-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nueva actividad maliciosa del ransomware Blackcat
Publicado: 19/02/2023 | Importancia: Media
El ransomware BlackCat ha sido una de las amenazas más utilizadas por grupos de ciberdelincuentes generando grandes afectaciones a organizaciones en Latinoamérica, con un gran impacto en la disponibilidad de la información de organizaciones públicas y privadas como universidades y fuerzas militares, por lo que es importante realizar un seguimiento constante de esta amenaza donde se logran identificar nuevos indicadores de compromiso relacionados a BlackCat.
Nuevo troyano de acceso remoto denominado M2RAT
Publicado: 19/02/2023 | Importancia: Media
Se ha identificado recientemente una nueva familia de malware, presentado como M2RAT, es un troyano de acceso remoto que es distribuido a través de la vulnerabilidad (CVE-2017-8291), adicionalmente, agrega técnicas de esteganografía, backdoor, inyección de código malicioso y exfiltración de data sensible del sistema informático comprometido.
Plugx entregado a través de dispositivos USB
Publicado: 18/02/2023 | Importancia: Media
En una reciente investigación se identificó que el troyano de acceso remoto PlugX es distribuido a través de unidades de almacenamiento externo (USB) para infectar sistemas informáticos. Este RAT, ha estado tomando gran relevancia en estos últimos meses debido a sus capacidades para ser implementado como una puerta trasera en diversas campañas maliciosas, por supuesto, sin ignorar sus funcionalidades de recopilación de información.
Nueva actividad maliciosa del stealer Vidar
Publicado: 18/02/2023 | Importancia: Media
Vidar es un stealer que en estos últimos meses se ha convertido en una de las familias de malware más relevantes en el ámbito de ciberseguridad, no solo por su capacidad de captura de información sino por el impacto que ha generado en el sector financiero; así mismo, se ha presenciado múltiples participaciones de este en diversas filtraciones de credenciales de cuentas bancarias en Colombia, las cuales se han comercializado en la Deep y Dark web, lo cual conlleva a tener presente esta amenaza y en constante monitoreo.
Nuevo backdoor rastreado como Frebniis abusa de Microsoft ISS
Publicado: 17/02/2023 | Importancia: Media
El panorama de amenazas continúa proliferando nuevas familias de malware, en esta ocasión se ha detectado un nuevo backdoor llamado Frebniis que aprovecha una característica de los Servicios de información de Internet de Microsoft (IIS) para ejecutar comandos sigilosamente a través de solicitudes web e implementarse en sistemas específicos.
Nueva actividad maliciosa del troyano bancario Mekotio
Publicado: 17/02/2023 | Importancia: Media
Recientemente el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso del troyano bancario conocido como Mekotio, esta nueva campaña está dirigida a países de Latinoamérica con el objetivo de capturar datos confidenciales de entidades financieras, en donde los actores detrás de amenaza implementan nuevas (TTP) con el fin de no ser detectadas por soluciones de seguridad y tecnologías de detección antimalware.
Nuevo criptominero denominado ProxyShellMiner explota vulnerabilidades de Microsoft Exchange
Publicado: 16/02/2023 | Importancia: Media
Recientemente se identificó una nueva campaña distribuyendo el criptominero 'ProxyShellMiner' que afecta equipos con sistemas Microsoft Windows, esta amenaza utiliza las vulnerabilidades de Microsoft Exchange ProxyShell para implementar cargas útiles de mineros de criptomonedas en toda la red de una organización, permitiendo a los atacantes tomar el control completo del servidor de Exchange y pivotar a otras partes de la red.
Nueva variante de la botnet Mirai denominada V3G4
Publicado: 16/02/2023 | Importancia: Media
Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros. Recientemente se han identificado nuevas variantes de esta botnet y en esta ocasión se observó una nueva denominada V3g4, la cual viene realizando explotaciones a vulnerabilidades en servidores basados en el sistema operativo Linux y dispositivos IoT para usarlos en ataques DDoS.
Dark Caracal APT emplea una nueva versión del spyware Bandook en objetivos de América Latina
Publicado: 15/02/2023 | Importancia: Media
El grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.
Surge una campaña maliciosa con nuevas amenazas
Publicado: 15/02/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.
Nueva actividad de ShadowPad RAT dirigido a organizaciones de Latinoamérica
Publicado: 14/02/2023 | Importancia: Media
El troyano de acceso remoto Shadowpad RAT fue inicialmente publicado como una herramienta legítima de acceso remoto en el 2021, en ese mismo año varios actores de amenaza la empezaron a implementar con fines delictivos; en esta ocasión, se observó a un grupo de ciberdelincuentes con origen en china conocido como DEV-0147 apuntando a organizaciones en América latina distribuyendo esta familia de malware.
Nuevos métodos de distribución relacionado con el troyano AsyncRAT
Publicado: 13/02/2023 | Importancia: Media
El panorama de amenazas tiene una gran diversificación de familias y por consiguiente de sus variantes, asimismo es común evidenciar que los actores maliciosos empleen nuevos métodos de distribución; de acuerdo con lo anterior se ha detectado que AsyncRAT se ha estado entregando a través de CHM(archivo de Ayuda de Windows) y documentos de OneNote.
Nueva amenaza de tipo dropper denominada Beep
Publicado: 13/02/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero, en un monitoreó realizado al ciberespacio en busca de nuevas amenazas o campañas que puedan impactar a los asociados, se identificó un nuevo software malicioso tipo dropper denominado Beep, el cual implementa una gran cantidad de técnicas para evadir la detección en los sistemas comprometidos.
Nueva actividad relacionada con el ransomware Trigona
Publicado: 12/02/2023 | Importancia: Media
El ransomware es un tipo de malware que se ha vuelto cada vez más prevalente en los últimos años, es importante destacar que, a nivel global, sigue siendo una amenaza constante y que en América Latina también se ha visto un aumento en los ataques. Es así como se ha identificado actividad reciente relacionada con la variante de ransomware Trigona.
Nuevos indicadores de compromiso asociados a Agent Tesla
Publicado: 11/02/2023 | Importancia: Media
Comúnmente, las grandes familias de malware se encuentran en constante evolución de sus capacidades y funcionalidades, donde luego desencadenan múltiples campañas maliciosas a llegar a tal punto de volverse tendencia por ciertos intervalos de tiempo, llegando a impactar a diversas infraestructuras tecnológicas en todo el mundo.
Nueva actividad maliciosa del troyano bancario Dridex
Publicado: 11/02/2023 | Importancia: Media
En el ámbito de ciberseguridad, es frecuente evidenciar la generación de nuevas campañas maliciosas asociadas a diversas familias de malware, algunas con más relevancias que otras, estas amenazas tienen como propósito implementar técnicas, estrategias y métodos de infección diferentes con el propósito de impactar a todo tipo de organizaciones a nivel global.
Backdoor con capacidades para realizar inteligentes capturas de pantalla
Publicado: 10/02/2023 | Importancia: Media
Es muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.
El troyano Qbot es distribuido a través de archivos de Microsoft OneNote
Publicado: 09/02/2023 | Importancia: Media
Qbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.
Nueva campaña maliciosa relacionada con Gootloader
Publicado: 08/02/2023 | Importancia: Media
El despliegue de ataques que involucran GootLoader, implementan archivos JavaScript ofuscados, diseñados para evadir la seguridad y la carga de grandes payloads, disfrazados como legítimos. Recientemente se identificó una campaña de este loader, dirigida principalmente a entidades en países de habla inglesa, como Estados Unidos, Reino Unido y Australia, con un énfasis en el sector salud y financiero.
Se identifica nueva actividad maliciosa de Emotet
Publicado: 08/02/2023 | Importancia: Media
Aunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.
Royal ransomware es dirigido a servidores VMware ESXi
Publicado: 08/02/2023 | Importancia: Media
Durante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.
Variante de Clop ransomware afecta sistemas Linux
Publicado: 07/02/2023 | Importancia: Media
Los operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.
Nueva actividad maliciosa de Guloader
Publicado: 06/02/2023 | Importancia: Media
A través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt Financiero identificó una nueva actividad maliciosa del downloader conocido como Guloader, el cual está realizando nuevas campañas utilizando una herramienta de código abierto denominada NSIS (Nullsoft Scriptable Install System), basada en secuencias de comandos que se utiliza para desarrollar instaladores para el sistema operativo Windows, junto con ello se identificaron nuevos indicadores de compromiso asociados a Guloader.
Nuevos indicadores de compromiso asociados con el troyano bancario IcedID
Publicado: 06/02/2023 | Importancia: Media
El equipo de analistas del Csirt financiero realizó un monitoreo al ciberespacio en busca de amenazas y campañas que puedan afectar la infraestructura de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados al troyano bancario IcedID, el cual fue descubierto por primera vez en 2017 y con el objetivo principal de capturar información financiera.
Nueva campaña maliciosa utilizando el Loader Malvirt Para implementar FormBook
Publicado: 06/02/2023 | Importancia: Media
El equipo del Csirt Financiero realizó un monitoreo al ciberespacio con el objetivo de identificar nuevas amenazas o actividades maliciosas que puedan llegar a afectar la infraestructura de los asociados, donde se identificó una nueva campaña específicamente de publicidad, donde utilizan un loader conocido como Malvirt para implementar el troyano FormBook.
El ransomware ESXiArgs es identificado explotando vulnerabilidades de servidores VMware ESXI
Publicado: 05/02/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.
Emerge la nueva botnet llamada Medusa en el panorama de amenazas
Publicado: 05/02/2023 | Importancia: Media
La botnet Mirai se ha actualizado para descargar y propagar una nueva botnet llamada Medusa, afectando dispositivos de red vulnerables que ejecuten Linux para de este modo comprometerlos y llevar a cabo acciones maliciosas como ataques DDoS y descarga de malware.
Nuevo troyano bancario denominado HookBot dirigido a dispositivos móviles
Publicado: 05/02/2023 | Importancia: Media
La mayoría de la población posee un dispositivo móvil, un hecho que también beneficia a los ciberdelincuentes y a los actores de amenazas dirigido a sistemas móviles, cuyo principal objetivo es capturar datos confidenciales. Un ejemplo de esto es el nuevo troyano bancario HookBot, diseñado para obtener acceso a información privada como contraseñas bancarias, cuentas de correo electrónico, billeteras de criptomonedas, y sitios de redes sociales.
Nuevo troyano bancario para Android denominado PixPirate
Publicado: 05/02/2023 | Importancia: Media
El equipo de analistas del Csirt financiero realizó un observatorio de seguridad con el fin de compartir información de nuevas campañas y amenazas que puedan afectar al sector financiero o la infraestructura de los asociados, donde se identificó un nuevo troyano bancario para dispositivos móviles conocido como PixPirate que impacto en Brasil y está dirigido a países de Latinoamérica (LATAM).
Nueva campaña de BATLoader distribuye RAT y otros software maliciosos
Publicado: 04/02/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas o campañas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva actividad relacionada con el loader (cargador) BatLoader y que está siendo utilizado por diversos actores de amenaza para distribuir diferentes RAT y otras familias de software malicioso.