Colección de kits de phishing a la venta en la deep webEl equipo del Csirt Financiero ha identificado la comercialización de un pack que contiene diversas plantillas para realizar phishing a todo tipo de organizaciones, entre las que se encuentran algunas entidades financieras. En total el pack está compuesto por más de 1300 kits de herramientas para realizar campañas de phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/coleccion-de-kits-de-phishing-a-la-venta-en-la-deep-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado la comercialización de un pack que contiene diversas plantillas para realizar phishing a todo tipo de organizaciones, entre las que se encuentran algunas entidades financieras. En total el pack está compuesto por más de 1300 kits de herramientas para realizar campañas de phishing.
Análisis Avanzado de APT asociada al Grupo TA505Se ha identificado una nueva campaña del grupo de cibercriminales TA505 en la región de Latino América. Para esta campaña el grupo ha empleado el RAT SDBBot y el ransomware CLOP para exfiltrar y cifrar información de las posibles víctimas y obtener beneficios económicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-apt-asociada-al-grupo-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva campaña del grupo de cibercriminales TA505 en la región de Latino América. Para esta campaña el grupo ha empleado el RAT SDBBot y el ransomware CLOP para exfiltrar y cifrar información de las posibles víctimas y obtener beneficios económicos.
Troyano bancario Mekotio en LatinoamericaEl equipo del Csirt Financiero ha evidenciado la actividad del troyano bancario conocido como Mekotio que afecta sistemas operativos Windows y cuenta con la capacidad para obtener credenciales de portales web financieros y criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-mekotio-en-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado la actividad del troyano bancario conocido como Mekotio que afecta sistemas operativos Windows y cuenta con la capacidad para obtener credenciales de portales web financieros y criptomonedas.
Nuevos indicadores de compromiso relacionados a RATicateEl equipo del Csirt Financiero ha evidenciado que el grupo de cibercriminales RATicate ha estado distribuyendo gran variedad de troyanos de acceso remoto, con la intención de obtener control de los equipos infectados. La forma y medios de entrega de malware actual es diferente al implementado tiempo atrás.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-a-raticatehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado que el grupo de cibercriminales RATicate ha estado distribuyendo gran variedad de troyanos de acceso remoto, con la intención de obtener control de los equipos infectados. La forma y medios de entrega de malware actual es diferente al implementado tiempo atrás.
Botnet Bigviktor aprovecha vulnerabilidad en routers DrayTekEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-bigviktor-aprovecha-vulnerabilidad-en-routers-draytekhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.
Nuevos indicadores de compromiso asociados al troyano DridexEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Dridex. Es un troyano que tiene como objetivo atacar sistemas Microsoft Windows a través de mensajes de correo electrónico tipo malspam, los cuales contienen archivos maliciosos que permiten la infección del equipo y la exfiltración principalmente de información financiera y datos personales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-dridex-4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Dridex. Es un troyano que tiene como objetivo atacar sistemas Microsoft Windows a través de mensajes de correo electrónico tipo malspam, los cuales contienen archivos maliciosos que permiten la infección del equipo y la exfiltración principalmente de información financiera y datos personales.
Nuevo malware Blackrock afecta 337 aplicaciones AndroidEl equipo del Csirt Financiero ha evidenciado la existencia de un nuevo malware denominado BlackRock con capacidades de exfiltrar contraseñas e información de tarjetas. Afecta a 337 aplicaciones Android en las que se encuentran aplicaciones de entidades financieras, redes sociales, mensajería instantánea, entre otras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-blackrock-afecta-337-aplicaciones-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado la existencia de un nuevo malware denominado BlackRock con capacidades de exfiltrar contraseñas e información de tarjetas. Afecta a 337 aplicaciones Android en las que se encuentran aplicaciones de entidades financieras, redes sociales, mensajería instantánea, entre otras.
Conti ransomware con características avanzadas de cifrado en redesEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.http://csirtasobancaria.com/Plone/alertas-de-seguridad/conti-ransomware-con-caracteristicas-avanzadas-de-cifrado-en-redeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.
Malware Anchor_DNS afecta Distribuciones Linux y Sistemas WindowsEn el monitoreo que realiza el Csirt Financiero a nuevas amenazas y vectores de ataque, ha identificado un nuevo troyano denominado Anchor_DNS, el cual tiene como objetivo comprometer distribuciones Linux y sistemas Windows con que tenga comunicación y establecer comunicación con el servidor de comando y control (C2) por medio del protocolo DNS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-anchor_dns-afecta-distribuciones-linux-y-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el Csirt Financiero a nuevas amenazas y vectores de ataque, ha identificado un nuevo troyano denominado Anchor_DNS, el cual tiene como objetivo comprometer distribuciones Linux y sistemas Windows con que tenga comunicación y establecer comunicación con el servidor de comando y control (C2) por medio del protocolo DNS.
Nuevos indicadores de compromiso asociados al troyano DridexEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Dridex. Es un troyano que tiene como objetivo atacar sistemas Microsoft Windows a través de mensajes de correo electrónico tipo malspam, los cuales contienen archivos maliciosos que permiten la infección del equipo y la exfiltración principalmente de información financiera y datos personales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-dridex-3http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Dridex. Es un troyano que tiene como objetivo atacar sistemas Microsoft Windows a través de mensajes de correo electrónico tipo malspam, los cuales contienen archivos maliciosos que permiten la infección del equipo y la exfiltración principalmente de información financiera y datos personales.
Herramientas utilizadas por el malware EvilnumEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la implementación de nuevas herramientas en el arsenal de EVILNUM, las cuales pueden ser utilizadas para la captura y exfiltración de informaciónhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/herramientas-utilizadas-por-el-malware-evilnumhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la implementación de nuevas herramientas en el arsenal de EVILNUM, las cuales pueden ser utilizadas para la captura y exfiltración de información
Ransomware Try2cry con capacidades de gusano en dispositivos USBEl Csirt Financiero han evidenciado nuevo ransomware denominado Try2Cry tiene como objetivo cifrar los archivos de equipos con sistema operativo Windows para exigir un pago a cambio de la liberación de los archivos comprometidos. Cuenta con un componente que le otorga capacidades de gusano para propagarse y afectar archivos de los dispositivos extraíbles como USB, extendiendo su vector de ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-try2cry-con-capacidades-de-gusano-en-dispositivos-usbhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero han evidenciado nuevo ransomware denominado Try2Cry tiene como objetivo cifrar los archivos de equipos con sistema operativo Windows para exigir un pago a cambio de la liberación de los archivos comprometidos. Cuenta con un componente que le otorga capacidades de gusano para propagarse y afectar archivos de los dispositivos extraíbles como USB, extendiendo su vector de ataque.
Nueva variante de AsyncRATEl Csirt Financiero han identificado una nueva variante del troyano AsyncRAT, herramienta de acceso remoto utilizada en tareas de soporte como ayuda técnica o educativa. Los ciberdelincuentes aprovechando su popularidad la están utilizando para propagar malware en los equipos y exfiltrar información personal y datos sensibles de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero han identificado una nueva variante del troyano AsyncRAT, herramienta de acceso remoto utilizada en tareas de soporte como ayuda técnica o educativa. Los ciberdelincuentes aprovechando su popularidad la están utilizando para propagar malware en los equipos y exfiltrar información personal y datos sensibles de los usuarios.
IOC detectados en nueva campaña de AzorultEn el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado nuevos indicadores de compromiso relacinados a Azorult,un malware visto por primera vez en 2016 e identificado como troyano y spyware con capacidades para exfiltrar el historial de navegación, cookies ID / contraseñas, información de criptomonedas, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-detectados-en-nueva-campana-de-azorulthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado nuevos indicadores de compromiso relacinados a Azorult,un malware visto por primera vez en 2016 e identificado como troyano y spyware con capacidades para exfiltrar el historial de navegación, cookies ID / contraseñas, información de criptomonedas, entre otros.
Nuevos indicadores de compromiso asociados a GandCrabEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una posible amenaza para el sector financiero; denominada ransomware GandCrab, malware identificado desde el 2018 que en poco tiempo logró posicionarse entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-gandcrabhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una posible amenaza para el sector financiero; denominada ransomware GandCrab, malware identificado desde el 2018 que en poco tiempo logró posicionarse entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis.
Nuevos indicadores de compromiso asociados a Snatch RansomwareEn el constante monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidencian nuevos indicadores de compromiso asociados al ransomware Snatch. Este ransomware ataca de nuevo bajo la misma modalidad, utilizando la fuerza bruta en servicios de escritorio remoto (RDP) expuestos, exfiltra la información al servidor de comando y control (C2) cifra la información que pueda acceder y deja nota de rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-snatch-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidencian nuevos indicadores de compromiso asociados al ransomware Snatch. Este ransomware ataca de nuevo bajo la misma modalidad, utilizando la fuerza bruta en servicios de escritorio remoto (RDP) expuestos, exfiltra la información al servidor de comando y control (C2) cifra la información que pueda acceder y deja nota de rescate.
Skimmers web ocultos en metadatos de imágenesEn la constante búsqueda de información realiza por el equipo del Csirt Financiero sobre amenazas que puedan afectar al sector, se ha identificado una técnica utilizada para extraer datos de tarjetas bancarias utilizadas en sitios de comercio electrónico a través de códigos maliciosos denominados web skimming.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimmers-web-ocultos-en-metadatos-de-imageneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la constante búsqueda de información realiza por el equipo del Csirt Financiero sobre amenazas que puedan afectar al sector, se ha identificado una técnica utilizada para extraer datos de tarjetas bancarias utilizadas en sitios de comercio electrónico a través de códigos maliciosos denominados web skimming.
Archivos con código ofuscado que descargan troyanos bancariosEn el continuo monitoreo realizado por el Csirt Financiero se evidencian nuevos indicadores de compromiso, asociados a la distribución de múltiples troyanos bancarios a través de archivos adjuntos con código maliciosos Visual Basic Script en mensajes de correo electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-con-codigo-ofuscado-que-descargan-troyanos-bancarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero se evidencian nuevos indicadores de compromiso, asociados a la distribución de múltiples troyanos bancarios a través de archivos adjuntos con código maliciosos Visual Basic Script en mensajes de correo electrónico.
Indicadores de compromiso relacionados a ValakEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se han identificado múltiples indicadores de compromiso relacionados a Valak, un software utilizado para descargar otros tipos de malware. Valak se enfoca en perfiles administradores de dominio, en la exfiltrar la mayor cantidad información sensible y causar el mayor impacto posible en la organización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-a-valakhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se han identificado múltiples indicadores de compromiso relacionados a Valak, un software utilizado para descargar otros tipos de malware. Valak se enfoca en perfiles administradores de dominio, en la exfiltrar la mayor cantidad información sensible y causar el mayor impacto posible en la organización.
Nuevos indicadores de compromiso asociados a NetWireEn el constante monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas y amenazas que pueden impactar al sector financiero, se han identificado nuevos indicadores de compromiso relacionados con NetWire RAT, el cual permite el acceso a los ciberdelincuentes de forma remota a al equipo, capturar y exfiltrar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-netwirehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas y amenazas que pueden impactar al sector financiero, se han identificado nuevos indicadores de compromiso relacionados con NetWire RAT, el cual permite el acceso a los ciberdelincuentes de forma remota a al equipo, capturar y exfiltrar información confidencial.