Nuevo troyano bancario denominado MMRatMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano llamado MMRat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-mmrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano llamado MMRat.
Grupos APT Fin8 y Stac4663 aprovechan vulnerabilidad critica en productos de CitrixRecientemente el equipo del Csirt financiero observó un aumento en los ataques donde diversos grupos de ciberdelincuentes se encuentran explotando la vulnerabilidad CVE-2023-3519 que previamente había sido reportada el mes de julio mediante una Tailored Threat Analysis (TTA) identificada con el ticket I-009510 en donde se dio a conocer la afectación a más de 2.000 productos NetScaler ADC y NetScaler Gateway.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupos-apt-fin8-y-stac4663-aprovechan-vulnerabilidad-critica-en-productos-de-citrixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo del Csirt financiero observó un aumento en los ataques donde diversos grupos de ciberdelincuentes se encuentran explotando la vulnerabilidad CVE-2023-3519 que previamente había sido reportada el mes de julio mediante una Tailored Threat Analysis (TTA) identificada con el ticket I-009510 en donde se dio a conocer la afectación a más de 2.000 productos NetScaler ADC y NetScaler Gateway.
Nuevos indicadores de compromiso relacionados con XWormMediante el monitoreo y seguimiento de amenazas realizado el equipo de analistas del Csirt Financiero recopilo nuevos indicadores de compromiso relacionados con XWorm, la cual es una amenaza diseñada para afectar sistemas operativos Windows y presenta una amplia gama de capacidades maliciosas, que van desde el control remoto de escritorio hasta la propagación de ransomware y la captura de información sensible. Convirtiéndose en una amenaza altamente peligrosa y que ha ganado gran notoriedad, implementándose en diversas operaciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-xwormhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo y seguimiento de amenazas realizado el equipo de analistas del Csirt Financiero recopilo nuevos indicadores de compromiso relacionados con XWorm, la cual es una amenaza diseñada para afectar sistemas operativos Windows y presenta una amplia gama de capacidades maliciosas, que van desde el control remoto de escritorio hasta la propagación de ransomware y la captura de información sensible. Convirtiéndose en una amenaza altamente peligrosa y que ha ganado gran notoriedad, implementándose en diversas operaciones maliciosas.
Nuevos indicadores de compromiso asociados a Adwind RAT 3.0Es importante destacar que aproximadamente el 70% de programas maliciosos existentes son troyanos, donde se incluye la característica de Remote Access Trojan (RAT) que han estado siendo utilizados por los actores de amenaza durante muchos años con la finalidad de impactar los pilares de la seguridad informática. Es el caso de Adwind RAT, una amenaza que ha estado activa desde 2012 aproximadamente, dotado de capacidades que le permiten eludir herramientas de seguridad, capturar y exfiltrar información sensible de las infraestructuras comprometidas por la misma.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-adwind-rat-3.0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es importante destacar que aproximadamente el 70% de programas maliciosos existentes son troyanos, donde se incluye la característica de Remote Access Trojan (RAT) que han estado siendo utilizados por los actores de amenaza durante muchos años con la finalidad de impactar los pilares de la seguridad informática. Es el caso de Adwind RAT, una amenaza que ha estado activa desde 2012 aproximadamente, dotado de capacidades que le permiten eludir herramientas de seguridad, capturar y exfiltrar información sensible de las infraestructuras comprometidas por la misma.
SmokeLoader distribuye un nuevo malware de escaneo de Wi-Fi denominado Whiffy ReconMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad relacionada con SmokeLoader, en esta campaña se observó que esta relacionado con el uso de un nuevo software malicioso de escaneo de Wi-Fi denominado Whiffy Recon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/smokeloader-distribuye-un-nuevo-malware-de-escaneo-de-wi-fi-denominado-whiffy-reconhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad relacionada con SmokeLoader, en esta campaña se observó que esta relacionado con el uso de un nuevo software malicioso de escaneo de Wi-Fi denominado Whiffy Recon.
Nueva campaña masiva de phishing con motivaciones financierasRecientemente, investigadores de seguridad identificaron una campaña masiva de phishing con motivaciones financieras desplegada desde Rusia, donde los actores de amenaza manipulan un kit de herramientas maliciosas identificado como Telekopye que tiene la finalidad de aprovechar un bot de Telegram para almacenar la información exfiltrada, además, de generar los sitios web fraudulentos y enviar las URL a los usuarios para comprometerlos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-masiva-de-phishing-con-motivaciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad identificaron una campaña masiva de phishing con motivaciones financieras desplegada desde Rusia, donde los actores de amenaza manipulan un kit de herramientas maliciosas identificado como Telekopye que tiene la finalidad de aprovechar un bot de Telegram para almacenar la información exfiltrada, además, de generar los sitios web fraudulentos y enviar las URL a los usuarios para comprometerlos.
Nuevo troyano de acceso remoto QuiteRATEl equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado QuiteRat RAT el cual es atribuido al grupo APT 38 más conocido como Lazarus y que se distribuye mediante la explotación de la vulnerabilidad en ManageEngine ServiceDesk (CVE-2022-47966).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-quiterathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado QuiteRat RAT el cual es atribuido al grupo APT 38 más conocido como Lazarus y que se distribuye mediante la explotación de la vulnerabilidad en ManageEngine ServiceDesk (CVE-2022-47966).
Malware convierte equipos Windows y Mac OS en servidores ProxyEl equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó que están utilizando nuevas estrategias a través de atractivas ofertas o software comprometido las cuales se utilizan para acceder de manera no autorizada a sistemas y redes con tal de exfiltrar información confidencial, instalar malware adicional y realizar actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-convierte-equipos-windows-y-mac-os-en-servidores-proxyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó que están utilizando nuevas estrategias a través de atractivas ofertas o software comprometido las cuales se utilizan para acceder de manera no autorizada a sistemas y redes con tal de exfiltrar información confidencial, instalar malware adicional y realizar actividades maliciosas.
Nuevos indicadores de compromiso relacionados con RhadamanthysRhadamanthys es un software malicioso que se clasifica como un "stealer" y está diseñado para extraer datos de los equipos infectados. Se ha observado que esta amenaza se propaga a través de sitios web maliciosos que imitan programas legítimos, lo que facilita su infiltración en sistemas sin despertar sospechas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-rhadamanthyshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rhadamanthys es un software malicioso que se clasifica como un "stealer" y está diseñado para extraer datos de los equipos infectados. Se ha observado que esta amenaza se propaga a través de sitios web maliciosos que imitan programas legítimos, lo que facilita su infiltración en sistemas sin despertar sospechas.
Nueva campaña de simulación de herramientas TI que entregan malwareEl equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó que se encuentran publicitando herramientas de TI maliciosas las cuales se utilizan para acceder de manera no autorizada a sistemas y redes con tal de exfiltrar información confidencial, instalar malware adicional y realizar actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-simulacion-de-herramientas-ti-que-entregan-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó que se encuentran publicitando herramientas de TI maliciosas las cuales se utilizan para acceder de manera no autorizada a sistemas y redes con tal de exfiltrar información confidencial, instalar malware adicional y realizar actividades maliciosas.
Nueva versión de LummaC Stealer distribuye Amadey bot y descarga software malicioso adicionalMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad relacionada con el Stealer conocido como LummaC, específicamente en su versión 19.07.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-de-lummac-stealer-distribuye-amadey-bot-y-descarga-software-malicioso-adicionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad relacionada con el Stealer conocido como LummaC, específicamente en su versión 19.07.
Nueva variante de RAT conocida como Janela, dirigida a entidades financieras en la regiónDurante el segundo trimestre del presente año, investigadores de seguridad identificaron una nueva amenaza conocida como JanelaRAT, una variante de un troyano previamente conocido como BX RAT, la cual está siendo dirigida a usuarios y/o entidades FinTech (Tecnología Financiera) de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-rat-conocida-como-janela-dirigida-a-entidades-financieras-en-la-regionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el segundo trimestre del presente año, investigadores de seguridad identificaron una nueva amenaza conocida como JanelaRAT, una variante de un troyano previamente conocido como BX RAT, la cual está siendo dirigida a usuarios y/o entidades FinTech (Tecnología Financiera) de Latinoamérica.
Nuevos indicadores de compromiso (IoC) de Remcos RATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó nuevos indicadores de compromiso (IoC) de Remcos RAT, un troyano de acceso remoto, que surgió en el año 2016, el cual incorpora técnicas avanzadas de ofuscación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-ioc-de-remcos-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó nuevos indicadores de compromiso (IoC) de Remcos RAT, un troyano de acceso remoto, que surgió en el año 2016, el cual incorpora técnicas avanzadas de ofuscación.
El troyano de acceso remoto AgentTesla se distribuye mediante archivos de panel de control (CPL)A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar la infraestructura tecnológica de los asociados, se identificó recientemente una actividad relacionada con AgentTesla RAT junto con archivos de panel de control (CPL) adjuntos a mensajes de correos electrónicos tipo phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-agenttesla-se-distribuye-mediante-archivos-de-panel-de-control-cplhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar la infraestructura tecnológica de los asociados, se identificó recientemente una actividad relacionada con AgentTesla RAT junto con archivos de panel de control (CPL) adjuntos a mensajes de correos electrónicos tipo phishing.
Nueva amenaza denominada Statc de tipo stealerRecientemente, el equipo del Csirt Financiero observó una amenaza dirigida al sector bancario, un malware de tipo stealer denominado Statc. Durante la investigación se identificó que afecta a equipos con sistemas operativo Microsoft Windows. Este stealer se basa en el uso de la técnica malvertising, los actores de amenaza hacen uso de anuncios para atraer a sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-statc-de-tipo-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, el equipo del Csirt Financiero observó una amenaza dirigida al sector bancario, un malware de tipo stealer denominado Statc. Durante la investigación se identificó que afecta a equipos con sistemas operativo Microsoft Windows. Este stealer se basa en el uso de la técnica malvertising, los actores de amenaza hacen uso de anuncios para atraer a sus víctimas.
Nueva campaña que distribuye múltiples familias de malwareRecientemente, investigadores de seguridad identificaron diversas campañas maliciosas que tienen el objetivo de distribuir múltiples archivos que contienen las cargas útiles de diferentes familias de malware como el troyano de acceso remoto CraxsRAT, ransomware Chaos, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-distribuye-multiples-familias-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad identificaron diversas campañas maliciosas que tienen el objetivo de distribuir múltiples archivos que contienen las cargas útiles de diferentes familias de malware como el troyano de acceso remoto CraxsRAT, ransomware Chaos, entre otros.
Nueva actividad maliciosa del ransomware Rhysida afectando organizaciones de América latinaEn el panorama de la ciberseguridad, surge una amenaza de relevancia denominada Rhysida, un ransomware recientemente identificado que opera bajo el modelo Ransomware-as-a-Service (RaaS). Desarrollado en C++ y compilado con MinGW, este malware presenta un perfil técnico destacado. Su capacidad para generar archivos binarios eficientes, apoyado en la biblioteca criptográfica LibTomCrypt, otorga al ransomware una robusta capacidad de cifrado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-rhysida-afectando-organizaciones-de-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el panorama de la ciberseguridad, surge una amenaza de relevancia denominada Rhysida, un ransomware recientemente identificado que opera bajo el modelo Ransomware-as-a-Service (RaaS). Desarrollado en C++ y compilado con MinGW, este malware presenta un perfil técnico destacado. Su capacidad para generar archivos binarios eficientes, apoyado en la biblioteca criptográfica LibTomCrypt, otorga al ransomware una robusta capacidad de cifrado.
Nueva variante del troyano SkidMap dirigida a servidores RedisA través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del CSIRT Financiero identificó que los servicios vulnerables de Redis han sido atacados por una variante nueva y peligrosa de un Troyano llamado SkidMap que está diseñado para atacar una amplia gama de distribuciones de Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-skidmap-dirigida-a-servidores-redishttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del CSIRT Financiero identificó que los servicios vulnerables de Redis han sido atacados por una variante nueva y peligrosa de un Troyano llamado SkidMap que está diseñado para atacar una amplia gama de distribuciones de Linux.
Nuevos indicadores de compromiso asociados al troyano DarkCrystalLa amenaza cibernética DarkCrystal, también conocida como DcRAT es un troyano de acceso remoto que está dotado de altas capacidades que le permiten impactar a los pilares fundamentales de la seguridad informática como la captura y exfiltración de data sensible, tener control sobre la infraestructura tecnológica comprometida, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-darkcrystalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La amenaza cibernética DarkCrystal, también conocida como DcRAT es un troyano de acceso remoto que está dotado de altas capacidades que le permiten impactar a los pilares fundamentales de la seguridad informática como la captura y exfiltración de data sensible, tener control sobre la infraestructura tecnológica comprometida, entre otros.
Grupo APT BlueCharlie actualiza su infraestructura para sus campañas maliciosasLuego de conocer las tácticas, técnicas e infraestructura empleada por el grupo cibercriminal BlueCharlie, también conocido como Blue Callisto, Callisto, COLDRIVER, Star Blizzard, SEABORGIUM y/o TA446, este grupo APT se encargó de actualizar sus métodos y servicios con la finalidad de seguir afectando a diferentes organizaciones a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-bluecharlie-actualiza-su-infraestructura-para-sus-campanas-maliciosas-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Luego de conocer las tácticas, técnicas e infraestructura empleada por el grupo cibercriminal BlueCharlie, también conocido como Blue Callisto, Callisto, COLDRIVER, Star Blizzard, SEABORGIUM y/o TA446, este grupo APT se encargó de actualizar sus métodos y servicios con la finalidad de seguir afectando a diferentes organizaciones a nivel mundial.