según las versiones y C2s usados.

Por lo general, el malware usa scripts Autolt o VBS agregados a archivos MSI, que ejecutan DLLs maliciosas usando la técnica de secuestro de DLLs, con el fin de burlar a las soluciones de seguridad. Este malware roba contraseñas desde los navegadores, desde la memoria, y proporciona acceso remoto para capturar accesos a banca en línea. También incluye un módulo para robar billeteras Bitcoin, que remplaza la información original de la billetera por la de los ciberpiratas.

Otro vástago más de Remote Acess PC

Melcoz es otra variante de la célebre RAT Remote Access PC  de código abierto, disponible en GitHub, así como muchas otras versiones desarrolladas por ciberpiratas brasileños. En un principio atacaba a usuarios en Brasil, pero al menos desde 2018 expandió sus ataques hacia otros países, como Chile y México. El vector de infección que este ataque utiliza es un mensaje phishing de correo que contiene un enlace para descargar un instalador MSI, como este:

Mensaje phishing de correo escrito en español

Casi todas las muestras de MSI que analizamos usaban una versión de Advanced Installer con un script VBS adjunto a la sección CustomAction, que permite que el script se ejecute durante el proceso de instalación. El script funciona como un descargador para los archivos adicionales que se alojan de forma separada como un paquete ZIP que contiene los archivos necesarios para cargar el malware en el sistema. Constamos que se usan dos técnicas diferentes para distribuir la puerta trasera Melcoz: el script cargador de Autolt y el secuestro de DLLs.

El intérprete oficial Autolt3 viene dentro del paquete de instalación de Autolt, y el malware lo utiliza para ejecutar el script compilado. El script VBS ejecuta el intérprete Autoit para que el script compilado pase como un argumento. Una vez que se ejecuta, carga la biblioteca que también pasó como un argumento para llamar a una función exportada codificada.

Script Autolt actuando como cargador para la DLL maliciosa

El otro método utilizado para ejecutar la segunda etapa en el sistema de la víctima es el secuestro de DLLs. Aunque el grupo puede usar varios ejecutables legítimos en sus ataques, en esta campaña vimos el abuso de vmnat.exe, el servicio VMware NAT legítimo ejecutable, para cargar la carga útil maliciosa.

El malware tiene algunas funcionalidades específicas que le permiten al atacante realizar operaciones relacionadas con transacciones bancarias en línea, robo de contraseñas y monitoreo del portapapeles. También encontramos diferentes versiones de la carga útil: la versión para robar los datos de víctimas en Brasil no suele estar empaquetada, mientras que las versiones que apuntan a bancos en Chile y México están empaquetadas con VMProtect o Thermida. Para nosotros, esta es otra advertencia de que los operadores pueden cambiar sus tácticas según sus necesidades locales.

Tras la inicialización, el código monitorea las actividades del navegador en busca de sesiones de banca en línea. Una vez que las encuentra, permite que las funciones de ataque muestren una ventana que se superpone al navegador de la víctima para poder operar la sesión del usuario sin que éste se dé cuenta. De esta forma, la transacción fraudulenta se realiza desde el equipo de la víctima, lo que dificulta aún más su detección por parte de las soluciones antifraude del banco. Los atacantes también pueden solicitar información específica durante la transacción bancaria, como una contraseña secundaria y el token, burlando así las soluciones de autenticación de dos factores que usan los bancos.

El código también cuenta con un temporizador que monitorea el contenido almacenado en el portapapeles, y una vez que activa la coincidencia, el malware verifica si tiene una billetera Bitcoin, y si es así, la remplaza con otra proporcionada por el ciberpirata durante el ataque.

Los atacantes dependen del servidor legítimo infectado y de los servidores comerciales que adquieren. Los servidores infectados suelen alojar las muestras para atacar a las víctimas, mientras que los servidores comerciales alojan las comunicaciones con el servidor C2. Como se mencionó anteriormente, diferentes operadores gestionan diferentes campañas. Esto explica las diferentes infraestructuras de red que hemos detectado hasta ahora.

De acuerdo con nuestra telemetría, se detectaron muestras de Melcoz en otros países de América Latina y Europa, especialmente en España y Portugal.

Detecciones de Melcoz en todo el mundo: enfoque en Brasil, Chile, España y Portugal

El Gran Grandoreiro

Visto por primera vez 2016
Artimañas MaaS, DGA, información del C2 almacenada en Google Sites,
Víctimas confirmadas en Brasil, México, Portugal, España

Al igual que Melcoz y Javali, Grandoreiro comenzó a propagar sus ataques en América Latina y luego en Europa con gran éxito, evadiendo su detección mediante instaladores modulares. De las cuatro familias descritas aquí, Grandoreiro es la más expandida en todo el mundo. Este malware permite a sus operadores realizar operaciones bancarias fraudulentas desde el equipo de la víctima a fin de burlar las medidas de seguridad que usan las instituciones bancarias.

Venimos observado esta campaña desde al menos 2016, y los atacantes han mejorado sus técnicas progresivamente para no llamar la antención y estar activos por más tiempo. Este malware utiliza un Algoritmo de Generación de Dominios (DGA) específico para ocultar la dirección del C2 utilizado en el ataque: este es uno de los puntos principales que ha permitido organizar esta campaña.

Todavía no hemos logrado vincular este malware con ningún grupo de ciberpiratas, aunque está claro que esta campaña utiliza un modelo de negocios MaaS (Malware-as-a-Service); según la información que recopilamos durante el análisis, hay muchos operadores involucrados en el proceso.

Durante el seguimiento de las campañas de ciberpiratas en América Latina, encontramos un interesante ataque muy similar a un conocido malware bancario brasileño, pero con características específicas relacionadas con su vector de infección y el código en sí. Logramos identificar dos agrupamientos de ataques: el primero dirigido contra bancos brasileños, y el segundo contra otros bancos en América latina y Europa. Era de esperar: muchos bancos europeos tienen operaciones y sucursales en América Latina, por lo que es un paso natural para estos ciberpiratas.

El agrupamiento que apunta a Brasil utilizó sitios web hackeados y Google Ads para inducir a los usuarios a descargar el instalador malicioso. La campaña que apunta hacia otros países usa el spear-phishing como método de distribución.

Página fraudulenta induciendo al usuario a descargar la carga útil maliciosa

En la mayoría de los casos, el archivo MSI ejecuta una función desde la DLL incrustada, pero también hay otros casos en los que usan un script VBS en lugar de la DLL.

MSI con una acción para ejecutar una función específica desde la DLL

Esta función descarga un archivo cifrado que contiene la carga útil final utilizada en esta campaña. El archivo está cifrado con un algoritmo personalizado basado en XOR, con la llave 0x0AE2. En las últimas versiones usaron un archivo ZIP cifrado con base64 en lugar del anterior.

El módulo principal se encarga del monitoreo de las actividades en el navegador en busca de cualquier acción relacionada con la banca en línea. Durante el análisis de esta campaña, observamos dos agrupamientos de actividades: el primero se concentra en blancos brasileños, mientras que el segundo lo hace en internacionales.

En base al código, es posible deducir que esta campaña es gestionada por diferentes operadores. La muestra es identificada por una ID de operador que sirve para seleccionar el C2 con la que se conectará el ejemplar.

Código utilizado para generar la URL en base a la ID de operador

Este código genera la ruta a una página de Google Sites que contiene información sobre el C2 que el malware usará. El algoritmo usa una llave específica para el usuario y la fecha en curso: esto significa que la URL cambia cada día.

ID Operador Llave Fecha Ruta generada
01 zemad jkABCDEefghiHIa4567JKLMN3UVWpqrst2Z89PQRSTbuvwxyzXYFG01cdOlmno 16Mar0 zemadhjui3nfz
02 rici jkABCDEefghFG01cdOlmnopqrst2Z89PQRiHIa4567JKLMN3UVWXYSTbuvwxyz 16Mar0 ricigms0rqfu
03 breza 01cdOlmnopqrst2Z89PQRSTbuvwxjkABCDEefghiHIa4567JKLMN3UVWXYFGyz 16Mar0 brezasqvtubok
04 grl2 mDEefghiHIa4567JKLMNnopqrst2Z89PQRSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 grl25ns6rqhk
05 rox2 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 rox2rpfseenk
06 mrb 567JKLMNnopqrst2Z89PQmDEefghiHIa4RSTbuv01cdOlwxjkABC3UVWXYFGyz 16Mar0 mrbrpfseenk
07 ER jkABCDEefghiHIa4567JKLMN3UVWXYFG01cdOlmnopqrst2Z89PQRSTbuvwxyz 16Mar0 erhjui3nf8

Luego, se pone en contacto con la ruta generada para obtener información sobre el C2 que se usará durante la ejecución.

Información del C2 almacenada en Google Sites

Los equipos infectados son controladas por el operador mediante una herramienta personalizada. Esta herramienta notifica al operador cuando la víctima está disponible y permite que el atacante realice varias operaciones en la máquina, como:

  • Solicitar la información necesaria desde la transacción bancaria, como un token por SMS o un código QR.
  • Permite acceso total remoto al equipo
  • Bloquea el acceso al sitio web bancario: esta característica sirve para evitar que la víctima se dé cuenta de que se transfirió dinero desde su cuenta.

DGA y Google Sites

Esta campaña utiliza un host comercial para sus ataques: en muchos casos utiliza un servidor web específico llamado HFS (Http File Server). Es posible notar un pequeño cambio en la página visualizada, donde aparece “Infects” en lugar de “Hits” que se usa en la página predeterminada.

HFS utilizado para alojar las cargas útiles cifradas

Este host es “descartable” se usa una vez y por poco tiempo y luego se cambia de servidor. También vimos que Grandoreiro usa funciones DGA para generar la ruta de conexión a Google Sites, donde se encuentra la información del C2.

Respecto a las víctimas, es posible confirmar, en base al análisis de las muestras, que esta campaña apunta a Brasil, México, España y Portugal. Sin embargo, es muy posible que otros países también sean víctimas, ya que las instituciones atacadas operan en varios países.

Grandoreiro: enfocado en Brasil, Portugal y España.


Guildma, Javali, Melcoz y Grandoreiro son otros grupos de operaciones bancarias brasileños que decidieron propagar sus ataques hacia bancos en otros países. Aprovechan que muchos bancos que operan en Brasil también lo hacen en otros países de América Latina y Europa, lo que facilita la expansión de sus ataques contra los clientes de dichos bancos.

Los ciberpiratas brasileños son rápidos para crear ecosistemas de afiliados, reclutan a colegas suyos de otros países para trabajar en conjunto, adoptan Maas (Malware-as-a-Service) y agregan técnicas a sus programas maliciosos para que sean atractivos para sus colegas. Son líderes en la creación de amenazas bancarias en América Latina, sobre todo porque necesitan socios locales que se encarguen del dinero robado y los ayuden con las traducciones (muchos de ellos no hablan español). Esta profesionalización de sus operaciones está inspirada en DeuS, SpyEye y otros famosos troyanos bancarios antiguos.

Estas familias de troyanos bancarios tratan de innovar adoptando el uso de DGA, cargas útiles cifradas, vaciado de procesos, secuestro de DLLs, muchos LoLBins, infecciones tipo fileless y otras artimañas para dificultar el análisis y detección de seguridad. Creemos que estas amenazas seguirán evolucionando y atacarán a más bancos en más países. Sabemos que no son los únicos que lo hacen: otras familias del mismo origen entraron al ruedo, quizás inspiradas por el éxito de sus “competidores”. Entre los creadores brasileños de malware, parece ser una tendencia que ha llegado para quedarse.

Sugerimos a las instituciones bancarias que observen de cerca estas amenazas, que mejoren sus procesos de autenticación, que mejoren sus tecnologías anti-fraude y su inteligencia de amenazas, para comprenderlas y mitigarlas. Todos los detalles, IoCs, reglas Yara y hashes de estas amenazas están disponibles para los clientes de nuestros servicios de Financial Threat Intel.






Category: Descripciones de malware
Date: Tue, 14 Jul 2020 10:00:16 +0000
Local date: Tue, 14 Jul 2020 10:00:16 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1200 px
itemImageHeight: 900 px
Citrix lanza parches para 11 vulnerabilidades en diferentes productos
Author: Securelist
Link :
Email :
Description: Citrix ha parchado 11 vulnerabilidades que afectaban varios de sus productos. La compañía aseguró que este paquete de parches resuelve por completo todos los problemas de seguridad que se conocen, por lo que recomienda a sus usuarios que lo instalen… Leer el artículo completo
Full content:


Citrix ha parchado 11 vulnerabilidades que afectaban varios de sus productos. La compañía aseguró que este paquete de parches resuelve por completo todos los problemas de seguridad que se conocen, por lo que recomienda a sus usuarios que lo instalen cuanto antes.

La compañía asegura que no ha encontrado casos en los que se estén explotando estas vulnerabilidades en el mundo real. Además, aclaró que 5 de las 11 vulnerabilidades tienen barreras adicionales para su explotación.

Los productos afectados incluyen el Controlador de Distribución de Aplicaciones de Citrix (ADC), Citrix Gateway y Citrix SD-WAN WANOP. “El paquete incluye parches para una falla de inyección de código, tres fallas de divulgación de información, tres vulnerabilidades de elevación de privilegios, dos vulnerabilidades cross-site scripting, una falla de negación de servicio y una de evasión de autorizaciones”, explicó la compañía.

Citrix no ha hecho públicos los detalles técnicos de las vulnerabilidades para evitar que los cibercriminales la utilicen a su favor, pero indicó que la explotación de estas fallas podría comprometer la seguridad de un usuario autentificado mediante la administración de la interfaz de los productos o mediante Cross-site scripting (XSS) de la interfaz de administración.

Un criminal también podría crear un link de descarga para un dispositivo vulnerable y comprometerlo al permitir que un usuario que no ha sido autentificado administre la red. O podría usar IPs virtuales (VIPs) para escanear los portales de la red interna o lanzar ataques de negación de servicio contra el portal de entrada.

Citrix aclaró que las vulnerabilidades parchadas no están relacionadas con CVE-2019-19781, la vulnerabilidad de ejecución remota de códigos que parchó en 2020: y que ninguna de ellas es tan grave ni fácil de explotar como la infame “Shitrix”, que hizo estragos el diciembre pasado. Asimismo, aseguró que las fallas solucionadas no afectan a las versiones en la nube de sus productos.

Citrix Issues Critical Patches for 11 New Flaws Affecting Multiple Products • The Hacker News
Citrix limits technical info on vulnerabilities and patches after exploits • IT News
Citrix tells everyone not to worry too much over its latest security patches. NSA’s former top hacker disagrees • The Register

Category: News
Date: Mon, 13 Jul 2020 08:33:47 +0000
Local date: Mon, 13 Jul 2020 08:33:47 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: px
itemImageHeight: px
Aquí hay gato encerrado: Programas publicitarios en teléfonos inteligentes
Author: Igor Golovin
Link :
Email :
Description: Nuestro servicio de asistencia técnica recibe cada vez más cartas de usuarios que se quejan de anuncios molestos, y de origen desconocido, en sus teléfonos inteligentes.
Full content:

Nuestro servicio de asistencia técnica recibe cada vez más cartas de usuarios que se quejan de anuncios molestos, y de origen desconocido, en sus teléfonos inteligentes. En algunos casos, es bastante fácil resolver el problema. En otros, la tarea de eliminar los anuncios es mucho más difícil: si el programa publicitario se ha instalado en la partición del sistema, los intentos de deshacerse de él pueden provocar fallas en el dispositivo. Además, los anuncios pueden venir incrustados en bibliotecas y aplicaciones de sistema a nivel de código que no se pueden eliminar. Según nuestros datos, cada año, el 14,8% de todos los usuarios atacados por malware o adware lidian con la infección de la partición del sistema.

Pero ¿por qué sucede así? Vemos que existen dos estrategias principales para introducir publicidad no eliminable en un dispositivo:

  • El software malicioso obtiene derechos de root en el dispositivo e instala aplicaciones publicitarias en las particiones del sistema.
  • El código responsable de mostrar anuncios (o su descargador) está contenido en el firmware del dispositivo, incluso antes de llegar a manos del consumidor.

El modelo de seguridad del sistema operativo Android supone que el antivirus es una aplicación normal y, por lo tanto, en el marco de este concepto, físicamente no puede hacer nada contra el adware o malware instalado en los directorios del sistema. Esto se convierte en un problema, incluso cuando se trata de programas publicitarios. Los delincuentes detrás de ellos no dudan en anunciar (en realidad, obligan a instalar) casi todo por lo que reciben un pago. Como resultado, cualquier aplicación maliciosa puede terminar en el dispositivo del usuario, por ejemplo  CookieStealer.

Como regla general, la proporción de usuarios que se las ha tenido que ver con el adware es del 1 al 5% del número total de usuarios de nuestras soluciones de seguridad (para una marca en particular). Sobre todo, se trata de propietarios de teléfonos inteligentes y tabletas de ciertas marcas de la gama más baja. Sin embargo, para algunas marcas populares que ofrecen dispositivos de bajo costo, esta cifra puede alcanzar hasta el 27%.

Porcentaje de usuarios que encontraron malware o adware en las particiones del sistema, del total de usuarios de productos de Kaspersky Lab en el país, mayo de 2019 – mayo de 2020

¿Quién es?

Entre los ejemplos más comunes de malware que se instala en la partición del sistema del teléfono inteligente, se encuentran los troyanos Lezok y Triada. El segundo es notable porque el código publicitario se incrusta nada menos que en libandroid_runtime, una biblioteca clave, utilizada por casi todas las aplicaciones del dispositivo. A pesar de que estas amenazas se identificaron hace varios años, los usuarios continúan enfrentándolas.

Pero Lezok y Triada son solo la punta del iceberg. A continuación, contaremos con qué otras cosas se enfrentan los usuarios hoy en día y en qué aplicaciones del sistema hemos encontrado códigos “adicionales”.

Este troyano enmarañado suele esconderse en la aplicación responsable de la interfaz gráfica del sistema, o en la utilidad de configuración, sin la cual el teléfono inteligente no funciona. Este malware descarga una carga útil desde sus sitos web, la que a su vez puede descargar y ejecutar archivos arbitrarios en el dispositivo.

Funciones presentes en la carga útil de

Una observación interesante: en algunos casos, la carga útil no está presente y el troyano no puede completar su tarea.


El troyano Sivu es un dropper que se camufla como la aplicación HTMLViewer. Consta de dos módulos y puede usar derechos de root en el dispositivo. El primer módulo del dropper tiene la función de mostrar anuncios superpuestos a otras ventanas, como también en las notificaciones.

El troyano comprueba si es posible mostrar anuncios superpuestos a la aplicación que está en primer plano.

El segundo módulo es una puerta trasera de control remoto del teléfono inteligente. Entre sus capacidades están: instalar, desinstalar y ejecutar aplicaciones, que pueden usarse para la instalación oculta de aplicaciones tanto legítimas como maliciosas, dependiendo de los objetivos que persiga su propietario.

Descargar, instalar y ejecutar aplicaciones


Esta aplicación publicitaria simula ser un servicio del sistema y se hace llamar Android Services ( Sin el conocimiento del usuario, puede descargar e instalar aplicaciones, así como mostrar anuncios en las notificaciones.

Instalación silenciosa de aplicaciones después de apagar la pantalla

Además, Plague.f puede mostrar anuncios en SYSTEM_ALERT_WINDOW, una ventana emergente que se superpone a las demás aplicaciones.


Agent.pac puede hacerse pasar por una aplicación CIT TEST diseñada para verificar el correcto funcionamiento de los componentes del dispositivo. Permite iniciar aplicaciones con un comando recibido de su servidor de administración, abrir URLs (también recibidas del servidor de comandos), descargar y ejecutar archivos DEX arbitrarios, instalar y eliminar aplicaciones, mostrar notificaciones, iniciar servicios.

Ejecución del archivo DEX descargado


Este troyano dropper se esconde en una aplicación llamada STS, cuya única función es mostrar anuncios. El código de descarga está enmarañado. Puede mostrar Toast Window; en este contexto, es un análogo de SYSTEM_ALERT_WINDOW, una ventana que se superpone a las demás aplicaciones.

También puede descargar y ejecutar códigos.

ToastWindow y la ejecución de códigos de terceros


A diferencia de los troyanos anteriores, Necro.d es una biblioteca nativa ubicada en el directorio del sistema. Su lanzamiento está integrado en otra biblioteca del sistema:, que es responsable del funcionamiento de los servicios de Android.

Lanzamiento del troyano

Por orden del servidor de administración, Necro.d puede descargar, instalar, desinstalar y ejecutar aplicaciones. Además, los desarrolladores decidieron mantener una puerta trasera para ejecutar comandos de shell arbitrarios.

Ejecución de los comandos recibidos

Además, Necro.d puede descargar el paquete de privilegios de súperusuario kingroot, aparentemente, para que el sistema de seguridad del sistema operativo no estorbe al entregar contenido “extremadamente necesario” al usuario.

Descarga de Kingroot


Hemos encontrado al malware Facmod.a hasta en aplicaciones esenciales para el funcionamiento normal del teléfono inteligente: Configuración, Modo de fábrica, SystemUI. Hemos encontrado dispositivos en los que dos módulos maliciosos estaban integrados a la vez en SystemUI.

Descifrado de la dirección del servidor de administración

El primero,, puede recibir del servidor ufz.doesxyz [.]com una dirección de descarga del código arbitrario llamado DynamicPack, para luego descargarlo y ejecutarlo:

Descarga y ejecución de códigos de terceros

El segundo módulo,, inyecta la carga útil del archivo cifrado en los recursos de la aplicación. La carga útil resuelve las tareas habituales de este tipo de amenazas para instalar y ejecutar aplicaciones:

Instalación silenciosa de aplicaciones

Además, Facmod.a tiene funciones para iniciar periódicamente el navegador y abrir la página de publicidad.


El troyano Guerrilla.i suele encontrarse en la aplicación del sistema Launcher, que es responsable del funcionamiento del “escritorio” del teléfono inteligente. Las tareas del troyano son mostrar periódicamente anuncios y abrir páginas publicitarias en el navegador. Guerrilla.i recibe el archivo de configuración después de conectarse a la dirección htapi.getapiv8[.]com/api.php?rq=plug. El mismo archivo también puede contener una dirección para descargar un módulo adicional que amplía la funcionalidad.

Trojan-Dropper.AndroidOS.Guerrilla.i, publicación de anuncios ocasionales


Este dropper puede estar escondido en la aplicación Theme (com.nbc.willcloud.themestore). Las características de Virtualinst.c no son originales: descarga, instalación y ejecución de aplicaciones sin el conocimiento del usuario.

Trojan-Dropper.AndroidOS.Virtualinst.c, instalación de la aplicación


Otro adware que descubrimos venía incrustado en el catálogo de fondos de escritorio. La carga útil de Secretad.c está contenida en el archivo kgallery.c1ass. Se desempaqueta y se lanza, por ejemplo, cuando se enciende la pantalla o se instalan aplicaciones:

Desempaque de la carga útil

Secretad.c puede mostrar anuncios en modo de pantalla completa, abrir la página deseada en un navegador o lanzar la aplicación anunciada. Como muchos otros programas de adware, Secretad.c puede instalar aplicaciones sin que el usuario se dé cuenta.

Instalación oculta de aplicaciones.

Además, la aplicación tiene otro módulo publicitario:

Su carga útil está cifrada en el archivo assets/1498203975110.dat. Como resultado de su trabajo, por ejemplo, la página de la aplicación anunciada en Google Play puede abrirse inesperadamente, y algunas de las aplicaciones instaladas pueden iniciarse o el navegador abrirse.

Publicidad del fabricante

Hay teléfonos inteligentes con módulos publicitarios preinstalados por los propios desarrolladores. Algunos fabricantes dicen honestamente que incorporan publicidad en la interfaz de sus teléfonos inteligentes y, al mismo tiempo, dejan la posibilidad de  deshabilitar su visualización, mientras que otros, por el contrario, no la dan y llaman a este enfoque “modelo de negocio” que permite reducir el costo del dispositivo para el usuario final.

A su vez, el usuario no suele tener otra opción: o compra el dispositivo por el precio completo, o un poco más barato, pero con publicidad de por vida. Además, en ninguna tienda de electrónica vimos una advertencia notable y comprensible de que después de comprar un teléfono, el usuario se verá obligado a mirar anuncios. En otras palabras, los compradores pueden no sospechar que están comprando una valla publicitaria con su propio dinero.


Meizu no oculta que muestra publicidad en sus aplicaciones. Es bastante discreta, e incluso se la puede desactivar en la configuración. Sin embargo, en la aplicación AppStore preinstalada, hemos descubierto “publicidad oculta” que puede cargarse silenciosamente y aparecer en ventanas invisibles (generalmente este enfoque se usa para aumentar la estadística de supuestas “visualizaciones”), y que consume tráfico y energía de la batería:

Carga invisible de anuncios

Pero aún hay más. Una aplicación puede descargar código JavaScript de terceros y ejecutarlo:

Descarga y ejecución de código JS

Además, la tienda de aplicaciones AppStore preinstalada puede desactivar el sonido, acceder a SMS, copiar su contenido y pegarlo en las páginas descargadas.


Lectura de SMS y uso de sus contenidos en una página web

Este enfoque suele emplearse en aplicaciones francamente maliciosas que sirven para formalizar suscripciones pagas sin el conocimiento del usuario. Solo nos queda creer en la decencia de las organizaciones que administran el módulo de publicidad y esperar que terceros no tengan acceso a él.

Pero la AppStore no es la única aplicación sospechosa en los dispositivos Meizu. Descubrimos que Meizu Music ( contiene un archivo ejecutable cifrado que se usa para descargar y ejecutar algunos SDK de Ginkgo:

Descarga de Ginkgo SDK

Uno solo puede adivinar qué funciones cumple este SDK: los dispositivos Meizu no siempre lo descargan y no pudimos obtener la versión actual. Sin embargo, las versiones del SDK de Ginkgo que nos llegaron de otras fuentes muestran anuncios e instalan aplicaciones sin el conocimiento del usuario.

La aplicación com.vlife.mxlock.wallpaper también contiene un archivo ejecutable cifrado y, en última instancia, tiene las funciones estándar para los módulos publicitarios grises, entre ellos la posibilidad de instalación oculta de aplicaciones.

Instalación oculta de aplicaciones.

Informamos a Meizu sobre los hallazgos anteriores, pero no recibimos una respuesta.


Además de archivos dudosos en dispositivos de cierto proveedor encontramos un problema que atañe a un enorme número de smartphones. En la memoria de muchos de ellos se encuentra el archivo file/bin/fotabinder, que puede descargar archivos a los dispositivos de los usuarios y ejecutar códigos recibidos de uno de los servidores remotos: adsunflower [.] com, adfuture [.] Cn o mayitek [.] com.

Lo más probable es que este archivo sea parte de un sistema de actualización o prueba, pero nos ponen en guardia las direcciones y funciones cifradas de servidor de administración que pueden proporcionar acceso remoto al dispositivo.

Pero ¿qué significa todo esto?

Los ejemplos que hemos examinado demuestran que el enfoque de algunos proveedores de dispositivos móviles puede desplazarse hacia la maximización de las ganancias gracias a todo tipo de herramientas publicitarias. Incluso si estas herramientas causan algunos inconvenientes al propietario del dispositivo. Si las redes publicitarias están listas para pagar dinero por vistas, clics e instalaciones, sin importar su fuente, vale la pena introducir bloques de anuncios en los dispositivos de manera forzada; esto aumentará las ganancias por cada dispositivo vendido.

Desafortunadamente, si un usuario compra un dispositivo con un “anuncio” preinstalado, a menudo es imposible eliminarlo sin riesgo de dañar el sistema. En estos casos, sólo queda esperar que los entusiastas creen un firmware alternativo para estos dispositivos. Pero hay que comprender que cambiar el firmware puede provocar la pérdida de la garantía e incluso dañar el dispositivo.

En el caso de aquellos módulos publicitarios que aún no han hecho nada dañino, al usuario solo le queda esperar que los desarrolladores, sin darse cuenta, no agreguen anuncios de ninguna red de afiliación maliciosa.







Category: Destacados
Date: Mon, 06 Jul 2020 10:00:18 +0000
Local date: Mon, 06 Jul 2020 10:00:18 +0000
Language: es-ES
Encoding: UTF-8
Feed type: RSS
itemImageWidth: 1174 px
itemImageHeight: 734 px