-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Malware Clipper enfocado a usuarios de criptomonedas
Publicado: 17/09/2024 | Importancia: Media
Malware Clipper ataca a usuarios de criptomonedas al monitorear y manipular la actividad del portapapeles, lo que permite el desvío de transferencias a billeteras controladas por cibercriminales.
Nuevos artefactos relacionados con BLX Stealer
Publicado: 16/09/2024 | Importancia: Media
Mediante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó y recopilo nuevos indicadores de compromiso (IoC) relacionados con el stealer BLX, también conocido como XLABB.
Nuevos indicadores de compromiso relacionados con PureLogStealer
Publicado: 15/09/2024 | Importancia: Media
El stealer PureLogStealer captura datos sensibles, como información bancaria y de criptomonedas, empleando técnicas para evadir su detección y generar persistencia. Se conecta a un servidor C2 para enviar los datos recopilados y recibir instrucciones de parte del ciberdelincuente.
Nuevo grupo de ransomware llamado Lynx
Publicado: 14/09/2024 | Importancia: Media
Lynx es un grupo de ransomware que comenzó a operar en julio de 2024. A través de su portal en la dark web y una página de filtraciones, presiona a las víctimas para que cumplan con sus demandas.
Nuevo stealer denominado "Gomorrah" distribuido como Malware-as-a-Service (MaaS)
Publicado: 13/09/2024 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un stealer sofisticado denominado Gomorrah, que opera como una herramienta de Malware como Servicio (MaaS) y está diseñado principalmente para capturar y exfiltrar información sensible, como contraseñas, detalles de tarjetas de crédito. cookies de navegadores web y otras aplicaciones.
Loader Hadooken ataca Oracle Weblogic
Publicado: 12/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que distribuye el loader llamado Hadooken.
Nuevo troyano bancario dirigido a dispositivos Android
Publicado: 12/09/2024 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un nuevo troyano dirigido a dispositivos Android, denominado Ajina.Banker, que posee grandes capacidades para capturar datos financieros y eludir la autenticación de dos factores a través de Telegram.
Nueva actividad maliciosa con el stealer Lumma
Publicado: 11/09/2024 | Importancia: Media
Se ha detectado una nueva amenaza del stealer LummaC2 y una extensión maliciosa de Google Chrome. Esta amenaza tiene la capacidad de robar información sensible de plataformas financieras y redes sociales, así como manipular el contenido web y ejecutar transacciones financieras fraudulentas.
Nueva cepa de ransomware denominada ScRansom implementada por el grupo APT CosmicBeetle
Publicado: 10/09/2024 | Importancia: Media
Este ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.
Nueva actividad relacionada con los troyanos bancarios Mekotio y BBtok
Publicado: 10/09/2024 | Importancia: Media
A través de las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa dirigida a usuarios de América Latina, vinculada a los troyanos bancarios Mekotio y BBtok. Los ciberdelincuentes responsables de esta campaña emplean correos electrónicos de phishing con señuelos basados en transacciones comerciales y judiciales, buscando persuadir a las víctimas para que descarguen los archivos maliciosos.
Nueva campaña del grupo Earth Preta
Publicado: 09/09/2024 | Importancia: Media
El equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.
Nueva amenaza de tipo backdoor denominado Loki
Publicado: 08/09/2024 | Importancia: Media
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo backdoor denominado Loki. Este malware es detectado por las soluciones de seguridad de Kaspersky como Backdoor.Win64.MLoki, diferenciándose de otras familias como Loki Bot, Loki Locker, entre otros.
BlindEagle ataca el sector financiero de Colombia con BlotchyQuasar
Publicado: 08/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que afecta el sector financiero de Colombia.
Nuevo malware para Android
Publicado: 06/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado SpyAgent.
NUEVA ACTIVIDAD MALICIOSA PARA DISTRIBUIR HAVOC, BRUTE RATEL Y PHANTOMCORE
Publicado: 06/09/2024 | Importancia: Media
MacroPack, está siendo utilizados para distribuir malware avanzado como Havoc, Brute Ratel y PhantomCore. Se identifican las capacidades de evasión y persistencia, así como los métodos empleados por actores de amenazas para comprometer sistemas mediante macros maliciosas.
Nueva actividad maliciosa del Ransomware Mallox
Publicado: 05/09/2024 | Importancia: Media
Se ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.
Nueva puerta trasera para Microsoft Windows y Linux
Publicado: 04/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado KTLVdoor.
Nueva actividad del troyano bancario Mispadu.
Publicado: 03/09/2024 | Importancia: Media
Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.
Nuevo ransomware como servicio Cicada3301
Publicado: 02/09/2024 | Importancia: Media
Nuevo grupo de ransomware como servicio (RaaS) denominado Cicada3301 emplea tácticas de doble extorsión: cifra datos y amenaza con filtrar información confidencial para presionar a las víctimas.
Malware Voldemort utiliza Google Sheets para exfiltrar datos
Publicado: 01/09/2024 | Importancia: Media
El malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.
Nueva campaña de distribución de WikiLoader
Publicado: 01/09/2024 | Importancia: Media
Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.
Nueva variante de Lumma Stealer
Publicado: 30/08/2024 | Importancia: Media
LummaC2 es un stealer escrito en C el cual es identificado como Malware as a Service (MaaS) con la capacidad de detectar si se encuentra ejecutando en un entorno seguro (sandbox), este está diseñado específicamente para obtener información sensible.
Ransomware como servicio RansomHub
Publicado: 29/08/2024 | Importancia: Media
RansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.
Malware Rocinante tiene como objetivo clientes de instituciones financieras
Publicado: 28/08/2024 | Importancia: Media
Rocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.
NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKE
Publicado: 28/08/2024 | Importancia:
Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.
Técnica AppDomainManager ejecuta malware en Windows
Publicado: 28/08/2024 | Importancia: Media
El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.
Nuevo loader denominado UULoader con grandes capacidades de evasión
Publicado: 27/08/2024 | Importancia: Media
Mediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.
Nueva actividad maliciosa del ransomware BlackSuit
Publicado: 26/08/2024 | Importancia: Media
Atacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.
Nueva versión del backdoor HZ Rat
Publicado: 26/08/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva revisión del backdoor llamado HZ Rat.
Nuevo troyano de acceso remoto denominado Lilith RAT
Publicado: 25/08/2024 | Importancia: Media
Se identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.