Nuevo troyano de acceso remoto QuiteRATEl equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado QuiteRat RAT el cual es atribuido al grupo APT 38 más conocido como Lazarus y que se distribuye mediante la explotación de la vulnerabilidad en ManageEngine ServiceDesk (CVE-2022-47966).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-quiterathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado QuiteRat RAT el cual es atribuido al grupo APT 38 más conocido como Lazarus y que se distribuye mediante la explotación de la vulnerabilidad en ManageEngine ServiceDesk (CVE-2022-47966).
Nueva campaña masiva de phishing con motivaciones financierasRecientemente, investigadores de seguridad identificaron una campaña masiva de phishing con motivaciones financieras desplegada desde Rusia, donde los actores de amenaza manipulan un kit de herramientas maliciosas identificado como Telekopye que tiene la finalidad de aprovechar un bot de Telegram para almacenar la información exfiltrada, además, de generar los sitios web fraudulentos y enviar las URL a los usuarios para comprometerlos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-masiva-de-phishing-con-motivaciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad identificaron una campaña masiva de phishing con motivaciones financieras desplegada desde Rusia, donde los actores de amenaza manipulan un kit de herramientas maliciosas identificado como Telekopye que tiene la finalidad de aprovechar un bot de Telegram para almacenar la información exfiltrada, además, de generar los sitios web fraudulentos y enviar las URL a los usuarios para comprometerlos.
SmokeLoader distribuye un nuevo malware de escaneo de Wi-Fi denominado Whiffy ReconMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad relacionada con SmokeLoader, en esta campaña se observó que esta relacionado con el uso de un nuevo software malicioso de escaneo de Wi-Fi denominado Whiffy Recon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/smokeloader-distribuye-un-nuevo-malware-de-escaneo-de-wi-fi-denominado-whiffy-reconhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad relacionada con SmokeLoader, en esta campaña se observó que esta relacionado con el uso de un nuevo software malicioso de escaneo de Wi-Fi denominado Whiffy Recon.
Nuevos indicadores de compromiso asociados a Adwind RAT 3.0Es importante destacar que aproximadamente el 70% de programas maliciosos existentes son troyanos, donde se incluye la característica de Remote Access Trojan (RAT) que han estado siendo utilizados por los actores de amenaza durante muchos años con la finalidad de impactar los pilares de la seguridad informática. Es el caso de Adwind RAT, una amenaza que ha estado activa desde 2012 aproximadamente, dotado de capacidades que le permiten eludir herramientas de seguridad, capturar y exfiltrar información sensible de las infraestructuras comprometidas por la misma.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-adwind-rat-3.0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es importante destacar que aproximadamente el 70% de programas maliciosos existentes son troyanos, donde se incluye la característica de Remote Access Trojan (RAT) que han estado siendo utilizados por los actores de amenaza durante muchos años con la finalidad de impactar los pilares de la seguridad informática. Es el caso de Adwind RAT, una amenaza que ha estado activa desde 2012 aproximadamente, dotado de capacidades que le permiten eludir herramientas de seguridad, capturar y exfiltrar información sensible de las infraestructuras comprometidas por la misma.
Nuevos indicadores de compromiso relacionados con XWormMediante el monitoreo y seguimiento de amenazas realizado el equipo de analistas del Csirt Financiero recopilo nuevos indicadores de compromiso relacionados con XWorm, la cual es una amenaza diseñada para afectar sistemas operativos Windows y presenta una amplia gama de capacidades maliciosas, que van desde el control remoto de escritorio hasta la propagación de ransomware y la captura de información sensible. Convirtiéndose en una amenaza altamente peligrosa y que ha ganado gran notoriedad, implementándose en diversas operaciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-xwormhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo y seguimiento de amenazas realizado el equipo de analistas del Csirt Financiero recopilo nuevos indicadores de compromiso relacionados con XWorm, la cual es una amenaza diseñada para afectar sistemas operativos Windows y presenta una amplia gama de capacidades maliciosas, que van desde el control remoto de escritorio hasta la propagación de ransomware y la captura de información sensible. Convirtiéndose en una amenaza altamente peligrosa y que ha ganado gran notoriedad, implementándose en diversas operaciones maliciosas.
Grupos APT Fin8 y Stac4663 aprovechan vulnerabilidad critica en productos de CitrixRecientemente el equipo del Csirt financiero observó un aumento en los ataques donde diversos grupos de ciberdelincuentes se encuentran explotando la vulnerabilidad CVE-2023-3519 que previamente había sido reportada el mes de julio mediante una Tailored Threat Analysis (TTA) identificada con el ticket I-009510 en donde se dio a conocer la afectación a más de 2.000 productos NetScaler ADC y NetScaler Gateway.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupos-apt-fin8-y-stac4663-aprovechan-vulnerabilidad-critica-en-productos-de-citrixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo del Csirt financiero observó un aumento en los ataques donde diversos grupos de ciberdelincuentes se encuentran explotando la vulnerabilidad CVE-2023-3519 que previamente había sido reportada el mes de julio mediante una Tailored Threat Analysis (TTA) identificada con el ticket I-009510 en donde se dio a conocer la afectación a más de 2.000 productos NetScaler ADC y NetScaler Gateway.
Nuevo troyano bancario denominado MMRatMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano llamado MMRat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-mmrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano llamado MMRat.
Nueva campaña db#jammer: ciberdelincuentes explotan servidores microsoft sql para propagar ransomware freeworldMediante actividades de monitoreo el equipo de analistas del Csirt financiero identificó que están explotando servidores Microsoft SQL (MS SQL) para distribuir Cobalt Strike y una variante de ransomware llamada FreeWorld, que la han denominado campaña "DB#JAMMER".http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-db-jammer-ciberdelincuentes-explotan-servidores-microsoft-sql-para-propagar-ransomware-freeworldhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo el equipo de analistas del Csirt financiero identificó que están explotando servidores Microsoft SQL (MS SQL) para distribuir Cobalt Strike y una variante de ransomware llamada FreeWorld, que la han denominado campaña "DB#JAMMER".
Sappirestealer: nueva amenaza en constante evoluciónEl equipo de analistas del Csirt Financiero ha identificado una amenaza de código abierto basado en .NET denominada SapphireStealer, este malware es catalogado como un stealer y se ha convertido en una amenaza en constante evolución donde se han identificado un aumento significativo de su presencia en foros clandestinos y repositorios de GitHub desde su primera publicación en diciembre de 2022.http://csirtasobancaria.com/Plone/alertas-de-seguridad/sappirestealer-nueva-amenaza-en-constante-evolucionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una amenaza de código abierto basado en .NET denominada SapphireStealer, este malware es catalogado como un stealer y se ha convertido en una amenaza en constante evolución donde se han identificado un aumento significativo de su presencia en foros clandestinos y repositorios de GitHub desde su primera publicación en diciembre de 2022.
Nuevos indicadores de compromiso relacionados con AmadeyA través del monitoreo y seguimiento de amenazas realizado por el equipo del Csirt Financiero en busca de campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificaron y recopilaron nuevos indicadores de compromiso relacionados con la botnet Amadey, la cual es una amenaza catalogada también como troyano que puede ser adquirido por ciberdelincuentes en foros clandestinos de la Deep web rusa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-amadeyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo y seguimiento de amenazas realizado por el equipo del Csirt Financiero en busca de campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificaron y recopilaron nuevos indicadores de compromiso relacionados con la botnet Amadey, la cual es una amenaza catalogada también como troyano que puede ser adquirido por ciberdelincuentes en foros clandestinos de la Deep web rusa.
Nueva campaña del troyano DogeRAT para AndoridMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado DogeRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-dogerat-para-andoridhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado DogeRAT.
Nueva actividad y evolución de Blister LoaderBlister Loader es un cargador de malware que emergió por primera vez en el radar de la ciberseguridad en 2021. En su inicio, los actores de amenaza que lo operan realizaban las intrusiones por motivos financieros. Sin embargo, desde entonces ha evolucionado de manera constante, mejorando sus capacidades, adaptándose para eludir la detección y complicar el análisis de seguridad convirtiéndose en una amenaza emergente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-y-evolucion-de-blister-loaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Blister Loader es un cargador de malware que emergió por primera vez en el radar de la ciberseguridad en 2021. En su inicio, los actores de amenaza que lo operan realizaban las intrusiones por motivos financieros. Sin embargo, desde entonces ha evolucionado de manera constante, mejorando sus capacidades, adaptándose para eludir la detección y complicar el análisis de seguridad convirtiéndose en una amenaza emergente.
Campaña maliciosa asociada al stealer Atomic dirigida a usuarios de MacAtomic es una amenaza cibernética que fue anunciada en el presente año, también conocida como AMOS, un stealer dirigido a entornos Windows, Linux y Mac, que tiene como finalidad recopilar y exfiltrar información sensible alojada en las infraestructuras comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-asociada-al-stealer-atomic-dirigida-a-usuarios-de-machttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Atomic es una amenaza cibernética que fue anunciada en el presente año, también conocida como AMOS, un stealer dirigido a entornos Windows, Linux y Mac, que tiene como finalidad recopilar y exfiltrar información sensible alojada en las infraestructuras comprometidas.
Malware SpyLoan dirigido a dispositivos móviles en América LatinaEl equipo del Csirt Financiero durante sus actividades de inteligencia, observó una nueva amenaza conocida como SpyLoan que se dirige a usuarios móviles en América Latina; se trata de aplicaciones (APPS) que se difunden a través de anuncios en redes sociales y ofrecen préstamos inmediatos a tasas de interés extremadamente altas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-spyloan-dirigido-a-dispositivos-moviles-en-america-latinahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero durante sus actividades de inteligencia, observó una nueva amenaza conocida como SpyLoan que se dirige a usuarios móviles en América Latina; se trata de aplicaciones (APPS) que se difunden a través de anuncios en redes sociales y ofrecen préstamos inmediatos a tasas de interés extremadamente altas.
DBatLoader utiliza servicios en la nube para distribuir malwareEl Csirt Financiero observó que los actores de amenazas se encuentran utilizando DBatLoader también conocido como ModiLoader y/o NatsoLoader; un cargador (loader) malicioso de acceso inicial que generalmente es distribuido mediante campañas de tipo phishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/dbatloader-utiliza-servicios-en-la-nube-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero observó que los actores de amenazas se encuentran utilizando DBatLoader también conocido como ModiLoader y/o NatsoLoader; un cargador (loader) malicioso de acceso inicial que generalmente es distribuido mediante campañas de tipo phishing.
Nuevas vulnerabilidades explotadas en cajeros automáticosMediante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo del Csirt Financiero, se identificaron cuatro vulnerabilidades que están siendo explotadas; estas fueron observadas en el software de monitoreo ScrutisWeb de Iagona (organización distribuidora de soluciones digitales) en su versión 2.1.37. Estas vulnerabilidades están siendo aprovechadas para comprometer cajeros automáticos (ATM) de forma remota y realizar diferentes acciones maliciosas. No obstante, estos errores de seguridad se pueden solventar con la actualización a la versión 2.1.38 distribuida por el fabricante oficial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-explotadas-en-cajeros-automaticoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo y seguimiento de amenazas realizadas por el equipo del Csirt Financiero, se identificaron cuatro vulnerabilidades que están siendo explotadas; estas fueron observadas en el software de monitoreo ScrutisWeb de Iagona (organización distribuidora de soluciones digitales) en su versión 2.1.37. Estas vulnerabilidades están siendo aprovechadas para comprometer cajeros automáticos (ATM) de forma remota y realizar diferentes acciones maliciosas. No obstante, estos errores de seguridad se pueden solventar con la actualización a la versión 2.1.38 distribuida por el fabricante oficial.
Remcos RAT distribuido sigilosamente a diversas empresas de ColombiaMediante el monitoreo realizado por el equipo del Csirt Financiero, se identificó una campaña de tipo phishing dirigida a más de 40 empresas de diversas industrias en Colombia. En esta campaña, los ciberdelincuentes han utilizado técnicas avanzadas de evasión y ofuscación para distribuir el troyano de acceso remoto Remcos RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/remcos-rat-distribuido-sigilosamente-a-diversas-empresas-de-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo del Csirt Financiero, se identificó una campaña de tipo phishing dirigida a más de 40 empresas de diversas industrias en Colombia. En esta campaña, los ciberdelincuentes han utilizado técnicas avanzadas de evasión y ofuscación para distribuir el troyano de acceso remoto Remcos RAT.
Nuevas campañas maliciosas de MetaStealer dirigidas a macOSEl malware conocido como MetaStealer recientemente ha desplegado campañas dirigidas a sistemas operativos macOs, debido a que anteriormente solo era compatible con entornos Windows. Los cibercriminales detrás de esta amenaza suplantan a clientes de diversas organizaciones para que sus víctimas puedan ejecutar las cargas útiles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-maliciosas-de-metastealer-dirigidas-a-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware conocido como MetaStealer recientemente ha desplegado campañas dirigidas a sistemas operativos macOs, debido a que anteriormente solo era compatible con entornos Windows. Los cibercriminales detrás de esta amenaza suplantan a clientes de diversas organizaciones para que sus víctimas puedan ejecutar las cargas útiles.
Nuevo cargador modular denominado Hijackloader con capacidades para distribuir malwareEl equipo del Csirt Financiero mediante monitoreo y búsqueda de nuevas amenazas, identificó que a principios del mes de julio de 2023 dentro de las comunidades de foros clandestinos se detectó un nuevo cargador de malware denominado Hijackloader, el cual está siendo muy utilizado por los cibercriminales, ya que cuenta con una serie de payloads maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-cargador-modular-denominado-hijackloader-con-capacidades-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero mediante monitoreo y búsqueda de nuevas amenazas, identificó que a principios del mes de julio de 2023 dentro de las comunidades de foros clandestinos se detectó un nuevo cargador de malware denominado Hijackloader, el cual está siendo muy utilizado por los cibercriminales, ya que cuenta con una serie de payloads maliciosos.
Nuevo ransomware llamado 3AMMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado 3AM.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-llamado-3amhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado 3AM.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}