Quick Report: Portal do Governo do Distrito Federal comprometido

Em busca de novos incidentes maliciosos usando servers dos governo e afins, encontramos um subdomínio do portal "Governo do Distrito Federal" comprometido e sendo utilizado para diversas campanhas de ads e malware. Basicamente identificamos esse tipo de incidente usando algumas google dorks que normalmente tem uma boa probabilidade de identificarmos sites infectados apenas para desfigurar … Continue lendo Quick Report: Portal do Governo do Distrito Federal comprometido

Anúncios

Quick Report: Botnet rodando em webserver da UFF

Recentemente em nossas buscas por atividades cybercriminosas no Brasil, descobrimos um client de uma botnet em perl rodando em um webserver da Universidade Federal Fluminense(UFF). Uma botnet bem simples em perl com algumas funcionalidades como: ddos, scanning, vnc scanner e afins... URL: hxxp://www.direito.uff.br/xmr/bot.txt Na imagem acima podemos perceber que o server:porta:channel está ofuscado, entretanto pode ser … Continue lendo Quick Report: Botnet rodando em webserver da UFF

Quick Report: Sites governamentais a serviço do cybercrime

Reportamos sites do governo comprometidos com phishings, cryptojackings, e afins. Infelizmente na maioria das vezes o comprometimento da infra acontece por problemas relacionados ao CMS utilizado e/ou atualização do mesmo, e patchs de segurança para correção de falhas recentes. Nesse caso abaixo, podemos perceber que o CMS utilizado não está atualizado com os devidos patchs … Continue lendo Quick Report: Sites governamentais a serviço do cybercrime

Quick Report: Satellite routers exposeds

Recentemente descobrimos acidentalmente um modelo de router da fabricante HUGHES, especificamente o HX90/HX50Lque é um router usado para comunicação via satélite. Uma boa parte dos routers expostos estão passíveis de ter suas configurações manipuladas por conta da inexistência de autenticação. Esse modelo de satellite router é bem comum no Brasil e usados largamente por pequenas, médias e grandes … Continue lendo Quick Report: Satellite routers exposeds

Quick Report: Quando o cibercrime descobre as maravilhas do Python

Recentemente encontramos um novo malware surgindo no cenário brasileiro, basicamente era um droper em Delphi (sim, Delphi em pleno 2018) que realiza o download do Conda (Gerenciador de pacotes, algo parecido com um .msi) com as configs focadas no crime. Tudo começou quando realizamos uma análise dinâmica desse trojan banker comumente encontrado por aqui, não … Continue lendo Quick Report: Quando o cibercrime descobre as maravilhas do Python

Quick Report: Malspam do Emotet banker em domínios nacionais

Recentemente reportamos um site do governo brasileiro sendo usado em algumas campanhas de malspam do Emotet e posteriormente usando exploits para CMS's conhecidos afim de usar como url dopper. Por conta do volume de url's nacionais sendo usadas para esse objetivo pelo cibercrime, resolvemos reportar sempre que possível os indicadores aqui do blog para fins … Continue lendo Quick Report: Malspam do Emotet banker em domínios nacionais

DFIR Tips: Analisando fantasmas do passado

Pouco mais de um ano atras a Ubiquiti sofreu com uma falha de segurança quando fez um update para realizar algumas correções de segurança (contraditório não?). O fato é que mesmo depois de todos esse tempo e ainda terem lançado patch para essa falha antiga, se realizarmos algumas buscas em fontes como Shodan e outras … Continue lendo DFIR Tips: Analisando fantasmas do passado