BatLoader distribuye Vidar stealer y Ursnif mediante anuncios de búsqueda de GoogleEl equipo de analistas del Csirt Financiero realizó un monitoreo a través de diferentes fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, donde se observó nueva actividad maliciosa relacionada con el software malicioso BatLoader abusando de anuncios de Google para realizar la entrega de cargas útiles secundarias como Vidar Stealer y Ursnif.http://csirtasobancaria.com/Plone/alertas-de-seguridad/batloader-distribuye-vidar-stealer-y-ursnif-mediante-anuncios-de-busqueda-de-googlehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo a través de diferentes fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, donde se observó nueva actividad maliciosa relacionada con el software malicioso BatLoader abusando de anuncios de Google para realizar la entrega de cargas útiles secundarias como Vidar Stealer y Ursnif.
Nuevos IoC asociados al stealer RaccoonEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero han identificado nuevos indicadores de compromiso (IoC) asociados al troyano Raccoon Stealer, diseñado para afectar a equipos con sistema operativo Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-stealer-raccoonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero han identificado nuevos indicadores de compromiso (IoC) asociados al troyano Raccoon Stealer, diseñado para afectar a equipos con sistema operativo Microsoft Windows.
Evolución del backdoor Dtrack utilizado por diversos grupos APTDtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-backdoor-dtrack-utilizado-por-diversos-grupos-apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.
Nueva actividad maliciosa del troyano bancario UrsnifEl troyano bancario Ursnif fue identificado por primera vez en el año 2017 y aunque recientemente se han realizado reportes sobre esta amenaza, el equipo de analistas del Csirt observó nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-ursnif-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Ursnif fue identificado por primera vez en el año 2017 y aunque recientemente se han realizado reportes sobre esta amenaza, el equipo de analistas del Csirt observó nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.
Campaña masiva de phishing orquestada mediante el Phiskit SwitchsymbRecientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-de-phishing-orquestada-mediante-el-phiskit-switchsymbhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:
Nueva variante del stealer BlackGuardRecientemente se identificó en el panorama de amenazas, una nueva variante del stealer BlackGuard, que se propaga a través de ataques de spearphishing y tiene la capacidad de capturar información confidencial del usuario y secuestrar billeteras criptográficas. Asimismo, se está tratando de propagar a través de medios extraíbles y dispositivos compartidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-stealer-blackguardhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó en el panorama de amenazas, una nueva variante del stealer BlackGuard, que se propaga a través de ataques de spearphishing y tiene la capacidad de capturar información confidencial del usuario y secuestrar billeteras criptográficas. Asimismo, se está tratando de propagar a través de medios extraíbles y dispositivos compartidos.
Rhadamanthys entre las amenazas más utilizadas en el mes de marzoRhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rhadamanthys-entre-las-amenazas-mas-utilizadas-en-el-mes-de-marzohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.
Nuevas actividades maliciosas relacionadas con el ransomware LockBitEl equipo de analistas del Csirt financiero realizó un monitoreo a diversas fuentes de información abiertas, en busca de nuevas amenazas y/o campañas que puedan afectar la infraestructura de los asociados, en el cual se identificaron nuevas actividades maliciosas e indicadores de compromiso relacionados con el ransomware LockBit.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-maliciosas-relacionadas-con-el-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt financiero realizó un monitoreo a diversas fuentes de información abiertas, en busca de nuevas amenazas y/o campañas que puedan afectar la infraestructura de los asociados, en el cual se identificaron nuevas actividades maliciosas e indicadores de compromiso relacionados con el ransomware LockBit.
Emerge un nuevo stealer para sistemas MacOS denominado MacStealerEn la actualidad, el panorama de amenazas está en constante evolución y se vuelve cada vez más complejo y sofisticado. En ese orden de ideas, se ha descubierto un nuevo stealer de macOS llamado MacStealer que utiliza Telegram para el comando y control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-stealer-para-sistemas-macos-denominado-macstealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actualidad, el panorama de amenazas está en constante evolución y se vuelve cada vez más complejo y sofisticado. En ese orden de ideas, se ha descubierto un nuevo stealer de macOS llamado MacStealer que utiliza Telegram para el comando y control (C2).
Nueva variante del troyano bancario IcedIDIcedID es un troyano bancario que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bancario-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IcedID es un troyano bancario que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.
Batloader entrega cargas útiles de Remcos RAT y FormbookBatloader es un loader (cargador) de acceso inicial que está siendo utilizado por diversos actores de amenaza para distribuir diferentes tipos de malware y donde anteriormente se conocieron cargas útiles secundarias como Vidar Stealer y Ursnif distribuidas por Batloader; en esta ocasión a través de un monitore por el equipo del Csirt financiero se identificaron nuevos indicadores de compromiso de tipo ejecutable que están siendo distribuidos por los ciberdelincuentes que contienen Remcos RAT y Formbook.http://csirtasobancaria.com/Plone/alertas-de-seguridad/batloader-entrega-cargas-utiles-de-remcos-rat-y-formbookhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Batloader es un loader (cargador) de acceso inicial que está siendo utilizado por diversos actores de amenaza para distribuir diferentes tipos de malware y donde anteriormente se conocieron cargas útiles secundarias como Vidar Stealer y Ursnif distribuidas por Batloader; en esta ocasión a través de un monitore por el equipo del Csirt financiero se identificaron nuevos indicadores de compromiso de tipo ejecutable que están siendo distribuidos por los ciberdelincuentes que contienen Remcos RAT y Formbook.
Nuevos artefactos del troyano bancario GrandoreiroA través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso en los que se pueden encontrar algunos artefactos de tipo ejecutable.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-bancario-grandoreirohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso en los que se pueden encontrar algunos artefactos de tipo ejecutable.
Nueva actividad maliciosa del ransomware ClopAunque Clop ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-clophttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque Clop ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.
Nuevos indicadores de compromiso relacionados al troyano bancario ErmacEl equipo de analistas del Csirt Financiero, realizó un monitoreo en busca de nuevas amenazas o campañas maliciosas que pueda llegar a afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario Ermac, el cual está dirigido a dispositivos Móviles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-troyano-bancario-ermachttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero, realizó un monitoreo en busca de nuevas amenazas o campañas maliciosas que pueda llegar a afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario Ermac, el cual está dirigido a dispositivos Móviles.
Surge nuevo ransomware denominado Rorschach con el cifrado más rápido hasta la fechaMediante un monitoreo realizado a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado Rorschach el cual impacto una empresa con sede en Estados Unidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-nuevo-ransomware-denominado-rorschach-con-el-cifrado-mas-rapido-hasta-la-fechahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado Rorschach el cual impacto una empresa con sede en Estados Unidos.
Nueva versión del stealer Typhon RebornEl stealer Typhon Reborn, ha regresado con una versión actualizada (V2) que incluye mejores capacidades para evadir la detección y obstaculizar procesos de análisis por parte de analistas de seguridad. La nueva variante también cuenta con capacidades de exfiltración de datos a través de la API de Telegram y fue comercializada por su desarrollador el 31 de enero de 2023. Es de mencionar que excluye notablemente a Ucrania y Georgia de la lista de países que evitará infectar.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-stealer-typhon-rebornhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El stealer Typhon Reborn, ha regresado con una versión actualizada (V2) que incluye mejores capacidades para evadir la detección y obstaculizar procesos de análisis por parte de analistas de seguridad. La nueva variante también cuenta con capacidades de exfiltración de datos a través de la API de Telegram y fue comercializada por su desarrollador el 31 de enero de 2023. Es de mencionar que excluye notablemente a Ucrania y Georgia de la lista de países que evitará infectar.
El rasnomware Blackcat explota vulnerabilidades expuestas en internetA través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero a fuentes abiertas de información, se identificó una nueva actividad maliciosa del ransomware Blackcat también conocido como ALPHV donde un grupo de ciberdelincuentes está realizando la explotación de vulnerabilidades para entregar la carga útil de Blackcat.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-rasnomware-blackcat-explota-vulnerabilidades-expuestas-en-internethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero a fuentes abiertas de información, se identificó una nueva actividad maliciosa del ransomware Blackcat también conocido como ALPHV donde un grupo de ciberdelincuentes está realizando la explotación de vulnerabilidades para entregar la carga útil de Blackcat.
Emerge un nuevo stealer denominado RilideRecientemente se ha descubierto un nuevo stealer denominado Rilide que se disfraza como una extensión legítima de Google Drive y se dirige a navegadores basados en Chromium como Google Chrome, Microsoft Edge, Brave y Opera.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-stealer-denominado-rilidehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha descubierto un nuevo stealer denominado Rilide que se disfraza como una extensión legítima de Google Drive y se dirige a navegadores basados en Chromium como Google Chrome, Microsoft Edge, Brave y Opera.
Nuevo ransomware denominado Money MessageEn el ámbito de ciberseguridad, es frecuente evidenciar nuevas familias de malware con funcionalidades y actividades únicas, las cuales suponen un riesgo importante a la seguridad de la información de las organizaciones de diversos sectores en el país. Según lo anterior, se ha identificado un nuevo ransomware denominado Money Message.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-money-messagehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de ciberseguridad, es frecuente evidenciar nuevas familias de malware con funcionalidades y actividades únicas, las cuales suponen un riesgo importante a la seguridad de la información de las organizaciones de diversos sectores en el país. Según lo anterior, se ha identificado un nuevo ransomware denominado Money Message.
Surge nuevo ransomware denominado CylanceRecientemente, se ha identificado un nuevo ransomware identificado como ‘Cylance’, nombre asignado debido a su extensión de cifrado que posee; esta nueva familia de malware tiene la capacidad de afectar sistemas operativos Windows y distribuciones Linux, adicionalmente, puede personalizarse a través de líneas de comando dando la posibilidad de que ejecute de diversas maneras y cifre múltiples archivos en específico dependiendo de la necesidad del actor de amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-nuevo-ransomware-denominado-cylancehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado un nuevo ransomware identificado como ‘Cylance’, nombre asignado debido a su extensión de cifrado que posee; esta nueva familia de malware tiene la capacidad de afectar sistemas operativos Windows y distribuciones Linux, adicionalmente, puede personalizarse a través de líneas de comando dando la posibilidad de que ejecute de diversas maneras y cifre múltiples archivos en específico dependiendo de la necesidad del actor de amenaza.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}