Nuevo método de infección del troyano bancario EmotetEl equipo del Csirt Financiero a través de fuentes de información abierta, identificó un nuevo método de infección del troyano bancario Emotet, este busca aprovechar redes WiFi vulnerables para expandir su infección sobre los equipos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-infeccion-del-troyano-bancario-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de fuentes de información abierta, identificó un nuevo método de infección del troyano bancario Emotet, este busca aprovechar redes WiFi vulnerables para expandir su infección sobre los equipos.
IOC de Phishing dirigido a usuarios del sector financiero de ColombiaDesde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-de-phishing-dirigido-a-usuarios-del-sector-financiero-de-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.
Nuevas actividades del troyano de acceso remoto Ave MaríaEl troyano de acceso remoto modular conocido como Ave María se ha visto involucrado en recientes actividades de ciberdelincuentes, el malware tiene capacidades de infostealer, keylogger y es considerado de alto riesgo por su uso para obtener el control de equipos y la captura de datos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-del-troyano-de-acceso-remoto-ave-mariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano de acceso remoto modular conocido como Ave María se ha visto involucrado en recientes actividades de ciberdelincuentes, el malware tiene capacidades de infostealer, keylogger y es considerado de alto riesgo por su uso para obtener el control de equipos y la captura de datos.
Descargador de Azorult utiliza triple cifradoAzorult, es un troyano que se ha visto involucrado en operaciones desde el año 2016, está orientado a la captura de credenciales bancarias y datos de tarjetas de crédito, adicionalmente tiene la capacidad de ser utilizado como dropper.http://csirtasobancaria.com/Plone/alertas-de-seguridad/descargador-de-azorult-utiliza-triple-cifradohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Azorult, es un troyano que se ha visto involucrado en operaciones desde el año 2016, está orientado a la captura de credenciales bancarias y datos de tarjetas de crédito, adicionalmente tiene la capacidad de ser utilizado como dropper.
DoppelPaymer ransomwareDoppelPaymer es un troyano de tipo ransomware, tiene la función capturar y cifrar los archivos en el equipo del usuario, además, amenaza con exponer y/o vender la información en sitios de la darkweb si no realiza el pago del rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/doppelpaymer-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
DoppelPaymer es un troyano de tipo ransomware, tiene la función capturar y cifrar los archivos en el equipo del usuario, además, amenaza con exponer y/o vender la información en sitios de la darkweb si no realiza el pago del rescate.
Nuevos indicadores de compromiso asociados a SodinokibiEl malware conocido como Sodinokibi es catalogado como RaaS (Ransomware como Servicio), su afectación ha sido dirigida a empresas y consumidores de distintos sectores desde principios de mayo de 2019, el objetivo es cifrar información y generar cobros por su rescate.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-sodinokibihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware conocido como Sodinokibi es catalogado como RaaS (Ransomware como Servicio), su afectación ha sido dirigida a empresas y consumidores de distintos sectores desde principios de mayo de 2019, el objetivo es cifrar información y generar cobros por su rescate.
Nueva técnica de distribución de malware utilizada por el grupo de amenazas TA505.El grupo de amenazas TA505 fue descubierto en 2014 por analistas de malware, donde se identificó la primera versión del malware dridex distribuida por medio de mensajes de correo electrónico masivos de tipo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-tecnica-de-distribucion-de-malware-utilizada-por-el-grupo-de-amenazas-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de amenazas TA505 fue descubierto en 2014 por analistas de malware, donde se identificó la primera versión del malware dridex distribuida por medio de mensajes de correo electrónico masivos de tipo malspam.
Nuevos indicadores de compromiso asociados a Emotet.Emotet es un troyano bancario, que ha tenido actividad durante el año en curso, utilizando diferentes métodos de ingeniería social para comprometer dispositivos y sacar el máximo provecho de los recursos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet es un troyano bancario, que ha tenido actividad durante el año en curso, utilizando diferentes métodos de ingeniería social para comprometer dispositivos y sacar el máximo provecho de los recursos comprometidos.
Nuevos ataques atribuidos al grupo de amenazas APT34El troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ataques-atribuidos-al-grupo-de-amenazas-apt34http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.
Nuevos indicadores de compromiso asociados a TrickbotEl troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbot-4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.
Vulnerabilidad de denegación de servicio en IBM WebSphere Application ServerEl equipo del Csirt Financiero a través de búsqueda e investigación de vulnerabilidades, identificó una nueva brecha de seguridad que podría afectar los aplicativos desplegados en IBM WebSphere Application Server (WAS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-denegacion-de-servicio-en-ibm-websphere-application-serverhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de búsqueda e investigación de vulnerabilidades, identificó una nueva brecha de seguridad que podría afectar los aplicativos desplegados en IBM WebSphere Application Server (WAS).
Nuevos indicadores de compromiso asociados a EmotetA través del continuo monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso asociados al troyano modular Emotet, cuyo objetivo principal es la captura de información sensible en el equipo víctima.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-3http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del continuo monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso asociados al troyano modular Emotet, cuyo objetivo principal es la captura de información sensible en el equipo víctima.
Nueva operación del grupo ciberdelincuente TA505 usando el descargador Get2TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-operacion-del-grupo-ciberdelincuente-ta505-usando-el-descargador-get2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.
Unidades de procesamiento gráfico de Intel permiten la filtración de informaciónLas unidades de procesamiento gráfico (GPU) de Intel pueden ser vulnerables ya que se puede generar una filtración de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/unidades-de-procesamiento-grafico-de-intel-permiten-la-filtracion-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevos indicadores de compromiso asociados a Predator the Thief.El malware Predator the Thief esta categorizado como infostealer desde el año 2018, su principal vector de distribución es el spear-phishing y su objetivo principal es exfiltrar información confidencial de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-predator-the-thief-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware Predator the Thief esta categorizado como infostealer desde el año 2018, su principal vector de distribución es el spear-phishing y su objetivo principal es exfiltrar información confidencial de los usuarios.
Nuevos indicadores de compromiso asociados al Keylogger Agent Tesla.Agent Tesla es un Keylogger utilizado por los ciberdelincuentes desde el 2014 para la exfiltración de información confidencial, adicionalmente posee módulos que le permiten tomar capturas desde la cámara del equipo, técnicas de evasión de herramientas antimalware y descarga de malware, es distribuido por diferentes tiendas en la darkweb a cambio de una suscripción mensual/anual, donde se ofrece un soporte 7x24 una vez es adquirido por los ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-keylogger-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Agent Tesla es un Keylogger utilizado por los ciberdelincuentes desde el 2014 para la exfiltración de información confidencial, adicionalmente posee módulos que le permiten tomar capturas desde la cámara del equipo, técnicas de evasión de herramientas antimalware y descarga de malware, es distribuido por diferentes tiendas en la darkweb a cambio de una suscripción mensual/anual, donde se ofrece un soporte 7x24 una vez es adquirido por los ciberdelincuentes.
Nueva versión del dropper sLoad 2.0.El equipo del Csirt financiero a través de búsquedas e investigaciones en fuentes de información, identificó una nueva versión del dropper sLoad, ahora le permite a los ciberdelincuentes afectar el servicio Windows BITS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-dropper-sload-2-0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero a través de búsquedas e investigaciones en fuentes de información, identificó una nueva versión del dropper sLoad, ahora le permite a los ciberdelincuentes afectar el servicio Windows BITS.
Ataques de phishing dirigidos a Estados Unidos, podrían estar asociados al grupo de amenazas Konni.Durante los últimos meses de 2019 e inicios del 2020 un grupo de investigadores de malware identifico múltiples ataques de phishing dirigido a usuarios en Estados Unidos, al revisar estas actividades, se estableció que los ataques provenían de un nuevo APT denominado “Konni”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ataques-de-phishing-dirigidos-a-estados-unidos-podrian-estar-asociados-al-grupo-de-amenazas-konnihttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses de 2019 e inicios del 2020 un grupo de investigadores de malware identifico múltiples ataques de phishing dirigido a usuarios en Estados Unidos, al revisar estas actividades, se estableció que los ataques provenían de un nuevo APT denominado “Konni”.
Nueva funcionalidad de Trickbot.Trickbot es un troyano bancario desarrollado para la captura de credenciales alojadas en el navegador, se ha identificado un nuevo módulo el cual exfiltra la información alojada en el Active Directory de Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-funcionalidad-de-trickbot-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Trickbot es un troyano bancario desarrollado para la captura de credenciales alojadas en el navegador, se ha identificado un nuevo módulo el cual exfiltra la información alojada en el Active Directory de Windows.
Nuevos indicadores de compromiso asociados a Ursnif.En el análisis de amenazas identificadas por el Csirt Financiero se hallaron nuevos indicadores de compromiso del troyano bancario Ursnif, que tiene como objetivo capturar las credenciales de acceso a portales transaccionales bancarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el análisis de amenazas identificadas por el Csirt Financiero se hallaron nuevos indicadores de compromiso del troyano bancario Ursnif, que tiene como objetivo capturar las credenciales de acceso a portales transaccionales bancarios.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}