Vulnerabilidad en Cajero AutomáticoEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una vulnerabilidad presente en los cajeros automáticos (ATM), para explotar la vulnerabilidad se requiere acceso físico al cajero e interceptar y modificar las comunicaciones del cajero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-cajero-automaticohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una vulnerabilidad presente en los cajeros automáticos (ATM), para explotar la vulnerabilidad se requiere acceso físico al cajero e interceptar y modificar las comunicaciones del cajero.
APT Blind Eagle dirige sus ataques a ColombiaEn el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blind-eagle-dirige-sus-ataques-a-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.
Campaña de distribución de nueva variante de DridexEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva campaña de distribución de una nueva variante del troyano bancario Dridex que afecta a usuarios con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-nueva-variante-de-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva campaña de distribución de una nueva variante del troyano bancario Dridex que afecta a usuarios con sistema operativo Windows.
Nuevos Indicadores de Compromiso del Troyano Bancario QakbotEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, en esta campaña utiliza dos técnicas que se implementan para evadir y obstaculizar el análisis de la amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, en esta campaña utiliza dos técnicas que se implementan para evadir y obstaculizar el análisis de la amenaza.
Vulnerabilidad Google Drive es utilizada en distribución de MalwareEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidenció la explotación de vulnerabilidad del servicio de Google Drive que permite reemplazar archivos, documentos o imágenes por archivos maliciosos que los ciberdelincuentes utilizan en sus campañas de spearphishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-google-drive-es-utilizada-en-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidenció la explotación de vulnerabilidad del servicio de Google Drive que permite reemplazar archivos, documentos o imágenes por archivos maliciosos que los ciberdelincuentes utilizan en sus campañas de spearphishing.
Identificadas tres vulnerabilidades en Servidor ApacheEn el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/identificadas-tres-vulnerabilidades-en-servidor-apachehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.
El Grupo DEATHSTALKER incluye en sus ataques a Entidades FinancierasEn el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-deathstalker-incluye-en-sus-ataques-a-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.
Criptominero Lemon Duck con cargas útiles de CriptojackingEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/criptominero-lemon-duck-con-cargas-utiles-de-criptojackinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.
Grupo APT norcoreano ataca entidades financieras alrededor del mundoEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-norcoreano-ataca-entidades-financieras-alrededor-del-mundohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.
TA2719 suplanta entidades financieras para distribuir RATEn el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ta2719-suplanta-entidades-financieras-para-distribuir-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.
Troyano Bancario Qbot tiene nuevas funcionalidadesEn el monitoreo realizado por el Csirt Financiero se han evidenciado nuevas funcionalidades del troyano bancario Qbot, también denominado QakBot, el cual data actividad desde el 2008. Este troyano es conocido por realizar la recopilación de datos sensibles de los navegadores web, exfiltrar credenciales bancarias y otro tipo de información financiera en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-qbot-tiene-nuevas-funcionalidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se han evidenciado nuevas funcionalidades del troyano bancario Qbot, también denominado QakBot, el cual data actividad desde el 2008. Este troyano es conocido por realizar la recopilación de datos sensibles de los navegadores web, exfiltrar credenciales bancarias y otro tipo de información financiera en los equipos comprometidos.
Nuevo malware Anubis exfiltra información en sistemas WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo malware denominado Anubis, el cual se diferencia del troyano bancario para dispositivos Android que lleva el mismo nombre.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-anubis-exfiltra-informacion-en-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo malware denominado Anubis, el cual se diferencia del troyano bancario para dispositivos Android que lleva el mismo nombre.
Emotet actualiza la plantilla de sus campañasEn el monitoreo realizado por el Csirt Financiero se ha identificado el envío masivo de mensajes de correo electrónico malspam para infectar equipos de cómputo con el troyano bancario Emotet. Las campañas más recientes de spam cuentan con enlaces para la descarga del malware o documentos con nombre relacionados a temas de facturación, datos financieros e información acerca del COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-actualiza-la-plantilla-de-sus-campanashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado el envío masivo de mensajes de correo electrónico malspam para infectar equipos de cómputo con el troyano bancario Emotet. Las campañas más recientes de spam cuentan con enlaces para la descarga del malware o documentos con nombre relacionados a temas de facturación, datos financieros e información acerca del COVID-19.
Malware Lucifer apunta a Distribuciones LINUXEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-lucifer-apunta-a-distribuciones-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.
Código fuente de Cerberus publicado en foros clandestinosEn el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-fuente-de-cerberus-publicado-en-foros-clandestinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.
Skimmer Web Exfiltra Datos a través de TelegramEn el monitoreo realizado por el Csirt Financiero se ha identificado un nuevo Skimmer web que implementa técnicas modernas para evitar la detección de sus acciones. Entre las capacidades que utilizan, se pueden encontrar desde tiendas de comercio electrónico hasta archivos JavaScript, dominios y direcciones IP maliciosas. El objetivo es posteriormente realizar la exfiltración de datos financieros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-web-exfiltra-datos-a-traves-de-telegramhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado un nuevo Skimmer web que implementa técnicas modernas para evitar la detección de sus acciones. Entre las capacidades que utilizan, se pueden encontrar desde tiendas de comercio electrónico hasta archivos JavaScript, dominios y direcciones IP maliciosas. El objetivo es posteriormente realizar la exfiltración de datos financieros.
Vulnerabilidad en protocolo EMVEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad de seguridad que compromete el estándar EMV sobre el protocolo que permite realizar pagos electrónicos sin contacto. Esta vulnerabilidad podría permitir a los ciberdelincuentes realizar ataques de desviación de pines y cometer fraudes con las tarjetas de crédito o débito.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-protocolo-emvhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad de seguridad que compromete el estándar EMV sobre el protocolo que permite realizar pagos electrónicos sin contacto. Esta vulnerabilidad podría permitir a los ciberdelincuentes realizar ataques de desviación de pines y cometer fraudes con las tarjetas de crédito o débito.
Nuevo Troyano Bancario Thiefbot ataca Dispositivos AndroidEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano bancario denominado ThiefBot, una amenaza que compromete dispositivos móviles con sistema operativo Android. Este troyano se hace pasar por aplicaciones legitimas en Google Play Store. En el momento de ser ejecutado e instalado ThielfBot solicita permisos de accesibilidad para escalar privilegios en el dispositivo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-thiefbot-ataca-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano bancario denominado ThiefBot, una amenaza que compromete dispositivos móviles con sistema operativo Android. Este troyano se hace pasar por aplicaciones legitimas en Google Play Store. En el momento de ser ejecutado e instalado ThielfBot solicita permisos de accesibilidad para escalar privilegios en el dispositivo comprometido.
SMAUG, Ransomware como Servicio (RaaS)Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de ransomware como servicio (RaaS) en los foros clandestinos de la deep web. El malware conocido como Smaug es un servicio diseñado para aquellos ciberdelincuentes principiantes que desean ingresar al mundo cibercriminal.http://csirtasobancaria.com/Plone/alertas-de-seguridad/smaug-ransomware-como-servicio-raashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de ransomware como servicio (RaaS) en los foros clandestinos de la deep web. El malware conocido como Smaug es un servicio diseñado para aquellos ciberdelincuentes principiantes que desean ingresar al mundo cibercriminal.
PyVil Rat, Nuevo Malware del Grupo EvilnumEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano de acceso remoto (RAT) distribuido por el grupo cibercriminal Evilnum. Este troyano es denominado PyVil RAT y se ha distribuido a través de mensajes de correo tipo phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/pyvil-rat-nuevo-malware-del-grupo-evilnumhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano de acceso remoto (RAT) distribuido por el grupo cibercriminal Evilnum. Este troyano es denominado PyVil RAT y se ha distribuido a través de mensajes de correo tipo phishing.