Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Una nueva versión del troyano bancario Sova demuestra su constante evolución
Publicado: 27/12/2022 | Importancia: Media
En la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).
Emergen nuevas variantes de W4SP stealer
Publicado: 26/12/2022 | Importancia: Media
En el ejercicio de monitorear las campañas en curso, relacionadas con actores de amenaza que emergen en la naturaleza descubrimos lo que parece ser el inicio de un nuevo esfuerzo por desplegar paquetes maliciosos a través de PyPI (Python Package Index); puntualmente se pretenden entregar el stealer W4SP, como una nueva variante que tiene nombres diferentes, pero con su mismo código fuente.
Nuevos indicadores de compromiso relacionados al troyano bancario Dridex
Publicado: 26/12/2022 | Importancia: Media
El equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden afectar la infraestructura tecnológica de los asociados, se observó nuevos indicadores de compromiso (IoC) relacionados al troyano bancario Dridex, el cual tiene como principal objetivo la captura de credenciales de acceso a plataformas y cuentas bancarias, tarjetas de crédito y otros servicios adicionales como PayPal y Amazon.
Nuevos IoC asociados al troyano Ursa
Publicado: 25/12/2022 | Importancia: Media
Recientemente, se identificó nueva actividad en la cual estaba implicado el troyano URSA luego de dos años desde su publicación oficial, en estas se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.
Nuevo stealer denominado RisePro
Publicado: 24/12/2022 | Importancia: Media
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero en busca de nuevas campañas y amenazas maliciosas, se identificó la aparición de un nuevo stealer denominado RisePro, el cual parece ser una variante sencilla de PrivateLoader, un loader utilizado para descargar y ejecutar varias cargas útiles en el equipo comprometido.
Nueva versión del troyano bancario GodFather para dispositivos Android
Publicado: 24/12/2022 | Importancia: Media
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura de nuestros asociados, donde se observó una nueva versión del troyano bancario denominado Godfather, el cual se cree es el sucesor de Anubis, otro troyano bancario que ha sido muy utilizado, pero que es detectado por las actualizaciones en los sistemas operativos Android.
Nueva actividad del troyano bancario Qakbot
Publicado: 23/12/2022 | Importancia: Media
En el ámbito del ciberespacio, es muy común presenciar nuevas campañas maliciosas por parte de los actores de amenaza, donde implementan diferentes técnicas y estrategias, con el fin de impactar múltiples sistemas informáticos; en esta ocasión, se identificó un nuevo vector de infección por parte del troyano bancario Qakbot, el cual se enmascara como un archivo de disco virtual (.vhd) con el propósito de evadir herramientas de seguridad establecidas en el equipo objetivo, como lo es Mark of the Web (MOTW).
Cibercriminales de Vice Society actualizan su ransomware
Publicado: 23/12/2022 | Importancia: Media
Recientemente se ha identificado actividad asociada al grupo cibercriminal Vice Society, en la cual se observaron novedades asociadas a su ransomware como un nuevo proceso de cifrado que emplea los algoritmos NTRUEncrypt y Chacha20-poly1305, volviéndolo más robusto. Se conoce que este grupo ha estado activo desde 2021, desde entonces han estado impactando a múltiples organizaciones y generando doble extorsión debido a la exfiltración de la data alojada en las infraestructuras informáticas.
Emergen nuevas variantes de ransomware basadas en Conti
Publicado: 22/12/2022 | Importancia: Media
Desde la filtración del código fuente del ransomware Conti en el ciberespacio, se han generado nuevas familias basadas en este, entre estos anteriormente habíamos reportado Meow y BlueSky; no obstante, se continúan identificando en la naturaleza, otras variantes como Putin Team, ScareCrow y Monti por mencionar algunas.
Nueva actualización de ZeroBot
Publicado: 22/12/2022 | Importancia: Media
En este último mes, se ha estado evidenciando nueva actividad maliciosa de la familia de malware Zerobot, donde constantemente está recibiendo actualizaciones relacionadas a sus capacidades y métodos de propagación; en esta ocasión, se identificó que esta botnet está utilizando la explotación de vulnerabilidades en servidores Apache, para acceder a las infraestructuras tecnológicas objetivo.
Nueva versión de Nokoyawa
Publicado: 22/12/2022 | Importancia: Media
Este ransomware fue identificado por primera vez en febrero de 2022, donde se observaron ataques de doble extorsión debido a la exfiltración de data sensible y filtrado de archivos; inicialmente fue desarrollado en lenguaje C, junto con criptografía de curva elíptica (ECC) con SECT233R1 y el método de Salsa20 para la actividad de cifrado. En su nueva versión se observó que los ciberdelincuentes utilizaron el lenguaje Rust, con el objetivo de tener más flexibilidad en la ejecución de procesos a través de la configuración en la línea de comandos.
Royal ransomware y su conexión con Conti Team One
Publicado: 21/12/2022 | Importancia: Media
Recientemente se ha identificado conexión entre el nuevo grupo de ransomware Royal y Conti Team One, dado a que ciberdelincuentes experimentados de este último mencionado hacen parte de Royal ransomware; que fue nombrado en principio como Zeon ransomware y posteriormente fue a actualizado a como lo conocemos actualmente.
La Botnet Glupteba aumenta sus infecciones
Publicado: 20/12/2022 | Importancia: Media
Se conoce que Glupteba se ha encontrado activa desde 2011, desde entonces se han podido identificar aproximadamente 1 millón de infraestructuras informáticas con sistemas operativos Windows que hacen parte de esta red, así mismo, en su momento Google anunció que dio de baja a Glupteba, que fue desarrollada con el objetivo de recopilar y exfiltrar datos sensibles de los usuarios como credenciales de acceso realizar minería, implementar proxy que les permiten canalizar el tráfico de red.
Nueva actividad asociada al ransomware LockBit
Publicado: 19/12/2022 | Importancia: Media
El equipo de analistas del Csirt Financiero, realizo un monitoreo en el ciberespacio donde se observó un nuevo ataque de los actores de amenaza del ransomware LockBit afectando al departamento de finanzas de California (DOF), donde afirmaron que el ransomware había capturado 75 GB de archivos.
Nueva campaña maliciosa distribuye el loader DarkTortilla
Publicado: 18/12/2022 | Importancia: Media
En un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa de ciberdelincuentes distribuyendo el loader DarkTortilla el cual ha estado activo desde 2015 actuando como dropper y generando instalaciones de múltiples stealer y troyanos de acceso remoto (RAT).
Nuevos IoC asociados a Emotet
Publicado: 17/12/2022 | Importancia: Media
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal objetivo es la recopilación de información alojada en los equipos comprometidos como credenciales de acceso.
Nuevo troyano bancario dirigido a dispositivos Android denominado BrasDex
Publicado: 16/12/2022 | Importancia: Media
Los troyanos bancarios dirigidos a dispositivos Android, son una parte importante del panorama de amenazas visto en la naturaleza, dado que su impacto sobre las víctimas está ligado a captura de información sensible que conlleva a fraudes financieros; asimismo representa ganancias económicas para los operadores, en ese orden de ideas se ha descubierto un nuevo troyano denominado BrasDex, que está siendo desplegado en una masiva campaña en Brasil.
Nueva actividad maliciosa del troyano bancario Zanubis en América latina
Publicado: 15/12/2022 | Importancia: Media
Mediante monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad del troyano bancario para Android denominado Zanubis, el cual ha sido reportado en ocasiones anteriores por el Csirt donde se había observado una campaña dirigida a América latina, en esta ocasión se identifican nuevos indicadores de compromiso del ataque dirigido al sector financiero de Perú en septiembre del 2022.
Nueva actividad maliciosa del ransomware BlackByte
Publicado: 14/12/2022 | Importancia: Media
Los actores de amenaza detrás del ransomware BlackByte realizan constantes actualizaciones en su código fuente para hacer de este ransomware una amenaza más sofisticada y elaborada para poder llegar a infectar y cifrar información confidencial a equipos con sistemas operativos Windows.
Ataque cibernético afecta a la entidad Rapipago
Publicado: 13/12/2022 | Importancia: Media
Los ataques cibernéticos relacionados con ransomware continúan siendo parte del panorama que está sufriendo Latinoamérica durante las últimas semanas, esta vez la entidad objetivo fue la empresa Gire Soluciones, ligados como los titulares de la red de cobranza Rapipago, quienes fueron impactados por una variante del ransomware Play o Playcrypt.
Nueva versión de Venom RAT con un módulo stealer.
Publicado: 13/12/2022 | Importancia: Media
El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas que puedan afectar la infraestructura de nuestros asociados, donde se observó una reciente actividad de Venom RAT con una nueva versión y un módulo stealer.
Nueva actividad del grupo APT Deathstalker afectando entidades financieras
Publicado: 12/12/2022 | Importancia: Media
En el ámbito de la ciberseguridad un APT es identificado como un grupo de ciberdelincuentes que realizan ataques persistentes con el objetivo de ganar económicamente o darse a conocer en el ciberespacio, de ahí es donde surgen la amenaza avanzada persistente donde en esta ocasión se identificaron ataques dirigidos a entidades financieras y gubernamentales de Europa y medio oriente.
Nueva actividad del loader Batloader
Publicado: 11/12/2022 | Importancia: Media
Recientemente el equipo de analistas del Csirt Financiero a través de una búsqueda de amenazas que puedan llegar afectar al sector se evidenciaron nuevos indicadores de compromiso relacionados al Loader denominado Batloader el cual es utilizado como malware de etapa inicial para entregar amenazas como ransomware y troyanos de acceso remoto.
Técnicas utilizadas por el troyano bancario Danabot
Publicado: 10/12/2022 | Importancia: Media
El troyano bancario Danabot identificado por primera vez en el año 2018, distribuido como servicio (Malware as a Service - MaaS) es dirigido a equipos con sistema operativo Microsoft Windows, tanto estaciones de trabajo (Workstation) como servidores (Server) con el objetivo principal de capturar información confidencial; en esta ocasión se observaron algunas técnicas de ofuscación utilizadas por este troyano y con ello se identificaron nuevos indicadores de compromiso.
Actores detrás del troyano Ermac implementan a Zombinder para expandir sus alcances.
Publicado: 09/12/2022 | Importancia: Media
El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.
Nuevos indicadores de compromiso asociados a IcedID
Publicado: 09/12/2022 | Importancia: Media
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a IcedID, troyano bancario modular descubierto en 2017; con el propósito de descargar y ejecutar la carga útil cifrada final desde el panel de control del troyano.
Nueva campaña de la botnet Zerobot explota múltiples vulnerabilidades
Publicado: 08/12/2022 | Importancia: Media
El panorama de amenazas sigue dando de qué hablar, con la creciente ola de ataques cibernéticos vistos en los últimos días, también proliferan nuevas variantes de familias de malware conocidas, especialmente cuando se despliegan a nivel global; en ese sentido se identificó recién una nueva versión de la botnet denominada Zerobot, que apunta a dispositivos IoT con sistemas vulnerables, con el propósito de obtener acceso y generar la descarga de un script para extenderse por toda la red.
Emerge Crywiper un wiper disfrazado de ransomware
Publicado: 07/12/2022 | Importancia: Media
En la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.
Se identifican nuevos indicadores de compromiso relacionados al troyano de acceso remoto NjRAT
Publicado: 06/12/2022 | Importancia: Media
Aunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.
Nueva variante de Prilex aprovecha la tecnología NFC
Publicado: 05/12/2022 | Importancia: Media
Prillex ha proliferado en la naturaleza, gracias a su constante evolución y la codicia de sus actores quienes desarrollan variantes de este malware PoS (point of sale) para impactar mayor número de víctimas aprovechándose de tarjetas de crédito con tecnología de CHIP y PIN; no obstante, recientemente se han identificado tres nuevas versiones y una de estas apunta a transacciones que puede afectar las tarjetas habilitadas para NFC (Near Field Communication).