xHuntr3ss

A esto me refiero cuando le digo a mis cercanos que no crean ciegamente en todo lo que dice la IA 💀

⚠️🇨🇱 Nueva campaña dirigida a Chile conduce a la instalación de software de acceso remoto legítimo y firmado como LogMeIn y Atera. A pesar del uso recurrente en actividades maliciosas, ni Defender ni muchas otras herramientas de seguridad las clasifican como amenazas 😐 Las descargas se realizan desde un open S3 bucket en: https://subenvio.t3[.]storage[.]dev/. Hasta el momento, van 719 accesos desde 589 organizaciones/correos distintos. [+] raw.githubusercontent.com/CronUp/EnAnali…. El email configurado en el agente Atera nos da pistas sobre el origen de esta operación (🇧🇷) H/T @Huntr3ssX

1/ 🚨🇨🇱 Alerta por comportamiento anómalo en el registro de dominios .CL . H/T @Cronup_CyberSec 👁️ Se trata de una serie de dominios sospechosos compuestos de 5 letras aleatorias, registrados con poca diferencia de tiempo, utilizando el mismo agente registrador y la misma configuración DNS. En 3 días registraron más de 100 dominios, los cuales (dependiendo del visitante/dispositivo), redirigen a la descarga de una App maliciosa disponible para Android e iOS. Ambas piden desactivar la seguridad para instalar ⚠️ Todo indica que corresponde a una campaña a nivel mundial, de origen chino 🇨🇳 y asociada a sitios pornográficos. [+] Sample (Android): virustotal.com/gui/file/9d621…

🚩 Interesante campaña de #phishing de credenciales corporativas vista en Chile 🇨🇱 llega a través de solicitudes de reunión con documento HTM adjunto. Asunto: "Thank You for Renewing Your Microsoft Office365 Subscription" (puede cambiar). ¿Cómo funciona? 1.- Los atacantes envían una invitación de reunión (calendar invite) utilizando Outlook, Google Calendar u otro sistema compatible con iCalendar (.ics). 2.- La invitación contiene un adjunto o link malicioso. 3.- En algunos casos (dependiendo de la configuración), el evento se agrega automáticamente al calendario de la víctima. 4.- Como se trata de una notificación legítima del sistema de calendario, muchas veces no pasa por los filtros antispam habituales (aka bypass). Dominios de origen de las invitaciones de reunión: aceh4dlast[.]boats acehsport[.]wiki gezenkalem[.]com tutorialshock[.]com atlantafurnituremart[.]com sabellaphoto[.]com aceh4dterbaik[.]life aceh4dmxwin[.]world aceh4dreal[.]pro acehbolaskill[.]cfd acehbolasolusi[.]cyou tus4djackpot[.]com aceh4dplay[.]world aceh4dice[.]live acehsportlive[.]art acehbolaplays[.]space apartement[.]id aceh4dskill[.]cloud acehbola[.]shop acehbolaind[.]click acehbolaupslot[.]xyz bacan4dbegadang[.]pics aceh4dpilihan[.]xyz acehbolaeuro[.]site aceh4dplace[.]cyou aceh4dgreen[.]xyz mediterraneanbeaches[.]com aceh4dseru[.]top terminalbetresmi[.]com pocari-4d[.]com magicalfourseasons[.]com asayamind[.]com environmentalistonline[.]com couponornot[.]com imagebarn[.]com cerrajerosvalencia24horaslow[.]com conchobar[.]com aceh4dofficial[.]com camchatscript[.]com aceh4dhappy[.]cfd homegrownhandmade[.]com

Sitio posiblemente creado para suplantar al SII. Como se viene todo el tema de la declaración de renta no sería de extrañar la creación de este tipo de sitios. @1ZRR4H

🤔 @1ZRR4H

🛜🍍? 👀

🚨 PVI: gracias a @Huntr3ssX y @V3n0mStrike ahora sabemos que esta campaña también apunta a clientes de LATAM Airlines y Movistar 🇨🇱 "Tus puntos están por caducar". Algunos dominios utilizados: - latamalirines[.]sbs - movistai[.]top - movistarr[.]vip + Panel de Admin 🇨🇳

🫨

🔴 Y llegó el día... ponen en venta la supuesta información robada al Banco/Grupo Santander. Según el actor de amenaza, los registros incluyen (entre muchos otros): ▪ 30 millones de datos de clientes. ▪ 64 millones de datos de cuentas y saldos. ▪ 28 millones de tarjetas de crédito. (‼️) ▪ Listas de empleados de RRHH. Valor: 30 BTC ($2 million USD). * En la muestra de los archivos también hay uno que se llama "mail_pw.csv" 🤔

🚨 La página de Facebook del Club de Fútbol Universidad de Chile (@udechile) fue comprometida para distribuir una campaña de #phishing que busca secuestrar cuentas a través de la opción "Facebook para dispositivos" (developers.facebook.com/docs/facebook-…), interesante método 🧐 Al parecer, es una campaña de origen brasileño. Algunos dominios involucrados: - agency-social.pages.mus[.]br/supportusersercurity - supportmetaagency.everythingbench[.]com/ - socail.pages.mus[.]br/agencymetasupportuser - dongkhung.abqbilliards[.]com/ Sin embargo, hay muchos más si buscamos por el dominio principal pages.mus[.]br (el kit es multilenguaje) > #pages.mus.br" target="_blank" rel="nofollow noopener">urlscan.io/search/#pages.… 🎣

1/ 🚨 Alerta para LatAm: Ciberataque golpea (nuevamente) la seguridad nacional del Perú 🇵🇪 🆕 #INCRansomware publicó al Ejército del Perú con 500 GB exfiltrados, en paralelo, el grupo #RansomEXX anunció al Ministerio de Defensa en su sitio en la Dark Web 757.5 GB exfiltrados.

🚨 En las últimas 48 horas, se han publicado 46 nuevas víctimas de #ransomware en los sitios de filtración de datos (DLS) monitoreados por CronUp 🚨 Acceso directo al panorama, noticias y alertas del momento aquí: cronup.com/feed-de-notici…

🚨 En las últimas 72 horas, se han publicado 45 nuevas víctimas de #ransomware en los sitios de filtración de datos (DLS) monitoreados por CronUp 🚨 Acceso directo al panorama, noticias y alertas del momento aquí: cronup.com/feed-de-notici…

🚨 En las últimas 72 horas, se han publicado 18 nuevas víctimas de #ransomware en los sitios de filtración de datos (DLS) monitoreados por CronUp 🚨 Acceso directo al panorama, noticias y alertas del momento aquí: cronup.com/feed-de-notici…

Ojo con esto 🚨

🇨🇱 Nuevo dominio .cl registrado: - mesadeayuda-interior-gob[.]cl Perdón, pero dejamos por acá para consciencia de equipos de seguridad ofensivos y defensivos ;) 🥷 @Huntr3ssX

@1ZRR4H @Cronup_CyberSec El Titular del dominio es muy 🤨 👀

🧐 + #dataleaks

🚨 En las últimas 72 horas, se han publicado 21 nuevas víctimas de #ransomware en los sitios de filtración de datos (DLS) monitoreados por CronUp 🚨 Acceso directo al panorama, noticias y alertas del momento aquí: cronup.com/feed-de-notici…