Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Reciente actividad del grupo AndarielEl equipo de analistas del Csirt Financiero observó una nueva actividad maliciosa atribuida al grupo norcoreano Andariel, también conocido como Stonefly, APT35, Silent Chollima y Onyx Sleet, el cual ha operado desde al menos 2009.http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-del-grupo-andarielhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero observó una nueva actividad maliciosa atribuida al grupo norcoreano Andariel, también conocido como Stonefly, APT35, Silent Chollima y Onyx Sleet, el cual ha operado desde al menos 2009.
Nuevos indicadores de compromiso asociados a PerfctlPerfctl es un malware activo desde hace 3 a 4 años que logra el acceso a los servidores Linux mediante configuraciones incorrectas y vulnerabilidades, asegurando su persistencia generando varias copias en diversas ubicaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-perfctlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Perfctl es un malware activo desde hace 3 a 4 años que logra el acceso a los servidores Linux mediante configuraciones incorrectas y vulnerabilidades, asegurando su persistencia generando varias copias en diversas ubicaciones.
Nueva campaña de actualizaciones falsas distribuye el backdoor WarmCookieMediante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una nueva campaña maliciosa asociada al grupo SocGolish, conocido por emplear una estrategia de ciberataque denominada “FakeUpdate”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-actualizaciones-falsas-distribuye-el-backdoor-warmcookiehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una nueva campaña maliciosa asociada al grupo SocGolish, conocido por emplear una estrategia de ciberataque denominada “FakeUpdate”.
Nueva actividad maliciosa de Mars StealerSe identifico una nueva actividad maliciosa del malware Mars Stealer, diseñado para capturar criptomonedas a través de la infiltración en extensiones de billeteras digitales y autenticación de dos factores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-mars-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico una nueva actividad maliciosa del malware Mars Stealer, diseñado para capturar criptomonedas a través de la infiltración en extensiones de billeteras digitales y autenticación de dos factores.
Seguimiento al malware Snake KeyloggerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Snake Keylogger.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-al-malware-snake-keyloggerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Snake Keylogger.
Seguimiento a Redline StealerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Redline Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/seguimiento-a-redline-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados a Redline Stealer.
Nueva campaña de Awaken Likho emplea MeshCentralEl grupo APT Awaken Likho lanzó una nueva campaña en la que emplea la herramienta legítima MeshCentral para controlar equipos comprometidos. Mediante archivos comprimidos que ocultan scripts maliciosos, logran engañar a los usuarios y establecer comunicación con un servidor C2.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-awaken-likho-emplea-meshcentralhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo APT Awaken Likho lanzó una nueva campaña en la que emplea la herramienta legítima MeshCentral para controlar equipos comprometidos. Mediante archivos comprimidos que ocultan scripts maliciosos, logran engañar a los usuarios y establecer comunicación con un servidor C2.
Nuevo software malicioso denominado Yunit StealerDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan comprometer la infraestructura de los asociados, se observó un nuevo malware denominado Yunit Stealer, que destaca por sus capacidades avanzadas de captura de información, evasión y persistencia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-software-malicioso-denominado-yunit-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan comprometer la infraestructura de los asociados, se observó un nuevo malware denominado Yunit Stealer, que destaca por sus capacidades avanzadas de captura de información, evasión y persistencia.
NUEVOS INDICADORES DE COMPROMISO CON LA BOTNET GAFGYTSe comparte nuevos indicadores reciente relacionados de la botnet Gafgyt, también conocida como BASHLITE, que compromete dispositivos IoT vulnerables y los utiliza para lanzar ataques de denegación de servicio distribuido (DDoS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-con-la-botnet-gafgythttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se comparte nuevos indicadores reciente relacionados de la botnet Gafgyt, también conocida como BASHLITE, que compromete dispositivos IoT vulnerables y los utiliza para lanzar ataques de denegación de servicio distribuido (DDoS).
Malware LemonDuck explota vulnerabilidad de SMBEl malware de minería de criptomonedas LemonDuck está explotando la vulnerabilidad de SMB conocida como EternalBlue para comprometer sistemas, después de obtener acceso inicial mediante ataques de fuerza bruta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-lemonduck-explota-vulnerabilidad-de-smbhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware de minería de criptomonedas LemonDuck está explotando la vulnerabilidad de SMB conocida como EternalBlue para comprometer sistemas, después de obtener acceso inicial mediante ataques de fuerza bruta.
NUEVO LOADER DENOMINADO PHATOM PARA DISTRIBUIR SSLOADSe identifico un nuevo loader denominado PhantomLoader y el malware basado en Rust, SSLoad. Contando con técnicas evasivas y de anti-análisis empleadas, así como las posibles estrategias de mitigación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-phatom-para-distribuir-ssloadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico un nuevo loader denominado PhantomLoader y el malware basado en Rust, SSLoad. Contando con técnicas evasivas y de anti-análisis empleadas, así como las posibles estrategias de mitigación.
Nueva campaña de distribución de Trojan.AutoIt.1443Trojan.AutoIt.1443 es un troyano que oculta su malware tras archivos legítimos. Se especializa en criptominería y captura de datos, utilizando técnicas avanzadas para evadir detección y asegurar su persistencia en el equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-trojan-autoit.1443http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Trojan.AutoIt.1443 es un troyano que oculta su malware tras archivos legítimos. Se especializa en criptominería y captura de datos, utilizando técnicas avanzadas para evadir detección y asegurar su persistencia en el equipo comprometido.
Nuevos indicadores de compromiso relacionados con GuloaderA través de actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se han observado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con Guloader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-guloader-2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se han observado y recopilado nuevos Indicadores de Compromiso (IoC) relacionados con Guloader.
Nuevas actividades del Ransomware LynxA través del monitoreo realizado por el equipo de analistas del CSIRT Financiero, identificó una nueva actividad maliciosa relacionada con el Ransomware denominado Lynx, sucesor directo del Ransomware INC.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-del-ransomware-lynxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero, identificó una nueva actividad maliciosa relacionada con el Ransomware denominado Lynx, sucesor directo del Ransomware INC.
Nueva actividad maliciosa relacionada con el troyano AmadeySe identifico el troyano Amadey, un malware ampliamente utilizado en campañas maliciosas para robar información confidencial, propagar ransomware y participar en actividades ilícitas como el envío de spam y ataques DDoS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-relacionada-con-el-troyano-amadeyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifico el troyano Amadey, un malware ampliamente utilizado en campañas maliciosas para robar información confidencial, propagar ransomware y participar en actividades ilícitas como el envío de spam y ataques DDoS.
Nuevos indicadores de compromiso relacionados con Smoke LoaderSe ha detectado actividad relacionada con Smoke Loader, un troyano modular diseñado para infectar sistemas Windows y descargar malware adicional. Esta amenaza ha sido utilizada para capturar información confidencial y realizar otras actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-smoke-loaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado actividad relacionada con Smoke Loader, un troyano modular diseñado para infectar sistemas Windows y descargar malware adicional. Esta amenaza ha sido utilizada para capturar información confidencial y realizar otras actividades maliciosas.
Nueva campaña de distribución de CerberusEsta campaña utiliza un dropper de varias etapas para distribuir el troyano Cerberus, que permite el control remoto del dispositivo y la recopilación de información personal.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Esta campaña utiliza un dropper de varias etapas para distribuir el troyano Cerberus, que permite el control remoto del dispositivo y la recopilación de información personal.
CoreWarrior ataca equipos WindowsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado CoreWarrior enfocado a afectar sistemas Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/corewarrior-ataca-equipos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado CoreWarrior enfocado a afectar sistemas Windows.
Nuevas variantes del troyano bancario TrickMoMediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad relacionada con el troyano bancario TrickMo, el cual está dirigido principalmente a usuarios de dispositivos Android en Canadá, Emiratos Árabes Unidos, Turquía y Alemania.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-del-troyano-bancario-trickmohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad relacionada con el troyano bancario TrickMo, el cual está dirigido principalmente a usuarios de dispositivos Android en Canadá, Emiratos Árabes Unidos, Turquía y Alemania.
Nueva variante de FASTCashDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva variante del malware FASTCash, utilizada por actores de amenaza norcoreanos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-fastcashhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva variante del malware FASTCash, utilizada por actores de amenaza norcoreanos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}