Nuevos indicadores de compromiso asociados a .NET RAT.Desde el Csirt Financiero se ha identificado una muestra de malware que explota la vulnerabilidad CVE-2019-0541 con el fin de lanzar la RAT (Herramienta de acceso remoto) .NET, la cual se conecta al servidor C2 (comando y control) que aloja un documento señuelo de COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-net-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una muestra de malware que explota la vulnerabilidad CVE-2019-0541 con el fin de lanzar la RAT (Herramienta de acceso remoto) .NET, la cual se conecta al servidor C2 (comando y control) que aloja un documento señuelo de COVID-19.
Campaña de phishing para capturar credenciales de plataforma WebexEl equipo del Csirt Financiero ha identificado un ataque de phishing a través de mensajes de correo electrónico relacionado como señuelo una vulnerabilidad crítica “falsa” de Cisco, para que los usuarios de la plataforma de videoconferencias WebEx ingresen sus credenciales en formularios fraudulentos y de esta forma los ciberdelincuentes obtienen las credenciales de las videoconferencias capturando información y documentación sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-para-capturar-credenciales-de-plataforma-webexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un ataque de phishing a través de mensajes de correo electrónico relacionado como señuelo una vulnerabilidad crítica “falsa” de Cisco, para que los usuarios de la plataforma de videoconferencias WebEx ingresen sus credenciales en formularios fraudulentos y de esta forma los ciberdelincuentes obtienen las credenciales de las videoconferencias capturando información y documentación sensible.
Nuevo malware de Card-skimmer ataca plugin WooCommerce de WordPressDesde el Csirt Financiero se ha identificado un nuevo ataque hacia el plugin WooCommerce de WordPress, este complemento es utilizado para implementar tiendas en línea con características como: carrito, mi cuenta y finalizar compra; emplea también métodos de pago como paypal, trasferencia bancaria y Stripe; WooCommerce se convierte entonces en el foco de los atacantes de ciberdelincuentes que buscan afectar a los usuarios, empresas y entidades bancarias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-de-card-skimmer-ataca-plugin-woocommerce-de-wordpresshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado un nuevo ataque hacia el plugin WooCommerce de WordPress, este complemento es utilizado para implementar tiendas en línea con características como: carrito, mi cuenta y finalizar compra; emplea también métodos de pago como paypal, trasferencia bancaria y Stripe; WooCommerce se convierte entonces en el foco de los atacantes de ciberdelincuentes que buscan afectar a los usuarios, empresas y entidades bancarias.
Hoaxcalls, botnet que aprovecha vulnerabilidades en dispositivos Grandstream y DrayTekEl equipo del Csirt Financiero ha identificado una forma en que la botnet Hoaxcalls utiliza las capacidades físicas de routers y dispositivos que proveen sistemas telefónicos para realizar ataques DDoS, utiliza para este propósito, exploits de las vulnerabilidades CVE-2020-8515 y CVE-2020-5722 que se encuentran en dichos dispositivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/hoaxcalls-botnet-que-aprovecha-vulnerabilidades-en-dispositivos-grandstream-y-draytekhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una forma en que la botnet Hoaxcalls utiliza las capacidades físicas de routers y dispositivos que proveen sistemas telefónicos para realizar ataques DDoS, utiliza para este propósito, exploits de las vulnerabilidades CVE-2020-8515 y CVE-2020-5722 que se encuentran en dichos dispositivos.
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/servicios-expuestos-en-colombia-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
MakeFrame; último skimmer de Magecart Group 7El equipo Csirt financiero ha detectado una nueva amenaza dirigida aparentemente por el grupo Magecart, se le atribuye la creación de una novedosa metodología de exfiltración de datos sensibles de usuarios mediante formularios incrustados en sitios web que, si bien son legítimos, han sido seleccionados para comprometerlos. Por ejemplo, compra de un producto online que la empresa comprometida ofrece, sustraen información de los clientes como datos de tarjetas de crédito, lugar de residencia y correo electrónico, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/makeframe-ultimo-skimmer-de-magecart-group-7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo Csirt financiero ha detectado una nueva amenaza dirigida aparentemente por el grupo Magecart, se le atribuye la creación de una novedosa metodología de exfiltración de datos sensibles de usuarios mediante formularios incrustados en sitios web que, si bien son legítimos, han sido seleccionados para comprometerlos. Por ejemplo, compra de un producto online que la empresa comprometida ofrece, sustraen información de los clientes como datos de tarjetas de crédito, lugar de residencia y correo electrónico, entre otros.
Nuevos indicadores de compromiso asociados a variante de QBot.El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano Qbot, conocido por buscar a usuarios de servicios bancarios con el objetivo de capturar sus credenciales de inicio de sesión, también posiblemente esté vinculado a la actividad de Trickbot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-variante-de-qbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano Qbot, conocido por buscar a usuarios de servicios bancarios con el objetivo de capturar sus credenciales de inicio de sesión, también posiblemente esté vinculado a la actividad de Trickbot.
Credenciales de Zoom comercializados en sitios clandestinos.Desde el Csirt Financiero se evidencia que múltiples credenciales de usuario de la aplicación ZOOM están siendo comercializados en foros clandestinos, los ciberdelincuentes han infectado ejecutables legítimos alojados en sitios alternos al original con el fin de infectar equipos; todos estos ataques son motivados debido a que ZOOM es una de las aplicaciones más utilizadas por las organizaciones para hacer videoconferencias y tratar temas confidenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/credenciales-de-zoom-comercializados-en-sitios-clandestinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se evidencia que múltiples credenciales de usuario de la aplicación ZOOM están siendo comercializados en foros clandestinos, los ciberdelincuentes han infectado ejecutables legítimos alojados en sitios alternos al original con el fin de infectar equipos; todos estos ataques son motivados debido a que ZOOM es una de las aplicaciones más utilizadas por las organizaciones para hacer videoconferencias y tratar temas confidenciales.
Utilizan atributos de CSS para realizar campaña de phishing.El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/utilizan-atributos-de-css-para-realizar-campana-de-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.
Nueva variante de xHelperEn el constante monitoreo que realiza el Csirt Financiero frente a nuevas amenazas se ha identificado una nueva variante del troyano para sistemas operativos Android xHelper, la cual puede reinstalarse en dispositivos y mantener persistencia si es eliminado o se restablece de fábrica; después de la instalación se oculta en el dispositivo y comienza una serie de pasos para escalar privilegios de administrador y exfiltrar la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-xhelperhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero frente a nuevas amenazas se ha identificado una nueva variante del troyano para sistemas operativos Android xHelper, la cual puede reinstalarse en dispositivos y mantener persistencia si es eliminado o se restablece de fábrica; después de la instalación se oculta en el dispositivo y comienza una serie de pasos para escalar privilegios de administrador y exfiltrar la información.
Análisis de malware EvilnumDesde el Csirt Financiero se ha identificado una nueva campaña dirigida a instituciones financieras en la se distribuye el malware bancario denominado Evilnum, puerta trasera (backdoor) orientada a capturar información, históricamente había sido utilizado en ataques dirigidos a instituciones financieras, Fintech y mercados de capitales, utilizando la suplantación de identidad como vector inicial para la infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-evilnumhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva campaña dirigida a instituciones financieras en la se distribuye el malware bancario denominado Evilnum, puerta trasera (backdoor) orientada a capturar información, históricamente había sido utilizado en ataques dirigidos a instituciones financieras, Fintech y mercados de capitales, utilizando la suplantación de identidad como vector inicial para la infección.
Botnet Vollgar busca minar mediante MS-SQLEl equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-vollgar-busca-minar-mediante-ms-sqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.
Instalador malicioso de aplicación ZOOMEl equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/instalador-malicioso-de-aplicacion-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.
Nuevos indicadores de compromiso asociados a TA505 y SilenceEl equipo del Csirt Financiero han identificado nuevos indicadores de compromiso asociados al grupo ciberdelincuente TA505, el cual se caracteriza por realizar ataques al sector financiero a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ta505-y-silencehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero han identificado nuevos indicadores de compromiso asociados al grupo ciberdelincuente TA505, el cual se caracteriza por realizar ataques al sector financiero a nivel mundial.
Nueva versión del troyano IcedIDEl equipo del Csirt Financiero ha identificado una nueva versión de IcedID troyano tipo bancario que, desde su descubrimiento en 2017, ha afectado a numerosas entidades financieras de Estados Unidos, Reino Unido y Canadá. Su característica principal es la inyección web, realizando funciones de redirección si la víctima accede a alguno de los sitios web infectados por este malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva versión de IcedID troyano tipo bancario que, desde su descubrimiento en 2017, ha afectado a numerosas entidades financieras de Estados Unidos, Reino Unido y Canadá. Su característica principal es la inyección web, realizando funciones de redirección si la víctima accede a alguno de los sitios web infectados por este malware.
Aplicaciones Android para seguimiento del COVID-19 que descargan malwareEl equipo del Csirt Financiero ha identificado varias aplicaciones para dispositivos con sistema operativo Android que realizan el seguimiento de los casos positivos para COVID-19, sin embargo, después de la instalación, descargan código malicioso con la capacidad de capturar información sensible del usuario y, en algunos casos, descargar malware adicional en el dispositivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aplicaciones-android-para-seguimiento-del-covid-19-que-descargan-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado varias aplicaciones para dispositivos con sistema operativo Android que realizan el seguimiento de los casos positivos para COVID-19, sin embargo, después de la instalación, descargan código malicioso con la capacidad de capturar información sensible del usuario y, en algunos casos, descargar malware adicional en el dispositivo.
Indicadores de compromiso relacionados con GuLoader, descargador de Netwire RATEl equipo del Csirt Financiero identificó una nueva cadena de infección de Netwire RAT, su distribución se realiza a través del envío de mensajes de correo electrónico de tipo spam. El encargado de la instalación de la RAT es el descargador Guloader, principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-con-guloader-descargador-de-netwire-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una nueva cadena de infección de Netwire RAT, su distribución se realiza a través del envío de mensajes de correo electrónico de tipo spam. El encargado de la instalación de la RAT es el descargador Guloader, principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra monitoreando diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando un alto crecimiento del teletrabajo y el uso de las herramientas para su funcionamiento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/servicios-expuestos-en-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra monitoreando diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando un alto crecimiento del teletrabajo y el uso de las herramientas para su funcionamiento.
Ciberdelincuentes distribuyen múltiples cargas útilesLos ciberdelincuentes siguen manteniéndose activos distribuyendo diversas cargas útiles de malware, se conoció actividad que involucró varios troyanoshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-distribuyen-multiples-cargas-utileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Botnet DDG utiliza servidores Linux para minar CriptomonedasEl equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ddg-utiliza-servidores-linux-para-minar-criptomonedashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.