Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva Dropper Gh0stGambit Distribuyendo Gh0st RAT a Usuarios ChinosEl equipo de analistas del Csirt Financiero detectó un nuevo dropper denominado Gh0stGambit distribuyendo el troyano de acceso remoto Gh0st RAT, explotando un sitio falso de Google Chrome para atacar usuarios Windows en china.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-dropper-gh0stgambit-distribuyendo-gh0st-rat-a-usuarios-chinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero detectó un nuevo dropper denominado Gh0stGambit distribuyendo el troyano de acceso remoto Gh0st RAT, explotando un sitio falso de Google Chrome para atacar usuarios Windows en china.
Nueva familia de malware denominada MosaicLoaderEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-malware-denominada-mosaicloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.
Nueva familia de malware denominada VidarA través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado un nuevo troyano denominado Vidar, que tiene como finalidad realizar la captura de información confidencial del equipo y de la víctima, esta amenaza está dirigida a sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-malware-denominada-vidarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado un nuevo troyano denominado Vidar, que tiene como finalidad realizar la captura de información confidencial del equipo y de la víctima, esta amenaza está dirigida a sistemas operativos Microsoft Windows.
Nueva familia de malware denominado TigerDownloader y TigerRATEn el constante monitoreo a fuentes abiertas para la identificación de posibles amenazas el equipo de analistas del Csirt Financiero ha observado una nueva familia de RAT de nombre TigerDownloader cuyo objetivo principal es la distribución del nuevo troyano de acceso remoto (RAT) identificado como TigerRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-malware-denominado-tigerdownloader-y-tigerrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas para la identificación de posibles amenazas el equipo de analistas del Csirt Financiero ha observado una nueva familia de RAT de nombre TigerDownloader cuyo objetivo principal es la distribución del nuevo troyano de acceso remoto (RAT) identificado como TigerRAT.
Nueva familia de ransomware denominada HydroxGeneralmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-ransomware-denominada-hydroxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Generalmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.
Nueva familia de ransomware denominada Ransomexx2Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-ransomware-denominada-ransomexx2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.
Nueva familia de RAT para Android “Albiriox” orientado a fraude financieroDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-rat-para-android-201calbiriox201d-orientado-a-fraude-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva familia de RAT para Android que está siendo comercializada en foros clandestinos y utilizada para llevar a cabo fraude financiero mediante exfiltración C2 del dispositivo y manipulación directa de aplicaciones bancarias. Su rápida evolución, su alcance global y su capacidad para operar dentro de sesiones legítimas lo convierten en una amenaza emergente con potencial impacto para usuarios y entidades del sector financiero.
Nueva funcionalidad de Trickbot.Trickbot es un troyano bancario desarrollado para la captura de credenciales alojadas en el navegador, se ha identificado un nuevo módulo el cual exfiltra la información alojada en el Active Directory de Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-funcionalidad-de-trickbot-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Trickbot es un troyano bancario desarrollado para la captura de credenciales alojadas en el navegador, se ha identificado un nuevo módulo el cual exfiltra la información alojada en el Active Directory de Windows.
Nueva herramienta de cifrado conocida como Attacker-CrypterRecientemente se identificó una nueva herramienta de cifrado que ha surgido en el panorama del ciberespacio y que representa una amenaza inminente para la integridad y seguridad de los sistemas y redes objetivo. Esta herramienta se conoce como "Attacker-Crypter" y tiene la capacidad de ofuscar y manipular código malicioso para evadir la detección por parte de las soluciones de seguridad y antivirus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-de-cifrado-conocida-como-attacker-crypterhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una nueva herramienta de cifrado que ha surgido en el panorama del ciberespacio y que representa una amenaza inminente para la integridad y seguridad de los sistemas y redes objetivo. Esta herramienta se conoce como "Attacker-Crypter" y tiene la capacidad de ofuscar y manipular código malicioso para evadir la detección por parte de las soluciones de seguridad y antivirus.
Nueva herramienta de exfiltración de datosEn el monitoreo continuo de fuentes abiertas de información y en la búsqueda de actividad maliciosa que pueda llegar a impactar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt financiero ha identificado el desarrollo de una nueva herramienta de exfiltración de datos, denominada Exmatter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-de-exfiltracion-de-datoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo de fuentes abiertas de información y en la búsqueda de actividad maliciosa que pueda llegar a impactar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt financiero ha identificado el desarrollo de una nueva herramienta de exfiltración de datos, denominada Exmatter.
Nueva herramienta loader denominada "Bioload", asociada al grupo FIN7Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-loader-denominada-bioload-asociada-al-grupo-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.
Nueva modificación y distribución de CryptBot InfostealerEn el seguimiento a amenazas potenciales cuyo objetivo sea el sector financiero, el equipo de analistas del Csirt Financiero ha observado la distribución de una versión modificada del infostealer identificado como CryptBot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-modificacion-y-distribucion-de-cryptbot-infostealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a amenazas potenciales cuyo objetivo sea el sector financiero, el equipo de analistas del Csirt Financiero ha observado la distribución de una versión modificada del infostealer identificado como CryptBot.
Nueva operación de TinyLoaderMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-operacion-de-tinyloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.
Nueva operación del grupo ciberdelincuente TA505 usando el descargador Get2TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-operacion-del-grupo-ciberdelincuente-ta505-usando-el-descargador-get2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.
Nueva puerta trasera denominada SerpentA través de las actividades de seguimiento y monitoreo realizadas por el Csirt Financiero a las diversas campañas desarrolladas por actores de amenaza que buscan impactar sobre la infraestructura tecnológica de las organizaciones en todo el mundo, se identificó una nueva campaña de puerta trasera denominada “Serpent”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-denominada-serpenthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de las actividades de seguimiento y monitoreo realizadas por el Csirt Financiero a las diversas campañas desarrolladas por actores de amenaza que buscan impactar sobre la infraestructura tecnológica de las organizaciones en todo el mundo, se identificó una nueva campaña de puerta trasera denominada “Serpent”.
Nueva puerta trasera dirigida a MacOSMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado SpectralBlur.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-dirigida-a-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado SpectralBlur.
Nueva puerta trasera implementada en equipos MacOS y WindowsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado RustDoor.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-implementada-en-equipos-macos-y-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado RustDoor.
Nueva puerta trasera llamada MystRodX con activación DNS/ICMPEl equipo del Csirt Financiero identificó indicadores asociados a MystRodX, una puerta trasera orientada al sigilo y al control remoto sostenido en equipos a nivel global. La amenaza se despliega mediante un dropper que instala dos componentes que se vigilan mutuamente para asegurar su ejecución continua, y destaca por su modo pasivo: se activa únicamente cuando detecta señales específicas en tráfico DNS o ICMP, tras lo cual establece comunicación con el C2 mediante TCP o HTTP con cifrado opcional.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-llamada-mystrodx-con-activacion-dns-icmphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó indicadores asociados a MystRodX, una puerta trasera orientada al sigilo y al control remoto sostenido en equipos a nivel global. La amenaza se despliega mediante un dropper que instala dos componentes que se vigilan mutuamente para asegurar su ejecución continua, y destaca por su modo pasivo: se activa únicamente cuando detecta señales específicas en tráfico DNS o ICMP, tras lo cual establece comunicación con el C2 mediante TCP o HTTP con cifrado opcional.
Nueva puerta trasera NotDoor dirigida a Outlook fue atribuida a APT28El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada a APT28 que involucra la distribución de NotDoor, una puerta trasera especialmente diseñada para integrarse con el cliente de correo Outlook mediante macros en VBA, esta amenaza permite a los ciberdelincuentes exfiltrar información, ejecutar comandos remotos y recibir archivos en el equipo comprometido, todo a través de mensajes de correo electrónico estructurados. Su cadena de infección incluye la técnica de carga lateral sobre el binario legítimo OneDrive.exe y la ejecución de una DLL maliciosa que modifica el comportamiento de Outlook sin alertar al usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-notdoor-dirigida-a-outlook-fue-atribuida-a-apt28http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada a APT28 que involucra la distribución de NotDoor, una puerta trasera especialmente diseñada para integrarse con el cliente de correo Outlook mediante macros en VBA, esta amenaza permite a los ciberdelincuentes exfiltrar información, ejecutar comandos remotos y recibir archivos en el equipo comprometido, todo a través de mensajes de correo electrónico estructurados. Su cadena de infección incluye la técnica de carga lateral sobre el binario legítimo OneDrive.exe y la ejecución de una DLL maliciosa que modifica el comportamiento de Outlook sin alertar al usuario.
Nueva puerta trasera para Microsoft Windows y LinuxMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado KTLVdoor.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-puerta-trasera-para-microsoft-windows-y-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado KTLVdoor.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}