Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Última técnica utilizada para distribuir LokiBot.En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-tecnica-utilizada-para-distribuir-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.
Última versión del bot Amadey instala malware adicionalEn el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-version-del-bot-amadey-instala-malware-adicionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).
Un nuevo brote de ransomware denominado SomniaLos actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-brote-de-ransomware-denominado-somniahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.
Un nuevo kit de herramientas de phishing como servicio denominado CaffeineLas plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-kit-de-herramientas-de-phishing-como-servicio-denominado-caffeinehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.
Un nuevo ransomware denominado Bl00dy aparece en la naturalezaBl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-ransomware-denominado-bl00dy-aparece-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.
Un nuevo stealer denominado Mitsu es distribuido por medio de sitios phishingLos actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-denominado-mitsu-es-distribuido-por-medio-de-sitios-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.
Un nuevo stealer en la naturaleza denominado TyphonLas técnicas de ingeniería social generalmente son usadas por los ciberdelincuentes para persuadir al usuario a realizar acciones inintencionadas que podrán afectar la seguridad de su información, lo que les permite llevar a cabo su objetivo principal el cual es obtener ganancias económicas; en esta ocasión se observó una campaña que distribuye un archivo embebido con una URL que redirecciona a un sitio web de tipo phishing y paralelamente genera la descarga de un malware de tipo stealer denominado Typhon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-en-la-naturaleza-denominado-typhonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las técnicas de ingeniería social generalmente son usadas por los ciberdelincuentes para persuadir al usuario a realizar acciones inintencionadas que podrán afectar la seguridad de su información, lo que les permite llevar a cabo su objetivo principal el cual es obtener ganancias económicas; en esta ocasión se observó una campaña que distribuye un archivo embebido con una URL que redirecciona a un sitio web de tipo phishing y paralelamente genera la descarga de un malware de tipo stealer denominado Typhon.
Un nuevo troyano bancario denominado Zanubis visto en campañas dirigidas a bancos de LatinoaméricaLos actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-troyano-bancario-denominado-zanubis-visto-en-campanas-dirigidas-a-bancos-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.
Un nuevo wiper denominado Azov aparece en la naturalezaLos ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-wiper-denominado-azov-aparece-en-la-naturalezahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.
Una nueva versión del troyano bancario Sova demuestra su constante evoluciónEn la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).http://csirtasobancaria.com/Plone/alertas-de-seguridad/una-nueva-version-del-troyano-bancario-sova-demuestra-su-constante-evolucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).
Una ruta específica en el navegador genera un error de pantalla azul en Windows 10En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/una-ruta-especifica-en-el-navegador-genera-un-error-de-pantalla-azul-en-windows-10http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.
UNC2891 y el uso encubierto de Raspberry Pi para comprometer cajeros automáticos (ATM)Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el grupo de ciberdelincuencia identificado como UNC2891 (también conocido como LightBasin) donde aplican una nueva variante de ataque a la infraestructura bancaria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/unc2891-y-el-uso-encubierto-de-raspberry-pi-para-comprometer-cajeros-automaticos-atmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el grupo de ciberdelincuencia identificado como UNC2891 (también conocido como LightBasin) donde aplican una nueva variante de ataque a la infraestructura bancaria.
Underground Team Ransomware: una nueva amenaza cibernéticaA medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/underground-team-ransomware-una-nueva-amenaza-ciberneticahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.
Unidades de procesamiento gráfico de Intel permiten la filtración de informaciónLas unidades de procesamiento gráfico (GPU) de Intel pueden ser vulnerables ya que se puede generar una filtración de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/unidades-de-procesamiento-grafico-de-intel-permiten-la-filtracion-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
UNIZA: La nueva amenaza de ransomware que cifra archivos sin agregar extensiónLa ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uniza-la-nueva-amenaza-de-ransomware-que-cifra-archivos-sin-agregar-extensionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.
URL maliciosa que captura credenciales de Office 365Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.http://csirtasobancaria.com/Plone/alertas-de-seguridad/url-maliciosa-que-captura-credenciales-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.
USN-3928-1: Vulnerabilidad de DovecotNuevas vulnerabilidades en Dovecot servidor de correo basado en IMAP y POP3 podría permitir que un atacante logre un desbordamiento de búfer y se puede usar para elevar a la raíz.http://csirtasobancaria.com/Plone/alertas-de-seguridad/usn-3928-1-vulnerabilidad-de-dovecothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevas vulnerabilidades en Dovecot servidor de correo basado en IMAP y POP3 podría permitir que un atacante logre un desbordamiento de búfer y se puede usar para elevar a la raíz.
Uso de Clickfix y Havoc Demon para la distribución de malwareDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado una nueva campaña de distribución de malware que emplea la técnica de ingeniería social ClickFix y el marco de C2 de código abierto Havoc Demon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-clickfix-y-havoc-demon-para-la-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado una nueva campaña de distribución de malware que emplea la técnica de ingeniería social ClickFix y el marco de C2 de código abierto Havoc Demon.
Uso de Runspace en PowerShell para lanzar a REVIL ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-runspace-en-powershell-para-lanzar-a-revil-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.
Uso de Sim Swapping y Telegram para exfiltrar datos de dispositivos móvilesEl equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-sim-swapping-y-telegram-para-exfiltrar-datos-de-dispositivos-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}