1. Actores vinculados a la República Popular China comprometen routers y dispositivos IoT para operaciones de botnets

2. Un ataque contra los buscas y walkies-talkies utilizados por Hezbolá causó 9 muertos y miles de heridos

3. Ataque a usuarios de GitHub, que copia automáticamente al portapapeles un comando powershell que ejecutas tú mismo y con el que se descarga el malware

4. Análisis Técnico de AZORult Malware

Actores vinculados a la República Popular China Comprometen routers y dispositivos IoT para operaciones de botnets

El FBI ha desmontado una botnet IoT “Raptor train”, patrocinada por el gobierno chino y activa desde 2020, que contaba en su base de datos con 1.2 millones de dispositivos (routers, NAS, cámaras…) activos o atacados en algún momento. 2000 de ellos en España y la mayoría en EEUU y Taiwán donde atacaban entidades gubernamentales, educacionales, defensa, telecomunicaciones, sectores IT... Aprovechaban para ello más de 20 vulnerabilidades en dispositivos, algunas conocidas y otras no.

No contaba con un mecanismo de persistencia en los dispositivos, por lo que la media eran 17 días de infección y su rotación muy alta. Los dominios de tercer nivel w8510[.]com eran usados en una de las campañas para alojar los Command and control. Parte del código estaba inspirado en la clásica botnet IoT, mirai.

El FBI obtuvo orden judicial para introducirse en los servidores. Los atacantes reaccionaron atacando con una DDoS al FBI pero finalmente, descubiertos y con sus sistemas comprometidos, los atacantes abandonaron la operación.

Enlace

Un ataque contra los buscas y walkies-talkies utilizados por Hezbolá causó 9 muertos y miles de heridos

Al menos nueve personas, entre ellas un niño, murieron y más de 2.800 resultaron heridas por la explosión de sus localizadores en todo Líbano. Un responsable de Hezbolá declaró a Reuters que este incidente es la “mayor brecha de seguridad” en casi un año de conflicto con Israel. Las detonaciones se produjeron simultáneamente en todo el país, y los expertos han propuesto varias hipótesis sobre el ataque.

Los autores de la amenaza atacaron los buscapersonas porque son utilizados por los combatientes de Hezbolá para comunicarse, en un intento de evitar ser rastreados y localizados por la inteligencia israelí.

Enlace

Ataque a usuarios de GitHub, que copia automáticamente al portapapeles un comando powershell que ejecutas tú mismo y con el que se descarga el malware

Una ingeniosa campaña de amenazas está abusando de los repositorios de GitHub para distribuir el malware Lumma Stealer de robo de contraseñas dirigido a usuarios que frecuentan un repositorio de proyectos de código abierto o están suscritos a notificaciones por correo electrónico del mismo.

Para que el señuelo resulte más convincente, el mensaje procede de una dirección de correo electrónico legítima de GitHub, [email protected], y está firmado como “Saludos cordiales, equipo de seguridad de Github” en el cuerpo del mensaje. Alerta de una falsa vulnerabilidad de seguridad.

El enlace del email lleva a un dominio similar al de GitHub (pero fake) con un captcha, que al verificar que eres humano copia un código malicioso en JavaScript en segundo plano un código en su portapapeles. Una pantalla posterior pide al usuario que ejecute el comando Ejecutar de Windows (pulsando la combinación de teclas Windows+R) y pegando (Ctrl+V) el contenido en el prompt de la utilidad «Ejecutar».

 Enlace 

Análisis Técnico de AZORult Malware

AZORult es un sofisticado ladrón de credenciales e información de tarjetas de crédito que también puede actuar como descargador de varias familias de malware. En particular, la versión 2 introdujo soporte para dominios .bit, mejorando sus capacidades.

AZORult ha sido observado operando junto a Chthonic y ha sido desplegado por Ramnit. Originalmente desarrollado en Delphi, el malware fue portado a C++ en 2019, lo que muestra su evolución y aumento de complejidad.

Análisis en Sandbox | Indicadores de Compromiso | Análisis Completo