FIN 7 implanta el backdoor LizarEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor llamado Lizar, atribuido a FIN 7 o Carbanak Group.http://csirtasobancaria.com/Plone/alertas-de-seguridad/fin-7-implanta-el-backdoor-lizarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor llamado Lizar, atribuido a FIN 7 o Carbanak Group.
Prueba de concepto para explotar vulnerabilidad crítica en WindowsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el desarrollo de una prueba de concepto (PoC) para explotar la vulnerabilidad CVE-2021-31166 la cual cuenta con una calificación de 9.8 de severidad en la escala CVSSv3, afectando a las versiones 2004/20H2 de los sistemas operativos cliente y servidor de Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/prueba-de-concepto-para-explotar-vulnerabilidad-critica-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el desarrollo de una prueba de concepto (PoC) para explotar la vulnerabilidad CVE-2021-31166 la cual cuenta con una calificación de 9.8 de severidad en la escala CVSSv3, afectando a las versiones 2004/20H2 de los sistemas operativos cliente y servidor de Microsoft Windows.
Nueva actividad de Magecart para comprometer sitios de e-commerce con skimmer webEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado que el Magecart Group 12 está vulnerando sitios web de e-commerce con versiones desactualizadas de Magento 1.x para incorporar Skimmer web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-magecart-para-comprometer-sitios-de-e-commerce-con-skimmer-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado que el Magecart Group 12 está vulnerando sitios web de e-commerce con versiones desactualizadas de Magento 1.x para incorporar Skimmer web.
Herramienta MSBuild usada por cibercriminales para ejecutar malware en memoriaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva técnica empleada por los cibercriminales para la ejecución de RemcosRAT, QuasarRAT o Redline Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/herramienta-msbuild-usada-por-cibercriminales-para-ejecutar-malware-en-memoriahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva técnica empleada por los cibercriminales para la ejecución de RemcosRAT, QuasarRAT o Redline Stealer.
Transparent Tribe usa ObliqueRATEn el continuo monitoreo realizado a fuentes abiertas de información por parte del Csirt Financiero, se ha logrado identificar una campaña ejercida por Transparent Tribe, también conocido como APT36 o Mythic Leopard.http://csirtasobancaria.com/Plone/alertas-de-seguridad/transparent-tribe-usa-obliquerathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado a fuentes abiertas de información por parte del Csirt Financiero, se ha logrado identificar una campaña ejercida por Transparent Tribe, también conocido como APT36 o Mythic Leopard.
Nuevos indicadores de compromiso asociados a MekotioEn el continuo monitoreo a fuentes abiertas por parte del Csirt Financiero, se han logrado identificar nuevos indicadores de compromiso asociados al conocido troyano bancario Mekotio al que también se le denomina Bizarro.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-mekotio-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo a fuentes abiertas por parte del Csirt Financiero, se han logrado identificar nuevos indicadores de compromiso asociados al conocido troyano bancario Mekotio al que también se le denomina Bizarro.
Reciente actividad maliciosa de ransomware DarksideEn el monitoreo a fuentes abiertas de información, el Csirt Financiero informa sobre el aumento de actividad realizada por el grupo APT Darkside, también denominado Carbon Spider, al cual le han atribuido un ciberataque de gran magnitud a la mayor red de oleoductos de Estados Unidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-maliciosa-de-ransomware-darksidehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero informa sobre el aumento de actividad realizada por el grupo APT Darkside, también denominado Carbon Spider, al cual le han atribuido un ciberataque de gran magnitud a la mayor red de oleoductos de Estados Unidos.
Actividad maliciosa del Ransomware GangBangEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad relacionada con el ransomware denominado GangBang el cual es una variante del ransomware JSWorm.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-del-ransomware-gangbanghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad relacionada con el ransomware denominado GangBang el cual es una variante del ransomware JSWorm.
Malware TeaBot enfocado hacia el sector bancarioEn el continuo monitoreo a fuentes abiertas por parte del Csirt Financiero, se ha logrado identificar actividad de un troyano bancario denominado TeaBot, el cual desde enero del presente año ha afectado a dispositivos con sistema operativo Android, exfiltrando información sensible de usuarios en Europa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-teabot-enfocado-hacia-el-sector-bancariohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo a fuentes abiertas por parte del Csirt Financiero, se ha logrado identificar actividad de un troyano bancario denominado TeaBot, el cual desde enero del presente año ha afectado a dispositivos con sistema operativo Android, exfiltrando información sensible de usuarios en Europa.
Rootkit Moriya impacta equipos expuestos en internet con SO WindowsEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo Rootkit denominado Moriya, el cual es usado para generar puertas traseras en equipos con sistema operativo Windows que se encuentran expuestos en internet.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rootkit-moriya-impacta-equipos-expuestos-en-internet-con-so-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado un nuevo Rootkit denominado Moriya, el cual es usado para generar puertas traseras en equipos con sistema operativo Windows que se encuentran expuestos en internet.
Nuevos indicadores de compromiso del troyano IcedIDEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados al troyano bancario IcedID, esta ciberamenaza se encuentra activa desde el año 2017 y ha sido utilizada para realizar exfiltración de información bancaria y datos confidenciales de equipos comprometidos que utilizan sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-icedid-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados al troyano bancario IcedID, esta ciberamenaza se encuentra activa desde el año 2017 y ha sido utilizada para realizar exfiltración de información bancaria y datos confidenciales de equipos comprometidos que utilizan sistemas operativos Windows.
Nueva actividad del troyano bancario JavaliEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado un nuevo proceso en la cadena de infección del troyano bancario Javali, también conocido como Ousaban.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-javalihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado un nuevo proceso en la cadena de infección del troyano bancario Javali, también conocido como Ousaban.
Nueva Actividad Del Troyano Bancario BizarroEn el monitoreo permanente a fuentes abiertas y de inteligencia, el Csirt Financiero ha identificado nuevas muestras del troyano bancario Bizarro que están siendo utilizadas recientemente en campañas contra países de habla hispana.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-bizarrohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo permanente a fuentes abiertas y de inteligencia, el Csirt Financiero ha identificado nuevas muestras del troyano bancario Bizarro que están siendo utilizadas recientemente en campañas contra países de habla hispana.
Posible Ataque Fabricante ATM KioscosEl Csirt Financiero ha evidenciado un aparente ataque dirigido al productor colombiano de cajeros automáticos kioscos, en el cual se han visto comprometida información posiblemente sensible de la entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/posible-ataque-fabricante-atm-kioscoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha evidenciado un aparente ataque dirigido al productor colombiano de cajeros automáticos kioscos, en el cual se han visto comprometida información posiblemente sensible de la entidad.
Nueva Variante De Malware Buer / RustyBuerEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva variante del downloader Buer, la cual se encuentra reescrita completamente en el lenguaje de programación RUST, denominando a esta variante como RustyBuer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-malware-buer-rustybuerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva variante del downloader Buer, la cual se encuentra reescrita completamente en el lenguaje de programación RUST, denominando a esta variante como RustyBuer.
Nueva actividad del malware ATM DispCashBREn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado actividad por parte del malware dirigido a cajeros automáticos (ATM) denominado DispCashBR. Este malware se ha observado en operación desde el año 2019 y hace uso de la técnica denominada Jackpotting que consiste en vulnerar los sistemas de las maquinas ATM e implementar malware dispuesto para el retiro fraudulento de dinero desde los cajeros automáticoshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-malware-atm-dispcashbrhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado actividad por parte del malware dirigido a cajeros automáticos (ATM) denominado DispCashBR. Este malware se ha observado en operación desde el año 2019 y hace uso de la técnica denominada Jackpotting que consiste en vulnerar los sistemas de las maquinas ATM e implementar malware dispuesto para el retiro fraudulento de dinero desde los cajeros automáticos
Indicadores de compromiso asociados a grupo LazarusEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado indicadores de compromiso IoC relacionados a las actividades cibercriminales llevadas a cabo por parte del grupo Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-grupo-lazarushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado indicadores de compromiso IoC relacionados a las actividades cibercriminales llevadas a cabo por parte del grupo Lazarus.
Grupo de amenazas UNC2447 distribuye backdoor Sombrat y ransomware FivehandsEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un grupo actor de ciberamenazas denominado UNC2447, que para esta campaña maliciosa se encarga de explotar una vulnerabilidad en SonicWall VPN para distribuir el malware denominado Sombrat y el ransomware Fivehands.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-de-amenazas-unc2447-distribuye-backdoor-sombrat-y-ransomware-fivehandshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un grupo actor de ciberamenazas denominado UNC2447, que para esta campaña maliciosa se encarga de explotar una vulnerabilidad en SonicWall VPN para distribuir el malware denominado Sombrat y el ransomware Fivehands.
Rotajakiro puerta trasera dirigida a distribuciones LinuxEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rotajakiro-puerta-trasera-dirigida-a-distribuciones-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado un backdoor de nombre Rotajakiro que tiene como objetivo distribuciones Linux con arquitectura X64. Los investigadores no habían visto detecciones en VirusTotal de esta backdoor solo hasta marzo de 2021; se tiene conocimiento que esta backdoor se había analizado en esta plataforma desde 2018.
Abuso de macros Excel 4.0 para distribuir malwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso IoC asociados al abuso de macros en Excel en versión 4.0 que data de 1992 y el cual utiliza XML como lenguaje de secuencia de comandos. Dichas macros han venido siendo utilizadas con gran frecuencia para distribuir malware que compromete principalmente sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/abuso-de-macros-excel-4-0-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso IoC asociados al abuso de macros en Excel en versión 4.0 que data de 1992 y el cual utiliza XML como lenguaje de secuencia de comandos. Dichas macros han venido siendo utilizadas con gran frecuencia para distribuir malware que compromete principalmente sistemas operativos Windows.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}