• +(57 1) 745-7312
  • contacto@openitnet.com

NOTICIAS

Falso email de Deloitte usado para distribuir malware

No es la primera vez que los spammers utilizan la imagen de empresas conocidas para hacer llegar a los usuarios correos no deseados o, en el peor de los casos, malware.

En este caso los atacantes han suplantado la identidad de la conocida empresa Deloitte para distribuir muestras de TrickBot, una familia de troyanos bancarios que ha estado bastante activa los últimos meses. Los correos reportados provienen de un tal "Adam Bush" This email address is being protected from spambots. You need JavaScript enabled to view it. y utilizan un dominio fraudulento que incluye el nombre de la marca. El asunto del correo habla de un calendario de nóminas de la empresa y pretende despertar la curiosidad de la víctima para descargar y abrir el adjunto incluido. 

Correo suplantando la identidad de Deloitte. Fuente: myonlinesecurity.co.uk

El fichero adjunto, en formato Excel, contiene una macro maliciosa que descargará el troyano. Desde las versiones de Office 2010 en adelante, el programa requiere que el usuario habilite de forma manual la ejecución de macros, por eso se mostrará en la hoja de cálculo un mensaje como el que vemos a continuación incitando al usuario a activar esta característica:

Payrollschedule.xls. Fuente: myonlinesecurity.co.uk


La macro descargará el ejecutable desde http://bcgfl[.]com/sdn.uqw o alternativamente http://ubeinc[.]com/sdn.uqw. Dos muestras del ya conocido Trickbot.

IOC de la campaña:

Payrollschedule.xls
MD5:  a628323455d1f19d1115e1626d1fabce
SHA-1:  552f531d1f8cba28da5fcc376abbc5647f438c69

URL de descarga del troyano:
http://bcgfl[.]com/sdn.uqw
72.29.67.154
http://ubeinc[.]com/sdn.uqw
72.29.90.19
MD5: cae0a5bb259d11b80e448c0c68f47f06
SHA1: 7c08e6f55738c52b7869d66a301578667b972f4b

Remitente: Adam.Bush@deloitte-inv[.]com
5.79.90.23
185.212.130.89
5.79.76.209
95.211.169.218


Dejar claro que Deloitte no ha sido en ningún momento comprometida y que el dominio fraudulento deloitte-inv.com ha sido registrado por un tercero que nada tiene que ver con la empresa.

Desde Hispasec recomendamos no abrir nunca correos con adjuntos no solicitados.
Fuente: Hispasec.com

5. Servidor Web.

2019-03-07 Hits:28

¡Muy bien! Ya tenemos nuestro flamante nuevo sitio web al aire, y todos nuestros clientes nos felicitan por lo lindo y moderno que quedó. Pero ahora viene lo interesante… ¿Como hacemos para mantenerlo actualizado y que nuestros visitantes se mantengan...

Leer Más...

4.    Gestión Documental

2019-01-24 Hits:137

Se escucha la siguiente frase a todo pulmón en la oficina: ¿quién tiene la versión actualizada de la lista de precios?...

Leer Más...

3. Correo Electrónico y Colaboración.

2018-11-21 Hits:185

Pocas cosas más perjudiciales para la imagen de una empresa que sus direcciones de correo electrónico provengan de servidores gratuitos como Hotmail, Yahoo o Gmail. Mucho se ha escrito sobre este tema, ya que, por su bajo costo de adquisición...

Leer Más...

Zero-Day en Google Chrome permite la ejecución remota de código. La vulnerabilidad, del tipo corrupción de memoria… https://t.co/qrb49pf08R

Conocidos gestores de contraseñas son vulnerables. Expertos pusieron a prueba el grado de #protección que tienen lo… https://t.co/L7MoNPpe53

Calendario

« March 2019 »
Mon Tue Wed Thu Fri Sat Sun
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

Somos una empresa de soluciones en consultoría informática, especializada en instalación de aplicaciones corporativas y administración de infraestructura tecnológica, con énfasis en pequeñas y medianas empresas (Pymes).

INFORMACIÓN

Calle 67 # 8-16 Of. 304 Bogotá, Colombia

+(57 1) 745-7312

This email address is being protected from spambots. You need JavaScript enabled to view it.

Tweets

Zero-Day en Google Chrome permite la ejecución remota de código. La vulnerabilidad, del tipo corrupción de memoria… https://t.co/qrb49pf08R

Conocidos gestores de contraseñas son vulnerables. Expertos pusieron a prueba el grado de #protección que tienen lo… https://t.co/L7MoNPpe53

Search