Nueva versión del dropper sLoad 2.0.El equipo del Csirt financiero a través de búsquedas e investigaciones en fuentes de información, identificó una nueva versión del dropper sLoad, ahora le permite a los ciberdelincuentes afectar el servicio Windows BITS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-dropper-sload-2-0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero a través de búsquedas e investigaciones en fuentes de información, identificó una nueva versión del dropper sLoad, ahora le permite a los ciberdelincuentes afectar el servicio Windows BITS.
Nuevos indicadores de compromiso asociados al Keylogger Agent Tesla.Agent Tesla es un Keylogger utilizado por los ciberdelincuentes desde el 2014 para la exfiltración de información confidencial, adicionalmente posee módulos que le permiten tomar capturas desde la cámara del equipo, técnicas de evasión de herramientas antimalware y descarga de malware, es distribuido por diferentes tiendas en la darkweb a cambio de una suscripción mensual/anual, donde se ofrece un soporte 7x24 una vez es adquirido por los ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-keylogger-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Agent Tesla es un Keylogger utilizado por los ciberdelincuentes desde el 2014 para la exfiltración de información confidencial, adicionalmente posee módulos que le permiten tomar capturas desde la cámara del equipo, técnicas de evasión de herramientas antimalware y descarga de malware, es distribuido por diferentes tiendas en la darkweb a cambio de una suscripción mensual/anual, donde se ofrece un soporte 7x24 una vez es adquirido por los ciberdelincuentes.
Nuevos indicadores de compromiso asociados a Predator the Thief.El malware Predator the Thief esta categorizado como infostealer desde el año 2018, su principal vector de distribución es el spear-phishing y su objetivo principal es exfiltrar información confidencial de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-predator-the-thief-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware Predator the Thief esta categorizado como infostealer desde el año 2018, su principal vector de distribución es el spear-phishing y su objetivo principal es exfiltrar información confidencial de los usuarios.
Unidades de procesamiento gráfico de Intel permiten la filtración de informaciónLas unidades de procesamiento gráfico (GPU) de Intel pueden ser vulnerables ya que se puede generar una filtración de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/unidades-de-procesamiento-grafico-de-intel-permiten-la-filtracion-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevos indicadores de compromiso asociados a EmotetA través del continuo monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso asociados al troyano modular Emotet, cuyo objetivo principal es la captura de información sensible en el equipo víctima.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-3http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del continuo monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso asociados al troyano modular Emotet, cuyo objetivo principal es la captura de información sensible en el equipo víctima.
Nueva operación del grupo ciberdelincuente TA505 usando el descargador Get2TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-operacion-del-grupo-ciberdelincuente-ta505-usando-el-descargador-get2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.
Vulnerabilidad de denegación de servicio en IBM WebSphere Application ServerEl equipo del Csirt Financiero a través de búsqueda e investigación de vulnerabilidades, identificó una nueva brecha de seguridad que podría afectar los aplicativos desplegados en IBM WebSphere Application Server (WAS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-denegacion-de-servicio-en-ibm-websphere-application-serverhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de búsqueda e investigación de vulnerabilidades, identificó una nueva brecha de seguridad que podría afectar los aplicativos desplegados en IBM WebSphere Application Server (WAS).
Nuevos indicadores de compromiso asociados a TrickbotEl troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbot-4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.
Nuevos ataques atribuidos al grupo de amenazas APT34El troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ataques-atribuidos-al-grupo-de-amenazas-apt34http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.
Nuevos indicadores de compromiso asociados a Emotet.Emotet es un troyano bancario, que ha tenido actividad durante el año en curso, utilizando diferentes métodos de ingeniería social para comprometer dispositivos y sacar el máximo provecho de los recursos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet es un troyano bancario, que ha tenido actividad durante el año en curso, utilizando diferentes métodos de ingeniería social para comprometer dispositivos y sacar el máximo provecho de los recursos comprometidos.
Nueva técnica de distribución de malware utilizada por el grupo de amenazas TA505.El grupo de amenazas TA505 fue descubierto en 2014 por analistas de malware, donde se identificó la primera versión del malware dridex distribuida por medio de mensajes de correo electrónico masivos de tipo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-tecnica-de-distribucion-de-malware-utilizada-por-el-grupo-de-amenazas-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de amenazas TA505 fue descubierto en 2014 por analistas de malware, donde se identificó la primera versión del malware dridex distribuida por medio de mensajes de correo electrónico masivos de tipo malspam.
Nuevos indicadores de compromiso asociados a SodinokibiEl malware conocido como Sodinokibi es catalogado como RaaS (Ransomware como Servicio), su afectación ha sido dirigida a empresas y consumidores de distintos sectores desde principios de mayo de 2019, el objetivo es cifrar información y generar cobros por su rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-sodinokibihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware conocido como Sodinokibi es catalogado como RaaS (Ransomware como Servicio), su afectación ha sido dirigida a empresas y consumidores de distintos sectores desde principios de mayo de 2019, el objetivo es cifrar información y generar cobros por su rescate.
DoppelPaymer ransomwareDoppelPaymer es un troyano de tipo ransomware, tiene la función capturar y cifrar los archivos en el equipo del usuario, además, amenaza con exponer y/o vender la información en sitios de la darkweb si no realiza el pago del rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/doppelpaymer-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
DoppelPaymer es un troyano de tipo ransomware, tiene la función capturar y cifrar los archivos en el equipo del usuario, además, amenaza con exponer y/o vender la información en sitios de la darkweb si no realiza el pago del rescate.
Descargador de Azorult utiliza triple cifradoAzorult, es un troyano que se ha visto involucrado en operaciones desde el año 2016, está orientado a la captura de credenciales bancarias y datos de tarjetas de crédito, adicionalmente tiene la capacidad de ser utilizado como dropper.http://csirtasobancaria.com/Plone/alertas-de-seguridad/descargador-de-azorult-utiliza-triple-cifradohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Azorult, es un troyano que se ha visto involucrado en operaciones desde el año 2016, está orientado a la captura de credenciales bancarias y datos de tarjetas de crédito, adicionalmente tiene la capacidad de ser utilizado como dropper.
Nuevas actividades del troyano de acceso remoto Ave MaríaEl troyano de acceso remoto modular conocido como Ave María se ha visto involucrado en recientes actividades de ciberdelincuentes, el malware tiene capacidades de infostealer, keylogger y es considerado de alto riesgo por su uso para obtener el control de equipos y la captura de datos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-del-troyano-de-acceso-remoto-ave-mariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto modular conocido como Ave María se ha visto involucrado en recientes actividades de ciberdelincuentes, el malware tiene capacidades de infostealer, keylogger y es considerado de alto riesgo por su uso para obtener el control de equipos y la captura de datos.
IOC de Phishing dirigido a usuarios del sector financiero de ColombiaDesde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-de-phishing-dirigido-a-usuarios-del-sector-financiero-de-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.
Nuevo método de infección del troyano bancario EmotetEl equipo del Csirt Financiero a través de fuentes de información abierta, identificó un nuevo método de infección del troyano bancario Emotet, este busca aprovechar redes WiFi vulnerables para expandir su infección sobre los equipos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-infeccion-del-troyano-bancario-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de fuentes de información abierta, identificó un nuevo método de infección del troyano bancario Emotet, este busca aprovechar redes WiFi vulnerables para expandir su infección sobre los equipos.
Anubis apunta a más de 250 aplicaciones móvilesEn el constante monitoreo que realiza el Csirt Financiero frente a las amenazas que puedan afectar al sector, se ha evidenciado el envío masivo de mensajes de tipo malspam y/o phishing, con un enlace que lleva a la descarga de Anubis por medio de una aplicación para Android (APK).http://csirtasobancaria.com/Plone/alertas-de-seguridad/anubis-apunta-a-mas-de-250-aplicaciones-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero frente a las amenazas que puedan afectar al sector, se ha evidenciado el envío masivo de mensajes de tipo malspam y/o phishing, con un enlace que lleva a la descarga de Anubis por medio de una aplicación para Android (APK).
Nuevos ataques del malware bancario CamuBot, reportados en BrasilEl equipo del Csirt financiero mediante la búsqueda e investigación en fuentes de información abierta, identificó nuevos ataques de CamuBot dirigidos a usuarios en Brasil. Los ciberdelincuentes utilizan ingeniería social para instalar una variante del troyano, una vez comprometido toma el control del equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ataques-del-malware-bancario-camubot-reportados-en-brasilhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero mediante la búsqueda e investigación en fuentes de información abierta, identificó nuevos ataques de CamuBot dirigidos a usuarios en Brasil. Los ciberdelincuentes utilizan ingeniería social para instalar una variante del troyano, una vez comprometido toma el control del equipo.
Ransomware RobbinHood estaría usando un driver vulnerable para evitar la detección de las herramientas antimalware.Los ciberdelincuentes detrás del ransomware RobbinHood están haciendo uso de una vulnerabilidad conocida sobre un controlador de GIGABYTE (CVE-2018-19320).http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-robbinhood-estaria-usando-un-driver-vulnerable-para-evitar-la-deteccion-de-las-herramientas-antimalwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes detrás del ransomware RobbinHood están haciendo uso de una vulnerabilidad conocida sobre un controlador de GIGABYTE (CVE-2018-19320).
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}