Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Indicadores de compromiso relacionados al troyano Cerberus.El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Cerberus, el cual suplanta las aplicaciones móviles para infectar dispositivos Android, tomar acceso remoto y exfiltra información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-troyano-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Cerberus, el cual suplanta las aplicaciones móviles para infectar dispositivos Android, tomar acceso remoto y exfiltra información sensible.
Black Rose Lucy, ransomware móvil para Android.El equipo del Csirt financiero ha identificado una amenaza que regresa después de dos años, se trata del ransomware Black Rose Lucy, se hace pasar por una aplicación de reproducción de video para dispositivos Android, bajo esta apariencia solicita a los usuarios habilitar los servicios de accesibilidad para tener un mínimo de interacción con la víctima y finalmente instalar la carga útil del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/black-rose-lucy-ransomware-movil-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha identificado una amenaza que regresa después de dos años, se trata del ransomware Black Rose Lucy, se hace pasar por una aplicación de reproducción de video para dispositivos Android, bajo esta apariencia solicita a los usuarios habilitar los servicios de accesibilidad para tener un mínimo de interacción con la víctima y finalmente instalar la carga útil del ransomware.
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_servicios-expuestos-en-colombia-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
Indicadores de compromiso asociados a campaña del troyano EventBotEl equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-campana-del-troyano-eventbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.
RAT RevCode WebMonitor empaquetada en instalador Zoom.El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rat-revcode-webmonitor-empaquetada-en-instalador-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.
Nueva campaña de phishing distribuyendo Lokibot y Jigsaw ransomwareDesde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-distribuyendo-lokibot-y-jigsaw-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.
Nuevos indicadores de compromiso asociados a LokibotDesde el Csirt Financiero se ha evidenciado una nueva campaña de phishing distribuyendo a Lokibot a través de archivos de tipo CAB (Windows Cabinet); esto con el fin de realizar la exfiltración de información confidencial de los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado una nueva campaña de phishing distribuyendo a Lokibot a través de archivos de tipo CAB (Windows Cabinet); esto con el fin de realizar la exfiltración de información confidencial de los equipos comprometidos.
Vulnerabilidades de seguridad en NGINX Controller.Se detectan tres vulnerabilidades importantes de seguridad en NGINX las cuales implican problemas al desbordamiento de búfer, inicios de sesión incorrecta y permisos por defecto; la ejecución de estas amenazas puede acarrear serios problemas y comprometer en su totalidad el sistema operativo debido a la ejecución de código arbitrario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-de-seguridad-en-nginx-controllerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detectan tres vulnerabilidades importantes de seguridad en NGINX las cuales implican problemas al desbordamiento de búfer, inicios de sesión incorrecta y permisos por defecto; la ejecución de estas amenazas puede acarrear serios problemas y comprometer en su totalidad el sistema operativo debido a la ejecución de código arbitrario.
Nueva variante de malware de ATM de la familia CessoATM.Investigadores han detectado una nueva variante del malware de la familia CessoATM, en la que en este caso impacta también a cajeros automáticos del fabricante NCR. Esta familia de malware fue descubierta en marzo del 2020, cuando se verificaron unas muestras de malware no conocidas hasta la fecha en VirusTotal. Ha impactado principalmente en Brasil, pero debido a la estructura del malware se evidencia que está preparado para afectar a otros países localizados en Latinoamérica, además de Estados Unidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-malware-de-atm-de-la-familia-cessoatmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores han detectado una nueva variante del malware de la familia CessoATM, en la que en este caso impacta también a cajeros automáticos del fabricante NCR. Esta familia de malware fue descubierta en marzo del 2020, cuando se verificaron unas muestras de malware no conocidas hasta la fecha en VirusTotal. Ha impactado principalmente en Brasil, pero debido a la estructura del malware se evidencia que está preparado para afectar a otros países localizados en Latinoamérica, además de Estados Unidos.
Compañía Diebold Nixdorf víctima de ransomware ProLock.En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/compania-diebold-nixdorf-victima-de-ransomware-prolockhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitorio que el Csirt Financiero realiza, se observó que la empresa Diebold Nixdorf, proveedora de cajeros automáticos ATM y software de pago para bancos, fue atacada con el ransomware ProLock. Según medios oficiales el ataque solo afectó la red corporativa y no afecto cajeros automáticos ni redes de clientes.
Indicadores de compromiso de campaña FIN7Desde el Csirt Financiero se han identificado indicadores de compromiso asociados a la campaña FIN7, grupo interesado en realizar la infección en los equipos a través de Scripts para exfiltrar información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-de-campana-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado indicadores de compromiso asociados a la campaña FIN7, grupo interesado en realizar la infección en los equipos a través de Scripts para exfiltrar información sensible.
Ataques de dns hijacking para descargar app maliciosa de Covid-19Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-de-dns-hijacking-para-descargar-app-maliciosa-de-covid-19http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.
Nuevos indicadores de compromiso asociados a SodinokibiDesde el Csirt Financiero se ha evidenciado actividad reciente del ransomware Sodinokibi, también conocido como Sodin o REvil afectando a una entidad financiera en Jamaica, donde decenas de archivos y datos confidenciales de los usuarios fueron publicados en línea como prueba del ataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-sodinokibihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado actividad reciente del ransomware Sodinokibi, también conocido como Sodin o REvil afectando a una entidad financiera en Jamaica, donde decenas de archivos y datos confidenciales de los usuarios fueron publicados en línea como prueba del ataque.
Indicadores de compromiso relacionados al malware RAT Orcus.El equipo del Csirt Financiero ha detectado nueva actividad maliciosa de RAT Orcus que permite a los ciberdelincuentes tomar control de un equipo infectado y exfiltrar la información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-malware-rat-orcushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha detectado nueva actividad maliciosa de RAT Orcus que permite a los ciberdelincuentes tomar control de un equipo infectado y exfiltrar la información sensible.
Indicadores de compromiso relacionados al grupo APT TA505.El equipo del Csirt Financiero ha identificado ataques cibernéticos con SDBbot RAT relacionados con el grupo Hive0065, mejor conocidos como TA505, este malware tiene la capacidad de realizar acceso remoto, aceptar comandos de un servidor C2 y extraer información de los equipos y redes comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-grupo-apt-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado ataques cibernéticos con SDBbot RAT relacionados con el grupo Hive0065, mejor conocidos como TA505, este malware tiene la capacidad de realizar acceso remoto, aceptar comandos de un servidor C2 y extraer información de los equipos y redes comprometidos.
Sitio web malicioso suplanta a entidades financieras colombianas.En el constante monitoreo del Csirt Financiero se ha identificado un enlace malicioso el cual redirecciona a sitios fraudulentos que suplantan a diferentes entidades bancarias y su configuración cambia cada día.http://csirtasobancaria.com/Plone/alertas-de-seguridad/sitio-web-malicioso-suplanta-a-entidades-financieras-colombianashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo del Csirt Financiero se ha identificado un enlace malicioso el cual redirecciona a sitios fraudulentos que suplantan a diferentes entidades bancarias y su configuración cambia cada día.
Nuevos indicadores de compromiso asociados al troyano CerberusDesde el Csirt Financiero se han identificado indicadores de compromiso relacionados al troyano bancario Cerberus, el cual suplanta aplicaciones móviles reconocidas mundialmente, infecta el dispositivo, toma acceso remoto y exfiltrar la información sensible del usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado indicadores de compromiso relacionados al troyano bancario Cerberus, el cual suplanta aplicaciones móviles reconocidas mundialmente, infecta el dispositivo, toma acceso remoto y exfiltrar la información sensible del usuario.
Nueva campaña de distribución de malware Herodotus dirigida a italia y brasilDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó un nuevo troyano bancario para Android, denominado Herodotus, un nuevo tipo de malware para Android que se está usando en campañas dirigidas principalmente a usuarios en Italia y Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-malware-herodotus-dirigida-a-italia-y-brasilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se detectó un nuevo troyano bancario para Android, denominado Herodotus, un nuevo tipo de malware para Android que se está usando en campañas dirigidas principalmente a usuarios en Italia y Brasil.
Campaña activa distribuye RustyStealerEl equipo de analistas del Csirt Financiero ha identificado y dado seguimiento a una campaña activa de distribución de RustyStealer, una amenaza de tipo infostealer desarrollada en lenguaje Rust y orientada a la toma masiva de credenciales e información sensible desde equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-rustystealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado y dado seguimiento a una campaña activa de distribución de RustyStealer, una amenaza de tipo infostealer desarrollada en lenguaje Rust y orientada a la toma masiva de credenciales e información sensible desde equipos comprometidos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}