Malware asociado al grupo LazarusDesde el CSIRT Financiero se ha identificado malware que se propaga a través de un fichero Excel con macros incrustadas, su distribución se realiza a través de redes sociales como Messenger y Telegram; este malware es atribuido al grupo “Lazarus” (Grupo anónimo de ciberdelincuentes).http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-asociado-al-grupo-lazarushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado malware que se propaga a través de un fichero Excel con macros incrustadas, su distribución se realiza a través de redes sociales como Messenger y Telegram; este malware es atribuido al grupo “Lazarus” (Grupo anónimo de ciberdelincuentes).
Xhelper, el nuevo Dropper [Descargador de malware]Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/xhelper-el-nuevo-dropper-descargador-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.
Nuevos indicadores de compromiso asociados al malware Pony [aka Fareit].Por medio de fuentes de información, el CSIRT Financiero relaciona indicadores de compromiso asociados al malware Pony, también conocido como aka Fareit, este es considerado como uno de los ladrones de contraseña más populares.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-malware-pony-aka-fareithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información, el CSIRT Financiero relaciona indicadores de compromiso asociados al malware Pony, también conocido como aka Fareit, este es considerado como uno de los ladrones de contraseña más populares.
Nuevos indicadores de compromiso asociados a Cobalt StrikePor medio de fuentes de información el CSIRT Financiero conoce de nueva campaña de phishing que relaciona la herramienta Cobalt Strike; se asocian indicadores de compromiso que relacionan una variante de malware generada con la herramienta. Se distribuye por medio de correo electrónico en la cual han utilizado ingeniería social para engañar a usuarios a que habrá un correo que contiene el malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-cobalt-strike-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero conoce de nueva campaña de phishing que relaciona la herramienta Cobalt Strike; se asocian indicadores de compromiso que relacionan una variante de malware generada con la herramienta. Se distribuye por medio de correo electrónico en la cual han utilizado ingeniería social para engañar a usuarios a que habrá un correo que contiene el malware.
Campaña de correo electrónico no deseado que distribuye malware para explotar vulnerabilidades de Microsoft OfficeSe identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-correo-electronico-no-deseado-que-distribuye-malware-para-explotar-vulnerabilidades-de-microsoft-officehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.
Ciberataque de Ransomware a empresas españolas afectaron la disponibilidad de sus serviciosEn el análisis constante en búsqueda de amenazas que puedan de algún modo afectar al sector financiero, el CSIRT Financiero identificó indicadores de compromiso asociados al ciberataque de Ransomware que sufrieron empresas españolas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberataque-de-ransomware-a-empresas-espanolas-afectaron-la-disponibilidad-de-sus-servicioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el análisis constante en búsqueda de amenazas que puedan de algún modo afectar al sector financiero, el CSIRT Financiero identificó indicadores de compromiso asociados al ciberataque de Ransomware que sufrieron empresas españolas.
Campaña RDoS dirigida a bancos y entidades financierasPor medio de las fuentes de información del CSIRT Financiero, se permite informar acerca de una nueva campaña de denegación de servicios de rescate [RDoS], su ejecución se realizó a finales de octubre del presente año, mencionada campaña fue reportada por organizaciones financieras relacionando la llegada de un correo con mensajes de extorsión.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-rdos-dirigida-a-bancos-y-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de las fuentes de información del CSIRT Financiero, se permite informar acerca de una nueva campaña de denegación de servicios de rescate [RDoS], su ejecución se realizó a finales de octubre del presente año, mencionada campaña fue reportada por organizaciones financieras relacionando la llegada de un correo con mensajes de extorsión.
Nuevos indicadores de compromiso asociados a Cobalt GroupEl CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-cobalt-group-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].
Nuevos indicadores de compromiso relacionados con EmotetDesde las fuentes de información del CSIRT Financiero, se han detectado nuevos indicadores de compromiso relacionados con el troyano Emotet. Este malware es modular, entre los más destacados está el módulo para la captura y extracción de datos el cual permite a ciberdelincuentes conseguir el acceso a las cuentas de los usuarios que sean afectados con esta amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero, se han detectado nuevos indicadores de compromiso relacionados con el troyano Emotet. Este malware es modular, entre los más destacados está el módulo para la captura y extracción de datos el cual permite a ciberdelincuentes conseguir el acceso a las cuentas de los usuarios que sean afectados con esta amenaza.
Nuevos indicadores de compromiso asociados al troyano Ursnif (Gozi)Desde las fuentes de información del CSIRT Financiero, se han identificado nuevos indicadores de compromiso relacionados con el troyano Ursnif/Gozi. Este malware es uno de los más destacados en la familia de troyanos dirigidos a la exfiltración de datos sensibles [asociados a información financiera] de los usuarios víctimas, ya que permite la sustracción de información de manera masiva sobre una red de computadoras infectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-ursnif-gozihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero, se han identificado nuevos indicadores de compromiso relacionados con el troyano Ursnif/Gozi. Este malware es uno de los más destacados en la familia de troyanos dirigidos a la exfiltración de datos sensibles [asociados a información financiera] de los usuarios víctimas, ya que permite la sustracción de información de manera masiva sobre una red de computadoras infectadas.
Identificación de nuevos indicadores de compromiso asociados al Ransomware MegaCortexA través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-nuevos-indicadores-de-compromiso-asociados-al-ransomware-megacortexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.
Nuevos indicadores de compromiso relacionados con el grupo de amenazas APT-38Se han identificado nuevos indicadores de compromiso asociados a APT-38 o Lazarus Group (grupo de ciberdelincuentes); Con base en el análisis realizado, se considera que la campaña se ha logrado distribuir por varias organizaciones en diversos países entre los que se evidencian Italia, Estados Unidos, Rusia, China, India, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-grupo-de-amenazas-apt-38http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado nuevos indicadores de compromiso asociados a APT-38 o Lazarus Group (grupo de ciberdelincuentes); Con base en el análisis realizado, se considera que la campaña se ha logrado distribuir por varias organizaciones en diversos países entre los que se evidencian Italia, Estados Unidos, Rusia, China, India, entre otros.
Pipka el nuevo Skimmer de JavaScriptEl CSIRT Financiero ha identificado un nuevo Skimmer de JavaScript de nombre Pipka, el cual está orientado a la captura de datos ingresados en formularios de las web de comercio electrónico que sean infectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/pipka-el-nuevo-skimmer-de-javascripthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado un nuevo Skimmer de JavaScript de nombre Pipka, el cual está orientado a la captura de datos ingresados en formularios de las web de comercio electrónico que sean infectadas.
Nueva actividad de Andariel, uno de los subgrupos más importantes de APT Lazarus.El CSIRT financiero a través del continuo monitoreo e investigación de amenazas, ha identificado múltiples campañas de spear phishing (consiste en un ataque dirigido, utilizando técnicas de ingeniería social por medio de correos electrónicos muy personalizados) atribuidas al subgrupo Andariel. las técnicas utilizadas son muy similares a las de Lazarus Group (distribución de documentos con macros diseñadas para la descarga de malware con el objetivo de extraer información).http://csirtasobancaria.com/Plone/alertas-de-seguridad/reciente-actividad-del-grupo-andariel-subgrupo-de-apt-lazarus-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT financiero a través del continuo monitoreo e investigación de amenazas, ha identificado múltiples campañas de spear phishing (consiste en un ataque dirigido, utilizando técnicas de ingeniería social por medio de correos electrónicos muy personalizados) atribuidas al subgrupo Andariel. las técnicas utilizadas son muy similares a las de Lazarus Group (distribución de documentos con macros diseñadas para la descarga de malware con el objetivo de extraer información).
Nueva campaña del grupo TA505 distribuyendo el dropper (descargador de malware) GET2.Por medio de fuentes de inteligencia de amenazas del CSIRT Financiero se ha identificado una nueva actividad del grupo TA505, esta nueva campaña utiliza las mismas técnicas de distribución y ofuscación de malware utilizada en campañas anteriores; El método de distribución consiste en el envío de correos maliciosos que pretenden distribuir el dropper GET2, con archivos adjuntos de office que contienen macros maliciosas embebidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-ta505-distribuyendo-el-dropper-descargador-de-malware-get2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de inteligencia de amenazas del CSIRT Financiero se ha identificado una nueva actividad del grupo TA505, esta nueva campaña utiliza las mismas técnicas de distribución y ofuscación de malware utilizada en campañas anteriores; El método de distribución consiste en el envío de correos maliciosos que pretenden distribuir el dropper GET2, con archivos adjuntos de office que contienen macros maliciosas embebidas.
Análisis técnico del malware RyukEn los últimos días se detectaron ataques de Ransomware a dos organizaciones de España, las cuales de manera oficial confirmaron el ataque sufrido. Los tipos de Ransomware identificados se tratan de las nuevas versiones de Ryuk y BitPaymer. El CSIRT Financiero ha realizado análisis técnico del ransomware Ryuk, con el fin de establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-ryukhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos días se detectaron ataques de Ransomware a dos organizaciones de España, las cuales de manera oficial confirmaron el ataque sufrido. Los tipos de Ransomware identificados se tratan de las nuevas versiones de Ryuk y BitPaymer. El CSIRT Financiero ha realizado análisis técnico del ransomware Ryuk, con el fin de establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.
Nuevas campañas de phishing buscan distribuir el malware PredatorTheThief.El CSIRT Financiero ha identificado una nueva actividad del Malware PredatorTheThief, su distribución se realiza por medio de campañas de correo electrónico de tipo malicioso. No obstante, los ciberdelincuentes pretenden persuadir a los usuarios para que ellos ejecuten un archivo .zip, iniciando con esto la descarga de la carga útil de PredatorTheThief sobre la máquina del usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-de-phishing-buscan-distribuir-el-malware-predatorthethiefhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado una nueva actividad del Malware PredatorTheThief, su distribución se realiza por medio de campañas de correo electrónico de tipo malicioso. No obstante, los ciberdelincuentes pretenden persuadir a los usuarios para que ellos ejecuten un archivo .zip, iniciando con esto la descarga de la carga útil de PredatorTheThief sobre la máquina del usuario.
Análisis técnico del malware BitPaymerEn referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-del-malware-bitpaymerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.
Actividad reciente grupo FIN7El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-grupo-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.
Grupo TA2101 (campaña de distribución de IcedID y MAZE)A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-ta2101-campana-de-distribucion-de-icedid-y-mazehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}