Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Subbat (ataque de Phishing dirigido)Se detectan ataques dirigidos a entidades gubernamentales en todo el mundo, emitidos por Subaat. Se han identificado un total de 202 indicadores de compromiso que podrían afectar a su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/subbat-ataque-de-phishing-dirigidohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detectan ataques dirigidos a entidades gubernamentales en todo el mundo, emitidos por Subaat. Se han identificado un total de 202 indicadores de compromiso que podrían afectar a su entidad.
GoldBrute botnetDesde el CSIRT Financiero en continuo análisis e investigación se ha detectado el crecimiento del ataque que está siendo aprovechado por la botnet Goldbrute sobre la vulnerabilidad CVE-2019-0708. Identificando un alto riesgo en Colombia al cual se han identificado un total de 9772 host expuestos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/goldbrute-botnethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero en continuo análisis e investigación se ha detectado el crecimiento del ataque que está siendo aprovechado por la botnet Goldbrute sobre la vulnerabilidad CVE-2019-0708. Identificando un alto riesgo en Colombia al cual se han identificado un total de 9772 host expuestos.
FIN7 ha vuelto a actuar utilizando documentos binarios de ExcelEl grupo FIN7 lleva cometiendo delitos informáticos desde el año 2013, centrando su atención en grandes empresas con el fin de conseguir robar información por medio de técnicas de spear-phishing. Aun habiendo detenido a dos de sus presuntos lideres en el año 2018 siguen suministrando malware y mejorando las técnicas de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/fin7-ha-vuelto-a-actuar-utilizando-documentos-binarios-de-excelhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo FIN7 lleva cometiendo delitos informáticos desde el año 2013, centrando su atención en grandes empresas con el fin de conseguir robar información por medio de técnicas de spear-phishing. Aun habiendo detenido a dos de sus presuntos lideres en el año 2018 siguen suministrando malware y mejorando las técnicas de infección.
Vulnerabilidad de UEFI de Intel CVE-2019-0119Se detecta amenaza global que pudiera impactar sobre el sector financiero. Se valida que es una Vulnerabilidad de desbordamiento de búfer en el firmware del sistema para los procesadores Intel(R) Xeon(R) Processor D Family, Intel(R) Xeon(R) Scalable Processor y las siguientes placas de servidor Intel(R) Server Board, Intel(R) Server System y Intel(R).http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-uefi-de-intel-cve-2019-0119http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global que pudiera impactar sobre el sector financiero. Se valida que es una Vulnerabilidad de desbordamiento de búfer en el firmware del sistema para los procesadores Intel(R) Xeon(R) Processor D Family, Intel(R) Xeon(R) Scalable Processor y las siguientes placas de servidor Intel(R) Server Board, Intel(R) Server System y Intel(R).
Nuevo malware BlackSquidSe detecta amenaza global que pudiera impactar sobre el sector financiero. Se trata de un malware de minado de criptomonedas bastante avanzado, que además de incorporar múltiples exploits cuenta con diversas técnicas para dificultar el análisis del mismo. Aunque en la actualidad este malware se encuentra instalado XMRig para realizar las tareas de minado, está diseñado para poder realizar la descarga de otros malwarehttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-blacksquidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global que pudiera impactar sobre el sector financiero. Se trata de un malware de minado de criptomonedas bastante avanzado, que además de incorporar múltiples exploits cuenta con diversas técnicas para dificultar el análisis del mismo. Aunque en la actualidad este malware se encuentra instalado XMRig para realizar las tareas de minado, está diseñado para poder realizar la descarga de otros malware
Campaña de correo electrónico LokibotSe detecta una campaña de correo electrónico distribuyendo lokibot a través de un archivo .xls, Lokibot es un troyano bancario especialmente diseñado para Windows y Android; en Windows cuenta con capacidades tales como robo de contraseñas en diferentes navegadores, carteras de criptomonedas, servidores FTP, clientes de correo electrónico, herramientas de tipo TI como Putty y en Android podría simular ser la pantalla de una app bancaria, WhatsApp, Skype y Outlook, mostrando notificaciones falsas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-correo-electronico-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta una campaña de correo electrónico distribuyendo lokibot a través de un archivo .xls, Lokibot es un troyano bancario especialmente diseñado para Windows y Android; en Windows cuenta con capacidades tales como robo de contraseñas en diferentes navegadores, carteras de criptomonedas, servidores FTP, clientes de correo electrónico, herramientas de tipo TI como Putty y en Android podría simular ser la pantalla de una app bancaria, WhatsApp, Skype y Outlook, mostrando notificaciones falsas.
RAT utilizado por el grupo APT-C-36 (también conocido como Blind Eagle)El malware analizado es el RAT utilizado por el grupo APT-C-36 (también conocido como Blind Eagle) que realizaba comunicaciones C&C con el objetivo de ejecutar comandos en el sistema infectado y exfiltrar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rat-utilizado-por-el-grupo-apt-c-36-tambien-conocido-como-blind-eaglehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware analizado es el RAT utilizado por el grupo APT-C-36 (también conocido como Blind Eagle) que realizaba comunicaciones C&C con el objetivo de ejecutar comandos en el sistema infectado y exfiltrar información confidencial.
Análisis de Indicadores de compromiso EmotetDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-regional-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Indicadores de compromiso identificados de Cobalt StrikeDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-internacionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.
Vulnerabilidad de 0-day en NotepadSe detecta amenaza global que podría impactar sobre el sector financiero, se trata de una vulnerabilidad de 0-day ejecución de código en Notepad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-0-day-en-notepadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña Nansh0u.Se detecta una campaña de infección dirigida a servidores Windows MS-SQL y PHPMyAdmin, la campaña se dirige principalmente a entidades que pertenecen a salud, telecomunicaciones y TI.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-nansh0uhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta una campaña de infección dirigida a servidores Windows MS-SQL y PHPMyAdmin, la campaña se dirige principalmente a entidades que pertenecen a salud, telecomunicaciones y TI.
Vulnerabilidad en DockerSe detecta amenaza global que podría impactar sobre el sector financiero se trata de vulnerabilidad en Dockerhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-dockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Jasperloader malware bancarioSe ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/jasperloader-malware-bancariohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.
Retefe troyano bancarioRetefe es un troyano bancario, con el objetivo de redireccionar a los usuarios a páginas bancarias falsas y robar sus credenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/retefe-troyano-bancariohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Alerta Sectorial RegionalDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-sectorial-regionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Notificación Global RegionalDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/notificacion-global-regionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.
Nueva variante de troyano EmotetSe ha detectado actividad del malware Emotet, el cual se cataloga como un troyano financiero que apunta al robo de credenciales de usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-troyano-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Alerta IoCDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirectahttp://csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-iochttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Malware GozNymSe ha detectado actividad del malware GozNym, el cual se cataloga como un troyano financiero que apunta al robo de credenciales de usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-goznymhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Malware TrickbotSe ha detectado actividad de malware Trickbot, el cual se cataloga como un troyano financiero que apunta a obtener credenciales de usuario, además podría ser utilizado como dropper para ejecutar otros software maliciosos dentro del dispositivo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado actividad de malware Trickbot, el cual se cataloga como un troyano financiero que apunta a obtener credenciales de usuario, además podría ser utilizado como dropper para ejecutar otros software maliciosos dentro del dispositivo comprometido.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}