Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
NUEVAS ESTRATEGIAS AVANZADAS DE RANSOMHOUSELa organización conocida como RansomHouse ha estado operativa desde finales del año 2021, centrándose en afectar a diversas organizaciones a nivel mundial. Este grupo destaca por emplear tácticas avanzadas, aprovechando vulnerabilidades no parcheadas en las infraestructuras tecnológicas de sus objetivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-estrategias-avanzadas-de-ransomhousehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La organización conocida como RansomHouse ha estado operativa desde finales del año 2021, centrándose en afectar a diversas organizaciones a nivel mundial. Este grupo destaca por emplear tácticas avanzadas, aprovechando vulnerabilidades no parcheadas en las infraestructuras tecnológicas de sus objetivos.
Nuevas funcionalidades de Ebrium stealer.Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-de-ebrium-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.
Nuevas funcionalidades del troyano de banca móvil WrobaEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-del-troyano-de-banca-movil-wrobahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.
Nuevas funciones de Xillen Stealer fortalecen su evasión y alcanceDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la amenaza Xillen Stealer en sus versiones cuatro y cinco, caracterizada por una expansión de sus capacidades de recolección y por la integración de funciones orientadas a evadir controles basados en inteligencia artificial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funciones-de-xillen-stealer-fortalecen-su-evasion-y-alcancehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la amenaza Xillen Stealer en sus versiones cuatro y cinco, caracterizada por una expansión de sus capacidades de recolección y por la integración de funciones orientadas a evadir controles basados en inteligencia artificial.
Nuevas puertas traseras atribuidas a APT37 contra sistemas WindowsEl equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-puertas-traseras-atribuidas-a-apt37-contra-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.
Nuevas tácticas de Lumma StealerA través del monitoreo constante realizado por el equipo del Csirt Financiero, se observó una nueva actividad relacionado con el malware Lumma Stealer, una amenaza diseñada para la exfiltración de información sensible de los equipos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tacticas-de-lumma-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo constante realizado por el equipo del Csirt Financiero, se observó una nueva actividad relacionado con el malware Lumma Stealer, una amenaza diseñada para la exfiltración de información sensible de los equipos infectados.
Nuevas tácticas del grupo APT FIN6En el análisis de amenazas del CSIRT Financiero se ha logrado identificar una campaña reciente del grupo de APT FIN6, quién ha cambiado sus tácticas y se ha orientado a la infección de sitios web de comercio electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tacticas-del-grupo-apt-fin6http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el análisis de amenazas del CSIRT Financiero se ha logrado identificar una campaña reciente del grupo de APT FIN6, quién ha cambiado sus tácticas y se ha orientado a la infección de sitios web de comercio electrónico.
Nuevas técnicas asociadas a GuLoaderRecientemente, un e|quipo de investigadores identificó nuevas técnicas de evasión asociadas a GuLoader, también conocido como CloudEyE, donde utiliza un cargador desarrollado en código Shell de forma polimórfica (Que tiene o puede tener varias formas) con el objetivo de eludir a las herramientas de seguridad instaladas en las infraestructuras informáticas comprometidas como la detección de ser ejecutado en entornos virtualizados para finalizar sus procesos maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-asociadas-a-guloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, un e|quipo de investigadores identificó nuevas técnicas de evasión asociadas a GuLoader, también conocido como CloudEyE, donde utiliza un cargador desarrollado en código Shell de forma polimórfica (Que tiene o puede tener varias formas) con el objetivo de eludir a las herramientas de seguridad instaladas en las infraestructuras informáticas comprometidas como la detección de ser ejecutado en entornos virtualizados para finalizar sus procesos maliciosos.
Nuevas técnicas avanzadas empleadas por HijackLoaderEl equipo de Csirt Financiero, mediante el monitoreo constante de amenazas, ha observado las últimas actualizaciones del malware HijackLoader, que ahora incluye módulos diseñados para mejorar su evasión.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-avanzadas-empleadas-por-hijackloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero, mediante el monitoreo constante de amenazas, ha observado las últimas actualizaciones del malware HijackLoader, que ahora incluye módulos diseñados para mejorar su evasión.
NUEVAS TÉCNICAS DE DISTRIBUCIÓN DEL RANSOMWARE EBYTEDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución del ransomware EByte, una variante basada en el lenguaje de programación “Go” que implementa mecanismos de cifrado y persistencia en equipos comprometidos, empleando el algoritmo ChaCha20 para cifrar archivos y ECIES para la transmisión segura de claves, dificultando la recuperación de la información afectada mediante métodos convencionales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-de-distribucion-del-ransomware-ebytehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución del ransomware EByte, una variante basada en el lenguaje de programación “Go” que implementa mecanismos de cifrado y persistencia en equipos comprometidos, empleando el algoritmo ChaCha20 para cifrar archivos y ECIES para la transmisión segura de claves, dificultando la recuperación de la información afectada mediante métodos convencionales.
Nuevas técnicas de evasión de LatrodectusMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas, se identificó nueva actividad del loader llamado Lactrodectus, el cual emplea técnicas avanzadas de ocultación y autoeliminación que permite dificultar su análisis.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-de-evasion-de-latrodectushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas, se identificó nueva actividad del loader llamado Lactrodectus, el cual emplea técnicas avanzadas de ocultación y autoeliminación que permite dificultar su análisis.
Nuevas técnicas maliciosas de MetaStealer: en campañas de publicidadEl equipo de analistas del Csirt ha identificado nuevas campañas de publicidad maliciosa relacionadas con MetaStealer, un stealer conocido que ha experimentado evolución desde su aparición en 2022. A diferencia de sus métodos de propagación anteriores, que involucraban principalmente correos no deseados y cuentas de YouTube comprometidas, la técnica actual implica anuncios maliciosos que redirigen a usuarios a sitios fraudulentos para descargar MetaStealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-maliciosas-de-metastealer-en-campanas-de-publicidadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt ha identificado nuevas campañas de publicidad maliciosa relacionadas con MetaStealer, un stealer conocido que ha experimentado evolución desde su aparición en 2022. A diferencia de sus métodos de propagación anteriores, que involucraban principalmente correos no deseados y cuentas de YouTube comprometidas, la técnica actual implica anuncios maliciosos que redirigen a usuarios a sitios fraudulentos para descargar MetaStealer.
Nuevas técnicas y herramientas utilizadas por el ransomware BlackCatEs importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-y-herramientas-utilizadas-por-el-ransomware-blackcathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.
Nuevas TTP asociadas al troyano de acceso remoto NJRATUno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-ttp-asociadas-al-troyano-de-acceso-remoto-njrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.
Nuevas TTP relacionadas con el troyano bancario IcedIDLa constante evolución de las diferentes amenazas existentes en el ciberespacio que hacen parte de la incesante ciberguerra es el origen de esta nueva campaña que distribuye enlaces de phishing a través de Google Cloud y Google Firebase que llegan vía correo electrónico para entregar una nueva variante del troyano bancario IcedID que incluye nuevas tácticas y técnicas de detección y respuesta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-ttp-relacionadas-con-el-troyano-bancario-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La constante evolución de las diferentes amenazas existentes en el ciberespacio que hacen parte de la incesante ciberguerra es el origen de esta nueva campaña que distribuye enlaces de phishing a través de Google Cloud y Google Firebase que llegan vía correo electrónico para entregar una nueva variante del troyano bancario IcedID que incluye nuevas tácticas y técnicas de detección y respuesta.
Nuevas variantes de DarkGate emplea nuevas técnicas de evasiónMediante constante monitoreo, el equipo de analistas del Csirt Financiero, ha identificado una nueva cadena de infección asociada con el troyano DarkGate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-darkgate-emplea-nuevas-tecnicas-de-evasionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante constante monitoreo, el equipo de analistas del Csirt Financiero, ha identificado una nueva cadena de infección asociada con el troyano DarkGate.
Nuevas variantes de L0rdix Botnet, ATM EMV Malware y Anubis 2.5 buscan afectar al sector financiero.Desde el CSIRT Financiero se ha detectado nuevas variantes de malware catalogado que podrían afectar al sector financiero a nivel internacional. Entre estas nuevas variantes podemos encontrar a L0rdix Botnet, ATM EMV Malware y Anubis 2.5http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-l0rdix-botnet-atm-emv-malware-y-anubis-2-5-buscan-afectar-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado nuevas variantes de malware catalogado que podrían afectar al sector financiero a nivel internacional. Entre estas nuevas variantes podemos encontrar a L0rdix Botnet, ATM EMV Malware y Anubis 2.5
Nuevas variantes de Loda RATEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-loda-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.
Nuevas variantes de malware MozartPOSDesde el CSIRT Financiero se detecta una actualización de la familia de malware FrameworkPOS (point of sale - punto de venta), el cual se dirige a sistemas que emplean dispositivos físicos en puntos de venta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-malware-frameworkposhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una actualización de la familia de malware FrameworkPOS (point of sale - punto de venta), el cual se dirige a sistemas que emplean dispositivos físicos en puntos de venta.
Nuevas variantes de ransomware con interesantes técnicas de extorsiónEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado dos nuevas variantes de ransomware dirigidas a sistemas operativos Windows denominadas AlumniLocker y Humble, cada una de estas variantes tiene particularidad en la forma en que extorsionan a sus víctimas después de que cifran los datos en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-ransomware-con-interesantes-tecnicas-de-extorsionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado dos nuevas variantes de ransomware dirigidas a sistemas operativos Windows denominadas AlumniLocker y Humble, cada una de estas variantes tiene particularidad en la forma en que extorsionan a sus víctimas después de que cifran los datos en los equipos comprometidos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}