Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo malware dirigido a dispositivos ATMEl equipo del Csirt Financiero ha conocido acerca de un nuevo malware dirigido a cajeros automáticos (ATM), este hace parte de la familia del malware conocida como Dispcash.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-dirigido-a-dispositivos-atmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha conocido acerca de un nuevo malware dirigido a cajeros automáticos (ATM), este hace parte de la familia del malware conocida como Dispcash.
Nuevo grupo Vendetta afecta organizaciones de Europa y LatinoaméricaEl nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-vendetta-afecta-organizaciones-de-europa-y-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.
LOLSnif, nueva variante basada en el troyano bancario UrsnifUrsnif: es un troyano bancario que ha tenido diferentes variantes debido a la estabilidad de su código. La variante que se analizará utiliza técnicas basadas en LOLBINS y varias capas de ofuscación con el fin de dificultar su detección. También utiliza Internet Explorer para realizar la comunicación con el servidor de comando y control (C2), ya que mediante este navegador puede omitir configuraciones de proxy en redes corporativas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/lolsnif-nueva-variante-basada-en-el-troyano-bancario-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ursnif: es un troyano bancario que ha tenido diferentes variantes debido a la estabilidad de su código. La variante que se analizará utiliza técnicas basadas en LOLBINS y varias capas de ofuscación con el fin de dificultar su detección. También utiliza Internet Explorer para realizar la comunicación con el servidor de comando y control (C2), ya que mediante este navegador puede omitir configuraciones de proxy en redes corporativas.
Nueva campaña utilizando el troyano adwind ratDesde el Csirt Financiero se ha evidenciado una nueva campaña contra entidades bancarias localizadas en la India, en los ataques se ha utilizado el troyano Adwind RAT. Este malware está programado en Java y permite ejecución multiplataforma sin distinción del sistema operativo, siempre y cuando cuente con Java instalado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-utilizando-el-troyano-adwind-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado una nueva campaña contra entidades bancarias localizadas en la India, en los ataques se ha utilizado el troyano Adwind RAT. Este malware está programado en Java y permite ejecución multiplataforma sin distinción del sistema operativo, siempre y cuando cuente con Java instalado.
Grupo Tropic Trooper utiliza USBFerry en entornos Air gappedEn el constante monitoreo que realiza el Csirt Financiero, evidenció investigación relacionada con el grupo cibercriminal Tropic Trooper, el cual está empleando dispositivos USB para realizar ataques a infraestructuras de tipo air gapped, con el fin de exfiltrar información confidencialhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-tropic-trooper-utiliza-usbferry-en-entornos-air-gappedhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero, evidenció investigación relacionada con el grupo cibercriminal Tropic Trooper, el cual está empleando dispositivos USB para realizar ataques a infraestructuras de tipo air gapped, con el fin de exfiltrar información confidencial
Vulnerabilidad 0-Day halladas en Windows sin corrección.Dentro del constante monitoreo que realiza el equipo del Csirt Financiero, evidencia que Microsoft Windows no ha corregido 3 vulnerabilidades que afectan los servicios suministrados por el Sistema Operativo Windows 10 y en un principio permitirían la ejecución de código arbitrario a nivel de usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-0-day-halladas-en-windows-sin-correccionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del constante monitoreo que realiza el equipo del Csirt Financiero, evidencia que Microsoft Windows no ha corregido 3 vulnerabilidades que afectan los servicios suministrados por el Sistema Operativo Windows 10 y en un principio permitirían la ejecución de código arbitrario a nivel de usuario.
Nueva variante de Zloader exfiltra información financiera.El equipo del Csirt Financiero ha identificado campañas de infección con una variante del troyano bancario Zloader en Estados Unidos y varios países de Europa; tiene como objetivo exfiltrar las credenciales e información sensible de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-zloader-exfiltra-informacion-financierahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado campañas de infección con una variante del troyano bancario Zloader en Estados Unidos y varios países de Europa; tiene como objetivo exfiltrar las credenciales e información sensible de los usuarios.
Ransomware ProLock y troyano Qakbot en trabajo colaborativoEl ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-prolock-y-troyano-qakbot-en-trabajo-colaborativohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.
Análisis técnico de amenaza Defensor IDDesde el Csirt Financiero ha evidenciado un nuevo malware, dirigido principalmente a los usuarios de entidades bancarias localizadas en Brasil. El troyano bancario para dispositivos Android se ha denominado Defensor ID, nombre que utiliza la aplicación para su descarga.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-amenaza-defensor-idhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero ha evidenciado un nuevo malware, dirigido principalmente a los usuarios de entidades bancarias localizadas en Brasil. El troyano bancario para dispositivos Android se ha denominado Defensor ID, nombre que utiliza la aplicación para su descarga.
El ransomware Ragnar Locker oculto en máquina virtualEn el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-ragnar-locker-oculto-en-maquina-virtualhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.
Indicadores de compromiso asociados a CactusPete APTEn el constante monitoreo que realiza el equipo del Csirt Financiero, se ha identificado información sobre el grupo de ciberdelincuentes CactusPete APT, que tiene como objetivo distribuir el backdoor llamado Bizonal. Troyano que una vez ejecutado proporciona control total a los ciberdelincuentes sobre el equipo comprometido y por ende a la información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-cactuspete-apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero, se ha identificado información sobre el grupo de ciberdelincuentes CactusPete APT, que tiene como objetivo distribuir el backdoor llamado Bizonal. Troyano que una vez ejecutado proporciona control total a los ciberdelincuentes sobre el equipo comprometido y por ende a la información confidencial.
Malware Grandoreiro actualizado con latenbot-C2Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el malware Grandoreiro y el cual se ha documentado en comunicados anteriores. Esta vez, se reinventa e incluye en su suite de herramientas, el módulo botnet Latenbot optimizando la comunicación con el servidor de comando y control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-grandoreiro-actualizado-con-latenbot-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el malware Grandoreiro y el cual se ha documentado en comunicados anteriores. Esta vez, se reinventa e incluye en su suite de herramientas, el módulo botnet Latenbot optimizando la comunicación con el servidor de comando y control (C2).
Análisis técnico de Amenazas – BizonalDesde el Csirt Financiero se ha evidenciado un malware que ha estado afectando a entidades financieras de Europa del Este. El malware se conoce como Bizonal y está asociado con el grupo de APT CactusPete. Un backdoor con muchas modificaciones que permiten a los ciberdelincuentes llevar a cabo nuevos tipos de actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-amenazas-2013-bizonalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado un malware que ha estado afectando a entidades financieras de Europa del Este. El malware se conoce como Bizonal y está asociado con el grupo de APT CactusPete. Un backdoor con muchas modificaciones que permiten a los ciberdelincuentes llevar a cabo nuevos tipos de actividades maliciosas.
Valak 2.0 exfiltrador de informaciónMediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el descargador del malware Valak versión 2.0. En esta nueva versión, implementa características diseñadas para evadir los parámetros de seguridad circundantes en el sistema a comprometer. Se enfoca hacia perfiles como administradores de dominio, intentando exfiltrar la mayor cantidad de información sensible y causar un mayor impacto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/valak-2-0-exfiltrador-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el descargador del malware Valak versión 2.0. En esta nueva versión, implementa características diseñadas para evadir los parámetros de seguridad circundantes en el sistema a comprometer. Se enfoca hacia perfiles como administradores de dominio, intentando exfiltrar la mayor cantidad de información sensible y causar un mayor impacto.
Nuevo módulo de Trickbot conocido como BazarLoaderEl equipo del Csirt Financiero ha identificado un nuevo módulo de Trickbot denominado BazarLoader; encargado de inyectar código malicioso a través de API a procesos legítimos del sistema operativo como svchost.exe, adicionando persistencia en su ataque. Esta amenaza puede afectar usuarios del sector financiero ya que TrickBot es un troyano especializado en la exfiltración de credenciales bancarias de los navegadores o cualquier tipo de información sensible en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-modulo-de-trickbot-conocido-como-bazarloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un nuevo módulo de Trickbot denominado BazarLoader; encargado de inyectar código malicioso a través de API a procesos legítimos del sistema operativo como svchost.exe, adicionando persistencia en su ataque. Esta amenaza puede afectar usuarios del sector financiero ya que TrickBot es un troyano especializado en la exfiltración de credenciales bancarias de los navegadores o cualquier tipo de información sensible en los equipos comprometidos.
Última versión del bot Amadey instala malware adicionalEn el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-version-del-bot-amadey-instala-malware-adicionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).
Botnet Devil Shadow distribuido en instalador de Zoom.El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-devil-shadow-distribuido-en-instalador-de-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado cómo los ciberdelincuentes aprovechan aplicaciones de videoconferencia como Zoom para distribuir malware en sus instaladores. La muestra analizada por el equipo del Csirt, la instalación de la herramienta ha evidenciado el compromiso del equipo en la botnet Devil Shadow; permitiendo al ciberdelincuente tomar el control del equipo mediante acceso remoto y exfiltrar información confidencial.
Nuevos indicadores de compromiso asociados a QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han evidenciado nuevos indicadores asociados a Qakbot, el cual tiene la capacidad de descargar malware catalogado e introducir al equipo infectado en una red de botnets.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-qakbot-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han evidenciado nuevos indicadores asociados a Qakbot, el cual tiene la capacidad de descargar malware catalogado e introducir al equipo infectado en una red de botnets.
Actualización en módulo de propagación de TrickBotMediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis de las actualizaciones en los módulos del troyano modular TrickBot, el cual es conocido por exfiltrar información confidencial de los equipos infectados, en especial credenciales bancarias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-en-modulo-de-propagacion-de-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis de las actualizaciones en los módulos del troyano modular TrickBot, el cual es conocido por exfiltrar información confidencial de los equipos infectados, en especial credenciales bancarias.
Malware Sarwent con enfoque en RDPA través del monitoreo de fuentes abiertas disponibles en la red, el equipo del Csirt Financiero ha evidenciado el análisis relacionado con el malware de puerta trasera Sarwent; se apoya en el protocolo de escritorio remoto (RDP) para acceder de forma no autorizada al sistema y exfiltrar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-sarwent-con-enfoque-en-rdphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo de fuentes abiertas disponibles en la red, el equipo del Csirt Financiero ha evidenciado el análisis relacionado con el malware de puerta trasera Sarwent; se apoya en el protocolo de escritorio remoto (RDP) para acceder de forma no autorizada al sistema y exfiltrar información confidencial.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}