Quick Report: Portal do Governo do Distrito Federal comprometido

Em busca de novos incidentes maliciosos usando servers dos governo e afins, encontramos um subdomínio do portal "Governo do Distrito Federal" comprometido e sendo utilizado para diversas campanhas de ads e malware. Basicamente identificamos esse tipo de incidente usando algumas google dorks que normalmente tem uma boa probabilidade de identificarmos sites infectados apenas para desfigurar … Continue lendo Quick Report: Portal do Governo do Distrito Federal comprometido

Anúncios

Quick Report: Fake WhatsApp install

Recentemente, obtivemos uma amostra de um malware para Android com o nome de WhatsApp. Uma vez instalado e, consequentemente executado, ele desaparece do menu de aplicações e continua o resto do trabalho em background. A tentativa de decompilação não foi efetiva devido ao alto nível de ofuscação. Na tentativa de obter as strings da aplicação, … Continue lendo Quick Report: Fake WhatsApp install

Quick Report: Quando o cibercrime descobre as maravilhas do Python

Recentemente encontramos um novo malware surgindo no cenário brasileiro, basicamente era um droper em Delphi (sim, Delphi em pleno 2018) que realiza o download do Conda (Gerenciador de pacotes, algo parecido com um .msi) com as configs focadas no crime. Tudo começou quando realizamos uma análise dinâmica desse trojan banker comumente encontrado por aqui, não … Continue lendo Quick Report: Quando o cibercrime descobre as maravilhas do Python

Quick Report: Malspam do Emotet banker em domínios nacionais

Recentemente reportamos um site do governo brasileiro sendo usado em algumas campanhas de malspam do Emotet e posteriormente usando exploits para CMS's conhecidos afim de usar como url dopper. Por conta do volume de url's nacionais sendo usadas para esse objetivo pelo cibercrime, resolvemos reportar sempre que possível os indicadores aqui do blog para fins … Continue lendo Quick Report: Malspam do Emotet banker em domínios nacionais

Quick Report: Campanha do Emotet Banker em site governamental

Recentemente encontramos uma campanha do emotet banker com droper hospedado em site do governo e fizemos um quick report para deixar catalogado em nosso blog, com mais tempos iremos realizar um report mais detalhado sobre esse Trojan banker: Source: hxxp://quebrangulo.al.gov.br/Aug2018/US/Address-Update/ md5: ccfdedef974def47e3e96002a76f381ce802053354d8ea525164a9feae401dd7 Nome: Latest invoice with a new address to update.doc Dropper executado ao iniciar o documento malicioso: cmd … Continue lendo Quick Report: Campanha do Emotet Banker em site governamental

Quick Analysis: Atualização Adobe Flash Player – 05/06/2018

Recentemente encontramos mais uma campanha de trojan banker usando falsa atualização do Adobe flash player e resolvemos documentar no blog. Basicamente desenvolvido em .NET e de simples ofuscação, veja abaixo o report: MD5 3304167364318d970786df90cd208af0 Imphash f34d5f2d4577ed6d9ceec516c1f5a744 PE32 executable for MS Windows (GUI) Intel 80386 Mono/.Net assembly File Size 277.56 KB VT: https://www.virustotal.com/#/file/2fe76c899c2f83ea460ee27cddd8e1437350820618e879c7219b61948ec29e0d/details DNS requests domain bld268ec14[.]blogspot[.]com[.]br domain bld268ec14[.]blogspot[.]com domain … Continue lendo Quick Analysis: Atualização Adobe Flash Player – 05/06/2018

Quick Report: “O Itau tem um comunicado importante para voce.02/02/2018 09:38:24 (8038515) “

Mais um phishing reportado para nosso email "denunciarameacas@gmail.com" e dessa vez tendo como alvo clientes do Itaú. Aparentemente a campanha se iniciou dia 02/02 desse ano, e para fins de documentação resolvemos postar no blog para que a análise possa ajudar outras pessoas a identificar a atividade maliciosa: Abaixo o corpo do email malicioso e conteúdo … Continue lendo Quick Report: “O Itau tem um comunicado importante para voce.02/02/2018 09:38:24 (8038515) “