BAKA, Nuevo Skimmer WebA través del monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Skimmer web que contiene capacidades avanzadas como su autoeliminación si detecta que se está siendo debugeadohttp://csirtasobancaria.com/Plone/alertas-de-seguridad/baka-nuevo-skimmer-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Skimmer web que contiene capacidades avanzadas como su autoeliminación si detecta que se está siendo debugeado
Campaña de mensajes de correo electrónico Salfram distribuye MalwareDesde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de malware con funcionalidad de capturar credenciales bancarias de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-mensajes-de-correo-electronico-salfram-distribuye-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de malware con funcionalidad de capturar credenciales bancarias de los usuarios.
GHOSTDNS Vulnera Routers para Suplantar Entidades FinancierasEn el monitoreo a fuentes abiertas, desde el equipo del Csirt Financiero se ha evidenciado actividad maliciosa de un conjunto de herramientas denominado GhostDNS, utilizadas por ciberdelincuentes contra usuarios de entidades financieras en Argentina y Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ghostdns-vulnera-routers-para-suplantar-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, desde el equipo del Csirt Financiero se ha evidenciado actividad maliciosa de un conjunto de herramientas denominado GhostDNS, utilizadas por ciberdelincuentes contra usuarios de entidades financieras en Argentina y Brasil.
Actividad de LokibotEn el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.
Nueva Distribución del Troyano Bancario DridexEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-troyano-bancario-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.
Nueva Actividad del Malware Pos PrilexEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nueva actividad del malware Prilex, cuyo objetivo es la captura y exfiltración de información en puntos de venta (POS). Tras un breve receso en sus actividades en el 2019, a finales de julio del 2020, se ha evidenció nuevamente la actividad de esta familia de malware en muestras que han sido cargadas en Virus Total.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-malware-pos-prilexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nueva actividad del malware Prilex, cuyo objetivo es la captura y exfiltración de información en puntos de venta (POS). Tras un breve receso en sus actividades en el 2019, a finales de julio del 2020, se ha evidenció nuevamente la actividad de esta familia de malware en muestras que han sido cargadas en Virus Total.
Ataque de Phishing exfiltra credenciales de office 365 en tiempo realEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque de phishing dirigido a altos ejecutivos de una empresa estadounidense, en mensajes con adjuntos maliciosos que parecen ser informes financieros en un archivo de texto, tratan de realizar superposición de pantallas para exfiltrar las credenciales de Office 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-de-phishing-exfiltra-credenciales-de-office-365-en-tiempo-realhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque de phishing dirigido a altos ejecutivos de una empresa estadounidense, en mensajes con adjuntos maliciosos que parecen ser informes financieros en un archivo de texto, tratan de realizar superposición de pantallas para exfiltrar las credenciales de Office 365.
Malware Zshlayer dirige sus ataques a Sistemas Operativos MacOSEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque dirigido a equipos con sistema operativo MacOS, con una variante del troyano Shlayer denominado ZShlayer. Esta nueva variante se ofusca para evadir herramientas de seguridad y así lograr comprometer el equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-zshlayer-dirige-sus-ataques-a-sistemas-operativos-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque dirigido a equipos con sistema operativo MacOS, con una variante del troyano Shlayer denominado ZShlayer. Esta nueva variante se ofusca para evadir herramientas de seguridad y así lograr comprometer el equipo.
Vulnerabilidad en el Proceso de Servidor de Windows NetlogonEn el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una vulnerabilidad que afecta el servicio Net Logon sobre las versiones de Windows Server 2004, 2008, 2008 R2, 2012, 2012 R2, 2016 y 2019. La función principal del servicio consiste en autenticar a los usuarios y otros servicios dentro de un dominio.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-el-proceso-de-servidor-de-windows-netlogonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una vulnerabilidad que afecta el servicio Net Logon sobre las versiones de Windows Server 2004, 2008, 2008 R2, 2012, 2012 R2, 2016 y 2019. La función principal del servicio consiste en autenticar a los usuarios y otros servicios dentro de un dominio.
Nueva Actividad de Magecart dirigida a Tiendas Online con MagentoDesde el Csirt Financiero ha evidenciado nueva actividad atribuida al grupo de ciberdelincuentes Magecart, realizó una nueva campaña dirigida a cerca de dos mil tiendas Magento a nivel mundial. La campaña realizada el pasado fin de semana ha sido calificada como la más grande hasta la fecha. El código malicioso que fue inyectado en las tiendas Magento realizó la interceptación de los pagos realizados por los usuarios a través de las tiendas virtuales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-magecart-dirigida-a-tiendas-online-con-magentohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero ha evidenciado nueva actividad atribuida al grupo de ciberdelincuentes Magecart, realizó una nueva campaña dirigida a cerca de dos mil tiendas Magento a nivel mundial. La campaña realizada el pasado fin de semana ha sido calificada como la más grande hasta la fecha. El código malicioso que fue inyectado en las tiendas Magento realizó la interceptación de los pagos realizados por los usuarios a través de las tiendas virtuales.
Nuevo troyano bancario URSAEn el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo troyano bancario denominado URSA. Se instala en los equipos de los usuarios para realizar exfiltración de contraseñas contenidas en los navegadores web, servicios de correo electrónico además de las funcionalidades comunes de superposición de ventanas de los sitios web para recopilar información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-ursahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo troyano bancario denominado URSA. Se instala en los equipos de los usuarios para realizar exfiltración de contraseñas contenidas en los navegadores web, servicios de correo electrónico además de las funcionalidades comunes de superposición de ventanas de los sitios web para recopilar información.
Múltiples Vulnerabilidades en DrupalEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado cinco vulnerabilidades del Sistema Administrador de Contenidos (CMS) para sitios y aplicaciones web Drupal.http://csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-en-drupalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado cinco vulnerabilidades del Sistema Administrador de Contenidos (CMS) para sitios y aplicaciones web Drupal.
Nueva Distribución del Troyano Bancario DridexEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-troyano-bancario-dridex-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.
Ciberdelincuentes utilizan direcciones IP Hexadecimales para evadir filtros de Correo ElectrónicoEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva técnica utilizada por los ciberdelincuentes para distribuir spam y evadir los filtros de correo electrónico. La técnica consiste en colocar enlaces adoptando direcciones IP hexadecimales, en la parte del nombre del host dentro de la URL remitida al usuario en un mensaje de correo electrónico para evadir la detección de spam y así redirigir a los usuarios a páginas web de spam controladas por los ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-utilizan-direcciones-ip-hexadecimales-para-evadir-filtros-de-correo-electronicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva técnica utilizada por los ciberdelincuentes para distribuir spam y evadir los filtros de correo electrónico. La técnica consiste en colocar enlaces adoptando direcciones IP hexadecimales, en la parte del nombre del host dentro de la URL remitida al usuario en un mensaje de correo electrónico para evadir la detección de spam y así redirigir a los usuarios a páginas web de spam controladas por los ciberdelincuentes.
Actividad de EventbotEn el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-eventbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.
Indicadores de Compromiso Asociados al Troyano Bancario URSA/MISPADUEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevos indicadores de compromiso (IOC) relacionados al troyano bancario URSA también conocido como Mispadu. Este troyano se distribuye a través de mensajes de correo electrónico tipo malspam en archivos adjuntos comprimidos .zip.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-troyano-bancario-ursa-mispaduhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevos indicadores de compromiso (IOC) relacionados al troyano bancario URSA también conocido como Mispadu. Este troyano se distribuye a través de mensajes de correo electrónico tipo malspam en archivos adjuntos comprimidos .zip.
Uso de Sim Swapping y Telegram para exfiltrar datos de dispositivos móvilesEl equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-sim-swapping-y-telegram-para-exfiltrar-datos-de-dispositivos-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.
Ransomware Mount Locker exige rescates millonariosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-mount-locker-exige-rescates-millonarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.
Nuevos Indicadores de Compromiso Asociados Al Troyano Bancario QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.
Nuevas variantes de Loda RATEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-loda-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.