🚨 Cuidado con las descargas desde #Anonfiles (utilizado por muchos actores maliciosos), puede que en vez del archivo que querías, termines instalando, no solo 1, sino que 7 clases distintas de #Malware 👀

Revisemos por ejemplo: /anonfiles.com/7c62z4s9ob/Youtube_Viewer_rar

1/X Image
Al hacer click en "download" se descarga automaticamente un archivo que tiene de nombre "YouTube+Viewer.rar[.]zip" pero la descarga se realiza desde /yfilesstorage.com/Youtube+Viewer.rar.zip?c=AISJk2FCGQUA4ksCAENMFwAMAMyKTf0A (.ZIP protegido con contraseña) 🤔

2/X ImageImageImage
Lamentablemente esto pasa desapercibido para usuarios menos prudentes.

Sin embargo, gracias a @hatching_io, podemos averiguar que lo que instalan realmente es #Arkei, #Metasploit, #Racoon, #Redline, #Smokeloader, #Socelars y #Vidar 😵

tria.ge/211116-mn4ghad…

3/X Image
Esto se debe a que el sitio de #Anonfiles tiene inyectado un script de publicidad que es utilizado para distribuír Malware (carga aleatoria).

El script en /djv99sxoqpv11.cloudfront.net también ha estado activo en sitios como /1337x.to y /bayfiles.com (urlscan.io/domain/djv99sx…). ImageImage
IOC's:

#Socelars C2: /www.gianninidesign.com
#Redline (udptest) C2: 193.56.146.64:65441
#Redline (15.11_BUILD_1) C2: 45.9.20.104:6334

#Smokeloader:
/membro.at/upload/
/jeevanpunetha.com/upload/
/misipu.cn/upload/
/zavodooo.ru/upload/
/targiko.ru/upload/
/vues3d.com/upload/

5/X
IOC's (continuación):

#Vidar carga su C2 desde @koyuspace
159.69.92.223

6/X Image
Y finalmente, estos son 1105 dominios asociados a esta campaña de #Malvertising y publicidad maliciosa con descarga activa de Malware.

IOC's -> pastebin.com/DCJBk2f4

Referencias: virustotal.com/gui/ip-address…

7/X Image
Espera hay más...

La campaña está relacionada a estas "supuestas" agencias de publicidad y monetización de tráfico 🤔

/heartbid.net
/data-cash.network
/bidmag.net
/affilight.network
/sapphirum.network
/chikikliki.com
/mobile10.network

(las dejare aquí para despues)

8/X ImageImageImageImage
📌 @AnonFiles -> #Malvertising (AD Network) -> 7 #Malware families

Add /1.zip to download:

/yfilesstorage.com
/getfileasap.com
/getthisfileasap.com
/topfilesstorage.com
/yourfilesstorage.com
/readytoloadforyou.com
/secondfilesstorage.com

[+] pastebin.com/DCJBk2f4 ImageImageImageImage

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Germán Fernández 🇨🇱

Germán Fernández 🇨🇱 Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @1ZRR4H

Apr 22, 2021
Un nuevo actor de amenazas puso en venta, múltiples DBs de Eleven Paths y Telefónica Chile 🇨🇱 (SOC)

El origen del Leak pareciera ser un sistema de tickets tipo BCM Remedy y podría afectar a otras 18 organizaciones ⚠️

[1/2] ImageImage
El atacante adjunta correo de este 17 de Abril y se registró hoy solo para subir esto, es probable que haya tenido/tenga acceso a la plataforma.

Todo indica que seguiremos viendo este tipo de Leaks en Chile si siguen compartiendo las URLs de estos foros 🤦‍♂️

A revisar!!

[2/2]
Read 4 tweets
Nov 14, 2020
Nueva víctima de #Egregor
CENCOSUD 🇨🇱🇦🇷

Posible vector de acceso:
- RDP Expuesto a Internet
- También se habla de un INSIDER (?) 😬

OJO, en Chile otra empresa del RETAIL se encuentra infectada com #Emotet.

[#Ransomware] ALERTADOS el 15 oct. 2020 👇
Interesante...

#Egregor envía a imprimir automáticamente la nota de rescate.

#Maze habla por los parlantes indicando que tú equipo y datos han sido encriptados.
Read 5 tweets
Apr 10, 2020
⚠️ Atacantes generan dominios fraudulentos para software de uso masivo como #Zoom, la recomendación:

NUNCA instales software o aplicaciones desde sitios NO oficiales como los que te muestro en las imágenes ☝️

Listado de dominios maliciosos: pastebin.com/iWfCNxkf

[1/3] 🔽
[2/3] #Phishing
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(