Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
NUEVA BOTNET DENOMINADA GORILLABOTse observó una actividad de GorillaBot, la cual lanzó más de 300.000 comandos de ataque DDoS, afectando a más de 100 países y sectores. La botnet, basada en el código fuente de Mirai, presenta capacidades avanzadas de persistencia, evasión y una gran variedad de vectores de ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-denominada-gorillabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
se observó una actividad de GorillaBot, la cual lanzó más de 300.000 comandos de ataque DDoS, afectando a más de 100 países y sectores. La botnet, basada en el código fuente de Mirai, presenta capacidades avanzadas de persistencia, evasión y una gran variedad de vectores de ataque.
Nueva botnet denominada HpingbotDurante labores de monitoreo continuo, el equipo de analistas del Csirt Financiero identificó actividad asociada a Hpingbot, una botnet desarrollada en Go con versiones para Windows, Linux e IoT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-denominada-hpingbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante labores de monitoreo continuo, el equipo de analistas del Csirt Financiero identificó actividad asociada a Hpingbot, una botnet desarrollada en Go con versiones para Windows, Linux e IoT.
Nueva Botnet denominada NoaBotMediante actividades de monitoreo en diversas fuentes de información, el equipo del Csirt Financiero observó una nueva botnet denominada NoaBot que ha estado activa desde principios de 2023. Esta botnet se propaga a través del protocolo SSH utilizando versiones modificada de la botnet Mirai y el gusano P2PInfect, afectando a dispositivos Linux IOT para ataques DDoS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-denominada-noabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo en diversas fuentes de información, el equipo del Csirt Financiero observó una nueva botnet denominada NoaBot que ha estado activa desde principios de 2023. Esta botnet se propaga a través del protocolo SSH utilizando versiones modificada de la botnet Mirai y el gusano P2PInfect, afectando a dispositivos Linux IOT para ataques DDoS.
Nueva botnet Enemybot, atribuida al grupo KeksecEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios o al sector, el equipo del Csirt Financiero ha identificado una reciente red de bots catalogada como Enemybot, que cuenta con la función principal de realizar ataques de denegación de servicio distribuido (DDoS) dirigidos a dispositivos IoT, atribuida a Keksec, un grupo chino que se especializa en criptominería y en realizar ataques de DDoS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-enemybot-atribuida-al-grupo-keksechttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios o al sector, el equipo del Csirt Financiero ha identificado una reciente red de bots catalogada como Enemybot, que cuenta con la función principal de realizar ataques de denegación de servicio distribuido (DDoS) dirigidos a dispositivos IoT, atribuida a Keksec, un grupo chino que se especializa en criptominería y en realizar ataques de DDoS.
Nueva botnet llamada GayfemboyA través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de la botnet Mirai llamada Gayfemboy, una red de dispositivos comprometidos diseñada para llevar a cabo ataques de denegación de servicio distribuido (DDoS) y otras actividades maliciosas la cual ha incorporado capacidades avanzadas como la explotación de vulnerabilidades de día 0 y la integración de dispositivos mediante contraseñas Telnet débiles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-llamada-gayfemboyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva variante de la botnet Mirai llamada Gayfemboy, una red de dispositivos comprometidos diseñada para llevar a cabo ataques de denegación de servicio distribuido (DDoS) y otras actividades maliciosas la cual ha incorporado capacidades avanzadas como la explotación de vulnerabilidades de día 0 y la integración de dispositivos mediante contraseñas Telnet débiles.
Nueva botnet llamada RustoBotDurante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó una nueva variante de botnet denominada RustoBot, desarrollada en el lenguaje de programación Rust y dirigida principalmente a dispositivos de red.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-llamada-rustobothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó una nueva variante de botnet denominada RustoBot, desarrollada en el lenguaje de programación Rust y dirigida principalmente a dispositivos de red.
Nueva Botnet P2P se enfoca en Servicios Telnet vulnerablesEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-p2p-se-enfoca-en-servicios-telnet-vulnerableshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.
Nueva Botnet para LinuxMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet desarrollada en Go denominada PumaBot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-para-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet desarrollada en Go denominada PumaBot.
Nueva brecha de seguridad presentada en Microsoft TeamsRecientemente se ha identificado una nueva falla presentada en la plataforma Microsoft Teams, la cual afecta a todos los sistemas operativos o equipos que tengan instalada la aplicación en el escritorio. Esta brecha de seguridad permite que un actor de amenaza pueda obtener información sensible como credenciales de los diferentes servicios que ofrece Microsoft 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-brecha-de-seguridad-presentada-en-microsoft-teamshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una nueva falla presentada en la plataforma Microsoft Teams, la cual afecta a todos los sistemas operativos o equipos que tengan instalada la aplicación en el escritorio. Esta brecha de seguridad permite que un actor de amenaza pueda obtener información sensible como credenciales de los diferentes servicios que ofrece Microsoft 365.
Nueva campaña abusa de paste.ee para entregar troyanos de acceso remotoDurante el monitoreo continuo realizado por el equipo de analistas del Csirt Financiero, se detectó una actividad maliciosa que utiliza archivos JavaScript ofuscados para iniciar una cadena de infección con el objetivo de distribuir el troyano de acceso remoto XWorm. Esta actividad aprovecha el servicio paste.ee como plataforma intermedia para alojar y recuperar código adicional, lo que permite evadir mecanismos tradicionales de detección y facilitar la entrega del RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-abusa-de-paste-ee-para-entregar-troyanos-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continuo realizado por el equipo de analistas del Csirt Financiero, se detectó una actividad maliciosa que utiliza archivos JavaScript ofuscados para iniciar una cadena de infección con el objetivo de distribuir el troyano de acceso remoto XWorm. Esta actividad aprovecha el servicio paste.ee como plataforma intermedia para alojar y recuperar código adicional, lo que permite evadir mecanismos tradicionales de detección y facilitar la entrega del RAT.
Nueva campaña activa de PyStoreRAT mediante repositorios públicos en GitHubDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada al troyano de acceso remoto PyStoreRAT, caracterizada por el uso de repositorios públicos en GitHub que simulan ser herramientas legítimas de desarrollo u OSINT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-activa-de-pystorerat-mediante-repositorios-publicos-en-githubhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada al troyano de acceso remoto PyStoreRAT, caracterizada por el uso de repositorios públicos en GitHub que simulan ser herramientas legítimas de desarrollo u OSINT.
Nueva campaña activa del APT Lazarus distribuyendo amenazas personalizadas actualizadasMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una campaña activa hasta la fecha y dirigida a India, Sudáfrica y Colombia por el APT Lazarus, un grupo de amenazas cibernéticas patrocinado por el estado de Corea del Note; donde los adversarios utilizan aplicaciones troyanizadas con puertas traseras para acceder a los sistemas objetivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-activa-del-apt-lazarus-distribuyendo-amenazas-personalizadas-actualizadashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una campaña activa hasta la fecha y dirigida a India, Sudáfrica y Colombia por el APT Lazarus, un grupo de amenazas cibernéticas patrocinado por el estado de Corea del Note; donde los adversarios utilizan aplicaciones troyanizadas con puertas traseras para acceder a los sistemas objetivos.
Nueva campaña activa relacionada con MintsLoaderEl equipo del Csirt Financiero ha identificado una campaña activa asociada con MintsLoader, un loader basado en PowerShell diseñado para distribuir cargas maliciosas como el stealer StealC, este cargador se propaga principalmente a través de correos electrónicos maliciosos que contienen enlaces a sitios fraudulentos o archivos JScript.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-activa-relacionada-con-mintsloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña activa asociada con MintsLoader, un loader basado en PowerShell diseñado para distribuir cargas maliciosas como el stealer StealC, este cargador se propaga principalmente a través de correos electrónicos maliciosos que contienen enlaces a sitios fraudulentos o archivos JScript.
Nueva campaña asociada a Raccoon StealerDesde el CSIRT Financiero se ha identificado una nueva campaña asociada a la distribución del malware Raccoon Stealer, el cual apareció en el mes de abril de 2019 y ha tenido gran aceptación dentro de los ciberdelincuentes, al contar con una gama amplia de capacidades y por permitir una fácil obtención de dinero al ser un malware MaaS [Malware-as-a-Service]. Este tipo de amenazas podrían afectar al sector financiero ya que tienen la capacidad de exfiltrar la información sensible de la organización, así mismo puede afectar a los usuarios al verse comprometida su información financiera.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-a-raccoon-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña asociada a la distribución del malware Raccoon Stealer, el cual apareció en el mes de abril de 2019 y ha tenido gran aceptación dentro de los ciberdelincuentes, al contar con una gama amplia de capacidades y por permitir una fácil obtención de dinero al ser un malware MaaS [Malware-as-a-Service]. Este tipo de amenazas podrían afectar al sector financiero ya que tienen la capacidad de exfiltrar la información sensible de la organización, así mismo puede afectar a los usuarios al verse comprometida su información financiera.
Nueva campaña asociada a Remcos RATDe forma reciente se ha detectado una nueva campaña de distribución de Remcos, troyano de acceso remoto que le permite al atacante tomar el control de los equipos infectados, tomar capturas de pantalla, recopilar información asociada a credenciales de acceso, registrar pulsaciones de teclas (keylogger) y enviar toda la data a su comando y control.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-a-remcos-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De forma reciente se ha detectado una nueva campaña de distribución de Remcos, troyano de acceso remoto que le permite al atacante tomar el control de los equipos infectados, tomar capturas de pantalla, recopilar información asociada a credenciales de acceso, registrar pulsaciones de teclas (keylogger) y enviar toda la data a su comando y control.
Nueva campaña asociada al troyano bancario AnubisA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Anubis, el cual afecta dispositivos móviles Android y que tiene como objetivo capturar y exfiltrar datos bancarios que incluyen credenciales de APP bancarias, números de tarjetas de crédito y débito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-al-troyano-bancario-anubishttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Anubis, el cual afecta dispositivos móviles Android y que tiene como objetivo capturar y exfiltrar datos bancarios que incluyen credenciales de APP bancarias, números de tarjetas de crédito y débito.
Nueva campaña asociada al troyano bancario DridexEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña del troyano bancario Dridex, distribuido a través de correo electrónico tipo phishing con un documento Excel con macros embebidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-al-troyano-bancario-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña del troyano bancario Dridex, distribuido a través de correo electrónico tipo phishing con un documento Excel con macros embebidas.
Nueva campaña db#jammer: ciberdelincuentes explotan servidores microsoft sql para propagar ransomware freeworldMediante actividades de monitoreo el equipo de analistas del Csirt financiero identificó que están explotando servidores Microsoft SQL (MS SQL) para distribuir Cobalt Strike y una variante de ransomware llamada FreeWorld, que la han denominado campaña "DB#JAMMER".http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-db-jammer-ciberdelincuentes-explotan-servidores-microsoft-sql-para-propagar-ransomware-freeworldhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo el equipo de analistas del Csirt financiero identificó que están explotando servidores Microsoft SQL (MS SQL) para distribuir Cobalt Strike y una variante de ransomware llamada FreeWorld, que la han denominado campaña "DB#JAMMER".
Nueva campaña DDoS generada por el APT MatrixEl equipo del Csirt Financiero ha identificado una nueva campaña de Denegación de Servicio Distribuido (DDoS) orquestada por el actor de amenazas conocido como Matrix. Esta campaña se centra en explotar vulnerabilidades y configuraciones erróneas en dispositivos conectados a Internet, especialmente en dispositivos IoT y sistemas empresariales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-ddos-generada-por-el-apt-matrixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva campaña de Denegación de Servicio Distribuido (DDoS) orquestada por el actor de amenazas conocido como Matrix. Esta campaña se centra en explotar vulnerabilidades y configuraciones erróneas en dispositivos conectados a Internet, especialmente en dispositivos IoT y sistemas empresariales.
Nueva campaña de actualizaciones falsas distribuye el backdoor WarmCookieMediante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una nueva campaña maliciosa asociada al grupo SocGolish, conocido por emplear una estrategia de ciberataque denominada “FakeUpdate”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-actualizaciones-falsas-distribuye-el-backdoor-warmcookiehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una nueva campaña maliciosa asociada al grupo SocGolish, conocido por emplear una estrategia de ciberataque denominada “FakeUpdate”.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}