Alertas de seguridad

Bat

Operadores de Emotet implementan nuevas tácticas en la cadena de infección

Recientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.

Leer Más

Nueva actividad maliciosa atribuida a Qbot

Recientemente se ha identificado un nuevo vector de infección del troyano Qbot, donde los actores de amenaza se aprovechan de una falla presentada en el ejecutable del panel de control de Windows 10 (control.exe), esta brecha de seguridad les permite realizar “el secuestro de DLL”, este método es utilizado para suplantar librerías legitimas del sistema por archivos maliciosos creados por los ciberdelincuentes para implementar la carga útil de Qakbot.

Leer Más

LodaRAT implementa diversas variantes de malware

Recientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.

Leer Más

Nuevos Ransomware denominados AXLocker, Octocrypt y Alice.

El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.

Leer Más

Ciberdelincuentes realizan nuevas actividades para la entrega de malware

De forma reciente se ha identificado al grupo DEV-0569 desplegando campañas de malvertising (introducir malware en la publicidad en línea para extender otro malware) para distribuir payload de diferentes familias de malware a través del servicio Google Ads.

Leer Más

Nuevos métodos de distribución de Hive Ransomware

Hive ransomware ha seguido activo en el ciberespacio atacando múltiples organizaciones en todo el mundo, tanto así que los actores detrás de esta amenaza se han beneficiado de más de 100 millones de dólares en los pagos de rescate, esta amenaza lleva activa desde junio del 2021 y sigue el modelo de Ransomware-as-a-Service (RaaS).

Leer Más

Nuevos indicadores de compromiso asociados a NanoCore RAT

Recientemente se han evidenciado nuevos indicadores de compromiso asociados a NanoCore RAT, un troyano de acceso remoto que destaca por sus capacidades de recopilar información confidencial a través de múltiples acciones relacionadas con spyware. Así mismo, se observa que este se distribuye por medio foros clandestinos en la Deep y Dark web, donde es ofrecido a un precio muy bajo; esto permite que muchos grupos de ciberdelincuentes que no poseen conocimiento sobre elaboración de malware puedan adquirir uno e incluirlo en sus campañas maliciosas.

Leer Más

Se identifican nuevos indicadores de compromiso del troyano de acceso remoto DCRAT

El troyano de acceso remoto conocido como DCRat o Dark Crystal RAT, ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero y como es común en el ámbito de la ciberseguridad los ciberdelincuentes mantienen constantes actualizaciones de estas amenazas, por lo que se identificaron nuevos indicadores de compromiso relacionados a DCRat en el mes de noviembre.

Leer Más

Nueva actividad maliciosa de Rapperbot

Los ataques de DDoS generalmente son desplegados en diferentes modelos de redes de bots, de las que hacen parte dispositivos IoT comprometidos, con el objetivo de lograr impactar la disponibilidad de las infraestructuras tecnológicas que tengan como objetivo los atacantes, en ese orden de ideas se han identificado una serie de ataques cibernéticos relacionados con la botnet RapperBot.

Leer Más

El nuevo downloader denominado IronRider

La superficie de ataques continúa creciendo conforme se desarrollan nuevas actualizaciones y funcionalidades en sistemas operativos, software y tecnologías emergentes, razón por la que en la naturaleza emergen nuevas amenazas alineadas con esas nuevas capacidades; en ese orden de ideas se ha detectado recientemente una sucesión de ataques desplegados en Europa del Este en los que se empleó el nuevo downloader IronRider.

Leer Más

Nueva campaña de distribución por parte del grupo Black Basta Ransomware

De forma continua se detectan nuevas metodologías empleadas por lo cibercriminales en el ciber espacio; el caso más reciente es el del grupo de ransomware Black Basta, los cuales se encuentran desplegando campañas que tienen el objetivo de entregar Black Basta en los sistemas informáticos comprometidos, además, en la primera etapa de dicha infección usan Qakbot como punto de apoyo permitiéndoles realizar sus actividades maliciosas y entregar en ransomware mencionado anteriormente.

Leer Más

Nuevas actividades de la Botnet Amadey.

El equipo de analistas del Csirt Financiero realiza un monitoreo en el ciberespacio en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura tecnológica de nuestros asociados, observado una reciente actividad maliciosa realizada por la botnet Amadey, la cual fue vista por primera vez en 2018.

Leer Más

Nuevos indicadores de compromiso del troyano bancario IcedID.

El equipo de analistas del Csirt Financiero en un monitoreo realizado en el ciberespacio, con el objetivo de encontrar nuevas amenazas y artefactos que puedan afectar la infraestructura tecnológica de nuestros asociados se identificaron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario IcedID también conocido como Bokbot el cual fue visto por primera vez en 2017.

Leer Más

Nueva actividad de Emotet es implementada para distribuir ransomware Quantum

Emotet, identificado por primera vez en el año 2014 como un troyano bancario, es una de las amenazas más mencionadas a nivel global, ya que su evolución y capacidades han trascendido rápidamente con el tiempo, convirtiéndolo en una botnet para distribución de cargas útiles de segunda etapa de diversos tipos de malware que tienen el objetivo de afectar la confidencialidad y disponibilidad de entidades y organizaciones.

Leer Más

Nuevos indicadores de compromiso de Qbot de su última campaña en el mes de noviembre

En las últimas semanas del mes de noviembre, el equipo de analistas del Csirt Financiero realizó una actualización de una actividad relacionada con el troyano Qbot donde algunos grupos de ciberdelincuentes estaban aprovechando una falla de seguridad en el panel de control de Windows 10 conocido como control.exe; en esta ocasión se identificaron más indicadores de compromiso relacionados con esta nueva campaña.

Leer Más

Stealer Vidar distribuido en foros de la Dark web para captura de credenciales bancarias

A través de un monitoreo realizado en la Deep y Dark web, se identificó que una amenaza de tipo Stealer conocido como Vidar, ha sido ofertado en varios foros y mercados rusos para la venta y captura de credenciales, donde se observó que los ciberdelincuentes ofrecen esta amenaza ya sea para capturar datos confidenciales de portales de transacciones bancarias o para ofertar datos ya capturados.

Leer Más

El troyano de acceso remoto XWorm se distribuye activamente en la naturaleza

En la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).

Leer Más

Nueva variante de Prilex aprovecha la tecnología NFC

Prillex ha proliferado en la naturaleza, gracias a su constante evolución y la codicia de sus actores quienes desarrollan variantes de este malware PoS (point of sale) para impactar mayor número de víctimas aprovechándose de tarjetas de crédito con tecnología de CHIP y PIN; no obstante, recientemente se han identificado tres nuevas versiones y una de estas apunta a transacciones que puede afectar las tarjetas habilitadas para NFC (Near Field Communication).

Leer Más

Se identifican nuevos indicadores de compromiso relacionados al troyano de acceso remoto NjRAT

Aunque el troyano de acceso remoto conocido como NjRAT ha sido reportado en ocasiones anteriores por el equipo del Csirt Financiero, es importante recalcar este tipo de nuevas actividades ya que esta amenaza se ha observado en diversas campañas en contra de organizaciones y entidades financieras de Latinoamérica.

Leer Más

Nueva actividad del loader Batloader

Recientemente el equipo de analistas del Csirt Financiero a través de una búsqueda de amenazas que puedan llegar afectar al sector se evidenciaron nuevos indicadores de compromiso relacionados al Loader denominado Batloader el cual es utilizado como malware de etapa inicial para entregar amenazas como ransomware y troyanos de acceso remoto.

Leer Más

Archivo