Hiram Alejandro Profile picture
Mar 7, 2023 18 tweets 6 min read Read on X
🧵 Existen grupos de hacking altamente sofisticados, que operan de manera sigilosa y persistente para comprometer redes y sistemas sensibles, algunos enfocan sus operaciones en LATAM
A estos grupos se les llama Advanced Persistent Threat
Hoy hablaremos de #MacheteAPT
Los grupos APT por lo regular son patrocinados por gobiernos, es decir, por el tiempo que requieren para comprometer a una víctima, las capacidades técnicas que tienen los integrantes del grupo y la tecnología para comprometer los sistemas y redes, se requiere de mucho dinero
Estos grupos se dedican a encontrar 0Days (vulnerabilidades no conocidas por el desarrollador del software)
Sus principales operaciones se enfocan en espionaje ya sea a gobiernos o a entidades privadas, como bancos para robar dinero
Roban dinero para obtener recursos para continuar con sus operaciones, como muchos grupos asociados a Corea del Norte
Debido a las restricciones comerciales, gobiernos como Corea del Norte, necesitan conseguir dinero para seguir desarrollando sus capacidades
Se ha observado que #MacheteAPT inició operaciones en el 2010 y sus principales ataques han sido contra Venezuela, Ecuador, Colombia, Perú, Rusia, Cuba y España
#MacheteAPT infecta a sus víctimas principalmente con correos spear-phishing y a través de sitios infectados en idioma español
Para determinar el origen de los desarrolladores se considera el lenguaje con el que fue desarrollado el malware
Por ejemplo, su malware se distribuye en presentaciones en español como esta:
#MacheteAPT lleva a cabo diversas actividades, como capturas de pantalla de dispositivos comprometidos, captura de datos de geolocalización, acceso a cámaras web, copia de datos confidenciales a un servidor remoto y registro de las teclas presionadas por el usuario
También se ha observado que los atacantes explotan la sensación de miedo y pánico de la víctima mediante el uso de temas como el cobro de deudas
Los archivos con los que infectan a sus víctimas son principalmente DOCX, Doc y PDF.
Aunque las actividades de este grupo se enfocan en comprometer información, no es muy común que encontremos la información robada en venta
Por ejemplo, VirusBulletin identificó que Machete apunta a víctimas relacionadas de la política y militares
En el 2014 se han identificado 778 víctimas, principalmente en Vnz, Ecuador y Colombia
El objetivo de la campaña es secuestrar info confidencial y es capaz de realizar múltiples ops de espionaje, como keystroke logging, captura de audio, pantalla y geolocalización o tomar fotos.
Se sabe que Machete usa documentos militares reales como archivos señuelo en sus campañas de phishing.
De palabras de expertos, se ha dicho que es muy difícil determinar el origen de un malware, por que pudo haber sido desarrollado por una persona que conoce el idioma (en este caso, español), pero no es su idioma nativo
Aunque hay dos aspectos que mencionar aquí: las víctimas de habla hispana y el idioma español utilizado en el código del malware. La mayoría de las víctimas son de habla hispana según los informes existentes.
Las campañas de phishing, el nombre de los archivos e incluso los dominios web utilizados para alojar los archivos utilizan palabras e idioma en español, lo que confirma los hallazgos.
Incluso las infecciones en países externos pueden deberse a objetivos de habla hispana que se encuentran allí, como embajadores o representantes políticos. Se teoriza que los atacantes también son hispanohablantes. El código fuente del malware está lleno de términos en español
para cosas como carpetas y el nombre de algunas funciones. Si bien estos hechos no son suficientes para confirmar que los atacantes son hablantes nativos de español, sugieren que tienen al menos una comprensión básica del idioma.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Hiram Alejandro

Hiram Alejandro Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @hiramcoop

Feb 20
💥Hace unas horas, Agencias Gubernamentales contra el crimen de 11 países🇺🇸🇬🇧🇩🇪🇫🇷🇨🇦🇯🇵🇨🇭🇦🇺🇸🇪🇳🇱🇫🇮, anunciaron que tomaron el control de los servidores del grupo de ransomware #Lockbit3

Pero... los administradores de Lockbit3, ya tienen otro sitio funcionando correctamente con la información de 709 víctimasImage
Lockbit respondió a este "incidente" más rápido que cualquier otra empresa, enviado un comunicado a sus afiliados:

🔸En cuanto detectaron el "incidente", tomaron las medidas necesarias para mejorar la asegurar la infraestructura

🔸 Este "incidente" pudo haber afectado "tu" información personal: nombres, correos electrónicos y contraseñas cifradas

🔸Le ofrecen a los afiliados un servicio de monitoreo de su información personal por 12 meses, para detectar posibles "robos de identidad"Image
Por otro lado, cuando un afiliado ingresa a su panel de administración, visualiza la siguiente carta escrita por Agencia Nacional contra el Crimen de UK, FBI, Interpol, entre otras.
🔸 Tenemos información de tus víctimas
🔸 Montos de $ robado
🔸 Chats
🔸 Y más...

💀 "Nos pondremos en contacto contigo muy pronto" 😅Image
Read 5 tweets
Feb 3, 2023
🇲🇽 Buró de crédito emitió un comunicado alertando a sus usuarios del comprometimiento de su información
El histórico en internet de su tecnología indica que usan tecnología vulnerable
La versión de un servidor web de Apache de Buró de Crédito es del 2022-08-13, es decir, está 71 versiones desactualizado
@BurodeCreditoMX dice que la información es del 2016
En agosto del 2020, @cibanco sufrió un ataque del extinto ransomware #Revil
Dentro de esa información robada, existían usuarios y contraseñas del área de sistemas del banco que tenían acceso a Buró de Crédito
Read 8 tweets
Jan 25, 2023
Analizando el supuesto correo de phishing del @SATMX
Los correos si salieron de sus servidores, pasaron por su herramienta de seguridad de correos electrónicos (InterScan Messaging Security) y la URL del correo, redirige al sitio real del SAT (mismo certificado)
IP fuente del correo:
IP de la URL: consulta[.]sat[.]gob[.]mX
Read 5 tweets
Oct 27, 2022
🇲🇽 Pocas veces entendemos las consecuencias de los hackeos a entidades públicas o privadas
Esta vez, el grupo @Ksecureteamlab encontró y vulneró (a.k.a hackeó) una plataforma que contiene y vende información personal de 56,842,978 de Mexicanos Image
Esta plataforma está creada de las BDs que han sido filtradas o puestas en venta en foros de hacking
Algunas de esas brechas las hemos notificado públicamente
En el listado de BDs encontramos:
- Buró de crédito
- Telcel
- ISSSTE
-INE 2018
La BD del INE solo estaba en venta Image
Esta plataforma permite realizas búsquedas por Nombre, RFC, Fecha de Nacimiento y nos arroja información como la siguiente: Image
Read 5 tweets
Oct 13, 2022
Reuters lanzó un 🤖 chatbot en WhatsApp, para que cualquier persona pueda consultar si publicaciones, imágenes o videos, son reales o son parte de una campaña de #desinformación #️⃣ wa.me/525620018078
El menú es muy sencillo de usar, para verificar algo solo hay que enviar un link, palabras o imágenes relacionadas al tema a consultar en la primera opción.
La descripción del chatbot:
Read 4 tweets
Oct 2, 2022
⚠️ El gpo Guacamaya ha actualizado su blog:
- Subieron documentos de la SEDENA accesibles públicamente
- Ellos NO son los únicos hackers que entraron a los servidores de la SEDENA, cuando ingresaron encontraron evidencia que desde el 5 de Julio ya alguien tenía acceso
- Limitarán el acceso a cierta información ya que en manos de Narcos, podría exponer a mucha gente
- No hackearon a la SEDENA con la vulnerabilidad ProxyShell como a las otras entidades, fue con una vulnerabilidad en Zimbra
Zimbra es un software para correos electrónicos y de colaboración.

La mayoria de los usuarios lo usan para leer y escribir mensajes en sus computadoras y/o telefonos móviles, sincronizar sus contactos, calendarios y documentos.
Read 8 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

:(