Título: Hancitor - Troyano bancario vuelve, usando documento de Word adjunto Publicado por: r32 en 13 Julio 2018, 19:13 pm (https://www.sentinelone.com/wp-content/uploads/2018/07/Hancitor-banking-trojan-is-back.png)
El troyano Hancitor, también conocido como Chanitor, es un programa de descarga que se observó por primera vez en 2014. En aquel entonces, distribuía su carga útil a través de un archivo adjunto de documentos electrónicos de Microsoft Word con macros maliciosos incrustados. Con los años, se han visto varios sabores en la naturaleza con una variedad de técnicas de infección. Algunos ejemplos: Una macro en un documento adjunto contiene shellcode codificado y usa llamadas API nativas dentro de Visual Basic (VB) para pasar la ejecución, crear y descifrar el malware incrustado. Otro sabor que se ve en la naturaleza implica un archivo adjunto malicioso que descarga una carga adicional para descargar el malware sin archivos Pony / Evil Pony o los ejecutables Zeus / Vawtrak, que luego roba datos y se conecta a un servidor C2. El troyano Hancitor generalmente usa correos electrónicos de phishing como método de infección. Varias campañas de correo electrónico de phishing entregaron notificaciones falsas de tickets de estacionamiento. El mensaje solicita al destinatario que haga clic en el enlace para pagar su boleto y dirige a la víctima a un documento malicioso de Microsoft Word. Otro spam de correo electrónico común que se ve se origina en Intuit o HalloFax, alienta al usuario a descargar un fax, que luego desencadena la infección. (https://www.sentinelone.com/wp-content/uploads/2018/07/hellofax.png) x1ksI-Mya9c Recientes URL de distribución de Hancitor: hxxp://altilium.com hxxp://altilium.net hxxp://autoaccidentplaintiff.com hxxp://braininjuryplaintiff.com hxxp://dryerventwizardcanada.co hxxp://dryerventwizardcanada.net hxxp://dryerventwizardcanada.org hxxp://getlintout.mobi hxxp://getlintout.net hxxp://getlintout.org hxxp://getthelintout.info hxxp://keystoneacres.org hxxp://newjerseyplaintiff.com hxxp://newyorkplaintiff.com hxxp://pbtmail.com hxxp://slipandfallplaintiff.com hxxp://thedryerventwizard.biz hxxp://thedryerventwizard.ca hxxp://wegetthelintout.ca hxxp://wegetthelintout.net hxxp://autoaccidentplaintiff.com hxxp://beaconhcg.com hxxp://bingjcarbone.com hxxp://dryerventwizard.biz hxxp://dryerventwizardcanada.co hxxp://dryerventwizardcanada.info hxxp://dryerventwizardcanada.net hxxp://getlintout.info hxxp://getlintout.net hxxp://getlintout.org hxxp://leadershipinstyle.com hxxp://lightstonemed.com hxxp://lightstonemedical.com hxxp://myventbiz.com hxxp://newjerseyplaintiff.com hxxp://newyorkplaintiff.com hxxp://theventwizards.com hxxp://ventwizards.com hxxp://woundsuckers.com HANCITOR C2 hxxp://onerefrepnot.com/4/forum.php hxxp://talighutsin.ru/4/forum.php hxxp://undsuphesgot.ru/4/forum.php hxxp://heghihedning.com/4/forum.php hxxp://parhowtorshim.ru/4/forum.php hxxp://leftsihemper.ru/4/forum.php PONY / EVILPONY / PANDA BANKER PAYLOAD URLS hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/2 hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/1 hxxp://aakaii.com/wp-content/plugins/post-thumbnail-editor/3 PONY / EVIL PONY C2 hxxp://onerefrepnot.com/mlu/forum.php hxxp://onerefrepnot.com/d2/about.php Saludos. |