Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad referente a la Bonet MoziMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC referentes a Mozi.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-referente-a-la-bonet-mozihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC referentes a Mozi.
Actividad relacionada al keylogger VIPKeyloggerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC de VIPKeylogger.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-al-keylogger-vipkeyloggerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC de VIPKeylogger.
Actividad relacionada con Akira RansomwareMediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-akira-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante las actividades de monitoreo y seguimiento de amenazas realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con Akira ransomware, una amenaza bajo el modelo de negocio Ransmoware-as-a-Service (RaaS) que comenzó a ganar notoriedad en el 2023.
Actividad relacionada con AveMariaRATMediante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de AveMariaRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-avemariarathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de AveMariaRAT.
Actividad relacionada con DarkTortillaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-darktortillahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.
Actividad relacionada con el backdoor NPhoneRingMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con NPhoneRing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-el-backdoor-nphoneringhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con NPhoneRing.
Actividad troyano bancario Flubot para AndroidEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-troyano-bancario-flubot-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.
Actividades maliciosas recientes asociadas al troyano bancario UrsnifDurante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividades-maliciosas-recientes-asociadas-al-troyano-bancario-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.
Actor de amenaza vende acceso a más de 5000 enrutadores ClaroEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actor-de-amenaza-vende-acceso-a-mas-de-5000-enrutadores-clarohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.
Actores de amenaza aprovechan el entorno Node.js para afectar la cadena de suministro de las entidadesDurante el primer trimestre del año 2023, investigadores de seguridad identificaron una amenaza cibernética que aprovechaba la herramienta NPM (sistema de gestión de paquetes por defecto para Node.js) con la finalidad de cargar paquetes que alojaban un script, que tiene el propósito de ejecutar software malicioso tras su previa implementación en la infraestructura informática.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-aprovechan-el-entorno-node-js-para-afectar-la-cadena-de-suministro-de-las-entidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el primer trimestre del año 2023, investigadores de seguridad identificaron una amenaza cibernética que aprovechaba la herramienta NPM (sistema de gestión de paquetes por defecto para Node.js) con la finalidad de cargar paquetes que alojaban un script, que tiene el propósito de ejecutar software malicioso tras su previa implementación en la infraestructura informática.
Actores de amenaza aprovechan vulnerabilidad de día cero para implementar un backdoorRecientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-aprovechan-vulnerabilidad-de-dia-cero-para-implementar-un-backdoorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.
Actores de amenaza desarrollan exploits para la vulnerabilidad CVE-2022-24521Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-desarrollan-exploits-para-la-vulnerabilidad-cve-2022-24521http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.
Actores de amenaza implementan inyecciones web en sus troyanos bancariosUsualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-implementan-inyecciones-web-en-sus-troyanos-bancarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Usualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.
Actores de amenaza se encuentran distribuyendo el ransomware Phobos mediante RDP.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ransomware llamado Phobos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-se-encuentran-distribuyendo-el-ransomware-phobos-mediante-rdphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ransomware llamado Phobos.
Actores de amenaza se encuentran distribuyendo malware a través de falsas actualizaciones en los navegadores webMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la cual están distribuyendo malware mediante notificaciones falsas de actualizaciones de los navegadores web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-se-encuentran-distribuyendo-malware-a-traves-de-falsas-actualizaciones-en-los-navegadores-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la cual están distribuyendo malware mediante notificaciones falsas de actualizaciones de los navegadores web.
Actores de amenaza utilizan el movimiento del mouse en plantillas PowerPoint para distribuir malwareMúltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-utilizan-el-movimiento-del-mouse-en-plantillas-powerpoint-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Múltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.
Actores de amenaza venden nuevo Loader llamado ASMCryptMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado ASMCrypt.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-venden-nuevo-loader-llamado-asmcrypthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado ASMCrypt.
Actores detrás del troyano Ermac implementan a Zombinder para expandir sus alcances.El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actores-detras-del-troyano-ermac-implementan-a-zombinder-para-expandir-sus-alcanceshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.
Actualización a característica de evasión asociada al troyano TrickbotEn el monitoreo continuo a fuentes de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el Csirt Financiero ha identificado una actualización en una característica de evasión asociada al troyano Trickbot permitiéndole detectar el entorno en que será ejecutado antes de lanzar el troyano.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-a-caracteristica-de-evasion-asociada-al-troyano-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el Csirt Financiero ha identificado una actualización en una característica de evasión asociada al troyano Trickbot permitiéndole detectar el entorno en que será ejecutado antes de lanzar el troyano.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}