-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nueva campaña del troyano bancario Guildma a nivel global
Publicado: 26/04/2023 | Importancia: Media
En el transcurso del tiempo una de las amenazas conocidas como los troyanos bancarios han causado enormes daños económicos, afectando tanto a usuarios individuales como a grandes empresas y organizaciones financieras, es por eso el equipo de analistas del Csirt Financiero en su constante monitoreo identifico una nueva campaña del troyano bancario Guildma el cual estaba dirigido a países de Latinoamérica pero en esta ocasión se observó que esta amenaza se está expandiendo a nivel mundial.
AMOS: El nuevo stealer que apunta a la seguridad de macOS
Publicado: 26/04/2023 | Importancia: Media
Aunque macOS ha sido tradicionalmente considerado como un sistema operativo más seguro que otros, los ciberdelincuentes siguen desarrollando y mejorando su arsenal de amenazas dirigidas a esta plataforma. Una de estas amenazas es el recientemente descubierto Atomic macOS Stealer (AMOS), un stealer diseñado para capturar información confidencial de las víctimas, incluyendo contraseñas, información de billeteras criptográficas, datos de navegadores web, archivos de usuario y detalles del sistema.
Emerge un nuevo troyano macOS denominado RustBucket
Publicado: 25/04/2023 | Importancia: Media
En el mundo de la ciberseguridad, los grupos de piratería informática patrocinados por estados y los grupos criminales continúan evolucionando y adaptándose a medida que buscan nuevas formas de explotar las vulnerabilidades de las organizaciones. Recientemente, se ha descubierto un nuevo troyano llamado RustBucket, el cual está diseñado para atacar el sistema MacOS de Apple a través de una aplicación disfrazada como un visor de PDF legítimo.
Nuevos indicadores de compromiso asociados al RAT Ave Maria
Publicado: 23/04/2023 | Importancia: Media
Ave Maria es un troyano de acceso remoto (RAT, por sus siglas en inglés) que permite a los atacantes tomar el control de un sistema de forma remota, esta familia se ha utilizado en diversos ataques cibernéticos, incluyendo campañas maliciosas relacionadas con espionaje cibernético y captura de información.
QakBot continúa evolucionando sus capacidades de afectación
Publicado: 23/04/2023 | Importancia: Media
QakBot (también conocido como QBot) es un troyano bancario que ha estado activo desde hace varios años y se enfoca en capturar información bancaria de los usuarios. Recientemente, se ha detectado una nueva variante del malware que continúa evolucionando y mutando, lo que dificulta su detección y eliminación.
Ciberataque de Lazarus X_TRADER afecta a infraestructuras críticas más allá de la vulnerabilidad de 3CX
Publicado: 22/04/2023 | Importancia: Media
En los últimos meses, ha habido varias noticias sobre ciberataques a organizaciones con infraestructuras críticas. El grupo de ciberdelincuentes Lazarus, de Corea del Norte, responsable del reciente ataque a la cadena de suministro dirigido a 3CX, también vulnero dos organizaciones del sector energético y dos empresas financieras y otras organizaciones, utilizando el troyano X_TRADER.
Nueva actividad maliciosa del Loader Bumblebee
Publicado: 22/04/2023 | Importancia: Media
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero, los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
Aukill: la nueva hacktool que deshabilita la seguridad de los sistemas y despliega ransomware en ataques BYOVD
Publicado: 22/04/2023 | Importancia: Media
La seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.
Nuevos artefactos relacionados al troyano Agent Tesla
Publicado: 21/04/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores relacionados con el troyano Agent Tesla a través de la monitorización de fuentes abiertas de seguridad. Este tipo de amenazas evolucionan constantemente y pueden desencadenar múltiples campañas maliciosas, impactando diversas infraestructuras tecnológicas en todo el mundo.
EvilExtractor: herramienta de ataque con múltiples funciones maliciosas, incluyendo ransomware.
Publicado: 20/04/2023 | Importancia: Media
EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.
Nueva amenaza denominada DAAM Botnet
Publicado: 20/04/2023 | Importancia: Media
En el observatorio de ciberseguridad generado por el equipo de analistas del Csirt Financiero a través de diversas fuentes abiertas de información, se identificó un malware dirigido a dispositivos Android denominado DAAM Botnet con grandes capacidades para la captura de información confidencial, además de contener un módulo de ransomware para sus operaciones maliciosas.
Nueva actividad del grupo Blind Eagle afectando entidades de Latinoamérica
Publicado: 19/04/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nueva actividad del grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle en el ciberespacio. Se ha observado que están distribuyendo diversas familias de troyanos de acceso remoto RAT.
Surge un nuevo stealer de credenciales denominado Zaraza Bot
Publicado: 19/04/2023 | Importancia: Media
En el observatorio de ciberseguridad generado por el equipo del Csirt Financiero, se identificó un reciente malware denominado Zaraza Bot, el cual es un stealer de credenciales que está siendo comercializado a través de un canal ruso de ciberdelincuentes en Telegram.
El grupo de Play ransomware implementa nuevas herramientas para sus actividades maliciosas
Publicado: 19/04/2023 | Importancia: Media
Mediante un monitoreo realizado a diversas fuentes de información, se identificó nuevas actividades maliciosas del grupo de Play ransomware, en las que utilizan dos herramientas personalizadas para el desarrollo de sus actividades maliciosas.
Nueva actividad del ransomware Lockbit distribuido a usuarios de MacOs
Publicado: 18/04/2023 | Importancia: Media
El equipo de analistas del Csirt financiero ha llevado a cabo un monitoreo a diversas fuentes de información abiertas en busca de nuevas amenazas y campañas que puedan afectar la infraestructura de los asociados. En el análisis, se identificaron nuevas actividades maliciosas e indicadores de compromiso relacionados con el ransomware LockBit, el cual fue visto por primera vez en septiembre de 2019. LockBit ofrece servicios de Ransomware as a Service (Raas) y sigue presente en el ciberespacio en constante mejora.
CrossLock: El nuevo ransomware que utiliza técnicas avanzadas de cifrado y evasión
Publicado: 18/04/2023 | Importancia: Media
En la actualidad, los ataques de ransomware son una de las amenazas más temidas por las organizaciones y los usuarios individuales en todo el mundo. Estos ataques cibernéticos se caracterizan por la encriptación de archivos y la exigencia de un rescate para su recuperación. En este contexto, ha surgido un nuevo ransomware escrito en lenguaje Go denominado CrossLock, que utiliza la técnica de doble extorsión para aumentar la probabilidad de pago por parte de las víctimas.
Domino Backdoor - Un vistazo a la amenaza que une a ex miembros de Conti y FIN7
Publicado: 18/04/2023 | Importancia: Media
La seguridad informática es una preocupación constante en la actualidad debido a los continuos avances tecnológicos y la creciente amenaza de ciberataques. En este sentido, recientemente se ha identificado que x-miembros del grupo ransomware Conti se han asociado con el grupo FIN7 para distribuir una nueva puerta trasera denominada Domino, en ataques dirigidos a redes corporativa. Este malware tiene dos componentes, un backdoor y un loader, que trabajan en conjunto para inyectar el stealer Nemesis Project.
Se identifica nueva actividad maliciosa del troyano Qbot
Publicado: 17/04/2023 | Importancia: Media
A través de diversas fuentes de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad relacionada al troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007, el cual tiene como propósito recopilar data sensible relacionada con servicios y entidades financieras.
Nuevos indicadores de compromiso relacionados con Trickbot
Publicado: 16/04/2023 | Importancia: Media
Los troyanos bancarios, como su nombre lo indica, son programas maliciosos que tienen como propósito recopilar data sensible relacionada con servicios y entidades financieras; algunas de estas familias de malware que son reconocidas en el ámbito de ciberseguridad por sus actividades y capacidad de afectación, han avanzado tanto en sus procesos, a llegar a tal punto de convertirse en botnets.
RTM Locker: RaaS emergente causa preocupación en el ámbito de ciberseguridad
Publicado: 15/04/2023 | Importancia: Media
La seguridad en línea sigue siendo un tema de preocupación constante para empresas y particulares. A medida que las tecnologías avanzan, también lo hacen los métodos de ataque cibernético, y un nuevo grupo cibercriminal ha llamado la atención de los expertos en ciberseguridad. Se trata de "Read The Manual Locker, por sus siglas en inglés" (RTM) Locker, un proveedor privado de ransomware como servicio (RaaS) que ha llevado a cabo ataques oportunistas para generar ganancias ilícitas.
Nueva actividad maliciosa del troyano bancario Mekotio
Publicado: 14/04/2023 | Importancia: Media
A través del desarrollo de las actividades de monitoreo adelantadas por los analistas del Csirt Financiero en diferentes fuentes de información, se identificó nueva actividad maliciosa del troyano bancario Mekotio; donde los grupos de ciberdelincuentes están distribuyendo nuevos indicadores de compromiso en los que se observaron distintos ejecutables (EXE).
Nuevo troyano bancario para Android denominado Chameleon
Publicado: 13/04/2023 | Importancia: Media
A través de un monitoreo realizado a diversas fuentes de información abiertas, se identificó un nuevo troyano bancario denominado Chameleon, el cual es entregado por medio de aplicaciones falsas dirigidas a usuarios de dispositivos móviles de Android.
Legion: la nueva herramienta de ataque que captura credenciales y ejecuta código malicioso
Publicado: 12/04/2023 | Importancia: Media
La aparición de Legion como una nueva herramienta de ataque basada en Python, ha puesto en alerta a la comunidad de ciberseguridad debido a su capacidad para explotar diversas vulnerabilidades en servicios en línea. Este hacktool se comercializa en Telegram, como una forma efectiva de obtener credenciales y contraseñas para servicios de correo electrónico, servidores de nube, sistemas de administración de servidores, bases de datos y plataformas de pago como PayPal y Stripe.
Surge un nuevo ransomware denominado SarinLocker
Publicado: 11/04/2023 | Importancia: Media
Mediante un monitoreo realizado a diversas fuentes de información abiertas, se identificó un nuevo ransomware denominado SarinLocker, el cual está siendo ofrecido por un grupo europeo de actores de amenazas que opera Malware-as-a-Service (MaaS) conocidos como FusionCore y se destaca por su precio asequible de tan solo $100 dólares, lo cual lo hace bastante llamativo para otros ciberdelincuentes.
Nuevos artefactos del troyano bancario Danabot
Publicado: 10/04/2023 | Importancia: Media
El Csirt Financiero realiza el seguimiento al malware de tipo troyano bancario llamado DanaBot que pueda generar impacto en la infraestructura tecnológica de los asociados. El equipo de analistas del Csirt Financiero, ha observado nuevos indicadores de compromiso pertenecientes a este troyano, amenaza que se dirige a equipos con sistema operativo Microsoft Windows tanto estaciones de trabajo (Workstation) como servidores (Server).
Emerge un nuevo troyano bancario para Android denominado Brats
Publicado: 10/04/2023 | Importancia: Media
Recientemente se descubrió un nuevo troyano bancario para Android denominado Brats, el cual está diseñado para abusar del sistema de transferencia instantánea PIX y ATS (Automatic Transaction System); Este malware se dirige a víctimas en Brasil, donde explota el sistema de pagos PIX y aplicaciones de bancos brasileños.
Nueva actividad del troyano bancario Qakbot
Publicado: 09/04/2023 | Importancia: Media
Recientemente, se identificó una nueva campaña que tiene como objetivo distribuir el troyano bancario Qakbot, este se distribuye adjuntando un archivo PDF malicioso en forma de respuesta/delivery en un correo electrónico, su contenido es engañoso y está diseñado para persuadir a las víctimas a la apertura del archivo adjunto.
Campaña masiva de ataques a páginas web de WordPress mediante el backdoor Balad Injector
Publicado: 09/04/2023 | Importancia: Media
Más un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.
Nuevos artefactos relacionados con BitRAT
Publicado: 08/04/2023 | Importancia: Media
Mediante un monitoreo realizado por el equipo del Csirt Financiero a través de diversas fuentes de información en busca de nuevas amenazas o actividades maliciosas que puedan llegar a afectar la infraestructura de los asociados, se logró identificar nuevos artefactos relacionados con el troyano de acceso remoto (RAT) denominado BitRAT.
Flujo de operación de una campaña de malspam que entrega el troyano IcedID
Publicado: 08/04/2023 | Importancia: Media
Recientemente se identificó una campaña de malspam que distribuye la carga útil del troyano bancario IcedID mediante una imagen ISO oculta que contiene un archivo LNK para ejecutar una serie de acciones maliciosas a la infraestructura tecnológica de las víctimas; los atacantes utilizan comandos de descubrimiento para recopilar información sobre el entorno y escalar privilegios.