Phishing dirigido a Latinoamérica asociado a malware BandloadEl CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-dirigido-a-latinoamerica-asociado-a-malware-bandloadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.
Nuevos indicadores de compromiso asociados a TA505El equipo del CSIRT Financiero identificó una campaña del grupo TA505 en la que se presume, debido a la trayectoria del grupo ciberdelincuente, que van por información de los usuarios. El modo de operar de este grupo por lo general es enviando código malicioso por medio de correos no deseados y luego de esto, esperar a que una persona interactúe con el correo electrónico y así poder obtener los datos personales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero identificó una campaña del grupo TA505 en la que se presume, debido a la trayectoria del grupo ciberdelincuente, que van por información de los usuarios. El modo de operar de este grupo por lo general es enviando código malicioso por medio de correos no deseados y luego de esto, esperar a que una persona interactúe con el correo electrónico y así poder obtener los datos personales.
Campaña de malspam que distribuye malware Qakbot.CSIRT Financiero a identificado una nueva actividad de malspam que distribuye el malware Qakbot. Este tiene como finalidad infectar a los usuarios de internet para extraer datos personales de sus dispositivos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-que-distribuye-malware-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CSIRT Financiero a identificado una nueva actividad de malspam que distribuye el malware Qakbot. Este tiene como finalidad infectar a los usuarios de internet para extraer datos personales de sus dispositivos Windows.
Actividad reciente de las amenazas CobInt y Cobalt Strike relacionados a Cobalt GroupDesde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-las-amenazas-cobint-y-cobalt-strike-relacionados-a-cobalt-grouphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.
SimJacker, Vulnerabilidad de las tarjetas SIMSimJacker es una vulnerabilidad que puede explotarse de forma remota afectando una amplia gama de tarjetas SIM (Subscriber Identity Module). Desde el CSIRT Financiero se ha identificado que la vulnerabilidad recientemente ha afectado alrededor de 29 países en donde las SIM siguen en uso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/simjacker-vulnerabilidad-de-las-tarjetas-simhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SimJacker es una vulnerabilidad que puede explotarse de forma remota afectando una amplia gama de tarjetas SIM (Subscriber Identity Module). Desde el CSIRT Financiero se ha identificado que la vulnerabilidad recientemente ha afectado alrededor de 29 países en donde las SIM siguen en uso.
Nueva campaña de correo malicioso distribuyendo malware EmotetSe ha identificado actividad reciente de una nueva campaña de correos maliciosos distribuyendo el malware Emotet, la campaña busca aprovecharse de los usuarios poco precavidos al interactuar con correos de este tipo y de esta manera lograr que los usuarios descarguen el malware en mención y así lograr capturar datos personales y credenciales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-correo-malicioso-distribuyendo-malware-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado actividad reciente de una nueva campaña de correos maliciosos distribuyendo el malware Emotet, la campaña busca aprovecharse de los usuarios poco precavidos al interactuar con correos de este tipo y de esta manera lograr que los usuarios descarguen el malware en mención y así lograr capturar datos personales y credenciales.
Nueva campaña de malspam busca infectar a usuarios con RemcosRATDesde el CSIRT Financiero se han analizado nuevos indicadores de compromiso asociados a la herramienta de administración remota RemcosRAT. Esta herramienta permite a los ciberdelincuentes obtener acceso total a las máquinas de los usuarios una vez han sido infectados por medio de documentos maliciosos, estos documentos son distribuidos por medio de campañas de malspam, donde una vez es ejecutado el archivo malicioso sobre las máquinas de los usuarios, descargan una variante de RemcosRAT que podría ser utilizada para la extracción de información del usuario o incluso credenciales de acceso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-busca-infectar-a-usuarios-con-remcosrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han analizado nuevos indicadores de compromiso asociados a la herramienta de administración remota RemcosRAT. Esta herramienta permite a los ciberdelincuentes obtener acceso total a las máquinas de los usuarios una vez han sido infectados por medio de documentos maliciosos, estos documentos son distribuidos por medio de campañas de malspam, donde una vez es ejecutado el archivo malicioso sobre las máquinas de los usuarios, descargan una variante de RemcosRAT que podría ser utilizada para la extracción de información del usuario o incluso credenciales de acceso.
Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet MakerPor medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/jackpotting-tecnica-que-utilizan-los-ciberdelincuentes-para-instalar-malware-cutlet-makerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.
Nueva campaña del grupo TA505 busca diseminar el descargador Get2 en conjunto al RAT SDBbot.Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-ta505-busca-diseminar-el-descargador-get2-en-conjunto-al-rat-sdbbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.
Nueva campaña de phishing distribuye troyano Ursnif/DridexDesde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite asociado al grupo de amenazas APT FIN7; este malware es un dropper (descargador) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-distribuye-troyano-ursnif-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite asociado al grupo de amenazas APT FIN7; este malware es un dropper (descargador) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.
Nuevos indicadores de compromiso asociados a Cobalt GroupDesde las fuentes de información del CSIRT Financiero se han identificado nuevas campañas de distribución del troyano bancario CobInt a través de campañas de malspam, las cuales son asociadas a Cobalt Group. Para estas campañas en específico se utilizaron correos electrónicos maliciosos enviados desde Gateways.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-cobalt-grouphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se han identificado nuevas campañas de distribución del troyano bancario CobInt a través de campañas de malspam, las cuales son asociadas a Cobalt Group. Para estas campañas en específico se utilizaron correos electrónicos maliciosos enviados desde Gateways.
ATM Boostwrite, descargador de múltiples variantes de malwareDesde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/atm-boostwrite-descargador-de-multiples-variantes-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.
Windows Defender llega a Mac OSWindows defender saca una versión para mac OS pero con nombre y características diferentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/windows-defender-llega-a-mac-oshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TajMahal, nuevo y sofisticado APTEs un marco de APT desconocido y técnicamente sofisticado descubierto por Kaspersky Lab.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tajmahal-nuevo-y-sofisticado-apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Crackers comprometieron la cuenta del empleado de Microsoft para obtener acceso al correo electrónico de los clientes.Comprometen credenciales de un empleado de Microsoft que brindaba soporte técnico para así obtener acceso a diferentes cuentas de correo de usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/crackers-comprometieron-la-cuenta-del-empleado-de-microsoft-para-obtener-acceso-al-correo-electronico-de-los-clienteshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aviso de seguridad DebianSe descubrieron nuevas vulnerabilidades en el sistema Debianhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aviso-de-seguridad-debianhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Spectre y Meltdown vulnerabilidades en procesadores de silicio.Se encuentran vulnerabilidades en los procesadores que podrían permitir a los atacantes leer información delicada que no debería abandonar la unidad de procesamiento central.http://csirtasobancaria.com/Plone/alertas-de-seguridad/spectre-y-meltdown-vulnerabilidades-en-procesadores-de-siliciohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se encuentran vulnerabilidades en los procesadores que podrían permitir a los atacantes leer información delicada que no debería abandonar la unidad de procesamiento central.
VULNERABILIDAD CRÍTICA EN WINDOWSUna vulnerabilidad denominada como elevación de privilegios estaba siendo explotada a través de Malware queriendo tomar el control total de las máquinas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-critica-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una vulnerabilidad denominada como elevación de privilegios estaba siendo explotada a través de Malware queriendo tomar el control total de las máquinas.
Los pings de auditoría de hipervínculos se utilizan para realizar ataques DDoSLos ataques DDoS siempre han sido una gran amenaza para la infraestructura de red y las aplicaciones web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/los-pings-de-auditoria-de-hipervinculos-se-utilizan-para-realizar-ataques-ddoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña de secuestro de tráfico DNS en enrutadores D-Link, Secutech, TOTOLINKSe ha evidenciado una campaña de secuestro DNS dirigidos a varios tipos de enrutadores, la campaña inició con un primer ataque a finales de 2018, el segundo realizado a principios de febrero y el tercer y último ataque el 26 de marzo de 2019.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-secuestro-de-trafico-dns-en-enrutadores-d-link-secutech-totolinkhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha evidenciado una campaña de secuestro DNS dirigidos a varios tipos de enrutadores, la campaña inició con un primer ataque a finales de 2018, el segundo realizado a principios de febrero y el tercer y último ataque el 26 de marzo de 2019.