Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Grupo APT norcoreano ataca entidades financieras alrededor del mundoEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-norcoreano-ataca-entidades-financieras-alrededor-del-mundohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.
TA2719 suplanta entidades financieras para distribuir RATEn el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ta2719-suplanta-entidades-financieras-para-distribuir-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.
Troyano Bancario Qbot tiene nuevas funcionalidadesEn el monitoreo realizado por el Csirt Financiero se han evidenciado nuevas funcionalidades del troyano bancario Qbot, también denominado QakBot, el cual data actividad desde el 2008. Este troyano es conocido por realizar la recopilación de datos sensibles de los navegadores web, exfiltrar credenciales bancarias y otro tipo de información financiera en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-qbot-tiene-nuevas-funcionalidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se han evidenciado nuevas funcionalidades del troyano bancario Qbot, también denominado QakBot, el cual data actividad desde el 2008. Este troyano es conocido por realizar la recopilación de datos sensibles de los navegadores web, exfiltrar credenciales bancarias y otro tipo de información financiera en los equipos comprometidos.
Nuevo malware Anubis exfiltra información en sistemas WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo malware denominado Anubis, el cual se diferencia del troyano bancario para dispositivos Android que lleva el mismo nombre.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-anubis-exfiltra-informacion-en-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo malware denominado Anubis, el cual se diferencia del troyano bancario para dispositivos Android que lleva el mismo nombre.
Emotet actualiza la plantilla de sus campañasEn el monitoreo realizado por el Csirt Financiero se ha identificado el envío masivo de mensajes de correo electrónico malspam para infectar equipos de cómputo con el troyano bancario Emotet. Las campañas más recientes de spam cuentan con enlaces para la descarga del malware o documentos con nombre relacionados a temas de facturación, datos financieros e información acerca del COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-actualiza-la-plantilla-de-sus-campanashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado el envío masivo de mensajes de correo electrónico malspam para infectar equipos de cómputo con el troyano bancario Emotet. Las campañas más recientes de spam cuentan con enlaces para la descarga del malware o documentos con nombre relacionados a temas de facturación, datos financieros e información acerca del COVID-19.
Malware Lucifer apunta a Distribuciones LINUXEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-lucifer-apunta-a-distribuciones-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.
Código fuente de Cerberus publicado en foros clandestinosEn el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-fuente-de-cerberus-publicado-en-foros-clandestinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.
Vulnerabilidad en Software Cisco IOS XREn el monitoreo del equipo del Csirt Financiero a nuevas amenazas, se evidenció una vulnerabilidad en la función Protocolo de Enrutamiento de Multidifusión Vectorial a Distancia (DVMRP ) del software Cisco IOS XR. Esta vulnerabilidad se identifica con el CVE-2020-3566 y permite a un ciberdelincuente no autenticado agotar la memoria de proceso del dispositivo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-software-cisco-ios-xrhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo del equipo del Csirt Financiero a nuevas amenazas, se evidenció una vulnerabilidad en la función Protocolo de Enrutamiento de Multidifusión Vectorial a Distancia (DVMRP ) del software Cisco IOS XR. Esta vulnerabilidad se identifica con el CVE-2020-3566 y permite a un ciberdelincuente no autenticado agotar la memoria de proceso del dispositivo comprometido.
Skimmer Web Exfiltra Datos a través de TelegramEn el monitoreo realizado por el Csirt Financiero se ha identificado un nuevo Skimmer web que implementa técnicas modernas para evitar la detección de sus acciones. Entre las capacidades que utilizan, se pueden encontrar desde tiendas de comercio electrónico hasta archivos JavaScript, dominios y direcciones IP maliciosas. El objetivo es posteriormente realizar la exfiltración de datos financieros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-web-exfiltra-datos-a-traves-de-telegramhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado un nuevo Skimmer web que implementa técnicas modernas para evitar la detección de sus acciones. Entre las capacidades que utilizan, se pueden encontrar desde tiendas de comercio electrónico hasta archivos JavaScript, dominios y direcciones IP maliciosas. El objetivo es posteriormente realizar la exfiltración de datos financieros.
Vulnerabilidad en protocolo EMVEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad de seguridad que compromete el estándar EMV sobre el protocolo que permite realizar pagos electrónicos sin contacto. Esta vulnerabilidad podría permitir a los ciberdelincuentes realizar ataques de desviación de pines y cometer fraudes con las tarjetas de crédito o débito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-protocolo-emvhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad de seguridad que compromete el estándar EMV sobre el protocolo que permite realizar pagos electrónicos sin contacto. Esta vulnerabilidad podría permitir a los ciberdelincuentes realizar ataques de desviación de pines y cometer fraudes con las tarjetas de crédito o débito.
Nuevo Troyano Bancario Thiefbot ataca Dispositivos AndroidEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano bancario denominado ThiefBot, una amenaza que compromete dispositivos móviles con sistema operativo Android. Este troyano se hace pasar por aplicaciones legitimas en Google Play Store. En el momento de ser ejecutado e instalado ThielfBot solicita permisos de accesibilidad para escalar privilegios en el dispositivo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-thiefbot-ataca-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano bancario denominado ThiefBot, una amenaza que compromete dispositivos móviles con sistema operativo Android. Este troyano se hace pasar por aplicaciones legitimas en Google Play Store. En el momento de ser ejecutado e instalado ThielfBot solicita permisos de accesibilidad para escalar privilegios en el dispositivo comprometido.
Nuevo Ransomware Cyrat suplanta aplicación para infectar equipos WindowsEn el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo ransomware denominado CyRAT, el cuál utiliza el método de cifrado simétrico Fernet para cifrar los archivos de un equipo comprometido. Este ransomware simula ser una aplicación llamada DLL Fixer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-cyrat-suplanta-aplicacion-para-infectar-equipos-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo ransomware denominado CyRAT, el cuál utiliza el método de cifrado simétrico Fernet para cifrar los archivos de un equipo comprometido. Este ransomware simula ser una aplicación llamada DLL Fixer.
SMAUG, Ransomware como Servicio (RaaS)Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de ransomware como servicio (RaaS) en los foros clandestinos de la deep web. El malware conocido como Smaug es un servicio diseñado para aquellos ciberdelincuentes principiantes que desean ingresar al mundo cibercriminal.http://csirtasobancaria.com/Plone/alertas-de-seguridad/smaug-ransomware-como-servicio-raashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de ransomware como servicio (RaaS) en los foros clandestinos de la deep web. El malware conocido como Smaug es un servicio diseñado para aquellos ciberdelincuentes principiantes que desean ingresar al mundo cibercriminal.
PyVil Rat, Nuevo Malware del Grupo EvilnumEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano de acceso remoto (RAT) distribuido por el grupo cibercriminal Evilnum. Este troyano es denominado PyVil RAT y se ha distribuido a través de mensajes de correo tipo phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/pyvil-rat-nuevo-malware-del-grupo-evilnumhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano de acceso remoto (RAT) distribuido por el grupo cibercriminal Evilnum. Este troyano es denominado PyVil RAT y se ha distribuido a través de mensajes de correo tipo phishing.
Variante de Ransomware Thanos intenta atacar el MBR de WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una variante del ransomware Thanos. Esta amenaza ha tenido actividad cibercriminal desde febrero del presente año, se ofrece bajo la modalidad de Ransomware como Servicio (RaaS) y utiliza la técnica RIPLace para evadir las medidas de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-ransomware-thanos-intenta-atacar-el-mbr-de-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una variante del ransomware Thanos. Esta amenaza ha tenido actividad cibercriminal desde febrero del presente año, se ofrece bajo la modalidad de Ransomware como Servicio (RaaS) y utiliza la técnica RIPLace para evadir las medidas de seguridad.
BAKA, Nuevo Skimmer WebA través del monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Skimmer web que contiene capacidades avanzadas como su autoeliminación si detecta que se está siendo debugeadohttp://csirtasobancaria.com/Plone/alertas-de-seguridad/baka-nuevo-skimmer-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Skimmer web que contiene capacidades avanzadas como su autoeliminación si detecta que se está siendo debugeado
Campaña de mensajes de correo electrónico Salfram distribuye MalwareDesde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de malware con funcionalidad de capturar credenciales bancarias de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-mensajes-de-correo-electronico-salfram-distribuye-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de malware con funcionalidad de capturar credenciales bancarias de los usuarios.
Nuevo Ataque del Grupo REVil en la RegiónDesde el Csirt Financiero se ha evidenciado nueva actividad del grupo REvil en la región. El pasado 5 de septiembre el grupo de ciberdelincuentes REvil generó un nuevo ataque cibernético dirigido a empresas del sector agropecuario y a Banco Estado de Chile. Sobre el impacto ocasionado, el ataque afectó a 14 mil estaciones de trabajo y 4 mil servidores. La afectación generada, provocó que la página oficial del banco y algunas de sus operaciones estuvieran fuera de servicio temporalmente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ataque-del-grupo-revil-en-la-regionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado nueva actividad del grupo REvil en la región. El pasado 5 de septiembre el grupo de ciberdelincuentes REvil generó un nuevo ataque cibernético dirigido a empresas del sector agropecuario y a Banco Estado de Chile. Sobre el impacto ocasionado, el ataque afectó a 14 mil estaciones de trabajo y 4 mil servidores. La afectación generada, provocó que la página oficial del banco y algunas de sus operaciones estuvieran fuera de servicio temporalmente.
GHOSTDNS Vulnera Routers para Suplantar Entidades FinancierasEn el monitoreo a fuentes abiertas, desde el equipo del Csirt Financiero se ha evidenciado actividad maliciosa de un conjunto de herramientas denominado GhostDNS, utilizadas por ciberdelincuentes contra usuarios de entidades financieras en Argentina y Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ghostdns-vulnera-routers-para-suplantar-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, desde el equipo del Csirt Financiero se ha evidenciado actividad maliciosa de un conjunto de herramientas denominado GhostDNS, utilizadas por ciberdelincuentes contra usuarios de entidades financieras en Argentina y Brasil.
Actividad de LokibotEn el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}