Rhadamanthys entre las amenazas más utilizadas en el mes de marzoRhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rhadamanthys-entre-las-amenazas-mas-utilizadas-en-el-mes-de-marzohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.
Nueva variante del stealer BlackGuardRecientemente se identificó en el panorama de amenazas, una nueva variante del stealer BlackGuard, que se propaga a través de ataques de spearphishing y tiene la capacidad de capturar información confidencial del usuario y secuestrar billeteras criptográficas. Asimismo, se está tratando de propagar a través de medios extraíbles y dispositivos compartidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-stealer-blackguardhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó en el panorama de amenazas, una nueva variante del stealer BlackGuard, que se propaga a través de ataques de spearphishing y tiene la capacidad de capturar información confidencial del usuario y secuestrar billeteras criptográficas. Asimismo, se está tratando de propagar a través de medios extraíbles y dispositivos compartidos.
Campaña masiva de phishing orquestada mediante el Phiskit SwitchsymbRecientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-de-phishing-orquestada-mediante-el-phiskit-switchsymbhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:
Nueva actividad maliciosa del troyano bancario UrsnifEl troyano bancario Ursnif fue identificado por primera vez en el año 2017 y aunque recientemente se han realizado reportes sobre esta amenaza, el equipo de analistas del Csirt observó nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-ursnif-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Ursnif fue identificado por primera vez en el año 2017 y aunque recientemente se han realizado reportes sobre esta amenaza, el equipo de analistas del Csirt observó nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.
Evolución del backdoor Dtrack utilizado por diversos grupos APTDtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-backdoor-dtrack-utilizado-por-diversos-grupos-apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.
Nuevos IoC asociados al stealer RaccoonEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero han identificado nuevos indicadores de compromiso (IoC) asociados al troyano Raccoon Stealer, diseñado para afectar a equipos con sistema operativo Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-stealer-raccoonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero han identificado nuevos indicadores de compromiso (IoC) asociados al troyano Raccoon Stealer, diseñado para afectar a equipos con sistema operativo Microsoft Windows.
BatLoader distribuye Vidar stealer y Ursnif mediante anuncios de búsqueda de GoogleEl equipo de analistas del Csirt Financiero realizó un monitoreo a través de diferentes fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, donde se observó nueva actividad maliciosa relacionada con el software malicioso BatLoader abusando de anuncios de Google para realizar la entrega de cargas útiles secundarias como Vidar Stealer y Ursnif.http://csirtasobancaria.com/Plone/alertas-de-seguridad/batloader-distribuye-vidar-stealer-y-ursnif-mediante-anuncios-de-busqueda-de-googlehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo a través de diferentes fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, donde se observó nueva actividad maliciosa relacionada con el software malicioso BatLoader abusando de anuncios de Google para realizar la entrega de cargas útiles secundarias como Vidar Stealer y Ursnif.
Actualización del troyano bancario FakeCallsActualmente, se ha identificado una campaña en la cual suplantan a organizaciones financieras a través de llamadas telefónicas, que tienen el objetivo de engañar a los usuarios para que estos suministren información bancaria como el número de tarjetas de crédito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-del-troyano-bancario-fakecallshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Actualmente, se ha identificado una campaña en la cual suplantan a organizaciones financieras a través de llamadas telefónicas, que tienen el objetivo de engañar a los usuarios para que estos suministren información bancaria como el número de tarjetas de crédito.
Se identifican nuevos indicadores del troyano bancario MekotioA través de un monitoreo a fuentes abiertas de ciberseguridad fueron identificadas nuevas campañas del troyano bancario Mekotio donde se observaron nuevos indicadores de compromiso que los ciberdelincuentes siguen distribuyendo con el objetivo de generar alguna afectación en los pilares de la seguridad de la información de su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-del-troyano-bancario-mekotiohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo a fuentes abiertas de ciberseguridad fueron identificadas nuevas campañas del troyano bancario Mekotio donde se observaron nuevos indicadores de compromiso que los ciberdelincuentes siguen distribuyendo con el objetivo de generar alguna afectación en los pilares de la seguridad de la información de su entidad.
Nueva variante del ransomware IceFire dirigida a LinuxLa primeras actividades de IceFire se observaron a finales de 2022, sin embargo, recientemente, investigadores de seguridad identificaron una nueva variante dirigida a redes empresariales que están bajo entorno Linux; su tamaño es de 2,18 MB y está dotado con un binario ELF (formato de archivo estándar común para archivos ejecutables, código objeto, bibliotecas compartidas y volcados de núcleo) con arquitectura de 64 bits que es compilado con GCC (conjunto de compiladores creados por el proyecto GNU) para que sea compatible con entornos AMD64.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-icefire-dirigida-a-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La primeras actividades de IceFire se observaron a finales de 2022, sin embargo, recientemente, investigadores de seguridad identificaron una nueva variante dirigida a redes empresariales que están bajo entorno Linux; su tamaño es de 2,18 MB y está dotado con un binario ELF (formato de archivo estándar común para archivos ejecutables, código objeto, bibliotecas compartidas y volcados de núcleo) con arquitectura de 64 bits que es compilado con GCC (conjunto de compiladores creados por el proyecto GNU) para que sea compatible con entornos AMD64.
Emerge un nuevo ransomware con funcionalidades de clipper denominado BlackSnakeEl ransomware es una amenaza cada vez más sofisticada y peligrosa, y los actores de amenazas están siempre buscando nuevas formas de extorsionar a las víctimas. Una nueva variante llamada BlackSnake ha sido descubierta recientemente, y entre sus capacidades puede realizar operaciones de clipper dirigidas a usuarios de criptomonedas, cabe mencionar que esta amenaza se ha creado en función de la fuente del ransomware Chaos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-ransomware-con-funcionalidades-de-clipper-denominado-blacksnakehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una amenaza cada vez más sofisticada y peligrosa, y los actores de amenazas están siempre buscando nuevas formas de extorsionar a las víctimas. Una nueva variante llamada BlackSnake ha sido descubierta recientemente, y entre sus capacidades puede realizar operaciones de clipper dirigidas a usuarios de criptomonedas, cabe mencionar que esta amenaza se ha creado en función de la fuente del ransomware Chaos.
Emerge un nuevo troyano bancario denominado NeXusNeXus es un nuevo troyano bancario que ha sido identificado recientemente que está siendo promovido por un actor de amenazas (TA) en un foro de cibercrimen ruso. Este malware es utilizado por grupos de ciberdelincuentes para infiltrarse en dispositivos móviles y capturar credenciales de aplicaciones bancarias específicas y es compatible con versiones de Android que van desde la versión “Lollipop" hasta Android 13.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-troyano-bancario-denominado-nexushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NeXus es un nuevo troyano bancario que ha sido identificado recientemente que está siendo promovido por un actor de amenazas (TA) en un foro de cibercrimen ruso. Este malware es utilizado por grupos de ciberdelincuentes para infiltrarse en dispositivos móviles y capturar credenciales de aplicaciones bancarias específicas y es compatible con versiones de Android que van desde la versión “Lollipop" hasta Android 13.
Nuevos artefactos del troyano bancario TrickbotEn el ciberespacio son constantes las nuevas actualizaciones a diferentes amenazas utilizadas por diversos grupos de ciberdelincuentes que emplean nuevas infraestructuras, nuevos vectores de infección y nuevos métodos para propagar distintos malware con el objetivo de afectar algunos de los pilares de la seguridad; en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados al troyano bancario Trickbot el cual ha evolucionado con el tiempo ya que en sus inicios sólo poseía características de troyano bancario dirigido exclusivamente a capturar credenciales de cuentas bancarias para luego ejecutar acciones fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-bancario-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ciberespacio son constantes las nuevas actualizaciones a diferentes amenazas utilizadas por diversos grupos de ciberdelincuentes que emplean nuevas infraestructuras, nuevos vectores de infección y nuevos métodos para propagar distintos malware con el objetivo de afectar algunos de los pilares de la seguridad; en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados al troyano bancario Trickbot el cual ha evolucionado con el tiempo ya que en sus inicios sólo poseía características de troyano bancario dirigido exclusivamente a capturar credenciales de cuentas bancarias para luego ejecutar acciones fraudulentas.
Nuevos IoC asociados al ransomware Black BastaA medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.
Blind Eagle mantiene una activa campaña maliciosa en contra de entidades colombianasEl grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blind-eagle-mantiene-una-activa-campana-maliciosa-en-contra-de-entidades-colombianashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.
Se identifican nuevos IoC asociados al troyano bancario QakBotEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio, en busca de campañas o amenazas que pueden afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-ioc-asociados-al-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio, en busca de campañas o amenazas que pueden afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007.
Nuevo malware para cajeros automáticos denominado FiXSMediante un monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información abiertas se identificó un nuevo malware denominado FiXS dirigido a la región de Latinoamérica, donde los bancos de México fueron los primeros afectados por este software malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-para-cajeros-automaticos-denominado-fixshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información abiertas se identificó un nuevo malware denominado FiXS dirigido a la región de Latinoamérica, donde los bancos de México fueron los primeros afectados por este software malicioso.
El Bootkit UEFI denominado BlackLotus toma protagonismo en el panorama de amenazasLa orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-bootkit-uefi-denominado-blacklotus-toma-protagonismo-en-el-panorama-de-amenazashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.
Indicadores de compromiso recientes del troyano IcedIDDurante procesos de inteligencia, se identificaron nuevos indicadores de compromiso (IoC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalas y/o ejecutar otras familias de malware para maximizar su impacto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-recientes-del-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante procesos de inteligencia, se identificaron nuevos indicadores de compromiso (IoC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalas y/o ejecutar otras familias de malware para maximizar su impacto.
Nueva actividad maliciosa del troyano bancario LokibotA través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt financiero identifico nuevos indicadores de compromiso relacionados con Lokibot, una de las amenazas más utilizadas por grupos de ciberdelincuentes gracias a sus altas capacidades, por lo que es importante realizar las actualizaciones correspondientes a este tipo de actividades que ayuden a prevenir cualquier tipo de afectación a su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt financiero identifico nuevos indicadores de compromiso relacionados con Lokibot, una de las amenazas más utilizadas por grupos de ciberdelincuentes gracias a sus altas capacidades, por lo que es importante realizar las actualizaciones correspondientes a este tipo de actividades que ayuden a prevenir cualquier tipo de afectación a su entidad.