Ven0m @V3n0mStrike Twitter profile

Last Seen Profiles

@DeniseC67328491

@EinsteinEssibu

@shaquanna14338

@closingUSD

@FlikQuintup

@YYudika73442

@reaversnft

@stw_pdg

@KLR_edits

@MarieLove220

@princekukm

@losgatitosdenia

@BinorRaja

@estadi1217

@brandisherii_

@jandakembangstw

@chantlay

@tu7amakfrro

@bokeplokalmalam

@Ryadcorleone

@DFitchat

@ChihiroSAKURADA

@descrevoo

@KeenanShar13344

@pdrumm_

@sickener1942

@tometrics

@FinnagainsNFT

@bokeplokalmalam

@Freedom28323857

@SandraC31890619

@HoP_PIR

@varibIog

@giovi0323

@SpaceNationOL

@okushin_tw

Ven0m

@V3n0mStrike

6 months

📌 Desde agosto de 2023 hasta hoy, aún hay sitios web con código JavaScript inyectado que utilizan Google DNS para redirigir a sitios maliciosos. Estos scripts, presentes en sitios web de WordPress, redirigen a estafas de soporte técnico y páginas para adultos. A continuación,

8

46

118

Ven0m

@V3n0mStrike

7 months

He estado analizando este incidente y utilizando los datos públicos disponibles, he intentado dimensionar su magnitud. Utilizando como punto de referencia el Sistema Autónomo (AS) de IXMETRO POWERHOST, he identificado 237 servidores VPS. De estos, 89 no están actualmente

Germán Fernández

@1ZRR4H

7 months

🚨 El proveedor de servicios de datacenter, infraestructura y conectividad IXMETRO POWERHOST 🇨🇱 se encuentra respondiendo a un ataque de #ransomware . El ataque estaría afectando a cientos o quizás miles de clientes y usuarios que hoy se encuentran con sus servicios abajo. En el

18

110

186

3

35

103

Ven0m

@V3n0mStrike

3 months

⚠️ Mucho cuidado con estos 2 dominios recientemente registrados: ▫️ constructorafin[.]cl ▫️ axi0ma[.]cl Ambos dominios fueron registrados por "Savannah McPartland" y serán utilizados para suplantar la identidad de Constructora AFIN y Axioma Ingenieros Consultores S.A. en

6

26

84

Ven0m

@V3n0mStrike

6 months

🚨 ¡Alerta de #BlackHatSEO en varios sitios web de la Fuerza Aérea del Perú! 🇵🇪 @fapperu . Estos sitios contienen una serie de enlaces ocultos dentro de un elemento <div> con el estilo "display:none", lo que implica que no serán visibles para los usuarios que visiten la página

4

24

78

Ven0m

@V3n0mStrike

6 months

🚨Alerta México 🇲🇽 El sitio web dif[.]gomezpalacio[.]gob[.]mx, perteneciente al Ayuntamiento de Gómez Palacio Durango @AyuntamientoGP , presenta múltiples archivos #webshell activos. Estos archivos permiten a un atacante ejecutar comandos, manipular archivos, controlar la base de

Chum1ng0-security research

@chum1ng0

8 months

👉🇲🇽 #M éxico: HerbDark supuestamente afirma haber desfigurado un subdominio del Ayuntamiento Gómez Palacio. @AyuntamientoGP 👉dif[.]gomezpalacio[.]gob[.]mx

1

10

20

3

30

72

Ven0m

@V3n0mStrike

4 months

#KoiLoader > #KoiStealer "chase_14_06_24_statement.zip" 9248d1d92ff8fed2ab7e4e56445c398e Related stages: ▫️ https://schermarieti[.]it/wp-content/uploads/2019/09/zietrisikiteFtK.ps1 ▫️ https://schermarieti[.]it/wp-content/uploads/2019/09/bitteredXD3.php ▫️

3

20

65

Ven0m

@V3n0mStrike

7 months

📌 CVE-2024-3273 En Chile 🇨🇱, al menos 87 dispositivos NAS D-Link expuestos presentan una cuenta de backdoor. 🔥🔥 Estos dispositivos se encuentran al final de su vida útil (EOL) y no recibirán parches para corregir esta vulnerabilidad. D-Link recomienda retirar estos productos

2

16

62

Ven0m

@V3n0mStrike

4 months

👀"hsbc_statement_may.zip" 3d44af4a6ba1d6fc88be3ec21e29b7cd Next stages: ▫️hxxps://lechiavetteusb[.]it/imgs/usb/logo/khesariQUXH[.]ps1 ▫️hxxps://lechiavetteusb[.]it/imgs/usb/logo/andantezWA[.]php ▫️hxxps://lechiavetteusb[.]it/imgs/usb/logo/arteriomalacia4hc[.]php

2

23

59

Ven0m

@V3n0mStrike

3 months

⚠️ Posible futura campaña de #Phishing que suplantará a @correoschile , asociada a estos 02 dominios registrados recientemente: correosz[.]cl correoss[.]cl Registrant name: Chad L Brown

2

42

60

Ven0m

@V3n0mStrike

6 months

09 active Chilean IP addresses serving the #Mirai botnet hxxp://190.217.148.227:4886/i hxxp://216.155.93.238:33194/i hxxp://186.67.115.166:42924/i hxxp://179.51.168.26:10428/i hxxp://190.153.161.82:41582/i hxxp://186.67.227.98:65300/i hxxp://190.217.148.149:32075/i

0

23

55

Ven0m

@V3n0mStrike

5 months

🚨 ¡Atención! @Camara_cl @CSIRTGOB Se acaba de registrar el dominio correocongreso[.]cl. Existe la posibilidad de que este dominio sea utilizado en una futura campaña de #phishing , con el objetivo de capturar credenciales válidas de la organización.

2

28

55

Ven0m

@V3n0mStrike

10 months

⚠️ Nueva campaña de #Malware #Mekotio dirigida a 🇨🇱 #Chile suplantando al @SII_Chile , la cual envía una notificación relacionada con una factura emitida en diciembre de 2023. Mailer php: hxxp://communica.sk/files/u/boxxx.php Remitente observado: www @host .]cybersales.]cz Asunto:

2

19

55

Ven0m

@V3n0mStrike

10 months

🔥I have some certainty that these hunting rules would help identify command and control servers. Shodan: Censys: #Qakbot

Germán Fernández

@1ZRR4H

10 months

So, we have new #Qakbot activity with low-volume attacks targeting the hospitality industry 🔥. EMAIL > PDF > URL > MSI ( #Signed by "SOFTWARE AGILITY LIMITED"). Campaign: tchk06, Version: 0x500. PDF template is the same one used by #PikaBot a few days ago, of course. Some

3

57

179

2

10

54

Ven0m

@V3n0mStrike

4 months

Another sample of #Koiloader > #KoiStealer VT: Compromised website: https://www.luciaricciardi[.]com/ Related stages: /wp-content/uploads/2018/12/pinspotterEtbYF.php /wp-content/uploads/2018/12/untormentedXz.php

2

20

54

Ven0m

@V3n0mStrike

2 months

😏hxxp://kaspersky-secure.ru/login.php #c2 #malware #unam CC: @assolini

6

12

54

Ven0m

@V3n0mStrike

1 month

📌 Un usuario recientemente registrado en BreachForums asegura haber exfiltrado completamente bases de datos de @copec_cl . Según la información disponible existe: 🔐 Acceso a Shell y PoC disponible. 📂 Datos y vulnerabilidades solo para compradores verificados. ⚠️Existe riesgo

4

22

53

Ven0m

@V3n0mStrike

8 months

🚨 ¡Cuidado, @CSIRTGOB ! Durante la madrugada del 03 de marzo de 2024, se llevó a cabo una descarga del software denominado "Autodesk AutoCAD v2024 Build 1.0.2 (x64) + Fix" utilizando una red P2P para la descarga ( archivo torrent). Este software está disponible en

2

15

49

Ven0m

@V3n0mStrike

4 months

#QuasarRAT 🚩"cuh.txt.lnk": 187892400b7506d72a75d516ad1afb001478bb29e631553a688f4d181285bf0a Next stages: ▫️ https://mediafire[.]zip/build.hta ▫️d5647dd8dbd73ac01bad18aefafab4b7848861c12eaff129b37f65cfc940575d ▫️ https://mediafire[.]zip/build.exe

2

19

50

Ven0m

@V3n0mStrike

10 months

Hey 🇨🇱 @Redfarmachile , su sitio web se encuentra alojando una webshell desde a lo menos el 26 de octubre de 2023. Esta webshell le permitiría a un atacante ejecutar comandos directamente en el servidor, verifique ASAP y realicen una evaluación de compromiso. CC: @1ZRR4H

2

17

50

Ven0m

@V3n0mStrike

1 month

👀👀 @Ejercito_Chile

3

14

48

Ven0m

@V3n0mStrike

1 month

⚠️ ¡Cuidado! El sitio web https://semanadelachilenidad[.]cl se encuentra infectado con código JavaScript malicioso y redirige a sus visitantes, que llegan a través de Google, a sitios web de estafa. CC: @MuniLaReina

5

21

48

Ven0m

@V3n0mStrike

4 months

📌 #ClearFake / #ClickFix Cuando un usuario visita un sitio web comprometido, la inyección provocaba que el sitio web cargue un script malicioso alojado en blockchain a través de los contratos Smart Chain de Binance, una técnica conocida como #EtherHiding A continuación, comparto

Threat Insight

@threatinsight

4 months

Proofpoint threat researchers have noticed that a clever #socialengineering tactic is becoming increasingly popular amongst threat actors. The campaign tricks end users into copying and pasting malicious PowerShell scripts, ultimately installing malware.

1

41

108

2

17

47

Ven0m

@V3n0mStrike

2 months

El sitio web #opendir hxxps://miscotiabank[.]com/, que expiró a mediados de 2022, fue registrado nuevamente ayer (26-08-2024) y posiblemente será utilizado en futuras campañas de #phishing que suplantarán a @Scotiachile .

0

23

46

Ven0m

@V3n0mStrike

7 months

🧐 Ojo @Ejercito_Chile , el dia de hoy se ha registrado un dominio sospechoso. Titular: "Asesoria Financiera" Dominio: adminejercito[.]cl

3

18

39

Ven0m

@V3n0mStrike

10 months

¡Atención comunidad de ciberseguridad y T.I. en Chile! 🚨 Es fundamental salvaguardar los datos personales de las personas. Evitemos cargar información confidencial, como archivos PDF personales, en sandbox públicos. Para realizar este tipo de tareas, recomiendo realizar un

0

15

40

Ven0m

@V3n0mStrike

11 months

🚨 Atención @CSIRTGOB , circulan por canales de Telegram y foros de cibercriminales credenciales de correos electrónicos gubernamentales/institucionales. CC: @sagchile @DGACChile @Senda_gob @FOSIS_Chile

3

14

41

Ven0m

@V3n0mStrike

10 months

🔎Simple hunt for #Mekotio distribution url in @urlscanio , associated with this campaign. Last URL analyzed 9 hours ago.

Miguel Méndez Zúñiga

@s1kr10s

10 months

Analysis of Mekotio Malware that affects Chile @CSIRTGOB @CuratedIntel #malware #reversing #research

1

7

11

0

10

40

Ven0m

@V3n0mStrike

6 months

El sitio web de rendición de cuentas del Comando Conjunto de las Fuerzas Armadas del Ecuador 🇪🇨 @FFAAECUADOR ha sido comprometido y está distribuyendo contenido inapropiado desde al menos el 21 de marzo de 2019 🤦‍♂️ CC: @CSIRTEcuador @EjercitoECU @armada_ecuador @FuerzaAereaEc

1

22

39

Ven0m

@V3n0mStrike

2 months

🚩Antiguo sitio web de la Facultad de Ingeniería Agrícola de la Universidad de Concepción, www.fia.udec[.]cl, se encuentra comprometido y con una #webshell activa. Recomiendo verificar la situación y tomar acciones lo antes posible. CC: @udeconcepcion @fia_udec @CSIRTGOB

2

15

39

Ven0m

@V3n0mStrike

6 months

🚨 Institución Gubernamental 🇨🇱 chilena expone documentos sensibles a pesar de poseer un portal de autenticación para acceder a dicha información 🥶. Los múltiples documentos posee a lo menos la siguiente información. ▫️ Nombres Completos ▫️ Rut ▫️ Detalles de Transacciones ▫️

2

29

38

Ven0m

@V3n0mStrike

7 months

💉 Campaña de malware #Sign1 está utilizando el complemento de WordPress "Custom CSS & JS" para inyectar código malicioso y generar redireccionamientos no deseados. @sucurisecurity ha detectado más de 2500 sitios web comprometidos en los últimos dos meses con nuevas variantes de

2

24

38

Ven0m

@V3n0mStrike

6 months

⚠️ ¡Atención! @MinEnergia El sitio web potenciales[.]minenergia[.]cl se encuentra comprometido y está intentando posicionar contenido sospechoso desde al menos el 08 de septiembre de 2020. CC: @CSIRTGOB @1ZRR4H @huichalaf

2

21

37

Ven0m

@V3n0mStrike

5 months

🚨 ¡Atención Mexico! 🇲🇽 La cuenta de correo electrónico jdesarrolloeconomico @cienegadeflores [.]gob[.]mx, vinculada al Gobierno Ciénega de Flores, se encuentra comprometida desde el 06 de mayo de 2024 y está siendo utilizada por actores de amenaza para el envío de correos

Ven0m

@V3n0mStrike

5 months

🚨 Atención Perú 🇵🇪, la cuenta de email jestradaz @gereducusco [.]gob[.]pe, perteneciente a la gerencia regional de educación Cusco, se encuentra comprometida desde el 18 de abril de 2024 y está siendo utilizada por actores de amenaza para el envío de correos #Phishing CC:

1

2

10

2

25

37

Ven0m

@V3n0mStrike

8 months

#Solarwinds #RCE CVE-2024-0692 + Security Advisorie 👇 Shodan: Censys: Fofa:

0

15

37

Ven0m

@V3n0mStrike

7 months

Precaución @BancoEstado , hace aproximadamente 1 mes se registró el dominio bancoestadosoporteyseguridad[.]cl, el cual al día de hoy se encuentra en disputa, por lo que probablemente no es un dominio que ustedes hayan registrado. Ha llamado mi atención que el día de hoy a las

2

13

36

Ven0m

@V3n0mStrike

7 months

🚨¡Alerta! #Per ú 🇵🇪, el grupo de ransomware INC RANSOM ha incluido al Ejército de Perú en su lista de afectados. @EjercitoPeru @MindefPeru En su sitio de la #DarkWeb han declarado que poseen 500 GB de datos y como prueba han publicado identificaciones, documentos, fichas con

1

19

34

Ven0m

@V3n0mStrike

7 months

Si tomamos la URL (Geofenced) de esta campaña: hxxps://efranfacdigitaanglur[.]norwayeast[.]cloudapp[.]azure[.]com y realizamos un GET desde una ubicación bloqueada, nos respondera con un archivo close.html y luego una redirección. Si utilizamos @ValidinLLC para filtrar por

Ven0m

@V3n0mStrike

7 months

Campaña #Grandoreiro dirigida a 🇨🇱 Chile, la cual notifica a sus potenciales víctimas de una falsa demanda penal. 🔗 Phishing > url > .zip > .exe > payload .xml 🎣Phishing: Falso remitente: contacto @finanzas [.]gob[.]com Asunto: "Notificacion Demanda Primeira Instancia" URL

1

10

24

2

10

34

Ven0m

@V3n0mStrike

7 months

🚨 Atención @Muni_provi , hace bastante tiempo el sitio web transparencia[.]cdsprovidencia[.]cl (Corporación de Desarrollo Social de Providencia) se encuentra comprometido y está siendo utilizado para posicionar al sitio web de @Zappos en las búsquedas realizadas desde motores de

1

14

30

Ven0m

@V3n0mStrike

8 months

Gracias @1ZRR4H por la alerta. Listado de subdominios que se han escaneado en @urlscanio , los cuales apuntan a una misma dirección IP: 20[.]43[.]132[.]137 🇸🇬 agenbolaterpercaya[.]duoc[.]cl nowgoal[.]gov[.]duoc[.]cl spbo[.]gov[.]duoc[.]cl pkv[.]poker[.]gov[.]duoc[.]cl

Germán Fernández

@1ZRR4H

8 months

Al menos dos sitios del Instituto Profesional Duoc UC ( @DuocUC ) 🇨🇱 han sido secuestrados a través de una vulnerabilidad conocida como "Subdomain Takeover". Ahora estos subdominios apuntan a dos supuestas tiendas Shopify... pero podría ser peor, cuidado 🚨

4

29

56

3

8

33

Ven0m

@V3n0mStrike

9 months

Institución educativa en 🇨🇱Chile expone información confidencial de al menos 553 personas en un #opendir , incluyendo cédulas de identidad (ambas caras), certificados de estudio y nacimiento. Lo más grave es que esta info. es accesible para cualquiera, mediante una simple búsqueda

5

15

32

Ven0m

@V3n0mStrike

2 months

⚠️ ¡Alerta! Ha iniciado una nueva campaña de malware #Mekotio , esta vez suplantando al Poder Judicial de 🇨🇱 @PJudicialChile . 📩 Origen SMTP: server.galichip[.]com 🔗 URL maliciosas:

Germán Fernández

@1ZRR4H

2 months

🚨 Troyano bancario #Mekotio suplantando a la Tesorería General de la República 🇨🇱 (última plantilla) 1.- hxxps://cuncho[.]ru[.]com/1/dev/oluci/oondescarga/tgr/?hash={MAIL} 2.- hxxps://artin-services[.]com/silvergold/{JWT} 3.- hxxps://artin-services[.]com/viral/{JWT} Next stage

3

33

58

1

18

33

Ven0m

@V3n0mStrike

8 months

Aún no logro obtener la muestra, pero todo parece indicar de que existe una campaña en curso de malware #Mekotio suplantando al @SII_Chile dirigida a Chile 🇨🇱. 📩Asunto del email: Observacion Renta AT2024 Prop Inmobiliaria - Protocolo: J4AFJHGBY6 💻 SMTP origen:

6

12

31

Ven0m

@V3n0mStrike

4 months

⚠️ Aún continua esta campaña de #Malware #Mekotio dirigida a 🇨🇱 #Chile suplantando al @CGE_Energia Asunto: ✅ Factura Electricidad Mayo - 2024. Sitios web comprometidos (redirectores y contadores de clicks):

CSIRT GOB CL

@CSIRTGOB

4 months

¡Ojo! ⛔️ #NoHagasClick Desde el #CSIRT alertamos de una nueva campaña de phishing con #malware , difundida en email que suplanta a #CGE . Más detalles: #CSIRTGob #ciberseguridad #CSIRTGob

0

5

0

12

30

Ven0m

@V3n0mStrike

7 months

⚠️ Atención @Gendarmeria_CL @CSIRTGOB , durante estos últimos días el Titular "Asesoria Financiera" ha registrado 02 dominios sospechosos. [+] igendarmearia[.]cl [+] gendarmeriagob[.]cl CC: @NICChile @NicChileSec @NICChileSoporte

Ven0m

@V3n0mStrike

7 months

🧐 Ojo @Ejercito_Chile , el dia de hoy se ha registrado un dominio sospechoso. Titular: "Asesoria Financiera" Dominio: adminejercito[.]cl

3

18

39

2

11

30

Ven0m

@V3n0mStrike

6 months

🔥 Tan solo han pasado 8 días desde mi alerta sobre #BlackHatSeo en distintos sitios web de la Fuerza Aérea del Perú @fapperu , y ahora el @CSIRTGOB informa sobre la recepción de 🎣 #Phishing desde la dirección IP 38.43.155[.]5, la cual corresponde a fasmail.fap[.]mil[.]pe.

Ven0m

@V3n0mStrike

6 months

🚨 ¡Alerta de #BlackHatSEO en varios sitios web de la Fuerza Aérea del Perú! 🇵🇪 @fapperu . Estos sitios contienen una serie de enlaces ocultos dentro de un elemento <div> con el estilo "display:none", lo que implica que no serán visibles para los usuarios que visiten la página

4

24

78

1

13

29

Ven0m

@V3n0mStrike

10 months

⚠️Cuidado @akikbminibodega Su sitio web hxxps://www.akikb.cl posee inyección de código JavaScript asociado a #ParrotTDS - variante "ndsj". Código JavaScript desofuscado apunta a cachetransferjs[.]com, asociado a #SocGholish a.k.a. #FakeUpdates según lo reportado por

4

12

28

Ven0m

@V3n0mStrike

10 months

C2: 88.80.187.192:8081 PANEL: //88.80.187.192/contadores/acessar.php PHP File Manager : //88.80.187.192/jjj.php Campaña: 04-12-2023 al 12-12-2023 N° Posibles Victimas: 278 127🇨🇱 46🇪🇸 22🇲🇽 22🇨🇴 20🇵🇪 20🇦🇷 9🇮🇹 4🇺🇾 2🇵🇾 Listado: CC: @CSIRTGOB

Germán Fernández

@1ZRR4H

10 months

#Mekotio dirigido a Chile 🇨🇱 utilizando plantilla del Poder Judicial. Descarga: http://www.consultant-asigurari[.]ro/poderjudicialcl/[email protected] > https://nobreakdesign[.]com[.]br/xxxdxxx/citacionpoderjudicialcl.zip?187502518. Config:

3

16

49

0

8

28

Ven0m

@V3n0mStrike

6 months

⚠️ ¡Atención! @usach @UsachIngenieria El sitio web del Departamento de Ingeniería Mecanica dimec[.]usach[.]cl se encuentra comprometido y posicionado contenido sospechoso en distintos motores de búsqueda como Google, Bing, DuckDuckGo, etc.

4

17

28

Ven0m

@V3n0mStrike

6 months

Listado de 87 subdominios que han sido servidos desde la dirección IP 144[.]126[.]146[.]107 citagob[.]mx pasaportecitas[.]mx tramites-citas[.]mx mx-citasgob[.]mx citas-segob[.]mx pasaporte-segob[.]mx actas-gob[.]mx registrocivil-gob[.]mx pasaporte-citas[.]net citas-segob[.]net

Víctor Ruiz

@victor_ruiz

6 months

⚠️🇲🇽Alerta: La página fraudulenta que se hace pasar por un sitio oficial para tramitar Actas de Nacimiento de México, bajo el dominio , continúa en funcionamiento. Su dirección IP es https://144.126.146.107/ .

8

134

150

1

12

27

Ven0m

@V3n0mStrike

2 months

Campaña de Malware #Guloader dirigida a 🇨🇱Chile y 🇧🇷Brasil. Inicio: 18 de agosto de 2024 ⛓️: email > .7z > .vbs > .exe Host SMTP Origen: host.rohsen[.]com @Namecheap IP SMTP origen: 142.171.214.151 Asunto: Pruebas de pagos adjuntas Hash del adjunto:

3

15

27

Ven0m

@V3n0mStrike

2 months

Otros dominios que suplantan/suplantaron a la pasarela de pago #Webpay de @Transbank . - webpay3gtransbank[.]com - webpay3transbanck[.]com

Germán Fernández

@1ZRR4H

2 months

⚠️ CUIDADO, sitios falsos que imitan a tiendas como @LIDERcl y @RipleyChile redirigen a un portal fraudulento que suplanta a la pasarela de pago #Webpay de @Transbank . webpay3gtransbankpluss[.]com ❌ Los sitios están diseñados para recopilar datos personales y bancarios de las

4

26

46

1

15

27

Ven0m

@V3n0mStrike

1 year

#Metamorfo aka Casbaneiro fresh IOC oliga.canadacentral.]cloudapp.]azure.]com/es/index.php?va (CMD Script) 💣raw.githubusercontent.]com/awslg/read/main/settings.md (Powershell Script) 🦠dropbox.]com/scl/fi/7mutwk75o9o7wpgj9mstj/m.zip?rlkey=vfrmtts1hfpgx8zryk4lob4jq&dl=1 @1ZRR4H

1

13

22

Ven0m

@V3n0mStrike

8 months

Por lo visto, el incidente ya estaría solucionado. @DuocUC

Germán Fernández

@1ZRR4H

8 months

@DuocUC @chum1ng0 @joy_dragon @V3n0mStrike Ok, es más grave de lo que pensábamos ⚠️ Gracias a @V3n0mStrike ahora sabemos que hay cerca de 84 subdominios únicos "secuestrados" 😱🚨

2

7

21

1

7

25

Ven0m

@V3n0mStrike

7 months

🚨 Atención Municipalidad de Colbún @MColbun El sitio web hxxp://municipalidadcolbun[.]cl/ posee inyección de código malicioso, asociado a una de las variantes de la campaña de distribución de #Malware conocida como #BaladaInjector . Los Scripts JS maliciosos están enfocados en

Jairo Avendaño

@jairoavn

8 months

A la Municipalidad de Colbún le hackearon su página web?

1

0

2

14

26

Ven0m

@V3n0mStrike

1 month

🚨 En un popular foro de ciberdelincuentes se ofrece acceso no autorizado a WordPress, supuestamente perteneciente a una empresa de e-commerce en 🇨🇱 Chile. 💳 Método de pago: Transbank Webpay Plus 👥 Usuarios: 9,278 📦 Pedidos: - Agosto: 801 - Julio: 750 - Junio: 932

1

12

27

Ven0m

@V3n0mStrike

6 months

⬇️De 13 servicios analizados, al menos 12 están en estado DOWN. #Ransomware #Chile

Germán Fernández

@1ZRR4H

6 months

🚨🇨🇱 La empresa Plus Consulting (servicios de cobranza) está respondiendo a un nuevo ataque de #ransomware desde el pasado domingo 14 de abril. "La naturaleza del incidente corresponde a un ransomware que afectó servidores Microsoft y VMware ESXi en la red de nuestra

4

34

66

2

11

26

Ven0m

@V3n0mStrike

6 months

🇵🇪 Cuidado @uigv_garcilaso , este acceso no autorizado (webshell) aún se mantiene activo dentro del servidor. Consejo: Verifiquen ASAP y realicen un análisis de compromiso posterior.

Chum1ng0-security research

@chum1ng0

6 months

🚨 #Peru 🇵🇪: Un usuario en foro hacking comparte un acceso webshell de un subdominio de la Universidad Garcilaso, @uigv_garcilaso .

2

10

15

1

14

25

Ven0m

@V3n0mStrike

10 months

#AveMariaRAT a.k.a #WarzoneRAT campaign present in Latin America. 🔗Phishing > .xlsx exploit CVE-2017-11882 > Shellcode > Downloading .exe file from a compromised website > Connection to C2 Some IOCs: Compromise Website: www.bcmnursing[.]com C2: mcwillis.duckdns[.]org:5122

1

8

25

Ven0m

@V3n0mStrike

5 months

⚠️ Alerta @SII_Chile Dominio sospechoso recientemente registrado. Domain name: siil[.]cl Registrant name: km soluciones SPA CC: @CSIRTGOB #cybersquatting

4

13

25

Ven0m

@V3n0mStrike

7 months

Campaña #Grandoreiro dirigida a 🇨🇱 Chile, la cual notifica a sus potenciales víctimas de una falsa demanda penal. 🔗 Phishing > url > .zip > .exe > payload .xml 🎣Phishing: Falso remitente: contacto @finanzas [.]gob[.]com Asunto: "Notificacion Demanda Primeira Instancia" URL

1

10

24

Ven0m

@V3n0mStrike

10 months

This opendir server is still operational and quite active.

MalwareHunterTeam

@malwrhunterteam

1 year

Opendir: http://185.228.72[.]8/ @1ZRR4H

1

12

21

0

10

23

Ven0m

@V3n0mStrike

9 months

Pequeño one-liner para verificar la presencia del evento 'sgpbWillOpen' en una lista de sitios web. En mi caso, he utilizado los dominios chilenos reportados por @1ZRR4H 👏👏, como siempre un excelente trabajo de investigación. archivo="dominios_chilenos_actualizados.txt"; while

Germán Fernández

@1ZRR4H

9 months

💉 #BaladaInjector está explotando un XSS almacenado en un plugin de WordPress llamado 'Popup Builder', miles de sitios web infectados en este momento. Más detalles en el reporte de @sucurisecurity : . Según PublicWWW (), 7751 sitios

3

41

90

1

10

23

Ven0m

@V3n0mStrike

10 months

🤖New #Cryptbot activity detected. Of course, the campaign is delivered through pirate sites with "cracked" software. 🔍Investigated website: mycrackfree.]com (with cloudflare protection) ↩️Redirects: freeinstallcpc.]xyz @namecheap -> etradistribuciones.]com -> href.]li ->

3

10

23

Ven0m

@V3n0mStrike

3 months

⚠️ Alerta @CSIRTGOB Hace unas pocas horas se ha registrado un nuevo dominio sospechoso asociado a extranjeria. Domain name: extranjeriagob[.]cl Registrant name: Carmen cisternas CC: @1ZRR4H @chum1ng0 @MigracionesCL

1

13

23

Ven0m

@V3n0mStrike

5 months

⚠️Ojo con esto @FACh_Chile Dominio sospechoso recientemente registrado. Domain name: fachmil[.]cl Registrant name: niveltek spa CC: @CSIRTGOB #cybersquatting

0

13

23

Ven0m

@V3n0mStrike

7 months

Nota de @BleepinComputer con más detalles sobre el incidente de #ransomware que sufrió IXMETRO POWERHOST, con mención especial para @1ZRR4H 👏👏

Hosting firm's VMware ESXi servers hit by new SEXi ransomware

Chilean data center and hosting provider IxMetro Powerhost has suffered a cyberattack at the hands of a new ransomware gang known as SEXi, which encrypted the company's VMware ESXi servers and...

www.bleepingcomputer.com

Germán Fernández

@1ZRR4H

7 months

🚨 El proveedor de servicios de datacenter, infraestructura y conectividad IXMETRO POWERHOST 🇨🇱 se encuentra respondiendo a un ataque de #ransomware . El ataque estaría afectando a cientos o quizás miles de clientes y usuarios que hoy se encuentran con sus servicios abajo. En el

18

110

186

0

11

21

Ven0m

@V3n0mStrike

3 months

Grupo APT Void Banshee utilizo CVE-2024-38112 como zero-day para acceder y ejecutar archivos a través del Internet Explorer (deshabilitado por Microsoft) utilizando MSHTML. Sitios web 🇨🇱chilenos comprometidos. ▫️ https://fullgasesspa[.]cl ▫️ http://cbmelipilla[.]cl

blackorbird

@blackorbird

3 months

APT Group Void Banshee + Microsoft 0day CVE-2024-38112 ioc:

0

49

103

0

10

22

Ven0m

@V3n0mStrike

2 months

📔Y continua esta historia, esta vez con el registro del dominio: - tramites-sii[.]cl "Trámites y Oficinas del SII" CC: @SII_Chile @CSIRTGOB

Germán Fernández

@1ZRR4H

2 months

Otro dominio sospechoso registrado hoy: - tramites-registrocivil[.]cl "Reservar Hora" "Sistema de pago seguro" 🤔 cc: @RegCivil_Chile .

1

25

38

0

15

22

Ven0m

@V3n0mStrike

7 months

⚠️ ¡Cuidado, @TCencosudScotia ! Hace apenas 1 hora se registró un nuevo dominio nacional que será utilizado para campañas de #phishing . Titular: "Anderson Soria" Dominio: web-mitarjetazonacencosudcleaning[.]cl CC: @NICChile @NICChileSoporte @NicChileSec

3

7

22

Ven0m

@V3n0mStrike

6 months

📍 Otros dominios #azure entregando #malware #grandoreiro umifactconsosect[.]norwayeast[.]cloudapp[.]azure[.]com eckfactconsultasocrsm[.]norwayeast[.]cloudapp[.]azure[.]com egrfactconsultaccesosjmn[.]mexicocentral[.]cloudapp[.]azure[.]com

CSIRT GOB CL

@CSIRTGOB

6 months

¡Ojo! ⛔️ #NoHagasClick Desde el #CSIRT alertamos de una nueva campaña de phishing con malware, que suplanta a Claro 📞 Más detalles: #CSIRTGob #ciberseguridad

1

6

1

14

22

Ven0m

@V3n0mStrike

2 months

🚨 Interesante campaña de #defacement : el 'notificador' ZEST666 ha estado publicando desfiguraciones en sitios en la ruta geoserver. ⚠️Recuerden que geoserver posee una vulnerabilidad RCE (CVE-2024-36401) con exploits públicos funcionales. Algunos sitios de gobierno (Ej: 🇦🇷)

Víctor Ruiz

@victor_ruiz

2 months

⚠️🇲🇽Alerta: Se reporta el defacement del sitio del Sistema de Información Energética (SIE), portal que ofrece información estadística oficial sobre el sector energético de México.

1

37

69

0

12

21

Ven0m

@V3n0mStrike

6 months

🚨 Alerta @GobiernoMS_ 🇪🇨 Desde el 09 de abril de 2024, se ha detectado una campaña de #phishing desde mail.gpms.gob[.]ec. Los mensajes fraudulentos están siendo enviados con el siguiente asunto: "Re: aviso de último año" y contienen el siguiente texto: "Cerraremos todas las

1

18

21

Ven0m

@V3n0mStrike

7 months

⚠️ Mucho cuidado @BancoEstado , el dia de hoy se ha registrado un dominio sospechoso. Titular:"Empresa Importacionusa" Dominio: seguridadbancoestado[.]cl CC: @CSIRTGOB

1

4

20

Ven0m

@V3n0mStrike

1 year

🇦🇷 Sitio web de Municipalidad de Almafuerte Hacked By : Cyb3r-3rr0r @Merlax_

0

5

20

Ven0m

@V3n0mStrike

8 months

Campaña de malware #Mekotio que suplanta a @CGE_Energia , la cual comenzó a lo menos desde el 05 de febrero. Búsqueda de redirectores: @urlscanio 👇 page.url:("factelectricidad/" OR "/facteletricidad/") //friendlyship.org //alkebucentre.org //ptovesindo.com //ceseinfonline.com

CSIRT GOB CL

@CSIRTGOB

8 months

¡Ojo! ⛔️ #NoHagasClick #CSIRT alerta de nueva campaña de #phishing con #malware . Más detalles: #CSIRTGob #ciberseguridad

0

3

1

10

21

Ven0m

@V3n0mStrike

1 month

Y continuamos con los dominios sospechosos. ltaubanco[.]cl CC: @itauchile #cybersquatting

Germán Fernández

@1ZRR4H

1 month

Dos nuevos dominios .CL sospechosos: - bancoltau[.]cl - informativosii[.]cl #cybersquatting

3

25

48

1

9

21

Ven0m

@V3n0mStrike

7 months

⚠️ ¡Alerta! @BancoEstado . Durante la mañana de hoy se ha registrado el dominio culturalbancoestado[.]cl. Este dominio, aparentemente, perteneció en el pasado al Instituto Cultural BancoEstado y, por lo tanto, se encuentra vinculado en otros sitios web. Existe la posibilidad de

3

9

21

Ven0m

@V3n0mStrike

1 year

#Formbook enviado desde Ministerio de Producción, Comercio Exterior, Inversiones y Pesca de Ecuador. 🎣🇪🇨 Phishing -> 🔗 Download .exe desde URL. IOC: url: https://mdttasarim.]com.]tr/file.pdf.exe @Produccion_Ecu @1ZRR4H @malware_traffic @EcuCERT_EC

1

8

18

Ven0m

@V3n0mStrike

8 months

🧐 Atención @DivisionDeSalud El sitio web de JEAFOSALE posee una inyección de código JavaScript altamente sospechosa, muy similar en estructura a la campaña identificada como #BaladaInjector , pero sin utilizar métodos de ofuscación. Dominio sospechoso:

2

7

20

Ven0m

@V3n0mStrike

7 months

⚠️Un grupo denominado como "LuzSec_Muslims" afirma haber “deshabilitado” el sitio web del Ministerio de Relaciones Exteriores, Comercio Internacional y Culto de 🇦🇷 #Argentina -> CC: @Merlax_

0

12

20

Ven0m

@V3n0mStrike

7 months

⚠️ Mucho cuidado @CSIRTGOB , el dia de hoy se ha registrado un dominio sospechoso. Titular: "Comercial Fruttes Ltda" Dominio: sem2gob[.]cl

3

7

19

Ven0m

@V3n0mStrike

10 months

⚠️ ¡Alerta! @SkullCandyChile @skullcandy , el sitio web hxxps://www.skullcandy.cl presenta una inyección de código relacionada con la campaña #Kritec , presente en su sitio desde al menos el 29 de noviembre de 2023. Esta inyección de código tiene como objetivo el robo de detalles

Denis

@unmaskparasites

2 years

Server-side part of the Kritec skimmers found by @_jamsec in vendor/magento/framework/View/Page/Config/Renderer.php shotsmob[.]sbs in this sample We also find this malware in WordPress database (theme settings) Re:

2

8

18

1

8

19

Ven0m

@V3n0mStrike

11 months

🇨🇱 Nueva campaña suplantando a #DHL que termina con payload #STRRAT ⛓️ email -> rar -> htm -> descarga de zip -> jar file [+]URL: hxxps://intertradez.]com/oo/07900321100.zip [+]C2: lestencrypt.dnset.]com:7888 lestencrypt.dnset.]com:1780 [+]MUESTRA:

0

8

19

Ven0m

@V3n0mStrike

7 months

⚠️Es muy probable que los actores de amenaza detrás de esta exposición de datos confidenciales hayan descargado una copia de seguridad completa del sitio, la cual los mismos administradores mantienen disponible para su descarga en la actualidad 🤦‍♂️. @1ZRR4H @chum1ng0

Chum1ng0-security research

@chum1ng0

7 months

🚨 #Chile 🇨🇱: Actor malicioso en foro hacking supuestamente expone credenciales de un acceso admin, desde el mes de Diciembre de un corredor de seguros llamado CHD Seguros, chdseguros[.]cl. CC: @CSIRTGOB @1ZRR4H @V3n0mStrike

0

18

32

4

10

19

Ven0m

@V3n0mStrike

10 months

Continúa la campaña de #Mekotio dirigida a 🇨🇱 y suplantando al @PJudicialChile . Nuevos antecedentes: 🗓️ Fecha inicio: 13 de diciembre 2023 🎣 Correo electrónico #phishing enviado desde support @lipermar [.]cl, a través de su sitio web comprometido con diversas webshells

Ven0m

@V3n0mStrike

10 months

[+] Update 🚨 Dirección IP del @MinjuDDHH figura como posible víctima en Panel de control de esta campaña de #Mekotio CC: @CSIRTGOB

1

4

17

0

8

19

Ven0m

@V3n0mStrike

1 year

Fresh #Formbook Phishing Email → xx.doc → Download .doc from https://e.]vg/LyLQRAip → Get and Exec .hta file → Powershell → Download and Exec win.exe as IBM_Centos.exe @1ZRR4H @malware_traffic

1

9

18

Ven0m

@V3n0mStrike

8 months

Confirmado, el sitio web de JEAFOSALE fue victima de esta campaña de malware reportada el dia de hoy por @sucurisecurity . Dicho sitio web está en estado DOWN desde mi último reporte. CC: @CSIRTGOB @1ZRR4H @DivisionDeSalud @Ejercito_Chile + mas info.👇

New Malware Campaign Found Exploiting Stored XSS in Popup Builder < 4.2.3

A new malware campaign is targeting vulnerable versions of the Popup Builder WordPress plugin. Indicators of compromise, malicious domains, and steps to mitigate risk included.

blog.sucuri.net

Ven0m

@V3n0mStrike

8 months

🧐 Atención @DivisionDeSalud El sitio web de JEAFOSALE posee una inyección de código JavaScript altamente sospechosa, muy similar en estructura a la campaña identificada como #BaladaInjector , pero sin utilizar métodos de ofuscación. Dominio sospechoso:

2

7

20

1

7

18

Ven0m

@V3n0mStrike

6 months

Google Dork: (site:gob.* | site:gov.* | site:*.gov) & "robux" The scope is huge 🥶

vx-underground

@vxunderground

6 months

Lord have mercy 🙏😭

93

523

9K

2

4

17

Ven0m

@V3n0mStrike

8 months

Thanks @anyrun_app for the report. Another interesting way to search for URLs linked to this campaign would be to use @urlscanio : Search rule: domain: AND page.url:"hello-world"

ANY.RUN

@anyrun_app

8 months

🚨 An ongoing #phishing campaign: Telegram bot receives stolen credentials from pages hosted on Cloudflare Workers 🔑 Fake login pages: The attackers craft phishing pages using https://www.html-code-generator[.]com that consist of the following elements: 🔹 A base64 background

1

23

58

1

4

17

Ven0m

@V3n0mStrike

10 months

[+] Update 🚨 Dirección IP del @MinjuDDHH figura como posible víctima en Panel de control de esta campaña de #Mekotio CC: @CSIRTGOB

Ven0m

@V3n0mStrike

10 months

C2: 88.80.187.192:8081 PANEL: //88.80.187.192/contadores/acessar.php PHP File Manager : //88.80.187.192/jjj.php Campaña: 04-12-2023 al 12-12-2023 N° Posibles Victimas: 278 127🇨🇱 46🇪🇸 22🇲🇽 22🇨🇴 20🇵🇪 20🇦🇷 9🇮🇹 4🇺🇾 2🇵🇾 Listado: CC: @CSIRTGOB

0

8

28

1

4

17

Ven0m

@V3n0mStrike

4 months

🚨 #ClearFake / #ClickFix / #WateringHole Sitio web del Fondo de vivienda policial del #Peru www[.]fovipol[.]gob[.]pe también se encuentra comprometido y formando parte de esta campaña. Info también compartida por @1ZRR4H

Ven0m

@V3n0mStrike

4 months

📌 #ClearFake / #ClickFix Cuando un usuario visita un sitio web comprometido, la inyección provocaba que el sitio web cargue un script malicioso alojado en blockchain a través de los contratos Smart Chain de Binance, una técnica conocida como #EtherHiding A continuación, comparto

2

17

47

0

7

16

Ven0m

@V3n0mStrike

11 months

I don't know what the origin of the campaign is, but someone is hosting #AsyncRat payloads on the website hxxps://paste.]fo/ 🔗paste.]fo/raw/7b10e93a1294 🔗 paste.]fo/raw/ffc98e3c037d 🔗 paste.]fo/raw/aa9b178a955a C2: 149.13.5.179:5050 [+]Sample:

0

1

16

Ven0m

@V3n0mStrike

7 months

📌 Another great idea is to use the following search on @urlscanio to filter out previously scanned malicious domains. 🔍 filename:"metrica.php" AND page.url:"gift" Domains founds: steamcommunivy[.]com twitch-gives[.]com steamcommunijty[.]com steamcommunaiy[.]com

Validin

@ValidinLLC

7 months

Looking at that IP in AS 56694 (SMARTAPE), we see some interesting details: "CloudFlare Origin Certificate" "Location: https://steamcommujity[.]com/give" Checking out the header fingerprint yields promising results for more related infra: 609 Host Connections. 2/

1

0

5

16

Ven0m

@V3n0mStrike

5 months

🏴‍☠️another sample over here #KoiLoader > #KoiStealerC2 : "chase_31_05_24_statement.zip": 0a47429b2493b8f6836df062fabe229c779e25c8413315e65db4c925cb16d3ce ⬇️ "chase_31_05_24_statement.lnk": 0c4e2bc8330540690e81c0a761ac2a536be3dbae0ee66a8949ae7611e21bf889 Next stages:

Germán Fernández

@1ZRR4H

5 months

🚩 "wells_fargo_statement.zip": 3b63992623c8bef3b4fc4b470a0a2d768972b1cbd3cf36c932f5e900715860c5 → "wells_fargo_statement.lnk": 63cda84233d2501ebc5ee85aca49f4aa17da675beed9ec54d7d8ea7f546fc973 Next stages: ▪ https://www.shalom[.]pt/50/inadvisable34.ps1 ▪

6

37

85

1

10

16

Ven0m

@V3n0mStrike

5 months

[+] Actualización 👌👏

Ven0m

@V3n0mStrike

5 months

🚨 ¡Atención! @Camara_cl @CSIRTGOB Se acaba de registrar el dominio correocongreso[.]cl. Existe la posibilidad de que este dominio sea utilizado en una futura campaña de #phishing , con el objetivo de capturar credenciales válidas de la organización.

2

28

55

0

4

16

Ven0m

@V3n0mStrike

6 months

📍El sitio web mensajepresidencial[.]cl presenta #Defacement desde a lo menos el 31 de enero de 2024. HACKED BY Y @G ! CC: @CSIRTGOB

1

7

15

Ven0m

@V3n0mStrike

5 months

dllhost.exe ecfc5a35f297a02a00836e8faaa40a06fc563d2cb95642ea8426201d6e217696 #C2 #cobaltstrike config. Watermark : 987654321 C2 Server: 101[.]201[.]149[.]15,/owa/TservSmWYmJ4xMmXgsFuT Country: China (AS37963) ASN: Hangzhou Alibaba Advertising Co.,Ltd.

0

6

15

Ven0m

@V3n0mStrike

5 months

⚠️Atención: @uc_chile @IngenieriaUC A través de canales de Telegram, un actor de amenaza asegura poseer accesos tipo #webshell y está ofreciéndolos en venta desde el 01 de Mayo. El sitio presuntamente afectado es microct[.]ing[.]uc[.]cl.

1

10

15

Ven0m

@V3n0mStrike

6 months

⚠️Ojo con esto @Minvu Dominio sospechoso recientemente registrado. Domain name: minvugob[.]cl Registrant name: Rodrigo Canales CC: @CSIRTGOB #cybersquatting

0

9

13

Ven0m

@V3n0mStrike

6 months

Other #XWorm payloads that use the same C2: md5: 6b54fbefd6c5c544c841e26438efbe69 f5d83f09af3da232a5f6bd4d640eca79 b268783fca8eaad4c3ae20234306de86

Germán Fernández

@1ZRR4H

6 months

🚩 [FUD] "Neues Textdokument.bat": e269ba14605352c92146b841ba793e1edd9af798eada4c5c6a582abbac159cb6 leads to #XWorm . Payload: hxxps://www.dropbox[.]com/scl/fi/lcsnf7sq37y1l48mzn7w5/H-Output.exe?rlkey=ibtc00pphgqw41293ozxnb21b&st=zz3ybbkv C2: 45.88.90.74:1600 [+]

2

14

32

1

5

14