Quick Report: Portal do Governo do Distrito Federal comprometido

Em busca de novos incidentes maliciosos usando servers dos governo e afins, encontramos um subdomínio do portal "Governo do Distrito Federal" comprometido e sendo utilizado para diversas campanhas de ads e malware. Basicamente identificamos esse tipo de incidente usando algumas google dorks que normalmente tem uma boa probabilidade de identificarmos sites infectados apenas para desfigurar … Continue lendo Quick Report: Portal do Governo do Distrito Federal comprometido

Anúncios

Quick Report: Botnet rodando em webserver da UFF

Recentemente em nossas buscas por atividades cybercriminosas no Brasil, descobrimos um client de uma botnet em perl rodando em um webserver da Universidade Federal Fluminense(UFF). Uma botnet bem simples em perl com algumas funcionalidades como: ddos, scanning, vnc scanner e afins... URL: hxxp://www.direito.uff.br/xmr/bot.txt Na imagem acima podemos perceber que o server:porta:channel está ofuscado, entretanto pode ser … Continue lendo Quick Report: Botnet rodando em webserver da UFF

Quick Report: Satellite routers exposeds

Recentemente descobrimos acidentalmente um modelo de router da fabricante HUGHES, especificamente o HX90/HX50Lque é um router usado para comunicação via satélite. Uma boa parte dos routers expostos estão passíveis de ter suas configurações manipuladas por conta da inexistência de autenticação. Esse modelo de satellite router é bem comum no Brasil e usados largamente por pequenas, médias e grandes … Continue lendo Quick Report: Satellite routers exposeds

Quick Report: Quando o cibercrime descobre as maravilhas do Python

Recentemente encontramos um novo malware surgindo no cenário brasileiro, basicamente era um droper em Delphi (sim, Delphi em pleno 2018) que realiza o download do Conda (Gerenciador de pacotes, algo parecido com um .msi) com as configs focadas no crime. Tudo começou quando realizamos uma análise dinâmica desse trojan banker comumente encontrado por aqui, não … Continue lendo Quick Report: Quando o cibercrime descobre as maravilhas do Python

Quick Report: Malspam do Emotet banker em domínios nacionais

Recentemente reportamos um site do governo brasileiro sendo usado em algumas campanhas de malspam do Emotet e posteriormente usando exploits para CMS's conhecidos afim de usar como url dopper. Por conta do volume de url's nacionais sendo usadas para esse objetivo pelo cibercrime, resolvemos reportar sempre que possível os indicadores aqui do blog para fins … Continue lendo Quick Report: Malspam do Emotet banker em domínios nacionais

DFIR Tips: Analisando fantasmas do passado

Pouco mais de um ano atras a Ubiquiti sofreu com uma falha de segurança quando fez um update para realizar algumas correções de segurança (contraditório não?). O fato é que mesmo depois de todos esse tempo e ainda terem lançado patch para essa falha antiga, se realizarmos algumas buscas em fontes como Shodan e outras … Continue lendo DFIR Tips: Analisando fantasmas do passado

Quick Report: Campanha do Emotet Banker em site governamental

Recentemente encontramos uma campanha do emotet banker com droper hospedado em site do governo e fizemos um quick report para deixar catalogado em nosso blog, com mais tempos iremos realizar um report mais detalhado sobre esse Trojan banker: Source: hxxp://quebrangulo.al.gov.br/Aug2018/US/Address-Update/ md5: ccfdedef974def47e3e96002a76f381ce802053354d8ea525164a9feae401dd7 Nome: Latest invoice with a new address to update.doc Dropper executado ao iniciar o documento malicioso: cmd … Continue lendo Quick Report: Campanha do Emotet Banker em site governamental