Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña maliciosa de SEO#LURKER utilizan WinSCP como señuelo para distribuir MalwareRecientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó una nueva campaña maliciosa de tipo malvertising utilizando como señuelos la aplicación WinSCP para engañar a los usuarios y distribuir malware, aprovechándose de los anuncios de búsqueda dinámicos para inyectar su propio código malicioso a fuentes legítimas como las páginas de búsqueda de Google.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-de-seo-lurker-utilizan-winscp-como-senuelo-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó una nueva campaña maliciosa de tipo malvertising utilizando como señuelos la aplicación WinSCP para engañar a los usuarios y distribuir malware, aprovechándose de los anuncios de búsqueda dinámicos para inyectar su propio código malicioso a fuentes legítimas como las páginas de búsqueda de Google.
Grupo 8Base distribuye nueva variante del ransomware PhobosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del ransomware llamado Phobos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-8base-distribuye-nueva-variante-del-ransomware-phoboshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del ransomware llamado Phobos.
Nueva variante del troyano conocido como Agent TeslaAgent Tesla, reconocido por su capacidad de recopilar información a través de diversos vectores de ataque, como correos electrónicos de phishing con archivos adjuntos maliciosos, ha presentado una nueva variante identificada recientemente por el equipo de analistas del Csirt. Esta variante utiliza un archivo en formato de compresión ZPAQ para extraer datos de clientes de correo electrónico y navegadores web, aprovechando la mejor relación de compresión que ofrece ZPAQ en comparación con ZIP y RAR.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-conocido-como-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Agent Tesla, reconocido por su capacidad de recopilar información a través de diversos vectores de ataque, como correos electrónicos de phishing con archivos adjuntos maliciosos, ha presentado una nueva variante identificada recientemente por el equipo de analistas del Csirt. Esta variante utiliza un archivo en formato de compresión ZPAQ para extraer datos de clientes de correo electrónico y navegadores web, aprovechando la mejor relación de compresión que ofrece ZPAQ en comparación con ZIP y RAR.
Nuevas Campañas de phishing con Darkgate y PikabotEl Csirt Financiero ha detectado una nueva campaña de distribución de los loaders DarkGate y PikaBot, las cuales adoptan tácticas similares a los ataques previos con el troyano QakBot. Las familias de malware DarkGate y PikaBot son preferidas por los ciberdelincuentes por su capacidad para servir como canales de entrega de cargas útiles adicionales a sistemas comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-de-phishing-con-darkgate-y-pikabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha detectado una nueva campaña de distribución de los loaders DarkGate y PikaBot, las cuales adoptan tácticas similares a los ataques previos con el troyano QakBot. Las familias de malware DarkGate y PikaBot son preferidas por los ciberdelincuentes por su capacidad para servir como canales de entrega de cargas útiles adicionales a sistemas comprometidos.
Play ransomware ahora funciona como Ransomware as a Service (RaaS).El equipo del Csirt Financiero realizó un monitoreo mediante diversas fuentes de información, donde se observó que los actores de amenaza están comercializando el ransomware Play, también conocido como PlayCrypt, en foros clandestinos de la Deep y Dark web bajo el modelo de Ransomware as a Service (RaaS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/play-ransomware-ahora-funciona-como-ransomware-as-a-service-raas-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero realizó un monitoreo mediante diversas fuentes de información, donde se observó que los actores de amenaza están comercializando el ransomware Play, también conocido como PlayCrypt, en foros clandestinos de la Deep y Dark web bajo el modelo de Ransomware as a Service (RaaS).
Loader WailingCrab utiliza el protocolo MQTT como servidor de comando y controlMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un loader llamado WailingCrab.http://csirtasobancaria.com/Plone/alertas-de-seguridad/loader-wailingcrab-utiliza-el-protocolo-mqtt-como-servidor-de-comando-y-controlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un loader llamado WailingCrab.
Descargador ParaSiteSnatcher instala extensiones en los navegadores para filtrar datos financierosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo descargador llamado ParaSiteSnatcher que descarga extensiones maliciosas para navegadores web basados en Chromium.http://csirtasobancaria.com/Plone/alertas-de-seguridad/descargador-parasitesnatcher-instala-extensiones-en-los-navegadores-para-filtrar-datos-financieroshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo descargador llamado ParaSiteSnatcher que descarga extensiones maliciosas para navegadores web basados en Chromium.
Nuevas amenazas conocidas como Persian RAT, Persian Loader y Persian SecurityEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un sitio web denominado "Persian Remote World". Este sitio ofrece, bajo un modelo de suscripción, varias herramientas maliciosas, entre las que se encuentran un troyano de acceso remoto (RAT) denominado "Persian RAT", un cifrador llamado "Persian Security" y un loader conocido como "Persian Loader".http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-amenazas-conocidas-como-persian-rat-persian-loader-y-persian-securityhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un sitio web denominado "Persian Remote World". Este sitio ofrece, bajo un modelo de suscripción, varias herramientas maliciosas, entre las que se encuentran un troyano de acceso remoto (RAT) denominado "Persian RAT", un cifrador llamado "Persian Security" y un loader conocido como "Persian Loader".
Nuevo software malicioso denominado Serpent StealerA través de actividades de monitoreo realizado por el equipo del Csirt Financiero, se observó un nuevo software malicioso denominado Serpent Stealer que está siendo ofrecido en un foro de ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-software-malicioso-denominado-serpent-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizado por el equipo del Csirt Financiero, se observó un nuevo software malicioso denominado Serpent Stealer que está siendo ofrecido en un foro de ciberdelincuentes.
Nueva variante del backdoor SysJokerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del backdoor llamado SysJoker.http://csirtasobancaria.com/Plone/alertas-de-seguridad/titulo-nueva-variante-del-backdoor-sysjokerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del backdoor llamado SysJoker.
Nuevas variantes del Bot de Telekopye utilizado para capturar datos de pagoEl equipo del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó una nueva variante del Bot de Telegram denominado Telekopye, siendo utilizada como una herramienta por parte de los ciberdelincuentes para engañar a las personas para capturar la información de los detalles, pagos financieros incluyendo las credenciales de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-bot-de-telekopye-utilizado-para-capturar-datos-de-pagohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó una nueva variante del Bot de Telegram denominado Telekopye, siendo utilizada como una herramienta por parte de los ciberdelincuentes para engañar a las personas para capturar la información de los detalles, pagos financieros incluyendo las credenciales de acceso.
Grupo Andariel explota la vulnerabilidad de Apache ActiveMQMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la cual el grupo APT Andariel distribuye NukeSped y TigerRat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-andariel-explota-la-vulnerabilidad-de-apache-activemqhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la cual el grupo APT Andariel distribuye NukeSped y TigerRat.
Nuevo troyano de acceso remoto denominado Saw RATEl equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información observó una nueva amenaza de tipo troyano de accesos remoto denominado Saw RAT, observando un archivo zip que contenía un acceso directo (.lnk) con el icono de Adobe, iniciando la ejecución de un nuevo RAT con múltiples funcionalidades como la recopilación de información del sistema, la transferencia de archivos, el listado de directorios, la ejecución de comandos arbitrarios y entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-saw-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información observó una nueva amenaza de tipo troyano de accesos remoto denominado Saw RAT, observando un archivo zip que contenía un acceso directo (.lnk) con el icono de Adobe, iniciando la ejecución de un nuevo RAT con múltiples funcionalidades como la recopilación de información del sistema, la transferencia de archivos, el listado de directorios, la ejecución de comandos arbitrarios y entre otros.
Nuevas campañas maliciosas del ransomware Cactus explotando vulnerabilidadesEl equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva campaña maliciosa por parte del grupo del ransomware Cactus quienes han estado explotando vulnerabilidades de una plataforma de inteligencia empresarial y análisis en la nube, explotando las vulnerabilidades (CVE-2023-41266, CVE-2023-41265 y CVE-2023-48365), para obtener acceso a las redes corporativas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-maliciosas-del-ransomware-cactus-explotando-vulnerabilidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva campaña maliciosa por parte del grupo del ransomware Cactus quienes han estado explotando vulnerabilidades de una plataforma de inteligencia empresarial y análisis en la nube, explotando las vulnerabilidades (CVE-2023-41266, CVE-2023-41265 y CVE-2023-48365), para obtener acceso a las redes corporativas.
Nuevo malware bancario dirigido a dispositivos AndroidMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware bancario denominado FjordPhantom.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-bancario-dirigido-a-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware bancario denominado FjordPhantom.
Troyano bancario Mekotio nueva campaña de phishing en LatinoaméricaEl equipo del Csirt Financiero ha identificado recientemente una nueva ola de actividad protagonizada por Mekotio, también conocido como Bizarro, una familia peligrosa de troyanos bancarios. Esta amenaza ha puesto en alerta a Latinoamérica, especialmente afectando a países como Argentina, México, Perú, Chile y Brasil, donde se ha desplegado una campaña activa de phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-mekotio-nueva-campana-de-phishing-en-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado recientemente una nueva ola de actividad protagonizada por Mekotio, también conocido como Bizarro, una familia peligrosa de troyanos bancarios. Esta amenaza ha puesto en alerta a Latinoamérica, especialmente afectando a países como Argentina, México, Perú, Chile y Brasil, donde se ha desplegado una campaña activa de phishing.
Nueva amenaza denominada Agent RacoonEl equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva amenaza dirigiéndose a organizaciones en Medio Oriente, África y Estados Unidos. Este grupo de amenazas, denominado CL-STA-0002, ha utilizado herramientas que incluyen una nueva puerta trasera (Backdoor) llamada "Agent Racoon", un módulo DLL llamado "Ntospy" para capturar credenciales de usuario, y una versión personalizada de Mimikatz denominada "Mimilite".http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-agent-racoonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva amenaza dirigiéndose a organizaciones en Medio Oriente, África y Estados Unidos. Este grupo de amenazas, denominado CL-STA-0002, ha utilizado herramientas que incluyen una nueva puerta trasera (Backdoor) llamada "Agent Racoon", un módulo DLL llamado "Ntospy" para capturar credenciales de usuario, y una versión personalizada de Mimikatz denominada "Mimilite".
Actividad maliciosa identificada del troyano QakbotLos troyanos bancarios representan una grave amenaza para la ciberseguridad en el sector financiero, ya que buscan capturar información sensible, especialmente relacionada con credenciales bancarias, billeteras y criptomonedas. El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, destacado por su presencia y versatilidad en actividades maliciosas, incluso siendo utilizado como botnet en otras campañas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-identificada-del-troyano-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios representan una grave amenaza para la ciberseguridad en el sector financiero, ya que buscan capturar información sensible, especialmente relacionada con credenciales bancarias, billeteras y criptomonedas. El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, destacado por su presencia y versatilidad en actividades maliciosas, incluso siendo utilizado como botnet en otras campañas.
Nueva variante de la botnet P2PInfect dirigida a dispositivos MISP y IOTEl equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva variante en julio del 2023, una botnet multiplataforma denominada "P2Pinfect", desarrollado en Rust y compilada para arquitecturas de microprocesadores (MISP), para afectar a enrutadores y dispositivos IOT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-la-botnet-p2pinfect-dirigida-a-dispositivos-misp-y-iothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva variante en julio del 2023, una botnet multiplataforma denominada "P2Pinfect", desarrollado en Rust y compilada para arquitecturas de microprocesadores (MISP), para afectar a enrutadores y dispositivos IOT.
Nueva variante del troyano bancario TrickMoMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del troyano bancario llamado TrickMo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bancario-trickmohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del troyano bancario llamado TrickMo.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}