<![CDATA[GETOVERX FORUM Community Support - Troyanos (Trojans)]]> https://forum.getoverx.com/ Fri, 17 Apr 2026 10:14:23 +0000 MyBB <![CDATA[AsyncRAT [2019]]]> https://forum.getoverx.com/showthread.php?tid=112 Fri, 05 Dec 2025 16:27:14 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=112 Nombre: AsyncRAT

Categoría: RAT (Remote Access Trojan) de código abierto / Control remoto + robo de información

Fecha de descubrimiento: Observado en campañas al menos desde 2019

Comportamiento (lo que hace y archivos que infecta):
AsyncRAT (Asynchronous Remote Access Trojan) es un RAT avanzado escrito en .NET, usado para:
- Control remoto completo del sistema (ejecución de comandos, manejo de archivos).
- Keylogging y captura de pantalla.
- Robo de credenciales desde navegadores y aplicaciones.
- Descarga y ejecución de payloads adicionales (incluyendo infostealers y ransomware).

Distribución típica:
- Phishing con adjuntos maliciosos (ZIP, documentos, accesos directos LNK).
- “Loaders” o droppers que abusan de procesos legítimos como aspnet_compiler.exe para inyección de código.
- Campañas que usan cargadores ofuscados con DGAs, decoys y otras técnicas para evadir detección.

A nivel de archivos:
- Crea ejecutables/DLL en carpetas de usuario o %APPDATA%.
- Usa scripts y binarios intermedios para inyección en procesos legítimos.
- Lee ficheros de configuración y bases de datos de aplicaciones para extraer credenciales.

Persistencia:
AsyncRAT suele:
- Copiarse en rutas como %APPDATA% o %LOCALAPPDATA% con nombres que imitan software legítimo.
- Crear claves de Registro de autoejecución.
- Registrar tareas programadas para garantizar su ejecución tras reinicio.
En algunos casos aprovecha servicios y procesos de Windows para cargar su payload mediante inyección, reduciendo su huella visible.

Hash real de referencia (SHA-256):
Muestra pública asociada a AsyncRAT:
Code:
06417db53e9b090c7a07192dbb6203ce15c832c0928d73ebbc9c8ebff05320ff

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    Realizar escaneo profundo de todas las unidades, incluyendo %APPDATA% y %TEMP%, para detectar el ejecutable principal de AsyncRAT, sus loaders y cualquier payload adicional alojado en el equipo.

  • Firewall:
    - Bloquear comunicaciones salientes hacia dominios/IPs usados como paneles C2 de RATs.
    - Limitar el uso de puertos inusuales para conexiones salientes desde estaciones de trabajo.
    - Aislar el host si se detectan conexiones persistentes hacia dominios desconocidos justo tras el arranque.

  • HIPS/EDR:
    Reglas recomendadas:
    - Detectar inyección de código en procesos legítimos (por ejemplo, aspnet_compiler.exe u otros binarios de Microsoft).
    - Monitorizar creación de procesos hijos anómalos lanzados por servicios de Windows.
    - Detección de keylogging y captura de pantalla frecuente.
    Al dispararse, GetOverX Shield debe matar el proceso, bloquear el hash y registrar el árbol de procesos implicado.

  • Sandbox:
    Enviar a la Sandbox:
    - Adjuntos ZIP/EXE/LNK sospechosos recibidos en campañas de phishing.
    - “Actualizadores” o instaladores no verificados.
    Revisar si intentan conectarse a C2 o desplegar AsyncRAT.

  • Medidas posteriores al incidente:
    - Cambiar credenciales de usuarios que iniciaron sesión mientras AsyncRAT estaba activo.
    - Revisar logs de administración remota para detectar acciones realizadas por el atacante.
    - Verificar que no se hayan desplegado herramientas adicionales (por ejemplo, beacons o ransomware) desde el RAT.
]]> Nombre: AsyncRAT

Categoría: RAT (Remote Access Trojan) de código abierto / Control remoto + robo de información

Fecha de descubrimiento: Observado en campañas al menos desde 2019

Comportamiento (lo que hace y archivos que infecta):
AsyncRAT (Asynchronous Remote Access Trojan) es un RAT avanzado escrito en .NET, usado para:
- Control remoto completo del sistema (ejecución de comandos, manejo de archivos).
- Keylogging y captura de pantalla.
- Robo de credenciales desde navegadores y aplicaciones.
- Descarga y ejecución de payloads adicionales (incluyendo infostealers y ransomware).

Distribución típica:
- Phishing con adjuntos maliciosos (ZIP, documentos, accesos directos LNK).
- “Loaders” o droppers que abusan de procesos legítimos como aspnet_compiler.exe para inyección de código.
- Campañas que usan cargadores ofuscados con DGAs, decoys y otras técnicas para evadir detección.

A nivel de archivos:
- Crea ejecutables/DLL en carpetas de usuario o %APPDATA%.
- Usa scripts y binarios intermedios para inyección en procesos legítimos.
- Lee ficheros de configuración y bases de datos de aplicaciones para extraer credenciales.

Persistencia:
AsyncRAT suele:
- Copiarse en rutas como %APPDATA% o %LOCALAPPDATA% con nombres que imitan software legítimo.
- Crear claves de Registro de autoejecución.
- Registrar tareas programadas para garantizar su ejecución tras reinicio.
En algunos casos aprovecha servicios y procesos de Windows para cargar su payload mediante inyección, reduciendo su huella visible.

Hash real de referencia (SHA-256):
Muestra pública asociada a AsyncRAT:
Code:
06417db53e9b090c7a07192dbb6203ce15c832c0928d73ebbc9c8ebff05320ff

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    Realizar escaneo profundo de todas las unidades, incluyendo %APPDATA% y %TEMP%, para detectar el ejecutable principal de AsyncRAT, sus loaders y cualquier payload adicional alojado en el equipo.

  • Firewall:
    - Bloquear comunicaciones salientes hacia dominios/IPs usados como paneles C2 de RATs.
    - Limitar el uso de puertos inusuales para conexiones salientes desde estaciones de trabajo.
    - Aislar el host si se detectan conexiones persistentes hacia dominios desconocidos justo tras el arranque.

  • HIPS/EDR:
    Reglas recomendadas:
    - Detectar inyección de código en procesos legítimos (por ejemplo, aspnet_compiler.exe u otros binarios de Microsoft).
    - Monitorizar creación de procesos hijos anómalos lanzados por servicios de Windows.
    - Detección de keylogging y captura de pantalla frecuente.
    Al dispararse, GetOverX Shield debe matar el proceso, bloquear el hash y registrar el árbol de procesos implicado.

  • Sandbox:
    Enviar a la Sandbox:
    - Adjuntos ZIP/EXE/LNK sospechosos recibidos en campañas de phishing.
    - “Actualizadores” o instaladores no verificados.
    Revisar si intentan conectarse a C2 o desplegar AsyncRAT.

  • Medidas posteriores al incidente:
    - Cambiar credenciales de usuarios que iniciaron sesión mientras AsyncRAT estaba activo.
    - Revisar logs de administración remota para detectar acciones realizadas por el atacante.
    - Verificar que no se hayan desplegado herramientas adicionales (por ejemplo, beacons o ransomware) desde el RAT.
]]> <![CDATA[QakBot (Qbot / Pinkslipbot)]]> https://forum.getoverx.com/showthread.php?tid=108 Fri, 05 Dec 2025 16:12:35 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=108 Nombre: QakBot (Qbot / Pinkslipbot)

Categoría: Troyano bancario / Implant para despliegue de ransomware

Fecha de descubrimiento: En torno a 2008–2009

Comportamiento (lo que hace y archivos que infecta):
- Originalmente diseñado como troyano bancario enfocado en robar credenciales de banca en línea.
- Evolucionó hasta convertirse en una plataforma de acceso inicial y movimiento lateral utilizada para preparar despliegues de ransomware (Conti, Black Basta, MegaCortex y otros).
- Se distribuye principalmente mediante:
- Campañas de phishing con adjuntos o enlaces maliciosos.
- Documentos ofimáticos con macros o exploits.
- Descarga a través de otros malware ya presentes en el sistema.
- Una vez dentro de la red:
- Roba credenciales de banca y otros servicios.
- Registra pulsaciones de teclado (keylogging) y captura información sensible.
- Enumera la red (equipos, shares, dominios) para preparar movimiento lateral.
- Descarga y ejecuta payloads adicionales (ransomware, herramientas de administración remota, etc.).
- A nivel de archivos:
- Modifica o crea ejecutables y librerías en directorios de sistema o de usuario.
- Crea y usa scripts y ficheros temporales durante la fase de infección.
- Interactúa con archivos de configuración, perfiles de navegadores y credenciales almacenadas para extraer datos.

Persistencia:
- Crea claves de Registro en rutas Run/RunOnce para ejecutarse en cada inicio de sesión.
- Genera tareas programadas y, en algunos casos, servicios para relanzar sus componentes tras reinicio.
- Se copia en ubicaciones de sistema (o de usuario) usando nombres similares a procesos legítimos para camuflarse.
- En entornos corporativos:
- Puede aprovechar herramientas de administración remota (RDP, software de soporte, etc.) para mantener presencia aunque se limpie un endpoint.
- Llega a desplegar herramientas adicionales para reconectar a la red incluso después de acciones de desinfección parciales.

Hash real de referencia (SHA-256):
Muestra pública asociada a QakBot/Qbot:
Code:
866343b3294e723c5ba44a197dd24e180471ca3f5b811281b16087855b369c16

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Ejecutar un escaneo profundo de todas las unidades locales y unidades de red mapeadas.
    - Localizar y eliminar el binario principal de QakBot y sus componentes auxiliares (scripts, DLLs, droppers).
    - Revisar especialmente:
    - Directorios de usuario (AppData, Local, Roaming).
    - Rutas de sistema y carpetas de programas donde pueda camuflarse.
    - Repetir el escaneo después de la limpieza inicial y antes de reconectar el equipo a la red corporativa.

  • Firewall:
    - Bloquear conexiones salientes hacia infraestructura C2 conocida y hacia dominios/IPs sospechosos utilizados por QakBot.
    - Aislar los hosts bajo sospecha utilizando el módulo de firewall (por ejemplo, perfil “Normal” como mínimo, con restricciones adicionales para equipos en cuarentena).
    - Limitar tráfico SMB, RDP y otros servicios utilizados para movimiento lateral únicamente a orígenes/destinos autorizados.

  • HIPS / EDR:
    - Configurar reglas de detección para:
    - Inyección en procesos de navegador y otras aplicaciones frecuentes (explorer, outlook, etc.).
    - Ejecución de scripts (PowerShell, wscript, macros) que descargan y ejecutan binarios desde Internet o shares internos.
    - Comportamiento de “worm” (propagación por shares y SMB, intento de ejecutar código remoto en otros hosts).
    - Definir respuesta automática para:
    - Matar procesos sospechosos relacionados con QakBot.
    - Bloquear binarios por hash y por ruta una vez confirmados como maliciosos.
    - Registrar toda la actividad en los logs unificados para análisis forense posterior.

  • Sandbox:
    - Analizar en la Sandbox documentos sospechosos y ejecutables adjuntos a correos antes de abrirlos en producción.
    - Verificar:
    - Si el documento ejecuta macros o explotación de vulnerabilidades para descargar loaders de QakBot.
    - Si se establecen conexiones a dominios/IPs desconocidos.
    - Si se crean claves de Registro o tareas programadas relacionadas con persistencia.

  • Post-incidente:
    - Revisar y limpiar herramientas de acceso remoto abusadas durante la intrusión (RDP, software de soporte, utilidades de administración).
    - Usar únicamente la herramienta de ayuda remota de GetOverX Shield para futuras conexiones de soporte, con políticas de acceso reforzadas.
    - Cambiar contraseñas administrativas y de cuentas privilegiadas, especialmente aquellas usadas en equipos comprometidos.
    - Verificar si se desplegó ransomware u otros payloads posteriores:
    - Revisar logs de archivos cifrados, intentos de borrado de shadow copies, etc.
    - Analizar servidores críticos (AD, archivos, bases de datos) para detectar actividad relacionada.
    - Mejorar políticas de filtrado de correo y formación anti-phishing para reducir la superficie de ataque inicial.

Notas opcionales:
- QakBot ha sido uno de los principales “initial access brokers” en el ecosistema de ransomware, sirviendo como punto de entrada para múltiples familias de cifradores en entornos corporativos.]]> Nombre: QakBot (Qbot / Pinkslipbot)

Categoría: Troyano bancario / Implant para despliegue de ransomware

Fecha de descubrimiento: En torno a 2008–2009

Comportamiento (lo que hace y archivos que infecta):
- Originalmente diseñado como troyano bancario enfocado en robar credenciales de banca en línea.
- Evolucionó hasta convertirse en una plataforma de acceso inicial y movimiento lateral utilizada para preparar despliegues de ransomware (Conti, Black Basta, MegaCortex y otros).
- Se distribuye principalmente mediante:
- Campañas de phishing con adjuntos o enlaces maliciosos.
- Documentos ofimáticos con macros o exploits.
- Descarga a través de otros malware ya presentes en el sistema.
- Una vez dentro de la red:
- Roba credenciales de banca y otros servicios.
- Registra pulsaciones de teclado (keylogging) y captura información sensible.
- Enumera la red (equipos, shares, dominios) para preparar movimiento lateral.
- Descarga y ejecuta payloads adicionales (ransomware, herramientas de administración remota, etc.).
- A nivel de archivos:
- Modifica o crea ejecutables y librerías en directorios de sistema o de usuario.
- Crea y usa scripts y ficheros temporales durante la fase de infección.
- Interactúa con archivos de configuración, perfiles de navegadores y credenciales almacenadas para extraer datos.

Persistencia:
- Crea claves de Registro en rutas Run/RunOnce para ejecutarse en cada inicio de sesión.
- Genera tareas programadas y, en algunos casos, servicios para relanzar sus componentes tras reinicio.
- Se copia en ubicaciones de sistema (o de usuario) usando nombres similares a procesos legítimos para camuflarse.
- En entornos corporativos:
- Puede aprovechar herramientas de administración remota (RDP, software de soporte, etc.) para mantener presencia aunque se limpie un endpoint.
- Llega a desplegar herramientas adicionales para reconectar a la red incluso después de acciones de desinfección parciales.

Hash real de referencia (SHA-256):
Muestra pública asociada a QakBot/Qbot:
Code:
866343b3294e723c5ba44a197dd24e180471ca3f5b811281b16087855b369c16

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Ejecutar un escaneo profundo de todas las unidades locales y unidades de red mapeadas.
    - Localizar y eliminar el binario principal de QakBot y sus componentes auxiliares (scripts, DLLs, droppers).
    - Revisar especialmente:
    - Directorios de usuario (AppData, Local, Roaming).
    - Rutas de sistema y carpetas de programas donde pueda camuflarse.
    - Repetir el escaneo después de la limpieza inicial y antes de reconectar el equipo a la red corporativa.

  • Firewall:
    - Bloquear conexiones salientes hacia infraestructura C2 conocida y hacia dominios/IPs sospechosos utilizados por QakBot.
    - Aislar los hosts bajo sospecha utilizando el módulo de firewall (por ejemplo, perfil “Normal” como mínimo, con restricciones adicionales para equipos en cuarentena).
    - Limitar tráfico SMB, RDP y otros servicios utilizados para movimiento lateral únicamente a orígenes/destinos autorizados.

  • HIPS / EDR:
    - Configurar reglas de detección para:
    - Inyección en procesos de navegador y otras aplicaciones frecuentes (explorer, outlook, etc.).
    - Ejecución de scripts (PowerShell, wscript, macros) que descargan y ejecutan binarios desde Internet o shares internos.
    - Comportamiento de “worm” (propagación por shares y SMB, intento de ejecutar código remoto en otros hosts).
    - Definir respuesta automática para:
    - Matar procesos sospechosos relacionados con QakBot.
    - Bloquear binarios por hash y por ruta una vez confirmados como maliciosos.
    - Registrar toda la actividad en los logs unificados para análisis forense posterior.

  • Sandbox:
    - Analizar en la Sandbox documentos sospechosos y ejecutables adjuntos a correos antes de abrirlos en producción.
    - Verificar:
    - Si el documento ejecuta macros o explotación de vulnerabilidades para descargar loaders de QakBot.
    - Si se establecen conexiones a dominios/IPs desconocidos.
    - Si se crean claves de Registro o tareas programadas relacionadas con persistencia.

  • Post-incidente:
    - Revisar y limpiar herramientas de acceso remoto abusadas durante la intrusión (RDP, software de soporte, utilidades de administración).
    - Usar únicamente la herramienta de ayuda remota de GetOverX Shield para futuras conexiones de soporte, con políticas de acceso reforzadas.
    - Cambiar contraseñas administrativas y de cuentas privilegiadas, especialmente aquellas usadas en equipos comprometidos.
    - Verificar si se desplegó ransomware u otros payloads posteriores:
    - Revisar logs de archivos cifrados, intentos de borrado de shadow copies, etc.
    - Analizar servidores críticos (AD, archivos, bases de datos) para detectar actividad relacionada.
    - Mejorar políticas de filtrado de correo y formación anti-phishing para reducir la superficie de ataque inicial.

Notas opcionales:
- QakBot ha sido uno de los principales “initial access brokers” en el ecosistema de ransomware, sirviendo como punto de entrada para múltiples familias de cifradores en entornos corporativos.]]> <![CDATA[IcedID (BokBot)]]> https://forum.getoverx.com/showthread.php?tid=107 Fri, 05 Dec 2025 16:09:31 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=107 Nombre: IcedID (BokBot)

Categoría: Troyano bancario / Loader para otras amenazas

Fecha de descubrimiento: Primeros reportes públicos en 2017

Comportamiento (lo que hace y archivos que infecta):
- Comienza como troyano bancario con capacidades de inyección web en navegadores, modificando páginas y formularios para robar credenciales y datos financieros.
- Actúa como proxy entre el navegador y los sitios legítimos, interceptando y manipulando el tráfico para capturar información sensible.
- Ha evolucionado a puerta de entrada (loader) para ataques más complejos, incluyendo:
- Despliegue de ransomware.
- Descarga de otros troyanos o herramientas de administración remota.
- Vectores de infección típicos:
- Campañas de malspam con documentos de Office con macros.
- Archivos comprimidos con loaders.
- OneNote malicioso u otros formatos ofimáticos con contenido embebido.
- Una vez activo:
- Se comunica con un servidor de mando y control (C2) para descargar módulos adicionales.
- Roba credenciales almacenadas en navegadores y aplicaciones.
- Puede realizar reconocimiento básico del sistema para decidir qué payloads desplegar.
- Archivos afectados:
- Perfiles de navegador, cookies, sesiones y datos de autocompletar.
- Ficheros que contengan credenciales o tokens de acceso a servicios corporativos.
- Binarios y DLL temporales utilizados para sus distintos módulos y loaders.

Persistencia:
- Suele copiarse en rutas de usuario (por ejemplo en AppData) con nombres que imitan procesos legítimos.
- Configura claves de ejecución automática en el Registro (Run/RunOnce) y/o tareas programadas para mantenerse tras reinicios.
- En muchos incidentes recientes:
- Se utiliza principalmente como “puente”: se mantiene el tiempo suficiente para desplegar el siguiente malware (por ejemplo, un cifrador de ransomware).
- Puede actualizarse o reemplazarse por versiones nuevas descargadas desde el C2.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como IcedID:
Code:
ecd84fa8d836d5057149b2b3a048d75004ca1a1377fcf2f5e67374af3a1161a0

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Ejecutar un escaneo completo del sistema para localizar el loader de IcedID y sus módulos (DLL/EXE temporales).
    - Eliminar o poner en cuarentena:
    - Binarios principales.
    - Archivos temporales asociados al proceso de infección.
    - Revisar especialmente carpetas de usuario (AppData, Temp) y rutas con nombres sospechosos o recién creados.

  • Firewall:
    - Restringir conexiones salientes hacia dominios e IPs sospechosas, especialmente aquellos identificados como C2 de IcedID.
    - Aplicar listas de bloqueo y perfiles de firewall más estrictos en equipos bajo sospecha o que hayan mostrado actividad de IcedID.
    - Monitorizar conexiones persistentes o recurrentes hacia destinos poco habituales desde equipos de usuario.

  • HIPS / EDR:
    - Activar reglas para detectar:
    - Inyección en procesos de navegador (Chrome, Edge, Firefox, etc.).
    - Uso anómalo de PowerShell, Script Host (wscript/cscript) y herramientas similares para descargar y ejecutar contenido remoto.
    - Creación de nuevos procesos hijo que se conectan a Internet inmediatamente después de abrir documentos de Office o adjuntos de correo.
    - Configurar respuesta automática para:
    - Bloquear y matar el proceso sospechoso.
    - Registrar los eventos en los logs unificados para correlación posterior (endpoint + red).

  • Sandbox:
    - Analizar en Sandbox adjuntos de correo y documentos de Office/OneNote antes de permitir la ejecución en el entorno real.
    - Observar si:
    - Intentan contactar dominios/IPs desconocidos.
    - Ejecutan macros o scripts que descargan loaders.
    - Crean nuevas tareas programadas o claves de Registro de persistencia.

  • Remediación:
    - Tras la limpieza, forzar cambio de credenciales:
    - Bancarias.
    - VPN corporativas.
    - Correo electrónico.
    - Paneles de administración y otros servicios de alto valor.
    - Verificar que no se hayan desplegado payloads adicionales (ransomware, backdoors, herramientas de acceso remoto).
    - Revisar políticas de filtrado de correo y formación en phishing para reducir la probabilidad de reinfección.

Notas opcionales:
- IcedID compite en el mismo espacio que otras familias de troyanos bancarios/loader (Emotet, TrickBot, QakBot), por lo que con frecuencia se observa en cadenas de ataque orientadas a comprometer entornos corporativos y preparar despliegues de ransomware.]]> Nombre: IcedID (BokBot)

Categoría: Troyano bancario / Loader para otras amenazas

Fecha de descubrimiento: Primeros reportes públicos en 2017

Comportamiento (lo que hace y archivos que infecta):
- Comienza como troyano bancario con capacidades de inyección web en navegadores, modificando páginas y formularios para robar credenciales y datos financieros.
- Actúa como proxy entre el navegador y los sitios legítimos, interceptando y manipulando el tráfico para capturar información sensible.
- Ha evolucionado a puerta de entrada (loader) para ataques más complejos, incluyendo:
- Despliegue de ransomware.
- Descarga de otros troyanos o herramientas de administración remota.
- Vectores de infección típicos:
- Campañas de malspam con documentos de Office con macros.
- Archivos comprimidos con loaders.
- OneNote malicioso u otros formatos ofimáticos con contenido embebido.
- Una vez activo:
- Se comunica con un servidor de mando y control (C2) para descargar módulos adicionales.
- Roba credenciales almacenadas en navegadores y aplicaciones.
- Puede realizar reconocimiento básico del sistema para decidir qué payloads desplegar.
- Archivos afectados:
- Perfiles de navegador, cookies, sesiones y datos de autocompletar.
- Ficheros que contengan credenciales o tokens de acceso a servicios corporativos.
- Binarios y DLL temporales utilizados para sus distintos módulos y loaders.

Persistencia:
- Suele copiarse en rutas de usuario (por ejemplo en AppData) con nombres que imitan procesos legítimos.
- Configura claves de ejecución automática en el Registro (Run/RunOnce) y/o tareas programadas para mantenerse tras reinicios.
- En muchos incidentes recientes:
- Se utiliza principalmente como “puente”: se mantiene el tiempo suficiente para desplegar el siguiente malware (por ejemplo, un cifrador de ransomware).
- Puede actualizarse o reemplazarse por versiones nuevas descargadas desde el C2.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como IcedID:
Code:
ecd84fa8d836d5057149b2b3a048d75004ca1a1377fcf2f5e67374af3a1161a0

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Ejecutar un escaneo completo del sistema para localizar el loader de IcedID y sus módulos (DLL/EXE temporales).
    - Eliminar o poner en cuarentena:
    - Binarios principales.
    - Archivos temporales asociados al proceso de infección.
    - Revisar especialmente carpetas de usuario (AppData, Temp) y rutas con nombres sospechosos o recién creados.

  • Firewall:
    - Restringir conexiones salientes hacia dominios e IPs sospechosas, especialmente aquellos identificados como C2 de IcedID.
    - Aplicar listas de bloqueo y perfiles de firewall más estrictos en equipos bajo sospecha o que hayan mostrado actividad de IcedID.
    - Monitorizar conexiones persistentes o recurrentes hacia destinos poco habituales desde equipos de usuario.

  • HIPS / EDR:
    - Activar reglas para detectar:
    - Inyección en procesos de navegador (Chrome, Edge, Firefox, etc.).
    - Uso anómalo de PowerShell, Script Host (wscript/cscript) y herramientas similares para descargar y ejecutar contenido remoto.
    - Creación de nuevos procesos hijo que se conectan a Internet inmediatamente después de abrir documentos de Office o adjuntos de correo.
    - Configurar respuesta automática para:
    - Bloquear y matar el proceso sospechoso.
    - Registrar los eventos en los logs unificados para correlación posterior (endpoint + red).

  • Sandbox:
    - Analizar en Sandbox adjuntos de correo y documentos de Office/OneNote antes de permitir la ejecución en el entorno real.
    - Observar si:
    - Intentan contactar dominios/IPs desconocidos.
    - Ejecutan macros o scripts que descargan loaders.
    - Crean nuevas tareas programadas o claves de Registro de persistencia.

  • Remediación:
    - Tras la limpieza, forzar cambio de credenciales:
    - Bancarias.
    - VPN corporativas.
    - Correo electrónico.
    - Paneles de administración y otros servicios de alto valor.
    - Verificar que no se hayan desplegado payloads adicionales (ransomware, backdoors, herramientas de acceso remoto).
    - Revisar políticas de filtrado de correo y formación en phishing para reducir la probabilidad de reinfección.

Notas opcionales:
- IcedID compite en el mismo espacio que otras familias de troyanos bancarios/loader (Emotet, TrickBot, QakBot), por lo que con frecuencia se observa en cadenas de ataque orientadas a comprometer entornos corporativos y preparar despliegues de ransomware.]]> <![CDATA[TROYANO – TrickBot]]> https://forum.getoverx.com/showthread.php?tid=42 Sat, 29 Nov 2025 15:47:15 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=42 Nombre: TrickBot

Categoría: Troyano bancario / Plataforma modular

Fecha de descubrimiento: En torno a 2016

Comportamiento (lo que hace y archivos que infecta):
- Nace como troyano bancario centrado en robar credenciales de banca en línea y otras credenciales financieras.
- Evoluciona a una plataforma modular capaz de:
- Robo de credenciales (navegadores, clientes de correo, VPN, RDP, etc.).
- Exfiltración de información de sistema, dominio y red.
- Movimiento lateral dentro del entorno corporativo.
- Descarga y ejecución de otros payloads (especialmente ransomware).
- Se distribuye principalmente mediante:
- Campañas de correo malicioso (malspam) con adjuntos o enlaces.
- Cadena de infección junto a otros malware (por ejemplo Emotet, Ryuk, Conti y otros actores).
- Funciones típicas:
- Inyección en navegadores para capturar credenciales bancarias.
- Enumeración de red (shares, dominios, controladores de dominio).
- Uso de credenciales robadas para propagarse a otros equipos.
- Descarga de módulos adicionales (DLL/EXE) desde infraestructura de mando y control (C2).
- Archivos afectados:
- Perfiles y datos de navegadores (cookies, sesiones, credenciales guardadas).
- Ficheros de configuración de aplicaciones con credenciales o tokens.
- Binarios auxiliares y DLLs colocados en rutas de sistema o de usuario.

Persistencia:
- Usa tareas programadas para ejecutarse de forma recurrente:
- Ejemplo: creación de tareas con nombres que imitan procesos legítimos o tareas del sistema.
- Modifica claves de Registro en rutas Run/RunOnce para ejecutar su binario en cada inicio de sesión.
- Puede instalar servicios adicionales o usar rutas en AppData con nombres que simulan software legítimo.
- En redes comprometidas:
- Mantiene presencia mediante movimiento lateral y despliegue de módulos en varios equipos; limpiar un solo host rara vez es suficiente.

Hash real de referencia (SHA-256):
Muestra pública asociada a TrickBot:
Code:
0fbf3f65f8c9db2bdd687ce916d3b8ce1eb4f24f666b0c844d05f200c3c0d892

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Realizar escaneo completo de todos los equipos sospechosos y de las unidades de red mapeadas.
    - Localizar y eliminar:
    - El binario principal de TrickBot.
    - Módulos adicionales (DLL/EXE) descargados por el troyano.
    - Prestar especial atención a:
    - Directorios de usuario (AppData, Local, Roaming).
    - Rutas de sistema donde se hayan creado binarios con nombres similares a procesos legítimos.
    - Repetir el escaneo tras la limpieza y antes de reconectar el equipo a la red.

  • Firewall:
    - Bloquear conexiones salientes hacia dominios e IPs asociadas a C2 de TrickBot o tráfico sospechoso persistente.
    - Restringir SMB, RDP y otros servicios de administración solo a orígenes/destinos legítimos para reducir movimiento lateral.
    - En hosts comprometidos:
    - Aislar temporalmente mediante reglas de firewall más restrictivas hasta concluir la remediación.

  • HIPS / EDR:
    - Crear reglas de detección para:
    - Actividad anómala de tareas programadas recién creadas que ejecutan binarios desconocidos.
    - Creación/modificación de claves de Registro Run/RunOnce apuntando a rutas no estándar.
    - Uso de procesos hijos que:
    - Enumeran red y dominio.
    - Ejecutan herramientas administrativas o de credenciales sin justificación.
    - Intentos de inyección en navegadores u otros procesos que manejan credenciales.
    - Definir respuesta automática:
    - Bloquear y matar procesos identificados como relacionados con TrickBot.
    - Marcar hashes y rutas como bloqueadas de forma persistente.
    - Registrar toda la actividad en los logs unificados para análisis posterior.

  • Sandbox:
    - Ejecutar en Sandbox:
    - Adjuntos de correo sospechosos.
    - Ejecutables recibidos por canales no confiables.
    - Observar si el archivo:
    - Establece conexiones a dominios/IPs desconocidos.
    - Crea tareas programadas o claves Run.
    - Descarga módulos adicionales o herramientas de red.

  • Post-incidente:
    - Forzar el cambio de credenciales:
    - Bancarias.
    - Cuentas administrativas (AD, servidores críticos, VPN, correo).
    - Revisar si se descargó y ejecutó ransomware u otros payloads posteriores:
    - Examinar logs de cifrado de archivos, borrado de copias de sombra, etc.
    - Analizar toda la red:
    - Identificar otros endpoints con indicios de TrickBot o módulos relacionados.
    - Realizar limpieza coordinada para evitar reinfecciones desde máquinas aún comprometidas.
    - Reforzar controles de correo y formación anti-phishing para reducir las probabilidades de nuevas infecciones en la misma organización.

Notas opcionales:
- TrickBot ha sido uno de los pilares del ecosistema de cibercrimen financiero y ransomware, frecuentemente utilizado junto con otras familias (Emotet, Ryuk, Conti) como parte de cadenas de ataque complejas en entornos corporativos.]]> Nombre: TrickBot

Categoría: Troyano bancario / Plataforma modular

Fecha de descubrimiento: En torno a 2016

Comportamiento (lo que hace y archivos que infecta):
- Nace como troyano bancario centrado en robar credenciales de banca en línea y otras credenciales financieras.
- Evoluciona a una plataforma modular capaz de:
- Robo de credenciales (navegadores, clientes de correo, VPN, RDP, etc.).
- Exfiltración de información de sistema, dominio y red.
- Movimiento lateral dentro del entorno corporativo.
- Descarga y ejecución de otros payloads (especialmente ransomware).
- Se distribuye principalmente mediante:
- Campañas de correo malicioso (malspam) con adjuntos o enlaces.
- Cadena de infección junto a otros malware (por ejemplo Emotet, Ryuk, Conti y otros actores).
- Funciones típicas:
- Inyección en navegadores para capturar credenciales bancarias.
- Enumeración de red (shares, dominios, controladores de dominio).
- Uso de credenciales robadas para propagarse a otros equipos.
- Descarga de módulos adicionales (DLL/EXE) desde infraestructura de mando y control (C2).
- Archivos afectados:
- Perfiles y datos de navegadores (cookies, sesiones, credenciales guardadas).
- Ficheros de configuración de aplicaciones con credenciales o tokens.
- Binarios auxiliares y DLLs colocados en rutas de sistema o de usuario.

Persistencia:
- Usa tareas programadas para ejecutarse de forma recurrente:
- Ejemplo: creación de tareas con nombres que imitan procesos legítimos o tareas del sistema.
- Modifica claves de Registro en rutas Run/RunOnce para ejecutar su binario en cada inicio de sesión.
- Puede instalar servicios adicionales o usar rutas en AppData con nombres que simulan software legítimo.
- En redes comprometidas:
- Mantiene presencia mediante movimiento lateral y despliegue de módulos en varios equipos; limpiar un solo host rara vez es suficiente.

Hash real de referencia (SHA-256):
Muestra pública asociada a TrickBot:
Code:
0fbf3f65f8c9db2bdd687ce916d3b8ce1eb4f24f666b0c844d05f200c3c0d892

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Realizar escaneo completo de todos los equipos sospechosos y de las unidades de red mapeadas.
    - Localizar y eliminar:
    - El binario principal de TrickBot.
    - Módulos adicionales (DLL/EXE) descargados por el troyano.
    - Prestar especial atención a:
    - Directorios de usuario (AppData, Local, Roaming).
    - Rutas de sistema donde se hayan creado binarios con nombres similares a procesos legítimos.
    - Repetir el escaneo tras la limpieza y antes de reconectar el equipo a la red.

  • Firewall:
    - Bloquear conexiones salientes hacia dominios e IPs asociadas a C2 de TrickBot o tráfico sospechoso persistente.
    - Restringir SMB, RDP y otros servicios de administración solo a orígenes/destinos legítimos para reducir movimiento lateral.
    - En hosts comprometidos:
    - Aislar temporalmente mediante reglas de firewall más restrictivas hasta concluir la remediación.

  • HIPS / EDR:
    - Crear reglas de detección para:
    - Actividad anómala de tareas programadas recién creadas que ejecutan binarios desconocidos.
    - Creación/modificación de claves de Registro Run/RunOnce apuntando a rutas no estándar.
    - Uso de procesos hijos que:
    - Enumeran red y dominio.
    - Ejecutan herramientas administrativas o de credenciales sin justificación.
    - Intentos de inyección en navegadores u otros procesos que manejan credenciales.
    - Definir respuesta automática:
    - Bloquear y matar procesos identificados como relacionados con TrickBot.
    - Marcar hashes y rutas como bloqueadas de forma persistente.
    - Registrar toda la actividad en los logs unificados para análisis posterior.

  • Sandbox:
    - Ejecutar en Sandbox:
    - Adjuntos de correo sospechosos.
    - Ejecutables recibidos por canales no confiables.
    - Observar si el archivo:
    - Establece conexiones a dominios/IPs desconocidos.
    - Crea tareas programadas o claves Run.
    - Descarga módulos adicionales o herramientas de red.

  • Post-incidente:
    - Forzar el cambio de credenciales:
    - Bancarias.
    - Cuentas administrativas (AD, servidores críticos, VPN, correo).
    - Revisar si se descargó y ejecutó ransomware u otros payloads posteriores:
    - Examinar logs de cifrado de archivos, borrado de copias de sombra, etc.
    - Analizar toda la red:
    - Identificar otros endpoints con indicios de TrickBot o módulos relacionados.
    - Realizar limpieza coordinada para evitar reinfecciones desde máquinas aún comprometidas.
    - Reforzar controles de correo y formación anti-phishing para reducir las probabilidades de nuevas infecciones en la misma organización.

Notas opcionales:
- TrickBot ha sido uno de los pilares del ecosistema de cibercrimen financiero y ransomware, frecuentemente utilizado junto con otras familias (Emotet, Ryuk, Conti) como parte de cadenas de ataque complejas en entornos corporativos.]]> <![CDATA[TROYANO – Emotet]]> https://forum.getoverx.com/showthread.php?tid=27 Sat, 29 Nov 2025 15:35:37 +0000 mrwebfeeder]]> https://forum.getoverx.com/showthread.php?tid=27 Nombre: Emotet

Categoría: Troyano bancario + Downloader / Botnet

Familia / Campañas: Emotet (Epoch 4/5)

Fecha de descubrimiento: Alrededor de 2014

Comportamiento (lo que hace y archivos que infecta):
- Comienza como troyano bancario focalizado en robo de credenciales financieras.
- Evoluciona a una botnet modular usada como plataforma de acceso inicial para otros grupos de malware.
- Propagación principal:
- Campañas masivas de correo electrónico con documentos maliciosos (Office) y adjuntos comprimidos.
- Correos con hilos “reutilizados” (reply-chain) para ganar credibilidad.
- Funciones típicas:
- Robo de credenciales: navegadores, correo, VPN y otros servicios.
- Descarga de otros malware: especialmente TrickBot, Ryuk y otras familias de ransomware o troyanos.
- Movimiento lateral: uso de credenciales robadas, shares SMB, herramientas de administración remota, etc.
- Archivos afectados:
- Perfiles de navegador, ficheros de configuración y credenciales guardadas.
- Documentos y adjuntos usados como vector de infección.
- Binarios y DLL auxiliares desplegados en rutas de usuario o sistema para mantener la botnet activa.

Persistencia:
- Crea servicios con nombres que imitan componentes legítimos del sistema. Ejemplo conocido:
Code:
Service Name: WWinMan
- Puede registrarse en claves de Registro Run/RunOnce y otras rutas de inicio automático.
- Suele ubicarse en directorios de usuario (AppData, Local, Roaming) con nombres poco llamativos para camuflarse.
- En entornos corporativos, suele combinarse con otras herramientas (TrickBot, loaders de ransomware) que a su vez añaden más mecanismos de persistencia y movimiento lateral.

Hash real de referencia (SHA-256):
Muestra pública asociada a Emotet:
Code:
3e3c7fc395a538f1e04756f014c2175b58844386df4e5955dfd37180de16854d

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Escaneo completo del sistema para localizar:
    - El binario principal de Emotet.
    - Servicios y módulos auxiliares (DLL/EXE) relacionados.
    - Eliminar o poner en cuarentena todos los artefactos detectados.
    - Revisar:
    - Directorios de usuario (AppData, Temp).
    - Rutas de sistema donde pueda haberse copiado con nombres similares a procesos legítimos.

  • Filtro de correo / Office endurecido:
    - Filtrar macros:
    - Deshabilitar o restringir macros en documentos de Office recibidos por correo, especialmente de remitentes externos.
    - Bloquear automáticamente adjuntos considerados de alto riesgo (Office con macros, formatos poco comunes).
    - Hardened Office mode:
    - Activar modos de “vista protegida” y políticas de ejecución restringida para documentos descargados de Internet.
    - Bloquear ejecución de macros a menos que estén firmadas y provengan de fuentes confiables.

  • Firewall:
    - Bloquear IPs C2:
    - Mantener listas de bloqueo para dominios/IPs asociados a C2 de Emotet.
    - Restringir conexiones salientes de equipos de usuario hacia destinos poco habituales.
    - Aislar hosts con actividad sospechosa mediante perfiles de firewall más restrictivos hasta concluir el análisis.

  • HIPS / EDR:
    - Detectar y alertar sobre:
    - Creación de servicios desconocidos (como “WWinMan”) vinculados a binarios en rutas no estándar.
    - Procesos hijos de documentos de Office (word.exe, excel.exe, etc.) que generen nuevos ejecutables o scripts.
    - Descarga y ejecución de binarios desde Internet tras abrir adjuntos de correo.
    - Bloquear automáticamente:
    - Procesos que muestren patrones típicos de Emotet (descarga de módulos, comunicación C2 repetitiva, etc.).
    - Binarios por hash una vez confirmados como maliciosos.

  • Sandbox:
    - Analizar en Sandbox:
    - Documentos de Office sospechosos.
    - Ficheros comprimidos y adjuntos de correo antes de su ejecución en producción.
    - Observar si:
    - Intentan contactar C2 conocidos.
    - Crean servicios o claves de persistencia.
    - Despliegan loaders adicionales (TrickBot, Ryuk u otros).

  • Post-incidente:
    - Cambiar contraseñas:
    - Correo corporativo y personal.
    - Banca en línea y servicios financieros.
    - Credenciales administrativas, VPN y acceso a paneles críticos.
    - Verificar si:
    - Se descargaron y ejecutaron otras amenazas (TrickBot, Ryuk, etc.).
    - Existen signos de cifrado de archivos o intentos de borrado de copias de sombra.
    - Revisar políticas de filtrado de correo y reforzar la formación en phishing para reducir la superficie de ataque.

Notas opcionales:
- Emotet ha sido uno de los botnets más relevantes de la última década, utilizado como “servicio” para distribuir otros malware de alto impacto en entornos corporativos.]]> Nombre: Emotet

Categoría: Troyano bancario + Downloader / Botnet

Familia / Campañas: Emotet (Epoch 4/5)

Fecha de descubrimiento: Alrededor de 2014

Comportamiento (lo que hace y archivos que infecta):
- Comienza como troyano bancario focalizado en robo de credenciales financieras.
- Evoluciona a una botnet modular usada como plataforma de acceso inicial para otros grupos de malware.
- Propagación principal:
- Campañas masivas de correo electrónico con documentos maliciosos (Office) y adjuntos comprimidos.
- Correos con hilos “reutilizados” (reply-chain) para ganar credibilidad.
- Funciones típicas:
- Robo de credenciales: navegadores, correo, VPN y otros servicios.
- Descarga de otros malware: especialmente TrickBot, Ryuk y otras familias de ransomware o troyanos.
- Movimiento lateral: uso de credenciales robadas, shares SMB, herramientas de administración remota, etc.
- Archivos afectados:
- Perfiles de navegador, ficheros de configuración y credenciales guardadas.
- Documentos y adjuntos usados como vector de infección.
- Binarios y DLL auxiliares desplegados en rutas de usuario o sistema para mantener la botnet activa.

Persistencia:
- Crea servicios con nombres que imitan componentes legítimos del sistema. Ejemplo conocido:
Code:
Service Name: WWinMan
- Puede registrarse en claves de Registro Run/RunOnce y otras rutas de inicio automático.
- Suele ubicarse en directorios de usuario (AppData, Local, Roaming) con nombres poco llamativos para camuflarse.
- En entornos corporativos, suele combinarse con otras herramientas (TrickBot, loaders de ransomware) que a su vez añaden más mecanismos de persistencia y movimiento lateral.

Hash real de referencia (SHA-256):
Muestra pública asociada a Emotet:
Code:
3e3c7fc395a538f1e04756f014c2175b58844386df4e5955dfd37180de16854d

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Escaneo completo del sistema para localizar:
    - El binario principal de Emotet.
    - Servicios y módulos auxiliares (DLL/EXE) relacionados.
    - Eliminar o poner en cuarentena todos los artefactos detectados.
    - Revisar:
    - Directorios de usuario (AppData, Temp).
    - Rutas de sistema donde pueda haberse copiado con nombres similares a procesos legítimos.

  • Filtro de correo / Office endurecido:
    - Filtrar macros:
    - Deshabilitar o restringir macros en documentos de Office recibidos por correo, especialmente de remitentes externos.
    - Bloquear automáticamente adjuntos considerados de alto riesgo (Office con macros, formatos poco comunes).
    - Hardened Office mode:
    - Activar modos de “vista protegida” y políticas de ejecución restringida para documentos descargados de Internet.
    - Bloquear ejecución de macros a menos que estén firmadas y provengan de fuentes confiables.

  • Firewall:
    - Bloquear IPs C2:
    - Mantener listas de bloqueo para dominios/IPs asociados a C2 de Emotet.
    - Restringir conexiones salientes de equipos de usuario hacia destinos poco habituales.
    - Aislar hosts con actividad sospechosa mediante perfiles de firewall más restrictivos hasta concluir el análisis.

  • HIPS / EDR:
    - Detectar y alertar sobre:
    - Creación de servicios desconocidos (como “WWinMan”) vinculados a binarios en rutas no estándar.
    - Procesos hijos de documentos de Office (word.exe, excel.exe, etc.) que generen nuevos ejecutables o scripts.
    - Descarga y ejecución de binarios desde Internet tras abrir adjuntos de correo.
    - Bloquear automáticamente:
    - Procesos que muestren patrones típicos de Emotet (descarga de módulos, comunicación C2 repetitiva, etc.).
    - Binarios por hash una vez confirmados como maliciosos.

  • Sandbox:
    - Analizar en Sandbox:
    - Documentos de Office sospechosos.
    - Ficheros comprimidos y adjuntos de correo antes de su ejecución en producción.
    - Observar si:
    - Intentan contactar C2 conocidos.
    - Crean servicios o claves de persistencia.
    - Despliegan loaders adicionales (TrickBot, Ryuk u otros).

  • Post-incidente:
    - Cambiar contraseñas:
    - Correo corporativo y personal.
    - Banca en línea y servicios financieros.
    - Credenciales administrativas, VPN y acceso a paneles críticos.
    - Verificar si:
    - Se descargaron y ejecutaron otras amenazas (TrickBot, Ryuk, etc.).
    - Existen signos de cifrado de archivos o intentos de borrado de copias de sombra.
    - Revisar políticas de filtrado de correo y reforzar la formación en phishing para reducir la superficie de ataque.

Notas opcionales:
- Emotet ha sido uno de los botnets más relevantes de la última década, utilizado como “servicio” para distribuir otros malware de alto impacto en entornos corporativos.]]>