Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Venta de Acceso a cuentas bancarias de Entidades FinancierasEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha localizado publicación relacionada aparentemente con la venta de credenciales que posibilitarían el acceso a 5.000 cuentas bancarias por parte del cibercriminal que realice la transacción.http://csirtasobancaria.com/Plone/alertas-de-seguridad/venta-de-acceso-a-cuentas-bancarias-de-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha localizado publicación relacionada aparentemente con la venta de credenciales que posibilitarían el acceso a 5.000 cuentas bancarias por parte del cibercriminal que realice la transacción.
Slothfulmedia, troyano de acceso remoto.En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un malware denominado SlothfulMedia, el cual tiene características de Dropper , encargado de desplegar dos archivos maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/slothfulmedia-troyano-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un malware denominado SlothfulMedia, el cual tiene características de Dropper , encargado de desplegar dos archivos maliciosos.
Botnet Ipstorm afecta a Windows, distribuciones Linux, Android y MacosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ipstorm-afecta-a-windows-distribuciones-linux-android-y-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.
Campaña de Ciberespionage Dukong utiliza temas de COVID 19 para comprometer Dispositivos Android.El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ciberespionage-dukong-utiliza-temas-de-covid-19-para-comprometer-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.
Troyano Bancario Guildma ahora afecta Dispositivos AndroidEl equipo del Csirt financiero ha evidenciado la evolución del troyano bancario Guildma, usualmente utilizado por los ciberdelincuentes para comprometer equipos con sistema operativo Windows. Se ha observado una versión multiplataforma que puede comprometer dispositivos móviles Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-guildma-ahora-afecta-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha evidenciado la evolución del troyano bancario Guildma, usualmente utilizado por los ciberdelincuentes para comprometer equipos con sistema operativo Windows. Se ha observado una versión multiplataforma que puede comprometer dispositivos móviles Android.
Ramsonware Exorcist 2.0 distribuido a través de software falsoEn el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ramsonware-exorcist-2-0-distribuido-a-traves-de-software-falsohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.
Muestras de malware que comprometen Sistemas POSEn el monitoreo realizado a fuentes abiertas el Csirt Financiero, se han identificado diferentes muestras de malware que comprometen a sistemas de Punto de Venta (POS), están atribuidas a TinyPOS, RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/muestras-de-malware-que-comprometen-sistemas-poshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas el Csirt Financiero, se han identificado diferentes muestras de malware que comprometen a sistemas de Punto de Venta (POS), están atribuidas a TinyPOS, RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS.
Ciberdelincuentes alteran las URL para evadir los Sistemas AntimalwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado un método utilizado por los ciberdelincuentes para agregar texto aleatorio a las direcciones URL para evadir la detección antispam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-alteran-las-url-para-evadir-los-sistemas-antimalwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado un método utilizado por los ciberdelincuentes para agregar texto aleatorio a las direcciones URL para evadir la detección antispam.
Nuevos indicadores de compromiso asociados con LampionEl equipo del Csirt Financiero ha identificado actividad reciente del malware Lampion, el cual ha migrado a una nueva versión según lo observado en el mes de mayo del presente año, suplantando facturas bancarias, facturas relacionadas al grupo Vodafone, así como fondos de emergencia otorgados por el gobierno portugués por la presente pandemia COVID-19, todo a través del envio de mensajes correo tipo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-con-lampionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado actividad reciente del malware Lampion, el cual ha migrado a una nueva versión según lo observado en el mes de mayo del presente año, suplantando facturas bancarias, facturas relacionadas al grupo Vodafone, así como fondos de emergencia otorgados por el gobierno portugués por la presente pandemia COVID-19, todo a través del envio de mensajes correo tipo malspam.
Nuevos indicadores de compromiso asociados a Emotet.Desde el Csirt Financiero se han identificado nuevos indicadores de compromiso asociados a Emotet, troyano que permite a los ciberdelincuentes a través de diferentes técnicas, la extracción de información relacionada con credenciales de acceso a portales bancarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado nuevos indicadores de compromiso asociados a Emotet, troyano que permite a los ciberdelincuentes a través de diferentes técnicas, la extracción de información relacionada con credenciales de acceso a portales bancarios.
Nuevo malware dirigido a dispositivos ATMEl equipo del Csirt Financiero ha conocido acerca de un nuevo malware dirigido a cajeros automáticos (ATM), este hace parte de la familia del malware conocida como Dispcash.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-dirigido-a-dispositivos-atmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha conocido acerca de un nuevo malware dirigido a cajeros automáticos (ATM), este hace parte de la familia del malware conocida como Dispcash.
LOLSnif, nueva variante basada en el troyano bancario UrsnifUrsnif: es un troyano bancario que ha tenido diferentes variantes debido a la estabilidad de su código. La variante que se analizará utiliza técnicas basadas en LOLBINS y varias capas de ofuscación con el fin de dificultar su detección. También utiliza Internet Explorer para realizar la comunicación con el servidor de comando y control (C2), ya que mediante este navegador puede omitir configuraciones de proxy en redes corporativas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/lolsnif-nueva-variante-basada-en-el-troyano-bancario-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ursnif: es un troyano bancario que ha tenido diferentes variantes debido a la estabilidad de su código. La variante que se analizará utiliza técnicas basadas en LOLBINS y varias capas de ofuscación con el fin de dificultar su detección. También utiliza Internet Explorer para realizar la comunicación con el servidor de comando y control (C2), ya que mediante este navegador puede omitir configuraciones de proxy en redes corporativas.
Vulnerabilidad 0-Day halladas en Windows sin corrección.Dentro del constante monitoreo que realiza el equipo del Csirt Financiero, evidencia que Microsoft Windows no ha corregido 3 vulnerabilidades que afectan los servicios suministrados por el Sistema Operativo Windows 10 y en un principio permitirían la ejecución de código arbitrario a nivel de usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-0-day-halladas-en-windows-sin-correccionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del constante monitoreo que realiza el equipo del Csirt Financiero, evidencia que Microsoft Windows no ha corregido 3 vulnerabilidades que afectan los servicios suministrados por el Sistema Operativo Windows 10 y en un principio permitirían la ejecución de código arbitrario a nivel de usuario.
Nueva variante de Zloader exfiltra información financiera.El equipo del Csirt Financiero ha identificado campañas de infección con una variante del troyano bancario Zloader en Estados Unidos y varios países de Europa; tiene como objetivo exfiltrar las credenciales e información sensible de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-zloader-exfiltra-informacion-financierahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado campañas de infección con una variante del troyano bancario Zloader en Estados Unidos y varios países de Europa; tiene como objetivo exfiltrar las credenciales e información sensible de los usuarios.
Indicadores de compromiso asociados a CactusPete APTEn el constante monitoreo que realiza el equipo del Csirt Financiero, se ha identificado información sobre el grupo de ciberdelincuentes CactusPete APT, que tiene como objetivo distribuir el backdoor llamado Bizonal. Troyano que una vez ejecutado proporciona control total a los ciberdelincuentes sobre el equipo comprometido y por ende a la información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-cactuspete-apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero, se ha identificado información sobre el grupo de ciberdelincuentes CactusPete APT, que tiene como objetivo distribuir el backdoor llamado Bizonal. Troyano que una vez ejecutado proporciona control total a los ciberdelincuentes sobre el equipo comprometido y por ende a la información confidencial.
Nuevo módulo de Trickbot conocido como BazarLoaderEl equipo del Csirt Financiero ha identificado un nuevo módulo de Trickbot denominado BazarLoader; encargado de inyectar código malicioso a través de API a procesos legítimos del sistema operativo como svchost.exe, adicionando persistencia en su ataque. Esta amenaza puede afectar usuarios del sector financiero ya que TrickBot es un troyano especializado en la exfiltración de credenciales bancarias de los navegadores o cualquier tipo de información sensible en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-modulo-de-trickbot-conocido-como-bazarloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un nuevo módulo de Trickbot denominado BazarLoader; encargado de inyectar código malicioso a través de API a procesos legítimos del sistema operativo como svchost.exe, adicionando persistencia en su ataque. Esta amenaza puede afectar usuarios del sector financiero ya que TrickBot es un troyano especializado en la exfiltración de credenciales bancarias de los navegadores o cualquier tipo de información sensible en los equipos comprometidos.
Última versión del bot Amadey instala malware adicionalEn el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-version-del-bot-amadey-instala-malware-adicionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).
Botnet Devil Shadow distribuido en instalador de Zoom.El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-devil-shadow-distribuido-en-instalador-de-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.
Actualización en módulo de propagación de TrickBotMediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis de las actualizaciones en los módulos del troyano modular TrickBot, el cual es conocido por exfiltrar información confidencial de los equipos infectados, en especial credenciales bancarias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-en-modulo-de-propagacion-de-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis de las actualizaciones en los módulos del troyano modular TrickBot, el cual es conocido por exfiltrar información confidencial de los equipos infectados, en especial credenciales bancarias.
Indicadores de compromiso relacionados al troyano IcedIDA través del continuo monitoreo realizado por el equipo del Csirt Financiero a nuevos vectores de amenazas, se han referenciado nuevos indicadores de compromiso asociados a IcedID, troyano con capacidades para expandirse a través de la red y monitorizar la actividad del navegador web con el fin de exfiltrar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del continuo monitoreo realizado por el equipo del Csirt Financiero a nuevos vectores de amenazas, se han referenciado nuevos indicadores de compromiso asociados a IcedID, troyano con capacidades para expandirse a través de la red y monitorizar la actividad del navegador web con el fin de exfiltrar información confidencial.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}