Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva variante de RAT denominada PupyDesde el Csirt Financiero se realiza monitoreo al ciber espacio con el objetivo de identificar nuevas amenazas que puedan impactar al sector financiero, durante dichas investigaciones se identificó una nueva variante de RAT (troyano de acceso remoto por sus siglas en inglés) identificado como Pupy, el cual es desplegado en los equipos informáticos a través de un servicio legítimo de Windows conocido como WerFault.exe (utilizado para las notificaciones de errores de Windows).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-rat-denominada-pupyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se realiza monitoreo al ciber espacio con el objetivo de identificar nuevas amenazas que puedan impactar al sector financiero, durante dichas investigaciones se identificó una nueva variante de RAT (troyano de acceso remoto por sus siglas en inglés) identificado como Pupy, el cual es desplegado en los equipos informáticos a través de un servicio legítimo de Windows conocido como WerFault.exe (utilizado para las notificaciones de errores de Windows).
Actividades maliciosas recientes asociadas al troyano bancario UrsnifDurante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividades-maliciosas-recientes-asociadas-al-troyano-bancario-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.
Nuevos indicadores de compromiso relacionados a QakbotEn el observatorio de ciberseguridad, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionado a Qakbot, el cual es un troyano bancario que ha sido utilizado por actores de amenaza motivados financieramente desde 2007, con el pasar de los años se convirtió en una de las amenazas más relevantes por su gran evolución e implementación de capacidades para capturar la mayor cantidad de información confidencial posible de sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-a-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el observatorio de ciberseguridad, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionado a Qakbot, el cual es un troyano bancario que ha sido utilizado por actores de amenaza motivados financieramente desde 2007, con el pasar de los años se convirtió en una de las amenazas más relevantes por su gran evolución e implementación de capacidades para capturar la mayor cantidad de información confidencial posible de sus víctimas.
Nueva actividad maliciosa que entrega RhadamanthysA principios del presente año, investigadores identificaron nuevas actividades usando el servicio de Google Ads con el objetivo de distribuir a Rhadamanthys, un stealer capacitado para recopilar y exfiltrar información de las infraestructuras informáticas comprometidas como nombre del equipo, modelo, versión del sistema operativo, direcciones IP, credenciales de acceso, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-que-entrega-rhadamanthyshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A principios del presente año, investigadores identificaron nuevas actividades usando el servicio de Google Ads con el objetivo de distribuir a Rhadamanthys, un stealer capacitado para recopilar y exfiltrar información de las infraestructuras informáticas comprometidas como nombre del equipo, modelo, versión del sistema operativo, direcciones IP, credenciales de acceso, entre otros.
Proliferan variantes del ransomware Conti en el panorama de amenazasLas variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/proliferan-variantes-del-ransomware-conti-en-el-panorama-de-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.
Nueva variante de SpyNote dirigida a AndroidRecientemente se ha identificado una nueva variante de SpyNote también llamada como SpyMax, una amenaza dirigida a sistemas operativos Android que combina capacidades de spyware y troyano bancario. Todo esto luego de que su código se hizo público, ayudando a que actores de amenaza lo capacitaran con nuevas funciones maliciosas para lograr sus objetivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-spynote-dirigida-a-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una nueva variante de SpyNote también llamada como SpyMax, una amenaza dirigida a sistemas operativos Android que combina capacidades de spyware y troyano bancario. Todo esto luego de que su código se hizo público, ayudando a que actores de amenaza lo capacitaran con nuevas funciones maliciosas para lograr sus objetivos.
El troyano bancario Dridex apunta a usuarios del sistema operativo MacOSDridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-dridex-apunta-a-usuarios-del-sistema-operativo-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.
Nuevo grupo de ciberdelincuentes dirigidos al sector financieroEn la actividad de observatorio de ciberseguridad en el ciberespacio realizada por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó un nuevo grupo de ciberdelincuentes los cuales generan ataques dirigidos especialmente al sector financiero conocidos como Bluebottle usando diversas técnicas con ayuda de múltiples herramientas para llevar a cabo sus actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-dirigidos-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actividad de observatorio de ciberseguridad en el ciberespacio realizada por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó un nuevo grupo de ciberdelincuentes los cuales generan ataques dirigidos especialmente al sector financiero conocidos como Bluebottle usando diversas técnicas con ayuda de múltiples herramientas para llevar a cabo sus actividades maliciosas.
El grupo de amenazas Blind Eagle distribuye el troyano de acceso remoto Quasar RATEl equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-blind-eagle-distribuye-el-troyano-de-acceso-remoto-quasar-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.
Reciente campaña maliciosa del troyano de acceso remoto BitRATEn un monitoreo realizado por el equipo del Csirt Financiero en busca de amenazas y nuevas campañas que puedan afectar la infraestructura tecnológica de los asociados, se identificó una reciente actividad del troyano de acceso remoto BitRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-campana-maliciosa-del-troyano-de-acceso-remoto-bitrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En un monitoreo realizado por el equipo del Csirt Financiero en busca de amenazas y nuevas campañas que puedan afectar la infraestructura tecnológica de los asociados, se identificó una reciente actividad del troyano de acceso remoto BitRAT.
Se identifica un nuevo stealer en el ciberespacio denominado MintLos stealers son programas maliciosos diseñados para capturar información confidencial de los usuarios, como contraseñas y números de tarjetas de crédito. En el ciberespacio actual, los stealers representan una amenaza constante para la seguridad de la información personal y financiera de los usuarios; es así como mediante actividades de monitoreo el Csirt Financiero, identifico un nuevo stealer denominado Mint, que ofrecen sus operadores a través de un canal de Telegram como el mejor del mercado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-un-nuevo-stealer-en-el-ciberespacio-denominado-minthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los stealers son programas maliciosos diseñados para capturar información confidencial de los usuarios, como contraseñas y números de tarjetas de crédito. En el ciberespacio actual, los stealers representan una amenaza constante para la seguridad de la información personal y financiera de los usuarios; es así como mediante actividades de monitoreo el Csirt Financiero, identifico un nuevo stealer denominado Mint, que ofrecen sus operadores a través de un canal de Telegram como el mejor del mercado.
El troyano bancario IcedID alojado en sitios phishingEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-icedid-alojado-en-sitios-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.
Surge un nuevo ransomware denominado CatBEl panorama de amenazas continúa proliferando, producto de esta constante actividad es que en la naturaleza surgen nuevas familias de ransomware en poco tiempo; aunado de lo anterior recientemente se identificó el ransomware CatB que implementa técnicas anti-virtualización y evasión mediante el secuestro de una dll.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-un-nuevo-ransomware-denominado-catbhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas continúa proliferando, producto de esta constante actividad es que en la naturaleza surgen nuevas familias de ransomware en poco tiempo; aunado de lo anterior recientemente se identificó el ransomware CatB que implementa técnicas anti-virtualización y evasión mediante el secuestro de una dll.
Nueva variante del ransomware BabukRecientemente, investigadores identificaron una nueva variante del ransomware Babuk debido a que estaba implicado en un ataque sobre una gran organización; esta amenaza fue identificada por primera vez en 2021 gracias a la popularidad ganada gracias a varias afectaciones a entidades y realizar doble extorsión sobre las mismas, posteriormente, en foros rusos se filtró el código fuente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-babukhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores identificaron una nueva variante del ransomware Babuk debido a que estaba implicado en un ataque sobre una gran organización; esta amenaza fue identificada por primera vez en 2021 gracias a la popularidad ganada gracias a varias afectaciones a entidades y realizar doble extorsión sobre las mismas, posteriormente, en foros rusos se filtró el código fuente.
Ciberdelincuentes emplean Raspberry Robin para atacar entidades financieras de EuropaRecientemente se han visto ataques cibernéticos orquestados por grupos ciberdelincuentes que utilizan el framework automatizado Raspberry Robin para apuntar a entidades financieras de Europa, dado que les permite a los atacantes evadir la detección y moverse lateralmente, sirviéndose de las infraestructuras en la nube como Discord, Azure y Github para entregar su malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-emplean-raspberry-robin-para-atacar-entidades-financieras-de-europahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se han visto ataques cibernéticos orquestados por grupos ciberdelincuentes que utilizan el framework automatizado Raspberry Robin para apuntar a entidades financieras de Europa, dado que les permite a los atacantes evadir la detección y moverse lateralmente, sirviéndose de las infraestructuras en la nube como Discord, Azure y Github para entregar su malware.
Nuevos indicadores de compromiso relacionados a NetSupport RATEl equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden llegar a afectar la infraestructura tecnológica de los asociados, se identificó nuevos indicadores de compromiso (IoC) relacionados a NetSupport RAT¸ la cual es una herramienta de acceso remoto, que a pesar de ser legítima es usada por los ciberdelincuentes para obtener acceso no autorizado a los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-a-netsupport-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden llegar a afectar la infraestructura tecnológica de los asociados, se identificó nuevos indicadores de compromiso (IoC) relacionados a NetSupport RAT¸ la cual es una herramienta de acceso remoto, que a pesar de ser legítima es usada por los ciberdelincuentes para obtener acceso no autorizado a los equipos comprometidos.
Nueva variante de NymaimEn los últimos meses se ha identificado una nueva variante del antes conocido Loader Nymaim, sin embargo, en su nueva etapa fue actualizado hasta convertirse en un troyano que puede generar actividades sin el consentimiento de sus víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-nymaimhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses se ha identificado una nueva variante del antes conocido Loader Nymaim, sin embargo, en su nueva etapa fue actualizado hasta convertirse en un troyano que puede generar actividades sin el consentimiento de sus víctimas.
Nuevos indicadores de compromiso asocian actividad maliciosa de Quasar RATEn el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha evidenciado un aumento significativo de campañas maliciosas que distribuyen el troyano de acceso remoto Quasar, familia de malware bastante conocida en el mundo del ciberespacio por sus capacidades y porque suele estar dirigida al sector bancario y sus entidades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asocian-actividad-maliciosa-de-quasar-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha evidenciado un aumento significativo de campañas maliciosas que distribuyen el troyano de acceso remoto Quasar, familia de malware bastante conocida en el mundo del ciberespacio por sus capacidades y porque suele estar dirigida al sector bancario y sus entidades.
Campaña de malvertización por medio de Google Ads distribuye distintas familias de malwareRecientemente, se descubrió una campaña que abusa de Google Ads para entregar diferentes familias de troyanos como Raccoon Stealer y Vidar, se atribuye en gran parte a un actor de amenazas conocido como Vermux; por otra parte, el objetivo de esta es afectar a usuarios que realicen búsquedas de software que incluyen AnyDesk, Malwarebytes, Microsoft Visual Studio y Zoom entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malvertizacion-por-medio-de-google-ads-distribuye-distintas-familias-de-malware-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se descubrió una campaña que abusa de Google Ads para entregar diferentes familias de troyanos como Raccoon Stealer y Vidar, se atribuye en gran parte a un actor de amenazas conocido como Vermux; por otra parte, el objetivo de esta es afectar a usuarios que realicen búsquedas de software que incluyen AnyDesk, Malwarebytes, Microsoft Visual Studio y Zoom entre otros.
Nueva actividad maliciosa asociada a RedLine StealerEn el transcurso del presente mes, se ha estado evidenciando múltiples campañas maliciosas de diversas familias de malware relacionadas con stealers, las cuales se caracterizan por capturar información confidencial por medio de técnicas tipo spyware, adicionalmente, permiten la descarga de otras cargas útiles para amplificar su rango de afectación en el sistema informático objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-a-redline-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el transcurso del presente mes, se ha estado evidenciando múltiples campañas maliciosas de diversas familias de malware relacionadas con stealers, las cuales se caracterizan por capturar información confidencial por medio de técnicas tipo spyware, adicionalmente, permiten la descarga de otras cargas útiles para amplificar su rango de afectación en el sistema informático objetivo.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}