Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos indicadores de compromiso asociados a Agent TeslaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-agent-tesla-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.
Ataque de phishing alojado en Google Firebase.En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado campañas para distribuir a través de correo electrónico técnicas de phishing hacia usuarios de Microsoft Office, con el fin de exfiltrar información confidencial. La temática para esta campaña consiste en el falso detalle de pago de transferencia electrónica de fondos con un asunto denominado "AVISO DE TRANSFERENCIA DE PAGO DE FACTURA" o "TRANSFER OF PAYMENT NOTICE FO R INVOICE".http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-de-phishing-alojado-en-google-firebasehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado campañas para distribuir a través de correo electrónico técnicas de phishing hacia usuarios de Microsoft Office, con el fin de exfiltrar información confidencial. La temática para esta campaña consiste en el falso detalle de pago de transferencia electrónica de fondos con un asunto denominado "AVISO DE TRANSFERENCIA DE PAGO DE FACTURA" o "TRANSFER OF PAYMENT NOTICE FO R INVOICE".
APT Evilnum regresa con nuevas campañas de PyvilEn el monitoreo a fuente abiertas de información el equipo de Csirt financiero identificó nuevas campañas del grupo APT Evilnum, para distribuir el troyano Pyvil RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/apt-evilnum-regresa-con-nuevas-campanas-de-pyvilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuente abiertas de información el equipo de Csirt financiero identificó nuevas campañas del grupo APT Evilnum, para distribuir el troyano Pyvil RAT.
NUEVA CAMPAÑA EJERCIDA POR EL TROYANO LAMPIONEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero pudo evidenciar una nueva campaña de distribución del troyano Lampion. Al momento de la consulta, se puedo observar que la amenaza se dirige hacia Portugal, usando como señuelo temáticas de la pandemia y del proceso actual de vacunación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-ejercida-por-el-troyano-lampionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero pudo evidenciar una nueva campaña de distribución del troyano Lampion. Al momento de la consulta, se puedo observar que la amenaza se dirige hacia Portugal, usando como señuelo temáticas de la pandemia y del proceso actual de vacunación.
Ataque dirigido a cadena de suministro afectó 35 empresasEn el monitoreo realizado por el Csirt Financiero, se ha identificado la ejecución de una POC (Prueba de Concepto) de un novedoso ataque dirigido a la cadena de suministro, esta afectación permitió realizar la intrusión de los sistemas internos de varias empresas a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-dirigido-a-cadena-de-suministro-afecto-35-empresashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la ejecución de una POC (Prueba de Concepto) de un novedoso ataque dirigido a la cadena de suministro, esta afectación permitió realizar la intrusión de los sistemas internos de varias empresas a nivel mundial.
Nueva actividad del Grupo FIN7 utilizando JavascriptEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero observó una nueva actividad del grupo FIN7 también conocido como Carbanak, para esta ocasión se ha identificado un nuevo código malicioso desarrollado en JavaScript asociado a este grupo, el cual en varias ocasiones ha dirigido sus ataques cibernéticos a entidades del sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-fin7-utilizando-javascripthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero observó una nueva actividad del grupo FIN7 también conocido como Carbanak, para esta ocasión se ha identificado un nuevo código malicioso desarrollado en JavaScript asociado a este grupo, el cual en varias ocasiones ha dirigido sus ataques cibernéticos a entidades del sector financiero.
Troyano bancario Javali utiliza ejecutable legítimo de Avira AntivirusEn el monitoreo a fuentes abiertas de información, el Csirt financiero ha observado nueva actividad del troyano bancario Javali, en esta oportunidad se identifica que está aprovechándose de un software legítimo de antivirus para ejecutarse en los dispositivos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-javali-utiliza-ejecutable-legitimo-de-avira-antivirushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt financiero ha observado nueva actividad del troyano bancario Javali, en esta oportunidad se identifica que está aprovechándose de un software legítimo de antivirus para ejecutarse en los dispositivos infectados.
IronNetInjector nueva herramienta asociada al grupo TurlaEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ironnetinjector-nueva-herramienta-asociada-al-grupo-turlahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.
MALLOCKER, ransomware para Dispositivos AndroidEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha registrado un ransomware llamado MalLocker.B que afecta dispositivos Android y se muestra en la pantalla del usuario como un aviso de la Policía (local) con la exigencia del pago de una aparente multa; esto lo logra utilizando las notificaciones de “Llamada entrante” y del botón “Inicio”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/mallocker-ransomware-para-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha registrado un ransomware llamado MalLocker.B que afecta dispositivos Android y se muestra en la pantalla del usuario como un aviso de la Policía (local) con la exigencia del pago de una aparente multa; esto lo logra utilizando las notificaciones de “Llamada entrante” y del botón “Inicio”.
Vulnerabilidad en IBM Informix permite ejecutar código maliciosoEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha identificado una vulnerabilidad en la base de datos de IBM Informix Dynamic Server de impacto medio al lograr afectar la infraestructura tecnológica de los asociados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-ibm-informix-permite-ejecutar-codigo-maliciosohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha identificado una vulnerabilidad en la base de datos de IBM Informix Dynamic Server de impacto medio al lograr afectar la infraestructura tecnológica de los asociados.
Nuevos indicadores de compromiso asociados a LokibotEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al troyano Lokibot perteneciente a la familia de malware bancario. Esta amenaza cuenta con funcionalidades encargadas de capturar y exfiltrar información como contraseñas, números de tarjetas crédito y/o débito, recopilación de información de criptomonedas, suplantación de aplicaciones y páginas web, entre otras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-lokibot-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al troyano Lokibot perteneciente a la familia de malware bancario. Esta amenaza cuenta con funcionalidades encargadas de capturar y exfiltrar información como contraseñas, números de tarjetas crédito y/o débito, recopilación de información de criptomonedas, suplantación de aplicaciones y páginas web, entre otras.
Nuevos Indicadores de Compromiso asociados a EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano modular Emotet, el cual se distribuye a través de mensajes de correo electrónico malspam con archivos adjuntos maliciosos o con enlaces anexos para la descarga de archivos de primera fase de infección e iniciar el proceso de infección del equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-emotet-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano modular Emotet, el cual se distribuye a través de mensajes de correo electrónico malspam con archivos adjuntos maliciosos o con enlaces anexos para la descarga de archivos de primera fase de infección e iniciar el proceso de infección del equipo.
Nuevo RAT desarrollado en Golang aprovecha vulnerabilidad Oracle WeblogicEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano de acceso remoto (RAT) desarrollado en el framework Golang. La amenaza cibernética se encarga de explotar la vulnerabilidad CVE-2019-2725 de Oracle WebLogic RCE en las versiones 10.3.6.0.0 y 12.1.3.0.0.0, mediante la ejecución de código remoto dentro de una red sin la necesidad de credenciales, afectando los sistemas de información y servicios tecnológicos de servidores WebLogic.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-desarrollado-en-golang-aprovecha-vulnerabilidad-oracle-weblogichttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano de acceso remoto (RAT) desarrollado en el framework Golang. La amenaza cibernética se encarga de explotar la vulnerabilidad CVE-2019-2725 de Oracle WebLogic RCE en las versiones 10.3.6.0.0 y 12.1.3.0.0.0, mediante la ejecución de código remoto dentro de una red sin la necesidad de credenciales, afectando los sistemas de información y servicios tecnológicos de servidores WebLogic.
Encadenamiento de vulnerabilidades para comprometer infraestructuras críticasEl constante monitoreo que realiza el equipo del Csirt Financiero permitió conocer una campaña que utiliza múltiples vulnerabilidades con el objetivo de comprometer una red, especialmente de infraestructuras consideradas como críticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/encadenamiento-de-vulnerabilidades-para-comprometer-infraestructuras-criticashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El constante monitoreo que realiza el equipo del Csirt Financiero permitió conocer una campaña que utiliza múltiples vulnerabilidades con el objetivo de comprometer una red, especialmente de infraestructuras consideradas como críticas.
Aumento de actividad de botnet Lemon DuckEn el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-de-botnet-lemon-duckhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.
Loader Powgoop es atribuido al grupo APT MuddywaterEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una relación entre el grupo APT MuddyWater y la utilización del loader denominado PowGoop, el cuál había sido notificado por distribuir y ejecutar una variante de ransomware Thanos. Puede que este grupo APT sea el responsable de distribuir esta variante de ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/loader-powgoop-es-atribuido-al-grupo-apt-muddywaterhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una relación entre el grupo APT MuddyWater y la utilización del loader denominado PowGoop, el cuál había sido notificado por distribuir y ejecutar una variante de ransomware Thanos. Puede que este grupo APT sea el responsable de distribuir esta variante de ransomware.
Vulnerabilidad en VMware Horizon client para WindowsEn el monitoreo a fuentes de información abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad manifestada en un problema de control de acceso al sistema durante la fase de instalación del producto VMware Horizon Client para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-wmware-horizon-client-para-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes de información abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad manifestada en un problema de control de acceso al sistema durante la fase de instalación del producto VMware Horizon Client para Windows.
Nuevo Framework troyano afecta usuarios brasileñosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo framework para la distribución de troyanos especialmente bancarios. Este Framework ha sido denominado SolarSys y su operación principal se encuentra en Brasil. SolarSys: es un framework compuesto principalmente por puertas traseras desarrolladas en lenguajes de programación como JavaScript (JS) y .NET, gusanos de correo electrónico y módulos que permiten capturar información del sistema infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-troyano-afecta-usuarios-brasilenoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo framework para la distribución de troyanos especialmente bancarios. Este Framework ha sido denominado SolarSys y su operación principal se encuentra en Brasil. SolarSys: es un framework compuesto principalmente por puertas traseras desarrolladas en lenguajes de programación como JavaScript (JS) y .NET, gusanos de correo electrónico y módulos que permiten capturar información del sistema infectado.
Campaña de phishing enfocada a usuarios de Sendgrid captura datos bancariosEn el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a los usuarios de SendGrid. El vector de ataque utilizado son mensajes de correo tipo malspam que incluyen logotipos y marca de la empresa, dejando entrever su aparente veracidad, en este caso se trata de una empresa en particular.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-enfocada-a-usuarios-de-sendgrid-captura-datos-bancarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a los usuarios de SendGrid. El vector de ataque utilizado son mensajes de correo tipo malspam que incluyen logotipos y marca de la empresa, dejando entrever su aparente veracidad, en este caso se trata de una empresa en particular.
Vulnerabilidad hallada en HPE Storeserv Management Console.En el monitoreo a fuentes abiertas realizado por el equipo Csirt Financiero, se ha evidenciado de una vulnerabilidad identificada CVE-2020-7197. Esta vulnerabilidad le puede permitir a un ciberdelincuente evadir el proceso de autenticación en las matrices de centros de datos de sistemas HPE STORESERV, que proveen almacenamiento en sistemas Cloud.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-hallada-en-hpe-storeserv-management-consolehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas realizado por el equipo Csirt Financiero, se ha evidenciado de una vulnerabilidad identificada CVE-2020-7197. Esta vulnerabilidad le puede permitir a un ciberdelincuente evadir el proceso de autenticación en las matrices de centros de datos de sistemas HPE STORESERV, que proveen almacenamiento en sistemas Cloud.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}