En este contexto que es mas probable: Infeccion local , en hosting ; spoofing ; pass robado ?

juanitapregunta

Lanero Reconocido
Lanero VIP
Se unió
16 Feb 2006
Mensajes
2,722
Buenas tardes, muchachos, me ayudan por favor con luces de donde puede estar el compromiso de seguridad del siguiente contexto:

1. Evidencia inicial: Desde un email se envió automáticamente al parecer a la lista de contactos, con un asunto y cuerpo de mensaje engañoso con un link para bajar un troyano.
2. El correo se usa vía browser en gmail.com
3. El correo se usa la mayoría del tiempo en una LAN con equipos bajo Windows
4.Las cuentas de correo tienen dominio propio hacen un forwarded a Gmail y desde allí se usa un alias.
5. Cuando se analiza los headers del mensaje con el virus comparadas un mensaje enviado manualmente , al parecer son las mismas . En las dos el SPF esta en status "Softfail" , lo cual tengo entendido es relativamente normal.
6. Días después otras 2 cuentas de correo empezaron a hacer lo mismo, pero con variación en el cuerpo del mensaje, peor igualmente con el objetivo que se desargue el troyano .
7. Se corre antivirus en los compus de la LAN sin detención (Aunque no cuento el dato de con cual)
7.5 Se corre antvirus en el hosting (Linux) sin detención
8. Cuando se descarga el archivo y se analiza con 70 antivirus , solo 30 lo detectaron .
9. Nombres :

HEUR:Backdoor.MSIL.Crysan.gen
Backdoor:MSIL/Crysen.AD!MTB
MSIL.Backdoor.ASyncRAT.IE5LMD
Artemis!514D5EFBC737
Gen:NN.ZemsilF.34658.GjW@am7Lwmk
A Variant Of MSIL/GenKryptik.EWWK
Backdoor.AsyncRAT
Backdoor:MSIL/Crysen.AD!MTB

Donde creen que es más probable este el virus actuando para reenviarse a los contactos y porque ?

A) En la LAN
B)En el hosting
C) En gmail
D) Que sea un caso de Spoofing
E) El acceso a la cuenta podría estar comprometido y estar actuando desde afuera
F) Otro , cual ?

Nota: O podria ser otro virus el que esta realizando el envio en otra etapa del ataque, y por eso es que cuando se scanea los supuestos equipos infectados no se encuentra nada ?? :unsure:

Muchas gracias
 
Última edición:

juanitapregunta

Lanero Reconocido
Lanero VIP
Se unió
16 Feb 2006
Mensajes
2,722
Pues según esto:
https://www.2-spyware.com/remove-backdoormsilasyncrat.html
Parece que es un troyano de windows, lo mas probable es que el problema esté en los equipos de la red lan.
Reinstalar el s.o. de los pc.

Eso mismo pense, pero lo que me parece raro es que los headers del correo esten bien , ya que el correo se usa via browser; que fuera via programa en el equipo y el virus se colgara de la configuracion e info de este listo, pero me queda la duda como el troyano esta enviando correos automatizados presuntamente desde Gmail :unsure: .
 
Última edición:

Pikachu_Patapi

Lanero Reconocido
Se unió
25 Oct 2002
Mensajes
1,536
y no va a encontrar virus.... están usando es Chrome y alguien por ahí debe tener una extensión ahí bien metidita y no hay antivirus que detecte esa porquería....
usar el CCleaner y que limpie las caches de todos los navegadores y mirar que servicios y programas de inicio hay en los computadores... ojala dejar solo el mínimo.
También salirse de las cuentas de sincronización de Chrome y borrar todas las caches.. ojala de todos los navegadores....
restablecer el Chrome desde el menú avanzado.
pasar el adwcleaner a ver si detecta por ahi alguna cosa rara....

y si se puede el Malwarebytes...

Los antivirus dejaron de ser utiles realmente desde el 2014.... y mas si ya esta infectado.. ya no sirven para nada.. (es como las mascarillas.. despues de que se infecto.. ya no sirven para nada)

Pd: seguro le esta generando SPAM a la lata. Tocaria mirar a ver si se puede averiguar el mensaje del antispam que a veces mostraba la IP del equipo corrupto y ahi uno le caia...

Si usan algun firewall tambien se podria mirar por que normalmente el equipo infectado empieza a mandar paquetes como loco y hasta en los led del switch uno los detecta por que manda trafico como loco.

Edit: por cierto... se puede correr todo eso bajo windows a modo a prueba de fallos y si quiere con soporte a red...
 

juanitapregunta

Lanero Reconocido
Lanero VIP
Se unió
16 Feb 2006
Mensajes
2,722
Pd: seguro le esta generando SPAM a la lata. Tocaria mirar a ver si se puede averiguar el mensaje del antispam que a veces mostraba la IP del equipo corrupto y ahi uno le caia...

Hola gracias ; lo raro es que al parecer en los headers las ips que muestra el mensaje que lleva el virus , son las mismas de un correo normal ( Ips de salida de gmail)

Al parecer no esta generando spam a destinos aleatorios ; envia especificamente a correos a los que anteriormente se ha escrito ( Precisamente para aumentar la confianza )
 

solu

Lanero Regular
Se unió
8 Oct 2020
Mensajes
48
y no va a encontrar virus.... están usando es Chrome y alguien por ahí debe tener una extensión ahí bien metidita y no hay antivirus que detecte esa porquería....
usar el CCleaner y que limpie las caches de todos los navegadores y mirar que servicios y programas de inicio hay en los computadores... ojala dejar solo el mínimo.
También salirse de las cuentas de sincronización de Chrome y borrar todas las caches.. ojala de todos los navegadores....
restablecer el Chrome desde el menú avanzado.
pasar el adwcleaner a ver si detecta por ahi alguna cosa rara....

y si se puede el Malwarebytes...

Los antivirus dejaron de ser utiles realmente desde el 2014.... y mas si ya esta infectado.. ya no sirven para nada.. (es como las mascarillas.. despues de que se infecto.. ya no sirven para nada)

Pd: seguro le esta generando SPAM a la lata. Tocaria mirar a ver si se puede averiguar el mensaje del antispam que a veces mostraba la IP del equipo corrupto y ahi uno le caia...

Si usan algun firewall tambien se podria mirar por que normalmente el equipo infectado empieza a mandar paquetes como loco y hasta en los led del switch uno los detecta por que manda trafico como loco.

Edit: por cierto... se puede correr todo eso bajo windows a modo a prueba de fallos y si quiere con soporte a red...
pienso lo mismo, lo mas seguro es que sea local y alguna extension del navegador que esta haciendo CSRF
 
Arriba