Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Botnet Fritzfrog afecta servidores SSHEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-fritzfrog-afecta-servidores-sshhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.
Vulnerabilidad de Memoria Compartida de IBM DB2En el monitoreo realizado por el Csirt Financiero se ha constatado la publicación de la vulnerabilidad (CVE-2020-4414) de seguridad en IBM DB2. Esta vulnerabilidad permite a un ciberdelincuente local obtener información sensible o generar una denegación de servicios mediante solicitudes específicas provocando uso inadecuado de la memoria compartida, afectando equipos con distribuciones Linux y sistemas operativos Unix y Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-memoria-compartida-de-ibm-db2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha constatado la publicación de la vulnerabilidad (CVE-2020-4414) de seguridad en IBM DB2. Esta vulnerabilidad permite a un ciberdelincuente local obtener información sensible o generar una denegación de servicios mediante solicitudes específicas provocando uso inadecuado de la memoria compartida, afectando equipos con distribuciones Linux y sistemas operativos Unix y Windows.
Hidden Cobra y el RAT BlindingcanEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.http://csirtasobancaria.com/Plone/alertas-de-seguridad/hidden-cobra-y-el-rat-blindingcanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.
Venta de infostealer Purplewave en la DarkwebEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.http://csirtasobancaria.com/Plone/alertas-de-seguridad/venta-de-infostealer-purplewave-en-la-darkwebhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.
Malware loup extrae dinero de atm-ncrEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-loup-extrae-dinero-de-atm-ncrhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.
Malware XCSSET afecta equipos y dispositivos AppleEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuenteshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-xcsset-afecta-equipos-y-dispositivos-applehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuentes
Cactuspete APT Actualiza puerta trasera BisonalEn el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/cactuspete-apt-actualiza-puerta-trasera-bisonalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.
Banco de Centroamérica fue Atacado por SodinokibiEn el monitoreo realizado por el Csirt Financiero, se ha identificado un ataque realizado contra CiBanco, entidad financiera de México aparentemente por el grupo Sodinokibi, REvil o Solin, quienes han revelado información del ataque públicamente y amenazan con difundir dos entregas adicionales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/banco-de-centroamerica-fue-atacado-por-sodinokibihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado un ataque realizado contra CiBanco, entidad financiera de México aparentemente por el grupo Sodinokibi, REvil o Solin, quienes han revelado información del ataque públicamente y amenazan con difundir dos entregas adicionales.
Variante del malware bancario Mekotio utiliza base de datos SQL como C2En el monitoreo efectuado por el Csirt Financiero se identificaron nuevas características en una de las variantes de Mekotio. Este tipo de malware es un troyano bancario dirigido principalmente a países latinoamericanos entre los que se encuentran Brasil, Chile, México, Perú y Colombia, aunque también ha realizado afectaciones en Portugal y España.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-malware-bancario-mekotio-utiliza-base-de-datos-sql-como-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo efectuado por el Csirt Financiero se identificaron nuevas características en una de las variantes de Mekotio. Este tipo de malware es un troyano bancario dirigido principalmente a países latinoamericanos entre los que se encuentran Brasil, Chile, México, Perú y Colombia, aunque también ha realizado afectaciones en Portugal y España.
Malware basado en ScriptsEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva tendencia de ciberataques, en los cuales se está utilizando malware basado en scripts que aprovechan funciones como la secuencia de comandos, el instrumental de administración de Windows (WMI) y PowerShell, comprometiendo los registros de sistemas operativos Windows sin el uso de archivo, lo que a su vez dificulta su rastreo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-basado-en-scriptshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva tendencia de ciberataques, en los cuales se está utilizando malware basado en scripts que aprovechan funciones como la secuencia de comandos, el instrumental de administración de Windows (WMI) y PowerShell, comprometiendo los registros de sistemas operativos Windows sin el uso de archivo, lo que a su vez dificulta su rastreo.
Nuevo Grupo de ciberdelincuentes llamado RedCurlEn el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-llamado-redcurlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.
Campañas BEC contra ejecutivos financieros a través de Office 365Desde el mes de marzo del presente año, se han evidenciado nuevas campañas de Business Email Compromise (BEC) que hacen uso de técnicas de spearphishing en cuentas de Office 365 dirigidas a altos directivos en más de 1.000 empresas en todo el mundo. Las campañas más recientes se encuentran dirigidas a puestos Senior en Estados Unidos y Canadá.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campanas-bec-contra-ejecutivos-financieros-a-traves-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el mes de marzo del presente año, se han evidenciado nuevas campañas de Business Email Compromise (BEC) que hacen uso de técnicas de spearphishing en cuentas de Office 365 dirigidas a altos directivos en más de 1.000 empresas en todo el mundo. Las campañas más recientes se encuentran dirigidas a puestos Senior en Estados Unidos y Canadá.
Indicadores de compromiso asociados al grupo APT TA505El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo TA505, este grupo utiliza diferentes tipos de malware que le permiten obtener acceso remoto, aceptar comandos de un servidor de comando y control (C2), extraer información de los equipos y redes comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-grupo-apt-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo TA505, este grupo utiliza diferentes tipos de malware que le permiten obtener acceso remoto, aceptar comandos de un servidor de comando y control (C2), extraer información de los equipos y redes comprometidos.
Nuevos indicadores de compromiso del troyano GrandoreiroEl equipo del Csirt Financiero han identificado nuevos indicadores de compromiso relacionados con el troyano denominado Grandoreiro. Este se encuentra activo desde el año 2017 y dirige sus ciberataques a países de Latinoamérica y España. El método de propagación consiste en el envío de mensajes de correo electrónico tipo malspam con enlaces para su descarga, simulando un documento. Los mensajes de correo intentan suplantar empresas conocidas y utilizan asuntos que inducen o motivan al usuario a su descarga y visualización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-grandoreirohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero han identificado nuevos indicadores de compromiso relacionados con el troyano denominado Grandoreiro. Este se encuentra activo desde el año 2017 y dirige sus ciberataques a países de Latinoamérica y España. El método de propagación consiste en el envío de mensajes de correo electrónico tipo malspam con enlaces para su descarga, simulando un documento. Los mensajes de correo intentan suplantar empresas conocidas y utilizan asuntos que inducen o motivan al usuario a su descarga y visualización.
Skimming usado en ataques de HomoglyphEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado un kit de skimming que usa ataques de homoglyph y mensajes de phishing para la realizar la infección de equipos. La amenaza consiste en registrar dominios IDN de entidades reconocidas, sustituyendo algún carácter de la URL de tal modo que a simple vista no se evidencie el cambio y pueda pasar desapercibido para el usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimming-usado-en-ataques-de-homoglyphhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado un kit de skimming que usa ataques de homoglyph y mensajes de phishing para la realizar la infección de equipos. La amenaza consiste en registrar dominios IDN de entidades reconocidas, sustituyendo algún carácter de la URL de tal modo que a simple vista no se evidencie el cambio y pueda pasar desapercibido para el usuario.
Grupo cibercriminal Prilex reinicia operaciones.Desde el Csirt Financiero se ha identificado que el grupo Prilex, del cual no se tenía información desde principios del 2019, ha reiniciado sus ataques a través de campañas de malspam que tiene como objetivo infectar los equipos con malware para exfiltrar la información de los sistemas POS (Point of Sale) y capturar los datos de las tarjetas utilizadas en estos puntos de venta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-cibercriminal-prilex-reinicia-operacioneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado que el grupo Prilex, del cual no se tenía información desde principios del 2019, ha reiniciado sus ataques a través de campañas de malspam que tiene como objetivo infectar los equipos con malware para exfiltrar la información de los sistemas POS (Point of Sale) y capturar los datos de las tarjetas utilizadas en estos puntos de venta.
Anchor_Linux: módulo de Trickbot para distribuciones LinuxEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado que el troyano bancario Trickbot ahora infecta equipos con distribuciones Linux. Trickbot se hizo notar a nivel mundial en el 2019 por sus actividades ilegales, como la exfiltración de credenciales, información personal y funcionalidades que permiten la descarga e instalación de otras familias de malware (Dropper).http://csirtasobancaria.com/Plone/alertas-de-seguridad/anchor_linux-modulo-de-trickbot-para-distribuciones-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado que el troyano bancario Trickbot ahora infecta equipos con distribuciones Linux. Trickbot se hizo notar a nivel mundial en el 2019 por sus actividades ilegales, como la exfiltración de credenciales, información personal y funcionalidades que permiten la descarga e instalación de otras familias de malware (Dropper).
Nuevo módulo de Emotet para exfiltrar información de correos electrónicosEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-modulo-de-emotet-para-exfiltrar-informacion-de-correos-electronicoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.
Captura y exfiltración de datos en estándar EMVEl equipo del Csirt Financiero ha evidenciado que la información de las tarjetas de chip que cumplen el estándar EMV puede ser capturada y exfiltrada, mediante la utilización de malware como: Alina POS, Dexter POS y TinyLoader, en los sistemas POS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/captura-y-exfiltracion-de-datos-en-estandar-emvhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado que la información de las tarjetas de chip que cumplen el estándar EMV puede ser capturada y exfiltrada, mediante la utilización de malware como: Alina POS, Dexter POS y TinyLoader, en los sistemas POS.
Nueva campaña de malspam infecta los equipos con NjRAT y AsyncRATEl equipo del Csirt Financiero ha evidenciado el envío masivo de mensajes de correo electrónico distribuyendo a njRAT y AsyncRAT, utilizan como asunto un supuesto pago realizado desde la entidad bancaria del usuario. Los ciberdelincuentes utilizan técnicas para persuadir y engañar a usuarios incautos, logrando que realicen la descarga y ejecución de archivos maliciosos, ya sea a través de URL o documentos adjuntos en los mensajes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-infecta-los-equipos-con-njrat-y-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado el envío masivo de mensajes de correo electrónico distribuyendo a njRAT y AsyncRAT, utilizan como asunto un supuesto pago realizado desde la entidad bancaria del usuario. Los ciberdelincuentes utilizan técnicas para persuadir y engañar a usuarios incautos, logrando que realicen la descarga y ejecución de archivos maliciosos, ya sea a través de URL o documentos adjuntos en los mensajes.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}