Free Joomla Template by Discount Justhost
  • Tendrá 7 minutos para tomar la decisión de borrarlos; es posible hacerlo en un chat individual o grupal.
  • Correo falso de AFIP infecta usuarios argentinos
  • Ccleaner fue hackeado durante el mes de agosto y se subieron a Internet versiones comprometidas.
  • Computadoras de la compañía fueron infectadas con un ransomware, que es un virus que bloquea archivos vitales y pide un rescate para liberarlos.
  • Se trata de un ingenioso acto de phishing que utiliza el servicio para obtener el correo y la lista de contactos de la cuenta.
  • Un Tesla Model X predijo un siniestro vial: notificó la irregularidad a través de un pitido y frenó para evitar el impacto.
  • La primera producción fue donada al Walter Reed National Military Medical Center.
  • Los paneles cubren un total de 2.800 metros cuadrados, sobre los que se trasladan unos dos mil vehículos diarios.
  • La aplicación Braileo ayuda a profesores que no leen braille y tienen estudiantes que usan ese sistema; la crearon cinco estudiantes de la UTN.
  • El dispositivo se alimenta de energía creada por el propio cuerpo. Será más barato y seguro que los convencionales

Correo falso de AFIP infecta usuarios argentinos

Publicado el Sábado, 23 Septiembre 2017

El pasado 12 de septiembre FireEye publicó información sobre un exploit 0-Day que utiliza la vulnerabilidad en .NET Framework identificada como CVE-2017-8759. SI bien esta vulnerabilidad ya dispone de la respectiva actualización de seguridad lanzada el martes pasado por Microsoft, según mencionan en el blog de FireEye, este exploit fue utilizado para distribuir el malware FINSPY en Rusia.

Ahora, está siendo utilizado para infectar a través de correo electrónico a usuarios de AFIP, la Administración Federal de Ingresos Públicos de Argentina y se está utilizando para distribuir el malware Betabot.

El correo electrónico y el archivo adjunto

El correo electrónico falso dice provenir de la AFIP [ Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla. ] pero en realidad es enviado desde un servidor vulnerado con una dirección IP asignada a Gualberto L. (vtcc[.]com[.]ar - 186.121.171.235), un proveedor de servicios de Internet (ISP) con sede en Argentina.

El mensaje describe un manual que viene anexo en el correo. El archivo adjunto es un archivo ZIP, y ese archivo contiene un archivo RTF (Rich Text Format) con .DOC como extensión de archivo. Fiel a su palabra, el archivo RTF efectivamente contiene un anexo al documento oficial de AFIP que cubre el tema pero también contiene un exploit para CVE-2017-8759 y simplemente abrir el archivo con Microsoft Word el equipo (si es vulnerable) se infectará.

Al abrir el documento RTF se crear, mediante Powershell, un archivo ejecutable que corresponde al malware Neurevt.A/Betabot. El malware se aloja en C:\ProgramData\SystemMicrosoftDefender2.1\[random characters].exe y queda persistente a través de la modificación del registro de Windows.
Luego de la infección se realizan peticiones HTTP a varios servidores en EE.UU., Sudáfrica y Vietnam sobre el puerto TCP 8007 (classupdate[.]punkdns[.]top:8007).

Conclusión: no descargar el correo, no abrir el ZIP, no abrir el DOC... Actualizar .NET inmediatamente.

Fuente: blog.segu-info.com.ar

1 1 1 1 1 1 1 1 1 1 Rating 4.00 (1 Vote)
Visitas: 1366