Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Última técnica utilizada para distribuir LokiBot.En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-tecnica-utilizada-para-distribuir-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.
Posible relación entre Sunburst con la herramienta Kazuar de TurlaEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una posible relación entre Sunburst y una herramienta utilizada desde varios años atrás por el grupo cibercriminal Turla, denominada Kazuar. Cabe destacar que aún no hay confirmación de una conexión entre esta herramientas, pero tienen gran similitud en varias características de su desarrollo y ejecución.http://csirtasobancaria.com/Plone/alertas-de-seguridad/posible-relacion-entre-sunburst-con-la-herramienta-kazuar-de-turlahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una posible relación entre Sunburst y una herramienta utilizada desde varios años atrás por el grupo cibercriminal Turla, denominada Kazuar. Cabe destacar que aún no hay confirmación de una conexión entre esta herramientas, pero tienen gran similitud en varias características de su desarrollo y ejecución.
Nuevo troyano bancario que afecta dispositivos AndroidEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-que-afecta-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.
Campaña de distribución de malware a varias empresas colombianasEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una campaña de infección a varias empresas colombianas denominada Operación Spalax. Según investigadores de ESET (compañía de seguridad informática) se ha observado esta operación desde al menos abril de 2018, cuyo objetivo es la distribución de troyanos de acceso remoto (RAT) a través de mensajes de correo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-malware-a-varias-empresas-colombianashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una campaña de infección a varias empresas colombianas denominada Operación Spalax. Según investigadores de ESET (compañía de seguridad informática) se ha observado esta operación desde al menos abril de 2018, cuyo objetivo es la distribución de troyanos de acceso remoto (RAT) a través de mensajes de correo malspam.
Malware Sunspot asociado al grupo StellarParticle, implicado en la cadena de infección de SolarWindsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidenció un nuevo malware asociado a un grupo de actividad denominado StellarParticle, implicado en la cadena de infección de SolarWinds. Este malware se utilizó para insertar el backdoor SUNBURST en las compilaciones de software de los productos de gestión de SolarWinds Orion, este malware fue reconocido por los investigadores de CrowdStrike Intelligence, los cuales identificaron el backdoor que se implementó en la construcción de los productos de SolarWinds, sin generar sospechas a los desarrolladores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-sunspot-asociado-al-grupo-stellarparticle-implicado-en-la-cadena-de-infeccion-de-solarwindshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidenció un nuevo malware asociado a un grupo de actividad denominado StellarParticle, implicado en la cadena de infección de SolarWinds. Este malware se utilizó para insertar el backdoor SUNBURST en las compilaciones de software de los productos de gestión de SolarWinds Orion, este malware fue reconocido por los investigadores de CrowdStrike Intelligence, los cuales identificaron el backdoor que se implementó en la construcción de los productos de SolarWinds, sin generar sospechas a los desarrolladores.
Publicación de parches para vulnerabilidades en WindowsEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/publicacion-de-parches-para-vulnerabilidades-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.
Campaña de distribución de nueva variante de UrsnifEn el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-nueva-variante-de-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.
Nueva campaña de distribución de AsyncRatEn el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.
Utilización de Bulletproof hostings por parte de grupos de MagecartEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/utilizacion-de-bulletproof-hostings-por-parte-de-grupos-de-magecarthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.
Una ruta específica en el navegador genera un error de pantalla azul en Windows 10En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/una-ruta-especifica-en-el-navegador-genera-un-error-de-pantalla-azul-en-windows-10http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.
Raindrop, nuevo malware vinculado al ataque de SolarwindsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor denominado Raindrop, el cual está relacionado con la cadena de infección realizada a la plataforma Orion de SolarWinds en 2020. Este backdoor fue utilizado para entregar una carga útil de Cobalt Strike facilitando a los ciberdelincuentes moverse lateralmente en la red comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/raindrop-nuevo-malware-vinculado-al-ataque-de-solarwindshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor denominado Raindrop, el cual está relacionado con la cadena de infección realizada a la plataforma Orion de SolarWinds en 2020. Este backdoor fue utilizado para entregar una carga útil de Cobalt Strike facilitando a los ciberdelincuentes moverse lateralmente en la red comprometida.
Bizarro, nuevo troyano bancario brasileñoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado Bizarro, originario de Brasil, que afecta equipos con sistema operativo Windows. Este troyano ha realizado afectaciones en diferentes países a nivel mundial, afectando a 70 bancos de diferentes países europeos y latinoamericanos como Alemania, Argentina, Brasil, Chile, Ecuador, España, Francia, Italia, México, Perú, y Portugal.http://csirtasobancaria.com/Plone/alertas-de-seguridad/bizarro-nuevo-troyano-bancario-brasilenohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado Bizarro, originario de Brasil, que afecta equipos con sistema operativo Windows. Este troyano ha realizado afectaciones en diferentes países a nivel mundial, afectando a 70 bancos de diferentes países europeos y latinoamericanos como Alemania, Argentina, Brasil, Chile, Ecuador, España, Francia, Italia, México, Perú, y Portugal.
Malware FreakOut, ataca a dispositivos LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt financiero encontró tres vulnerabilidades dirigidas a dispositivos Linux, que están siendo explotadas por una nueva variante del malware FreakOut, para productos que aún no se encuentran parcheados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-freakout-ataca-a-dispositivos-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt financiero encontró tres vulnerabilidades dirigidas a dispositivos Linux, que están siendo explotadas por una nueva variante del malware FreakOut, para productos que aún no se encuentran parcheados.
Nueva campaña de propagación del troyano bancario AlienEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidencia una nueva campaña de propagación del troyano bancario Alien, el cual afecta a dispositivos Android. En esta oportunidad, los ciberdelincuentes distribuyen la aplicación maliciosa aprovechando la alarma sanitaria aún presente asociada al COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-propagacion-del-troyano-bancario-alienhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidencia una nueva campaña de propagación del troyano bancario Alien, el cual afecta a dispositivos Android. En esta oportunidad, los ciberdelincuentes distribuyen la aplicación maliciosa aprovechando la alarma sanitaria aún presente asociada al COVID-19.
Indicadores de compromiso asociados a EmotetEn el monitoreo a fuentes abiertas de información, se han encontrado nuevos Indicadores de compromiso asociados al troyano bancario Emotet, el cual tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows. Las capacidades de Emotet han evolucionado en los últimos años, incluyendo la facultad de descargar y ejecutar malware adicional si así lo determina el ciberdelincuente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-emotet-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, se han encontrado nuevos Indicadores de compromiso asociados al troyano bancario Emotet, el cual tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows. Las capacidades de Emotet han evolucionado en los últimos años, incluyendo la facultad de descargar y ejecutar malware adicional si así lo determina el ciberdelincuente.
Actividad maliciosa asociada al malware bancario VadokristEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al malware bancario Vadokrist. Este malware presenta similitudes con otras familias de malware como Amavaldo, Casbaneiro, Grandoreiro y Mekotio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-asociada-al-malware-bancario-vadokristhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al malware bancario Vadokrist. Este malware presenta similitudes con otras familias de malware como Amavaldo, Casbaneiro, Grandoreiro y Mekotio.
Exploit público aprovecha vulnerabilidad crítica en sistemas SAPEn el monitorio realizado a fuentes abiertas de información, el Csirt Financiero ha identificado que ciberdelincuentes podrían tratar de explotar la vulnerabilidad CVE-2020-6207 en el sistema SAP Solution Manager (SolMan) v7.2 de las organizaciones que aún no han parchado esta vulnerabilidad, lo anterior al observar escaneos masivos en internet que tienen como objetivo utilizar el exploit público disponible actualmente, lo que aumenta la posibilidad de ser víctima de un ciberataque.http://csirtasobancaria.com/Plone/alertas-de-seguridad/exploit-publico-aprovecha-vulnerabilidad-critica-en-sistemas-saphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitorio realizado a fuentes abiertas de información, el Csirt Financiero ha identificado que ciberdelincuentes podrían tratar de explotar la vulnerabilidad CVE-2020-6207 en el sistema SAP Solution Manager (SolMan) v7.2 de las organizaciones que aún no han parchado esta vulnerabilidad, lo anterior al observar escaneos masivos en internet que tienen como objetivo utilizar el exploit público disponible actualmente, lo que aumenta la posibilidad de ser víctima de un ciberataque.
SonicWall identifica un ciberataque en sus sistemas internosEn el monitoreo a fuentes de información, el equipo de Csirt financiero encontró que la firma de seguridad SonicWall, fue víctima de un ciberataque coordinado en sus sistemas internos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/sonicwall-identifica-un-ciberataque-en-sus-sistemas-internoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes de información, el equipo de Csirt financiero encontró que la firma de seguridad SonicWall, fue víctima de un ciberataque coordinado en sus sistemas internos.
Archivos con extensión JNLP utilizados para la descarga de malwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una nueva técnica utilizada por los ciberdelincuentes que busca eludir las defensas iniciales de las organizaciones, esto mediante el uso de archivos JNLP.http://csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-con-extension-jnlp-utilizados-para-la-descarga-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una nueva técnica utilizada por los ciberdelincuentes que busca eludir las defensas iniciales de las organizaciones, esto mediante el uso de archivos JNLP.
Troyano bancario Basbanke afecta entidades financieras a nivel mundialEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la expansión de afectaciones generadas por el troyano bancario Basbanke. Este malware originario de Brasil está realizando ataques a los clientes de instituciones financieras en países como España, Portugal, Chile y Bolivia.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-basbanke-afecta-entidades-financieras-a-nivel-mundialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la expansión de afectaciones generadas por el troyano bancario Basbanke. Este malware originario de Brasil está realizando ataques a los clientes de instituciones financieras en países como España, Portugal, Chile y Bolivia.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}