Malware FreakOut, ataca a dispositivos LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt financiero encontró tres vulnerabilidades dirigidas a dispositivos Linux, que están siendo explotadas por una nueva variante del malware FreakOut, para productos que aún no se encuentran parcheados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-freakout-ataca-a-dispositivos-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt financiero encontró tres vulnerabilidades dirigidas a dispositivos Linux, que están siendo explotadas por una nueva variante del malware FreakOut, para productos que aún no se encuentran parcheados.
Bizarro, nuevo troyano bancario brasileñoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado Bizarro, originario de Brasil, que afecta equipos con sistema operativo Windows. Este troyano ha realizado afectaciones en diferentes países a nivel mundial, afectando a 70 bancos de diferentes países europeos y latinoamericanos como Alemania, Argentina, Brasil, Chile, Ecuador, España, Francia, Italia, México, Perú, y Portugal.http://csirtasobancaria.com/Plone/alertas-de-seguridad/bizarro-nuevo-troyano-bancario-brasilenohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado Bizarro, originario de Brasil, que afecta equipos con sistema operativo Windows. Este troyano ha realizado afectaciones en diferentes países a nivel mundial, afectando a 70 bancos de diferentes países europeos y latinoamericanos como Alemania, Argentina, Brasil, Chile, Ecuador, España, Francia, Italia, México, Perú, y Portugal.
Raindrop, nuevo malware vinculado al ataque de SolarwindsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor denominado Raindrop, el cual está relacionado con la cadena de infección realizada a la plataforma Orion de SolarWinds en 2020. Este backdoor fue utilizado para entregar una carga útil de Cobalt Strike facilitando a los ciberdelincuentes moverse lateralmente en la red comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/raindrop-nuevo-malware-vinculado-al-ataque-de-solarwindshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor denominado Raindrop, el cual está relacionado con la cadena de infección realizada a la plataforma Orion de SolarWinds en 2020. Este backdoor fue utilizado para entregar una carga útil de Cobalt Strike facilitando a los ciberdelincuentes moverse lateralmente en la red comprometida.
Una ruta específica en el navegador genera un error de pantalla azul en Windows 10En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/una-ruta-especifica-en-el-navegador-genera-un-error-de-pantalla-azul-en-windows-10http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.
Utilización de Bulletproof hostings por parte de grupos de MagecartEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/utilizacion-de-bulletproof-hostings-por-parte-de-grupos-de-magecarthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.
Nueva campaña de distribución de AsyncRatEn el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.
Campaña de distribución de nueva variante de UrsnifEn el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-nueva-variante-de-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.
Campaña de distribución de malware a varias empresas colombianasEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una campaña de infección a varias empresas colombianas denominada Operación Spalax. Según investigadores de ESET (compañía de seguridad informática) se ha observado esta operación desde al menos abril de 2018, cuyo objetivo es la distribución de troyanos de acceso remoto (RAT) a través de mensajes de correo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-malware-a-varias-empresas-colombianashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una campaña de infección a varias empresas colombianas denominada Operación Spalax. Según investigadores de ESET (compañía de seguridad informática) se ha observado esta operación desde al menos abril de 2018, cuyo objetivo es la distribución de troyanos de acceso remoto (RAT) a través de mensajes de correo malspam.
Nuevo troyano bancario que afecta dispositivos AndroidEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-que-afecta-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.
Última técnica utilizada para distribuir LokiBot.En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-tecnica-utilizada-para-distribuir-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.
Nueva campaña de phishing descarga QratEn el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-descarga-qrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.
Nueva actividad del grupo FIN7 utilizando JSSLoaderEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado nueva actividad del grupo APT FIN7, también conocido como grupo Carbanak el cual ha sido el encargado de realizar distintas campañas para la distribución de malware desde el año 2014. El grupo está enfocado principalmente en la ejecución de acciones cibercriminales motivado financieramente en contra diversas organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-fin7-utilizando-jssloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado nueva actividad del grupo APT FIN7, también conocido como grupo Carbanak el cual ha sido el encargado de realizar distintas campañas para la distribución de malware desde el año 2014. El grupo está enfocado principalmente en la ejecución de acciones cibercriminales motivado financieramente en contra diversas organizaciones.
Campaña de suplantación a Paypal para capturar credenciales de accesoEn el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-a-paypal-para-capturar-credenciales-de-accesohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.
Vulnerabilidad en SEO panel 4.8.0En el constante monitoreo a fuentes abiertas realizado por parte del equipo del Csirt, se ha evidenciado una vulnerabilidad en el panel de control SEO 4.8.0 (Search Engine Optimization), esta herramienta de libre acceso es útil para administrar la optimización de motores de búsqueda de sus sitios web mediante el rastreo al proceso SEO de estos portales web para su mejor posicionamiento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-seo-panel-4-8.0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas realizado por parte del equipo del Csirt, se ha evidenciado una vulnerabilidad en el panel de control SEO 4.8.0 (Search Engine Optimization), esta herramienta de libre acceso es útil para administrar la optimización de motores de búsqueda de sus sitios web mediante el rastreo al proceso SEO de estos portales web para su mejor posicionamiento.
Evolución del Ransomware en el 2020En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-en-el-2020http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.
Microsoft confirma que ciberdelincuentes accedieron a sus códigos fuentesEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se observó un comunicado de Microsoft donde confirma que ante el incidente causado por el backdoor Sunburst en la plataforma SolarWinds Orion, ciberdelincuentes lograron acceder a los códigos fuentes de sus productos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/microsoft-confirma-que-ciberdelincuentes-accedieron-a-sus-codigos-fuenteshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se observó un comunicado de Microsoft donde confirma que ante el incidente causado por el backdoor Sunburst en la plataforma SolarWinds Orion, ciberdelincuentes lograron acceder a los códigos fuentes de sus productos.
Fin del ciclo de vida para Adobe Flash PlayerFlash Player anuncia su inminente salida del mercado de soporte tecnológico a partir del 1 de enero de 2021. Los constantes riesgos y explotación de vulnerabilidades de día cero como las presentadas desde el 2017 son algunas de las razones de su retiro. Los ciberdelincuentes han aprovechado varias vulnerabilidades inherentes al paquete de software para instalar malware, ejecutar código arbitrario remotamente y tomar control de los equipos afectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/fin-del-ciclo-de-vida-para-adobe-flash-playerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Flash Player anuncia su inminente salida del mercado de soporte tecnológico a partir del 1 de enero de 2021. Los constantes riesgos y explotación de vulnerabilidades de día cero como las presentadas desde el 2017 son algunas de las razones de su retiro. Los ciberdelincuentes han aprovechado varias vulnerabilidades inherentes al paquete de software para instalar malware, ejecutar código arbitrario remotamente y tomar control de los equipos afectados.
Nuevos indicadores de compromiso asociados a EmotetEn el monitoreo a fuentes abiertas de información, se ha evidenciado la reactivación del troyano bancario Emotet en las últimas semanas, por tal razón el equipo del Csirt Financiero ha encontrado nuevos indicadores de compromiso asociados a este troyano. Emotet tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-10http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, se ha evidenciado la reactivación del troyano bancario Emotet en las últimas semanas, por tal razón el equipo del Csirt Financiero ha encontrado nuevos indicadores de compromiso asociados a este troyano. Emotet tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows.
Nuevo gusano Golang lanza Xrig Miner a servidoresEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-gusano-golang-lanza-xrig-miner-a-servidoreshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.
Nuevo Skimmer web apunta a múltiples plataformas de comercio electrónicoEn el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un nuevo Skimmer de tarjetas multiplataforma capaz de afectar a Shopify, BigCommerce y otras plataformas de comercio electrónico. Hasta el momento, los investigadores han encontrado este skimmer en una docena de páginas de pago en línea compatibles con los sistemas de gestión alojados en las plataformas previamente mencionadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-skimmer-web-apunta-a-multiples-plataformas-de-comercio-electronicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un nuevo Skimmer de tarjetas multiplataforma capaz de afectar a Shopify, BigCommerce y otras plataformas de comercio electrónico. Hasta el momento, los investigadores han encontrado este skimmer en una docena de páginas de pago en línea compatibles con los sistemas de gestión alojados en las plataformas previamente mencionadas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}