Nuevo troyano de acceso remoto denominado Shadowpad RATA través de la búsqueda e inteligencia de amenazas por parte del equipo de analistas del Csirt Financiero se identificó un nuevo troyano de acceso remoto conocido como ShadowPad, donde se ha observado que dicha amenaza está dirigida a entidades y organizaciones gubernamentales afectando a sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-shadowpad-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de la búsqueda e inteligencia de amenazas por parte del equipo de analistas del Csirt Financiero se identificó un nuevo troyano de acceso remoto conocido como ShadowPad, donde se ha observado que dicha amenaza está dirigida a entidades y organizaciones gubernamentales afectando a sistemas operativos Microsoft Windows.
OriginLogger, un nuevo keylogger que es considerado el sucesor de Agent TeslaOriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/originlogger-un-nuevo-keylogger-que-es-considerado-el-sucesor-de-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
OriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.
Nueva brecha de seguridad presentada en Microsoft TeamsRecientemente se ha identificado una nueva falla presentada en la plataforma Microsoft Teams, la cual afecta a todos los sistemas operativos o equipos que tengan instalada la aplicación en el escritorio. Esta brecha de seguridad permite que un actor de amenaza pueda obtener información sensible como credenciales de los diferentes servicios que ofrece Microsoft 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-brecha-de-seguridad-presentada-en-microsoft-teamshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado una nueva falla presentada en la plataforma Microsoft Teams, la cual afecta a todos los sistemas operativos o equipos que tengan instalada la aplicación en el escritorio. Esta brecha de seguridad permite que un actor de amenaza pueda obtener información sensible como credenciales de los diferentes servicios que ofrece Microsoft 365.
RecordBreaker el nombre de la segunda versión de Raccoon StealerRaccoon Stealer fue visto por primera vez en 2019 y a su vez una de las amenazas más mencionadas por ser un stealer simple pero mudable que le permitió a muchos ciberdelincuentes perpetrar múltiples ataques, no obstante, en marzo de este año sus creadores anunciaron que se retirarían temporalmente a causa de miembros en su equipo, aunque hicieron mención de estar trabajando en una nueva versión de su malware; en ese orden de ideas recientemente se observó actividad asociada a Raccoon a su vez resurge en la naturaleza con el nombre RecordBreaker integrando nuevas funcionalidades.http://csirtasobancaria.com/Plone/alertas-de-seguridad/recordbreaker-el-nombre-de-la-segunda-version-de-raccoon-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Raccoon Stealer fue visto por primera vez en 2019 y a su vez una de las amenazas más mencionadas por ser un stealer simple pero mudable que le permitió a muchos ciberdelincuentes perpetrar múltiples ataques, no obstante, en marzo de este año sus creadores anunciaron que se retirarían temporalmente a causa de miembros en su equipo, aunque hicieron mención de estar trabajando en una nueva versión de su malware; en ese orden de ideas recientemente se observó actividad asociada a Raccoon a su vez resurge en la naturaleza con el nombre RecordBreaker integrando nuevas funcionalidades.
Nuevo ransomware denominado PlayDentro de las amenazas observadas a nivel global se encuentra el tipo ransomware que es muy utilizada por varios grupos de ciberdelincuentes, toda vez que permite cifrar información confidencial de manera eficaz y realizar algún tipo de extorsión exigiendo un monto económico a la víctima. En esta ocasión el equipo del Csirt Financiero identificó una nueva familia de este tipo, la cual es conocida como ransomware Play, donde se observó recientemente afectando países de América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-playhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de las amenazas observadas a nivel global se encuentra el tipo ransomware que es muy utilizada por varios grupos de ciberdelincuentes, toda vez que permite cifrar información confidencial de manera eficaz y realizar algún tipo de extorsión exigiendo un monto económico a la víctima. En esta ocasión el equipo del Csirt Financiero identificó una nueva familia de este tipo, la cual es conocida como ransomware Play, donde se observó recientemente afectando países de América Latina.
Lazarus (APT) emplea un nuevo backdoor denominado ForestTiger en su operaciónLazarus es un grupo de ciberdelincuentes con bastante trayectoria en el ciberespacio, puesto que este APT cuenta con un arsenal de herramientas para perpetrar ataques cibernéticos a gran escala asociados a ciberespionaje y ciberguerra; en el ejercicio de realizar seguimiento a sus actividades se ha relacionado una campaña distribuida a través técnicas de ingeniería social como spearphishing, dentro de la cual envían una aplicación maliciosa, además de utilizar un nuevo backdoor denominado ForestTiger para realizar movimientos laterales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/lazarus-apt-emplea-un-nuevo-backdoor-denominado-foresttiger-en-su-operacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lazarus es un grupo de ciberdelincuentes con bastante trayectoria en el ciberespacio, puesto que este APT cuenta con un arsenal de herramientas para perpetrar ataques cibernéticos a gran escala asociados a ciberespionaje y ciberguerra; en el ejercicio de realizar seguimiento a sus actividades se ha relacionado una campaña distribuida a través técnicas de ingeniería social como spearphishing, dentro de la cual envían una aplicación maliciosa, además de utilizar un nuevo backdoor denominado ForestTiger para realizar movimientos laterales.
Nueva campaña de distribución del troyano LampionEn el ámbito del ciberespacio es frecuente observar las nuevas técnicas y tácticas de distribución utilizadas por los ciberdelincuentes con el objetivo de distribuir amenazas y llegar a impactar a organizaciones y entidades, por lo tanto, a través del monitoreo que realiza el equipo del Csirt Financiero fue identificado el troyano Lampion el cual está siendo distribuido por medio de un servicio legítimo conocido como weTransfer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-del-troyano-lampionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito del ciberespacio es frecuente observar las nuevas técnicas y tácticas de distribución utilizadas por los ciberdelincuentes con el objetivo de distribuir amenazas y llegar a impactar a organizaciones y entidades, por lo tanto, a través del monitoreo que realiza el equipo del Csirt Financiero fue identificado el troyano Lampion el cual está siendo distribuido por medio de un servicio legítimo conocido como weTransfer.
Actualización de artefactos empleados por NetSupport RATNetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo, es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-de-artefactos-empleados-por-netsupport-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo, es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.
Familias de ransomware implementan nuevo método de cifrado de archivosRecientemente se ha identificado un nuevo comportamiento atribuido al tipo de malware conocido en el ciberespacio como ransomware, donde los ciberdelincuentes implementan una táctica que le permite generar una mayor afectación al objetivo y en un intervalo de tiempo más corto, este método ha sido denominado cifrado intermitente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/familias-de-ransomware-implementan-nuevo-metodo-de-cifrado-de-archivoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo comportamiento atribuido al tipo de malware conocido en el ciberespacio como ransomware, donde los ciberdelincuentes implementan una táctica que le permite generar una mayor afectación al objetivo y en un intervalo de tiempo más corto, este método ha sido denominado cifrado intermitente.
Nuevos indicadores vinculados al troyano IcedIDIcedID es un troyano que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática. Tras infiltrarse en la infraestructura tecnológica, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-vinculados-al-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IcedID es un troyano que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática. Tras infiltrarse en la infraestructura tecnológica, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.
PlugX un RAT Loader que prevalece en el tiempoEl ciberespacio es un ecosistema lleno de amenazas que ponen en riesgo los activos de una organización o de las personas debido a los constantes ataques cibernéticos orquestados por los ciberdelincuentes, dentro de ese flujo de acción suelen emplear herramientas modulares para controlar remotamente los equipos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/plugx-un-rat-loader-que-prevalece-en-el-tiempohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ciberespacio es un ecosistema lleno de amenazas que ponen en riesgo los activos de una organización o de las personas debido a los constantes ataques cibernéticos orquestados por los ciberdelincuentes, dentro de ese flujo de acción suelen emplear herramientas modulares para controlar remotamente los equipos infectados.
Nueva actividad maliciosa del grupo cibercriminal conocido como WorokEn el ámbito de la ciberseguridad se han identificado varios grupos cibercriminales los cuales en su mayoría son financiados por gobiernos de muchos países que se suman a los constantes ataques cibernéticos para capturar información confidencial, afectar infraestructuras críticas de entidades y organizaciones a nivel mundial, teniendo en cuenta esto, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa de un grupo cibercriminal conocido como Worok, el cual dirige sus ataques a sectores financieros, gubernamentales y de telecomunicaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-grupo-cibercriminal-conocido-como-worokhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de la ciberseguridad se han identificado varios grupos cibercriminales los cuales en su mayoría son financiados por gobiernos de muchos países que se suman a los constantes ataques cibernéticos para capturar información confidencial, afectar infraestructuras críticas de entidades y organizaciones a nivel mundial, teniendo en cuenta esto, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa de un grupo cibercriminal conocido como Worok, el cual dirige sus ataques a sectores financieros, gubernamentales y de telecomunicaciones.
Aparece en la naturaleza un nuevo RAT dirigido al kernel Linux denominado ShikitegaEl creciente número de amenazas que se ven en la naturaleza sigue siendo una constante durante los últimos meses, en este sentido se ha descubierto una nueva familia de malware denominada Shikitega la cual ha sido categorizada como un troyano de acceso remoto; esta amenaza se dirige a equipos y dispositivos que ejecutan sistemas Linux, entre estos están incluidos los que hacen parte de la categoría IoT, a su vez su operación se divide en varias etapas que ejecutan distintas cargas útiles, explotan algunas vulnerabilidades, implantan un minero y usan Mettle.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aparece-en-la-naturaleza-un-nuevo-rat-dirigido-al-kernel-linux-denominado-shikitegahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El creciente número de amenazas que se ven en la naturaleza sigue siendo una constante durante los últimos meses, en este sentido se ha descubierto una nueva familia de malware denominada Shikitega la cual ha sido categorizada como un troyano de acceso remoto; esta amenaza se dirige a equipos y dispositivos que ejecutan sistemas Linux, entre estos están incluidos los que hacen parte de la categoría IoT, a su vez su operación se divide en varias etapas que ejecutan distintas cargas útiles, explotan algunas vulnerabilidades, implantan un minero y usan Mettle.
Nuevo troyano de acceso remoto denominado Magic RatDentro de las amenazas más utilizadas por los ciberdelincuentes en los últimos meses, se observó que los troyanos de acceso remoto (RAT) son los más comunes e implementadas por los cibercriminales gracias a las capacidades que pueden llegar a otorgar, permitiendo la obtención de datos confidenciales de entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado Magic RAT, el cual es atribuido al grupo APT 38 más conocido como Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-magic-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de las amenazas más utilizadas por los ciberdelincuentes en los últimos meses, se observó que los troyanos de acceso remoto (RAT) son los más comunes e implementadas por los cibercriminales gracias a las capacidades que pueden llegar a otorgar, permitiendo la obtención de datos confidenciales de entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado Magic RAT, el cual es atribuido al grupo APT 38 más conocido como Lazarus.
El troyano bancario Ares resurge con nuevas TTPAunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-ares-resurge-con-nuevas-ttphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.
Nuevo Framework denominado BruteratelBruteratel es un framework que permite a los actores de amenaza simular un ciberataque contra una organización con el objetivo que los ciberdelincuentes puedan encontrar brechas de seguridad donde identifican vulnerabilidades para poder desencadenar un proceso de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-denominado-bruteratelhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bruteratel es un framework que permite a los actores de amenaza simular un ciberataque contra una organización con el objetivo que los ciberdelincuentes puedan encontrar brechas de seguridad donde identifican vulnerabilidades para poder desencadenar un proceso de infección.
Nuevo troyano de acceso remoto denominado Venom RATSe identificó una familia denominada Venom RAT, como un Malware as a Service (MaaS, por sus siglas en inglés), es una herramienta que puede ser adquirida de forma legítima y por esta razón los ciberdelincuentes comenzaron a obtener dicho RAT con fines delictivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-venom-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificó una familia denominada Venom RAT, como un Malware as a Service (MaaS, por sus siglas en inglés), es una herramienta que puede ser adquirida de forma legítima y por esta razón los ciberdelincuentes comenzaron a obtener dicho RAT con fines delictivos.
Nuevo skimmer de JavaScript empleado por el grupo de ciberdelincuentes MagecartRecientemente se observó en la naturaleza un nuevo skimmer de JavaScript creado por el grupo de cibercriminales conocido como Magecart, quienes se dedican a vulnerar la seguridad de los sistemas de compras en línea con nuevos métodos y técnicas para capturar información sensible relacionado con datos financieros de las víctimas dentro de sitios web que empleen la plataforma Magento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-skimmer-de-javascript-empleado-por-el-grupo-de-ciberdelincuentes-magecarthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se observó en la naturaleza un nuevo skimmer de JavaScript creado por el grupo de cibercriminales conocido como Magecart, quienes se dedican a vulnerar la seguridad de los sistemas de compras en línea con nuevos métodos y técnicas para capturar información sensible relacionado con datos financieros de las víctimas dentro de sitios web que empleen la plataforma Magento.
Nuevo Phishing-as-a-Service denominado EvilProxyRecientemente, investigadores identificaron un nuevo phishing como servicio (Phishing-as-a-Service o PhaaS por sus siglas) denominado EvilProxy o Moloch, el cual fue anunciado en foros clandestinos de la Dark web. Esta amenaza permite a los ciberdelincuentes comprometer a usuarios con MFA (Autenticación de múltiples factores) permitido a mayor escala sin la necesidad de infectar servicios anteriores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-phishing-as-a-service-denominado-evilproxyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores identificaron un nuevo phishing como servicio (Phishing-as-a-Service o PhaaS por sus siglas) denominado EvilProxy o Moloch, el cual fue anunciado en foros clandestinos de la Dark web. Esta amenaza permite a los ciberdelincuentes comprometer a usuarios con MFA (Autenticación de múltiples factores) permitido a mayor escala sin la necesidad de infectar servicios anteriores.
Código fuente del troyano acceso remoto CodeRAT expuesto en repositorios de GitHubCodeRAT, es un troyano de acceso remoto (RAT) el cual está siendo utilizado por los ciberdelincuentes gracias a las grandes capacidades que ofrece esta amenaza; en esta ocasión se identificó que el código fuente de CodeRAT fue filtrado y expuesto en un repositorio de GitHub el cual permite que más ciberdelincuentes puedan adquirirlo permitiendo ejecutar el RAT ofreciendo al usuario remoto una amplia gama capacidades posteriores a la infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-fuente-del-troyano-acceso-remoto-coderat-expuesto-en-repositorios-de-githubhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CodeRAT, es un troyano de acceso remoto (RAT) el cual está siendo utilizado por los ciberdelincuentes gracias a las grandes capacidades que ofrece esta amenaza; en esta ocasión se identificó que el código fuente de CodeRAT fue filtrado y expuesto en un repositorio de GitHub el cual permite que más ciberdelincuentes puedan adquirirlo permitiendo ejecutar el RAT ofreciendo al usuario remoto una amplia gama capacidades posteriores a la infección.