Campaña de suplantación de empresa Claro ColombiaEn el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencia una nueva campaña dirigida a usuarios de la empresa Claro Colombia. En esta oportunidad los ciberdelincuentes se comunican con los usuarios a través del abonado telefónico (Se puede visualizar en la notificación); en esta interacción, solicitan al incauto descargue una aplicación maliciosa a través de un enlace remitido mediante mensaje de texto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-de-empresa-claro-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencia una nueva campaña dirigida a usuarios de la empresa Claro Colombia. En esta oportunidad los ciberdelincuentes se comunican con los usuarios a través del abonado telefónico (Se puede visualizar en la notificación); en esta interacción, solicitan al incauto descargue una aplicación maliciosa a través de un enlace remitido mediante mensaje de texto.
Ransomware afecta al proveedor de servicios NetgainEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-afecta-al-proveedor-de-servicios-netgainhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación al proveedor de servicios de TI y alojamiento en la nube Netgain. Esta compañía ofrece alojamiento y soluciones TI en la nube a entidades financieras y organizaciones de la salud. Se identificó que Netgain fue afectada el pasado 24 de noviembre por un ransomware el cual aún no ha sido identificado.
Vulnerabilidad hallada en WinzipEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una vulnerabilidad embebida en el software WinZip versión 24, la cual permite la entrega de malware, altera el DNS y ejecuta código malicioso de manera arbitraria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-hallada-en-winziphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una vulnerabilidad embebida en el software WinZip versión 24, la cual permite la entrega de malware, altera el DNS y ejecuta código malicioso de manera arbitraria.
Ginp, troyano bancario dirigido a usuarios de plataforma AndroidEl CSIRT Financiero ha identificado campañas de SMS [Short Message Service], con URL maliciosas o por medio de Pop-Up [ventanas emergentes], que redirigen a URL de descarga del troyano Ginp, el cual pretende instalarse en equipos móviles que tengan sistema operativo Android, con el fin de extraer las credenciales de acceso del usuario de las diferentes aplicaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ginp-troyano-bancario-dirigido-a-usuarios-de-plataforma-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado campañas de SMS [Short Message Service], con URL maliciosas o por medio de Pop-Up [ventanas emergentes], que redirigen a URL de descarga del troyano Ginp, el cual pretende instalarse en equipos móviles que tengan sistema operativo Android, con el fin de extraer las credenciales de acceso del usuario de las diferentes aplicaciones.
Ryuk Ransomware que afecta empresas a nivel internacionalPor medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre el incremento de la distribución del ransomware Ryuk. El último mes se han visto afectadas empresas españolas, con grandes pérdidas de información, este tipo de ciberamenazas podrían ser utilizadas para afectar a usuarios de la región, por lo tanto, se recomienda tener los debidos cuidados, para no ser víctima de ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ryuk-ransomware-que-afecta-empresas-a-nivel-internacionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre el incremento de la distribución del ransomware Ryuk. El último mes se han visto afectadas empresas españolas, con grandes pérdidas de información, este tipo de ciberamenazas podrían ser utilizadas para afectar a usuarios de la región, por lo tanto, se recomienda tener los debidos cuidados, para no ser víctima de ciberdelincuentes.
Botnet Pgminer apunta a PostgresqlEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-pgminer-apunta-a-postgresqlhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una botnet denominada PgMiner, que apunta a las bases de datos PostgreSQL sobre infraestructura con distribuciones Linux con el fin de instalar un minero de criptomonedas.
Malware Adrozek afecta miles de equipos al díaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-adrozek-afecta-miles-de-equipos-al-diahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.
Nueva campaña asociada al troyano bancario DridexEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña del troyano bancario Dridex, distribuido a través de correo electrónico tipo phishing con un documento Excel con macros embebidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-al-troyano-bancario-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña del troyano bancario Dridex, distribuido a través de correo electrónico tipo phishing con un documento Excel con macros embebidas.
Fraude bancario mediante emuladores móvilesEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una amenaza de fraude bancario en la cual se emplean varios emuladores móviles que simulan un dispositivo de un usuario con una cuenta bancaria legítima. Cabe resaltar que el dispositivo simulado ya había sido comprometido previamente con malware móvil a través de ataques phishing o ejecución de scripts; de esta forma, los ciberdelincuentes poseen las credenciales bancarias para realizar todo tipo de transacciones fraudulentas mediante procesos totalmente automatizados gracias a botnets móviles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/fraude-bancario-mediante-emuladores-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una amenaza de fraude bancario en la cual se emplean varios emuladores móviles que simulan un dispositivo de un usuario con una cuenta bancaria legítima. Cabe resaltar que el dispositivo simulado ya había sido comprometido previamente con malware móvil a través de ataques phishing o ejecución de scripts; de esta forma, los ciberdelincuentes poseen las credenciales bancarias para realizar todo tipo de transacciones fraudulentas mediante procesos totalmente automatizados gracias a botnets móviles.
Nuevos indicadores de compromiso asociados a campaña de FIN7Fin7 es un grupo de ciberdelincuentes, del cual se tiene registro de actividad aproximadamente desde el año 2015. Este grupo desarrolló diferentes campañas enviando de manera masiva código malicioso por correo electrónico, es de aclarar que la gran mayoría de sus campañas han sido dirigidas al sector financiero con el fin de obtener datos sensibles de los usuarios afectados o en el peor de los casos, hasta ejecución de comandos remotos en cajeros automáticos ATM para lograr extraer dinero de los mismos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-campana-de-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Fin7 es un grupo de ciberdelincuentes, del cual se tiene registro de actividad aproximadamente desde el año 2015. Este grupo desarrolló diferentes campañas enviando de manera masiva código malicioso por correo electrónico, es de aclarar que la gran mayoría de sus campañas han sido dirigidas al sector financiero con el fin de obtener datos sensibles de los usuarios afectados o en el peor de los casos, hasta ejecución de comandos remotos en cajeros automáticos ATM para lograr extraer dinero de los mismos.
Nuevos indicadores de compromiso relacionados con el troyano bancario Emotet.El CSIRT Financiero mediante sus fuentes de información ha identificado un aumento en las campañas del troyano bancario conocido como Emotet, cada una de las campañas busca obtener información confidencial y privada, sin embargo, cada día han realizado ajustes en el código con el fin de evitar ser detectados, crear persistencia en los sistemas infectados e incluso, ser puente para inyectar nuevos códigos maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-troyano-bancario-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero mediante sus fuentes de información ha identificado un aumento en las campañas del troyano bancario conocido como Emotet, cada una de las campañas busca obtener información confidencial y privada, sin embargo, cada día han realizado ajustes en el código con el fin de evitar ser detectados, crear persistencia en los sistemas infectados e incluso, ser puente para inyectar nuevos códigos maliciosos.
Nuevos indicadores de compromiso, esta vez relacionados con el troyano bancario GustuffGustuff es un troyano bancario diseñado para dispositivos móviles [Android] capaz de obtener credenciales bancarias de una gran lista de aplicaciones de banca móvil. Su método de infección es a través de mensajes de texto [SMS] con enlaces a archivos APK maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-troyano-bancario-emotet-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gustuff es un troyano bancario diseñado para dispositivos móviles [Android] capaz de obtener credenciales bancarias de una gran lista de aplicaciones de banca móvil. Su método de infección es a través de mensajes de texto [SMS] con enlaces a archivos APK maliciosos.
Nuevas campañas del grupo APT TA505El CSIRT Financiero a identificado nueva actividad del grupo TA505, en la que se evidencian tres campañas de phishing dirigidas a personas de habla griega, inglesa y francesa, en las que se envían correos con asuntos que pretenden engañar a los usuarios para que abran una URL o archivo adjunto, con el fin de lograr que se descargue la infección de malware llamado Get2.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-del-grupo-apt-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado nueva actividad del grupo TA505, en la que se evidencian tres campañas de phishing dirigidas a personas de habla griega, inglesa y francesa, en las que se envían correos con asuntos que pretenden engañar a los usuarios para que abran una URL o archivo adjunto, con el fin de lograr que se descargue la infección de malware llamado Get2.
Nuevos indicadores de compromiso analizados relacionados con Cobalt GroupPor medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-grupo-magecart-vinculado-a-malware-carbanak-y-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.
Campaña de grupo Magecart vinculado a malware Carbanak y DridexSe ha identificado una campaña de phishing que emplea avisos de facturas falsas para distribuir el malware Dridex, esta campaña se atribuye al grupo 5 de Magecart, su método principal de propagación es mediante correo electrónico, la relación de atribución a este grupo se hace debido a la relación de indicadores de compromiso identificados en campañas de dridex y magecart5.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-grupo-magecart-vinculado-a-malware-carbanak-y-dridex-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de phishing que emplea avisos de facturas falsas para distribuir el malware Dridex, esta campaña se atribuye al grupo 5 de Magecart, su método principal de propagación es mediante correo electrónico, la relación de atribución a este grupo se hace debido a la relación de indicadores de compromiso identificados en campañas de dridex y magecart5.
Campaña que distribuye el malware Raccoon StealerDesde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-que-distribuye-el-malware-raccoon-stealer-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.
Actividad reciente del troyano DanaBotPor medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-del-troyano-danabothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.
FriedEx, el ransomware BitPaymerDesde las fuentes de información del CSIRT Financiero, se identificó actividad del ransomware FriedEx el cual fue asociado al ransomware conocido como BitPaymer, BitPaymer se enfoca en empresas de alto nivel con el fin de expandirse a todos los dispositivos a través de la red y cifrar sus archivos para obtener claramente beneficios monetarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/friedex-el-ransomware-bitpaymerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero, se identificó actividad del ransomware FriedEx el cual fue asociado al ransomware conocido como BitPaymer, BitPaymer se enfoca en empresas de alto nivel con el fin de expandirse a todos los dispositivos a través de la red y cifrar sus archivos para obtener claramente beneficios monetarios.
Campaña de malspam que distribuyen el malware Negasteal y Ave_Maria.Desde el CSIRT Financiero se han evidenciado indicadores de compromiso relacionados con Negasteal y Ave_Maria, los cuales han sido ofuscados y compilados por medio de AutoIT [lenguaje de secuencias de comandos que originalmente es destinado a automatizar tareas básicas en la interfaz de usuario de Windows]http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-que-distribuyen-el-malware-negasteal-y-ave_mariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han evidenciado indicadores de compromiso relacionados con Negasteal y Ave_Maria, los cuales han sido ofuscados y compilados por medio de AutoIT [lenguaje de secuencias de comandos que originalmente es destinado a automatizar tareas básicas en la interfaz de usuario de Windows]
Campaña de Malspam distribuyendo TrickBot, IcedID y UrsnifDesde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña que distribuye tres tipos de troyanos bancarios, esta campaña envía correos electrónicos no deseados con las cargas útiles de TrickBot, IcedID y Ursnif, las cuales hacen parte de las familias de troyanos bancarios con más actividad en el año 2019.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-distribuyendo-trickbot-icedid-y-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña que distribuye tres tipos de troyanos bancarios, esta campaña envía correos electrónicos no deseados con las cargas útiles de TrickBot, IcedID y Ursnif, las cuales hacen parte de las familias de troyanos bancarios con más actividad en el año 2019.