Actualizaciones implementadas en el stealer XCSSET dirigido a usuarios MacOSEl malware desarrollado para sistemas MacOS existe en la naturaleza en menor cantidad comparada con Windows, sin embargo, los actores de amenazas también tienen como objetivo los usuarios de este S.O; basado en lo anterior se ha visto anteriormente en la naturaleza un stealer denominado XCSSET que ha afectado organizaciones e individuos, no obstante se han rastreado nuevas actualizaciones, evidenciando que ha implementado algunos cambios que pretenden solventar la obsolescencia de versiones anteriores de Python que no serán compatibles con las nuevas versiones de MacOS como la más reciente distribución Monterey.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-implementadas-en-el-stealer-xcsset-dirigido-a-usuarios-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware desarrollado para sistemas MacOS existe en la naturaleza en menor cantidad comparada con Windows, sin embargo, los actores de amenazas también tienen como objetivo los usuarios de este S.O; basado en lo anterior se ha visto anteriormente en la naturaleza un stealer denominado XCSSET que ha afectado organizaciones e individuos, no obstante se han rastreado nuevas actualizaciones, evidenciando que ha implementado algunos cambios que pretenden solventar la obsolescencia de versiones anteriores de Python que no serán compatibles con las nuevas versiones de MacOS como la más reciente distribución Monterey.
Nuevos artefactos asociados al RAT AveMariaAveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a diversos sectores, donde encontramos el ámbito financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-asociados-al-rat-avemariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
AveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a diversos sectores, donde encontramos el ámbito financiero.
Troyano bancario Astaroth dirigido a LatinoaméricaEl troyano bancario Astaroth fue identificado por primera vez en el año 2017 dirigido a organizaciones de Latinoamérica, principalmente en Brasil donde fue observado impactando una entidad de dicho país, este troyano está escrito en lenguaje de programación Delphi, cuenta con capacidades de captura de datos bancarios y afecta a sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-astaroth-dirigido-a-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Astaroth fue identificado por primera vez en el año 2017 dirigido a organizaciones de Latinoamérica, principalmente en Brasil donde fue observado impactando una entidad de dicho país, este troyano está escrito en lenguaje de programación Delphi, cuenta con capacidades de captura de datos bancarios y afecta a sistemas operativos Windows.
Nueva variante de RAT denominada Escanor es distribuida a través de documentos de Microsoft OfficeEn enero del presente año, salió a la venta en la Dark web y Telegram un nuevo RAT denominado Escanor, esta amenaza es dirigido a dispositivos móviles y equipos de cómputo, bajo el sistema Android y Microsoft Windows respectivamente, entregan un módulo HVNC (Módulo de Control Remoto) y el generador de exploits con el cual generan documentos de Microsoft Office o PDF en el cual es incluido el código malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-rat-denominada-escanor-es-distribuida-a-traves-de-documentos-de-microsoft-officehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En enero del presente año, salió a la venta en la Dark web y Telegram un nuevo RAT denominado Escanor, esta amenaza es dirigido a dispositivos móviles y equipos de cómputo, bajo el sistema Android y Microsoft Windows respectivamente, entregan un módulo HVNC (Módulo de Control Remoto) y el generador de exploits con el cual generan documentos de Microsoft Office o PDF en el cual es incluido el código malicioso.
Dtrack, backdoor utilizado por grupos APTDtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado que el grupo APT denominado Lazarus patrocinados por el estado de Corea del Norte, continúan desplegando campañas maliciosas en varios países, donde en esta ocasión se observaron varios ataques a una corporación de Energía Nuclear de India.http://csirtasobancaria.com/Plone/alertas-de-seguridad/dtrack-backdoor-utilizado-por-grupos-apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado que el grupo APT denominado Lazarus patrocinados por el estado de Corea del Norte, continúan desplegando campañas maliciosas en varios países, donde en esta ocasión se observaron varios ataques a una corporación de Energía Nuclear de India.
Nuevos IOC del loader SocGholish reportados de una campaña en cursoLas amenazas de acceso inicial son ampliamente utilizadas en el ciberespacio por los ciberdelincuentes para instaurar otras familias de malware que complementan la operación de cada campaña desplegada de estos actores malintencionados; por lo anterior durante el mes de agosto se observó nueva actividad relacionada con el Loader SocGholish, el cual aprovecha las descargas ocultas disfrazadas de actualizaciones de software especialmente diseñadas para sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-del-loader-socgholish-reportados-de-una-campana-en-cursohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las amenazas de acceso inicial son ampliamente utilizadas en el ciberespacio por los ciberdelincuentes para instaurar otras familias de malware que complementan la operación de cada campaña desplegada de estos actores malintencionados; por lo anterior durante el mes de agosto se observó nueva actividad relacionada con el Loader SocGholish, el cual aprovecha las descargas ocultas disfrazadas de actualizaciones de software especialmente diseñadas para sistemas operativos Microsoft Windows.
Nueva campaña maliciosa distribuye AsyncRAT como archivos slnSi bien AsyncRAT fue desarrollado con fines educativos, los ciberdelincuentes han utilizado y evolucionado esta herramienta con el objetivo de impactar a diferentes organizaciones del sector bancario, desde el Csirt Financiero se da a conocer una nueva campaña en la cual distribuyen a este troyano de acceso remoto como archivos .sln (archivos de solución asociado a Microsoft Visual studio).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-distribuye-asyncrat-como-archivos-slnhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Si bien AsyncRAT fue desarrollado con fines educativos, los ciberdelincuentes han utilizado y evolucionado esta herramienta con el objetivo de impactar a diferentes organizaciones del sector bancario, desde el Csirt Financiero se da a conocer una nueva campaña en la cual distribuyen a este troyano de acceso remoto como archivos .sln (archivos de solución asociado a Microsoft Visual studio).
Nueva campaña del troyano bancario Grandoreiro dirigida a países de habla hispanaEl panorama de la ciberguerra es un escenario que vemos día tras día en tendencia debido a la constante actividad de los ciberdelincuentes que pretenden afectar la infraestructura tecnológica de distintos sectores, con el fin de obtener un beneficio; asimismo desde el Csirt Financiero se realiza seguimiento a las amenazas emergentes y a las amenazas que perduran en el ciberespacio como el troyano bancario Grandoreiro, que actualmente está siendo distribuido por medio de una campaña de spearphishing hacia México y España.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-grandoreiro-dirigida-a-paises-de-habla-hispanahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de la ciberguerra es un escenario que vemos día tras día en tendencia debido a la constante actividad de los ciberdelincuentes que pretenden afectar la infraestructura tecnológica de distintos sectores, con el fin de obtener un beneficio; asimismo desde el Csirt Financiero se realiza seguimiento a las amenazas emergentes y a las amenazas que perduran en el ciberespacio como el troyano bancario Grandoreiro, que actualmente está siendo distribuido por medio de una campaña de spearphishing hacia México y España.
Nueva variante de ransomware denominada BianLianBianLian es un ransomware que fue identificado en el mes de julio del presente año, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto los ciberatacantes de esta amenaza tienen fines económicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ransomware-denominada-bianlianhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
BianLian es un ransomware que fue identificado en el mes de julio del presente año, este tiene como objetivo cifrar datos y a través de esta capacidad poder exigir un rescate a cambio de una clave para el descifrado, teniendo en cuenta la importancia de la información comprometida muchas organizaciones acceden al pago de esta extorsión; por lo tanto los ciberatacantes de esta amenaza tienen fines económicos.
Nueva actividad del ransomware BlackByte 2.0Durante el presente año el grupo de ciberdelincuentes detrás del ransomware BlackByte han realizado constantes actualizaciones de esta amenaza, donde se evidenció en febrero del presente año ataques dirigidos a una entidad de Colombia y retomando sus actividades en el mes de agosto del mismo año liberando una nueva versión de su ransomware, ahora conocido como BlackByte 2.0 la cual es dirigida a sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-blackbyte-2.0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el presente año el grupo de ciberdelincuentes detrás del ransomware BlackByte han realizado constantes actualizaciones de esta amenaza, donde se evidenció en febrero del presente año ataques dirigidos a una entidad de Colombia y retomando sus actividades en el mes de agosto del mismo año liberando una nueva versión de su ransomware, ahora conocido como BlackByte 2.0 la cual es dirigida a sistemas operativos Windows.
El cargador Bumblebee está siendo empleado para impactar a los servicios de Active DirectoryRecientemente, se evidenciaron ataques cibernéticos en los cuales se involucró a Bumblebee Loader y como a través de este los ciberdelincuentes lograron comprometer la red de las organizaciones, este cargador lo utilizaron posteriormente a la explotación con la finalidad de escalar privilegios, a su vez, realizar el reconocimiento del sistema y generar la exfiltración de credenciales de acceso, con estas últimas mencionadas, los ciberdelincuentes lograron acceder de manera arbitraria al Active Directory (AD) acto seguido, con los datos recopilados realizaron actividades maliciosas sobre la red objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-cargador-bumblebee-esta-siendo-empleado-para-impactar-a-los-servicios-de-active-directoryhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se evidenciaron ataques cibernéticos en los cuales se involucró a Bumblebee Loader y como a través de este los ciberdelincuentes lograron comprometer la red de las organizaciones, este cargador lo utilizaron posteriormente a la explotación con la finalidad de escalar privilegios, a su vez, realizar el reconocimiento del sistema y generar la exfiltración de credenciales de acceso, con estas últimas mencionadas, los ciberdelincuentes lograron acceder de manera arbitraria al Active Directory (AD) acto seguido, con los datos recopilados realizaron actividades maliciosas sobre la red objetivo.
Spyware denominado AdvancedIPSpyware suplanta a un software legítimoA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó a AdvancedIPSpyware, un spyware que suplanta a un software legítimo denominado Advanced IP Scanner que es utilizado por administradores de red con el fin de monitorear las infraestructuras corporativas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/spyware-denominado-advancedipspyware-suplanta-a-un-software-legitimohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó a AdvancedIPSpyware, un spyware que suplanta a un software legítimo denominado Advanced IP Scanner que es utilizado por administradores de red con el fin de monitorear las infraestructuras corporativas.
Un nuevo stealer en la naturaleza denominado TyphonLas técnicas de ingeniería social generalmente son usadas por los ciberdelincuentes para persuadir al usuario a realizar acciones inintencionadas que podrán afectar la seguridad de su información, lo que les permite llevar a cabo su objetivo principal el cual es obtener ganancias económicas; en esta ocasión se observó una campaña que distribuye un archivo embebido con una URL que redirecciona a un sitio web de tipo phishing y paralelamente genera la descarga de un malware de tipo stealer denominado Typhon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-en-la-naturaleza-denominado-typhonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las técnicas de ingeniería social generalmente son usadas por los ciberdelincuentes para persuadir al usuario a realizar acciones inintencionadas que podrán afectar la seguridad de su información, lo que les permite llevar a cabo su objetivo principal el cual es obtener ganancias económicas; en esta ocasión se observó una campaña que distribuye un archivo embebido con una URL que redirecciona a un sitio web de tipo phishing y paralelamente genera la descarga de un malware de tipo stealer denominado Typhon.
Google Chrome lanza nueva actualización para vulnerabilidad de día ceroEn el ecosistema de ciberseguridad y ciberespacio, es relativamente común presenciar vulnerabilidades de día cero, los cuales son fallos de seguridad que son desconocidos para los desarrolladores de sus productos y que suponen un gran peligro para la integridad de los usuarios que utilizan este servicio, ya que no se posee un parche de seguridad o una solución inmediata para poder mitigar esta brecha. Por lo general, estas vulnerabilidades se presentan en infraestructuras tecnológicas, plataformas en internet, aplicaciones o navegadores web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/google-chrome-lanza-nueva-actualizacion-para-vulnerabilidad-de-dia-cerohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ecosistema de ciberseguridad y ciberespacio, es relativamente común presenciar vulnerabilidades de día cero, los cuales son fallos de seguridad que son desconocidos para los desarrolladores de sus productos y que suponen un gran peligro para la integridad de los usuarios que utilizan este servicio, ya que no se posee un parche de seguridad o una solución inmediata para poder mitigar esta brecha. Por lo general, estas vulnerabilidades se presentan en infraestructuras tecnológicas, plataformas en internet, aplicaciones o navegadores web.
Nuevos artefactos asociados al troyano bancario Dridex en el mes de agostoAunque el troyana bancario Dridex ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero, se debe tener en cuenta que los ciberdelincuentes desarrollan actualizaciones a sus artefactos y de la misma manera a sus técnicas y tácticas con las que buscan afectar organizaciones y entidades a nivel mundial, en esta ocasión se encontraron nuevos indicadores de compromiso relacionados a Dridex el cual afecta equipos con sistema operativo Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-asociados-al-troyano-bancario-dridex-en-el-mes-de-agostohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyana bancario Dridex ha sido reportado anteriormente por el equipo de analistas del Csirt Financiero, se debe tener en cuenta que los ciberdelincuentes desarrollan actualizaciones a sus artefactos y de la misma manera a sus técnicas y tácticas con las que buscan afectar organizaciones y entidades a nivel mundial, en esta ocasión se encontraron nuevos indicadores de compromiso relacionados a Dridex el cual afecta equipos con sistema operativo Microsoft Windows.
Campañas maliciosas de phishing emplean BazarCall como su vector inicialEl equipo de analistas del Csirt Financiero identificó una nueva campaña de BazarCall en la cual envían correos electrónicos a los usuarios, notificando supuestos inconvenientes con el uso de tarjetas de crédito, adjuntan un número telefónico para que sean comunicados con el propósito de “dar soporte” a la persona y que este descargue y ejecute la carga útil de algún malware en su equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campanas-maliciosas-de-phishing-emplean-bazarcall-como-su-vector-inicialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una nueva campaña de BazarCall en la cual envían correos electrónicos a los usuarios, notificando supuestos inconvenientes con el uso de tarjetas de crédito, adjuntan un número telefónico para que sean comunicados con el propósito de “dar soporte” a la persona y que este descargue y ejecute la carga útil de algún malware en su equipo.
Redeemer, un ransomware en constante evoluciónA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó a Redeemer, ransomware que bloquea el acceso a los datos mediante el cifrado de estos, además, modifica los nombres de los archivos comprometidos para posteriormente generar una nota de rescate con el fin de obtener beneficios económicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/redeemer-un-ransomware-en-constante-evolucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó a Redeemer, ransomware que bloquea el acceso a los datos mediante el cifrado de estos, además, modifica los nombres de los archivos comprometidos para posteriormente generar una nota de rescate con el fin de obtener beneficios económicos.
VileRAT, una amenaza que tiene como objetivo a organizaciones de intercambio de divisasUn actor de amenazas denominado como DeathStalker, continuamente se encuentra impactando e interrumpiendo los intercambios de divisas y criptomonedas en todo el mundo a lo largo del presente año, para esto, emplea VileRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vilerat-una-amenaza-que-tiene-como-objetivo-a-organizaciones-de-intercambio-de-divisashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor de amenazas denominado como DeathStalker, continuamente se encuentra impactando e interrumpiendo los intercambios de divisas y criptomonedas en todo el mundo a lo largo del presente año, para esto, emplea VileRAT.
Nueva actividad maliciosa asociada al troyano bancario SOVASOVA es conocido a nivel global por ser un troyano dirigido específicamente al área financiera, el cual impacta a dispositivos con sistema operativo Android. Este fue descubierto a finales del 2021, donde era distribuido a través de foros clandestinos como una versión beta del programa malicioso, sin embargo, en el transcurso de este año, se han identificado nuevas variantes de este malware, las cuales traen consigo capacidades para camuflarse como un programa legítimo y así, afectar a más de 200 aplicaciones móviles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-al-troyano-bancario-sovahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SOVA es conocido a nivel global por ser un troyano dirigido específicamente al área financiera, el cual impacta a dispositivos con sistema operativo Android. Este fue descubierto a finales del 2021, donde era distribuido a través de foros clandestinos como una versión beta del programa malicioso, sin embargo, en el transcurso de este año, se han identificado nuevas variantes de este malware, las cuales traen consigo capacidades para camuflarse como un programa legítimo y así, afectar a más de 200 aplicaciones móviles.
Nueva amenaza denominada MikuBot, comercializada en un foro de la DarknetEn la naturaleza del ciberespacio es normal que el panorama de amenazas continue ampliándose con nuevos binarios maliciosos que tienen como objetivo principal generar ganancias económicas por parte de los actores malintencionados a costa de la información sensible de las víctimas, asimismo se ha visto un nuevo Botnet denominado MikuBot que está siendo comercializado en un foro de ciberdelincuencia dentro de la red tor.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-mikubot-comercializada-en-un-foro-de-la-darknethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza del ciberespacio es normal que el panorama de amenazas continue ampliándose con nuevos binarios maliciosos que tienen como objetivo principal generar ganancias económicas por parte de los actores malintencionados a costa de la información sensible de las víctimas, asimismo se ha visto un nuevo Botnet denominado MikuBot que está siendo comercializado en un foro de ciberdelincuencia dentro de la red tor.