Germán Fernández(@1ZRR4H) 's Twitter Profile Photo
Germán Fernández
@1ZRR4H

5 months ago

Más aka .

'Comprobante Fiscal Digital - U1T1z3X2v1y7A03296427272.html'

- hxxp://enviocfdi.shop/es/?05
- hxxp://191.101.2.27/es1/digital.html
- hxxp://facturacions.northeurope.cloudapp.azure.com/es/index.php?va
- hxxp://sva.gotdns.ch/25/?=
-…

Más #Metamorfo aka #Casbaneiro. 'Comprobante Fiscal Digital - U1T1z3X2v1y7A03296427272.html' - hxxp://enviocfdi.shop/es/?05 - hxxp://191.101.2.27/es1/digital.html - hxxp://facturacions.northeurope.cloudapp.azure.com/es/index.php?va - hxxp://sva.gotdns.ch/25/?= -…
account_circle
Hiram Alejandro(@hiramcoop) 's Twitter Profile Photo
Hiram Alejandro
@hiramcoop

1 year ago

🇲🇽 Están circulando correos electrónicos suplantando la identidad de Banco Azteca, los cuales contienen un archivo en PDF que incluye un link para descargar el troyano bancario 'Casbaneiro'
El PDF supuestamente contiene la info de una transferencia vía SPEI

🇲🇽 Están circulando correos electrónicos suplantando la identidad de Banco Azteca, los cuales contienen un archivo en PDF que incluye un link para descargar el troyano bancario 'Casbaneiro' El PDF supuestamente contiene la info de una transferencia vía SPEI
account_circle
Igal Lytzki🇮🇱(@0xToxin) 's Twitter Profile Photo
Igal Lytzki🇮🇱
@0xToxin

8 months ago

Some aka Action that I monitored today targeting Mexico 🇲🇽

⛓️Execution Chain:
Phish -> .rar -> .cmd -> .ps1 -> AutoIT -> force shutdown -> autorun persistence leading to execution of DLL's

BreakDown:

🎣 The Phish - simple and not well crafted…

Some #Metamorfo aka #Casbaneiro Action that I monitored today targeting Mexico 🇲🇽 ⛓️Execution Chain: Phish -> .rar -> .cmd -> .ps1 -> AutoIT -> force shutdown -> autorun persistence leading to execution of #Metamorfo DLL's BreakDown: 🎣 The Phish - simple and not well crafted…
account_circle
Ven0m(@V3n0mStrike) 's Twitter Profile Photo
Ven0m
@V3n0mStrike

6 months ago

aka Casbaneiro fresh IOC
oliga.canadacentral.]cloudapp.]azure.]com/es/index.php?va (CMD Script)
💣raw.githubusercontent.]com/awslg/read/main/settings.md (Powershell Script)
🦠dropbox.]com/scl/fi/7mutwk75o9o7wpgj9mstj/m.zip?rlkey=vfrmtts1hfpgx8zryk4lob4jq&dl=1
Germán Fernández

#Metamorfo aka Casbaneiro fresh IOC oliga.canadacentral.]cloudapp.]azure.]com/es/index.php?va (CMD Script) 💣raw.githubusercontent.]com/awslg/read/main/settings.md (Powershell Script) 🦠dropbox.]com/scl/fi/7mutwk75o9o7wpgj9mstj/m.zip?rlkey=vfrmtts1hfpgx8zryk4lob4jq&dl=1 @1ZRR4H
account_circle
Didem Balcı(@didembalci1) 's Twitter Profile Photo
Didem Balcı
@didembalci1

4 years ago

Bankacılık truva atı Casbaneiro, kripto para hırsızlığı yapıyor

Bankacılık truva atı Casbaneiro, kripto para hırsızlığı yapıyor
account_circle
Bülent Saylam(@saylam222) 's Twitter Profile Photo
Bülent Saylam
@saylam222

4 years ago

Kripto para çalan truva atı: Casbaneiro

Siber güvenlik kuruluşu ESET, kripto para cüzdanlarını hedefleyen yeni bir truva atını tespit etti. E-posta yoluyla bulaşan Casbaneiro truva atı, kullanıcıları yazılım güncellemesi ya da acil kredi kartı bilgisi talebiyle kandırıyor. …

Kripto para çalan truva atı: Casbaneiro Siber güvenlik kuruluşu ESET, kripto para cüzdanlarını hedefleyen yeni bir truva atını tespit etti. E-posta yoluyla bulaşan Casbaneiro truva atı, kullanıcıları yazılım güncellemesi ya da acil kredi kartı bilgisi talebiyle kandırıyor. …
account_circle
Germán Fernández(@1ZRR4H) 's Twitter Profile Photo
Germán Fernández
@1ZRR4H

5 months ago

🚨 Campaña activa de aka dirigida a España y Argentina.

'HA RECIBIDO SU COMPROBANTE FISCAL DIGITAL'
Enviado desde: facturas17@contab[.]tech

Para España 🇪🇸
1.- hxxps://short[.]gy/nkT7dz
2.- hxxp://familysinaloa[.]website/a12/
3.-…

🚨 Campaña activa de #Metamorfo aka #Casbaneiro dirigida a España y Argentina. 'HA RECIBIDO SU COMPROBANTE FISCAL DIGITAL' Enviado desde: facturas17@contab[.]tech Para España 🇪🇸 1.- hxxps://short[.]gy/nkT7dz 2.- hxxp://familysinaloa[.]website/a12/ 3.-…
account_circle
Sosyazete(@sosyazete) 's Twitter Profile Photo
Sosyazete
@sosyazete

4 years ago

Bankacılık truva atı Casbaneiro, kripto para hırsızlığı yapıyor sosyazete.com/bankacilik-tru…

Bankacılık truva atı Casbaneiro, kripto para hırsızlığı yapıyor sosyazete.com/bankacilik-tru…
account_circle
Merl(@Merlax_) 's Twitter Profile Photo
Merl
@Merlax_

8 months ago

El loader/1er stage similar en distintos bankers 🇧🇷
Geoip -> HTML Smuggling (Diferentes) -> zip -> msi

🆕Los actores de Mekotio estarían actualizando el panel y el sitio en blanco final

Bankers: Mekotio y Casbaneiro (no estoy seguro la familia de la 2da y 3er imagen)

El loader/1er stage similar en distintos bankers 🇧🇷 Geoip -> HTML Smuggling (Diferentes) -> zip -> msi 🆕Los actores de Mekotio estarían actualizando el panel y el sitio en blanco final Bankers: Mekotio y Casbaneiro (no estoy seguro la familia de la 2da y 3er imagen)
account_circle
ParaMedya(@paramedya) 's Twitter Profile Photo
ParaMedya
@paramedya

4 years ago

İnternet bankacılığında Casbaneiro kabusu
İnternet bankacılığı yapanları tehdit eden Casbaneiro turuva atı dünyada hızla yayılıyor. Güncelleme ve sahte bilgi ile internet şube ve kart bilgilerini çalıyor.
paramedya.com.tr/devami/39416/i…

İnternet bankacılığında Casbaneiro kabusu İnternet bankacılığı yapanları tehdit eden Casbaneiro turuva atı dünyada hızla yayılıyor. Güncelleme ve sahte bilgi ile internet şube ve kart bilgilerini çalıyor. paramedya.com.tr/devami/39416/i…
account_circle
UV-CSIRT(@uvcsirt) 's Twitter Profile Photo
UV-CSIRT
@uvcsirt

3 years ago

El Laboratorio de Investigación de identificó una campaña maliciosa que propaga el bancario dirigida a usuarios de . Este bancario ha registrado mayor actividad en en los últimos años

bit.ly/38l2L9F

El Laboratorio de Investigación de #ESET identificó una campaña maliciosa que propaga el #troyano bancario #Casbaneiro dirigida a usuarios de #Mexico. Este #malware bancario ha registrado mayor actividad en #Latinoamérica en los últimos años bit.ly/38l2L9F
account_circle
Padawan(@johnk3r) 's Twitter Profile Photo
Padawan
@johnk3r

3 years ago



C2 OneDrive
VBox Guest side-loading

bazaar.abuse.ch/sample/802cdc3…

JAMESWT ESET Research Trend Micro Research Vitali Kremez

#Trojan #Casbaneiro C2 OneDrive VBox Guest side-loading bazaar.abuse.ch/sample/802cdc3… @JAMESWT_MHT @ESETresearch @TrendMicroRSRCH @VK_Intel
account_circle
Germán Fernández(@1ZRR4H) 's Twitter Profile Photo
Germán Fernández
@1ZRR4H

1 year ago

Nueva campaña del troyano aka dirigido a México 🇲🇽

email > pdf con link > web con link > zip > cmd > ps1

C2: /172.105.111.154/a1a/10/index.php?AT=jones%20424505%20Microsoft%20Windows%2010%20Pro%20(64)bit&MD=Windows%20Defender

+ joesandbox.com/analysis/993139

Nueva campaña del troyano #Metamorfo aka #Casbaneiro dirigido a México 🇲🇽 email > pdf con link > web con link > zip > cmd > ps1 C2: /172.105.111.154/a1a/10/index.php?AT=jones%20424505%20Microsoft%20Windows%2010%20Pro%20(64)bit&MD=Windows%20Defender + joesandbox.com/analysis/993139
account_circle
Sí, soy yo(@nuria_imeq) 's Twitter Profile Photo
Sí, soy yo
@nuria_imeq

1 year ago



hxxp://recibopagosmx2022.blob.core.windows.net/containermx01/
Recibo_Pago1710_250SpJmLWiC9vjKr6jnMx1.zip
Recibo_Pago1710_250SpJmLWiC9vjKr6jnMx1[.exe

#Casbaneiro #TrojanBanker #IOCs hxxp://recibopagosmx2022.blob.core.windows.net/containermx01/ Recibo_Pago1710_250SpJmLWiC9vjKr6jnMx1.zip Recibo_Pago1710_250SpJmLWiC9vjKr6jnMx1[.exe
account_circle
Avast Threat Labs(@AvastThreatLabs) 's Twitter Profile Photo
Avast Threat Labs
@AvastThreatLabs

1 year ago

Ongoing banking trojan campaign in Mexico 🇲🇽 distributed via containing malicious attachments.

Campaign Timestamp: 1508
HTML: https://vin6[.]icu/1508/1508.html -> https://vin6[.]icu/1508/index.php?va

Ongoing #Casbaneiro banking trojan campaign in Mexico 🇲🇽 distributed via #malspam containing malicious #HTML attachments. Campaign Timestamp: 1508 HTML: https://vin6[.]icu/1508/1508.html -> https://vin6[.]icu/1508/index.php?va
account_circle
Sí, soy yo(@nuria_imeq) 's Twitter Profile Photo
Sí, soy yo
@nuria_imeq

6 months ago

Bankinter
Campaña troyano bancario.
Tras unos cuantos saltos en los que detectan la cabecera User-Agent, se produce la descarga de fichero de comprimido, el cual tiene un fichero cmd. Este fichero comprimido es descargado desde github.

Bankinter #Trojan #casbaneiro Campaña troyano bancario. Tras unos cuantos saltos en los que detectan la cabecera User-Agent, se produce la descarga de fichero de comprimido, el cual tiene un fichero cmd. Este fichero comprimido es descargado desde github.
account_circle
Metal Dünyası(@metal_dunyasi) 's Twitter Profile Photo
Metal Dünyası
@metal_dunyasi

4 years ago

Bankacılık Truva Atı Casbaneiro, Kripto Para Hırsızlığı Yapıyor

Okumak için tıklayınız: bit.ly/MetalDünyası_E…

Bankacılık Truva Atı Casbaneiro, Kripto Para Hırsızlığı Yapıyor #eset #metaldünyası #prestijyayıncılık Okumak için tıklayınız: bit.ly/MetalDünyası_E…
account_circle
سايبر دايبر(@CyberDaiber) 's Twitter Profile Photo
سايبر دايبر
@CyberDaiber

9 months ago

تمت ملاحظة الجهات الفاعلة المهددة ذات الدوافع المالية وراء عائلة البرامج الضارة المصرفية Casbaneiro وهي تستخدم تقنية تجاوز التحكم في حساب المستخدم (UAC) للحصول على امتيازات إدارية كاملة على الجهاز
blog.sygnia.co/breaking-down-…

تمت ملاحظة الجهات الفاعلة المهددة ذات الدوافع المالية وراء عائلة البرامج الضارة المصرفية Casbaneiro وهي تستخدم تقنية تجاوز التحكم في حساب المستخدم (UAC) للحصول على امتيازات إدارية كاملة على الجهاز blog.sygnia.co/breaking-down-… #الأمن_السيبراني
account_circle
JAMESWT(@JAMESWT_MHT) 's Twitter Profile Photo
JAMESWT
@JAMESWT_MHT

6 months ago


Url>zip>cmd>url1 url2>zip ps1>dll autoit >
post infection

Urls
urlhaus.abuse.ch/browse/tag/Met…
Samples
bazaar.abuse.ch/browse/tag/Met…

AnyRun
app.any.run/tasks/f14e52db…

#casbaneiro #MetaMorfo #ponteiro Url>zip>cmd>url1 url2>zip ps1>dll autoit > post infection Urls urlhaus.abuse.ch/browse/tag/Met… Samples bazaar.abuse.ch/browse/tag/Met… AnyRun app.any.run/tasks/f14e52db…
account_circle
Cristian Borghello(@SeguInfo) 's Twitter Profile Photo
Cristian Borghello
@SeguInfo

5 months ago

Nueva campaña de troyano contra empresas🇦🇷

Correo dirige a una URL que descarga un RAR > VBS > Enlace Dropbox con un ZIP > Archivos TXTs que son EXE > Troyano > Ejecución > Shutdown Win

VBS: c9da65c5b4716c7b1a6f4595b84b9147
EXE: 41213f25108050f9c4acf3f43823e73b

Nueva campaña de troyano #Casbaneiro contra empresas🇦🇷 Correo dirige a una URL que descarga un RAR > VBS > Enlace Dropbox con un ZIP > Archivos TXTs que son EXE > Troyano > Ejecución > Shutdown Win VBS: c9da65c5b4716c7b1a6f4595b84b9147 EXE: 41213f25108050f9c4acf3f43823e73b
account_circle