Se identifican nuevos indicadores de compromiso de Nanocore RATNanocore RAT fue identificado por primera vez en el año 2013, y aunque el equipo de analistas del Csirt financiero lo ha reportado en ocasiones anteriores hay que tener en cuenta que en el ámbito del ciberespacio los actores detrás de estas amenazas mantienen constantes actualizaciones de técnicas y tácticas con los buscan generar un impactó en la seguridad de la información de las entidades y organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-de-compromiso-de-nanocore-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nanocore RAT fue identificado por primera vez en el año 2013, y aunque el equipo de analistas del Csirt financiero lo ha reportado en ocasiones anteriores hay que tener en cuenta que en el ámbito del ciberespacio los actores detrás de estas amenazas mantienen constantes actualizaciones de técnicas y tácticas con los buscan generar un impactó en la seguridad de la información de las entidades y organizaciones.
Un nuevo troyano bancario denominado Zanubis visto en campañas dirigidas a bancos de LatinoaméricaLos actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-troyano-bancario-denominado-zanubis-visto-en-campanas-dirigidas-a-bancos-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.
Nueva actividad maliciosa del troyano bancario UrsnifUrsnif es un troyano bancario muy utilizado por los ciberdelincuentes, dirigido al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Windows, aunque el equipo de analistas del Csirt financiero ha reportado esta amenaza en múltiples ocasiones, es relevante comunicar que se identificaron nuevos indicadores de compromiso (IOC), los cuales representan nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ursnif es un troyano bancario muy utilizado por los ciberdelincuentes, dirigido al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Windows, aunque el equipo de analistas del Csirt financiero ha reportado esta amenaza en múltiples ocasiones, es relevante comunicar que se identificaron nuevos indicadores de compromiso (IOC), los cuales representan nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.
Prynt Stealer implementa puertas traseras adicionalesEl activo más importante para una organización hoy en día es su información, partiendo de esa perspectiva los ciberdelincuentes tienen como principal objetivo capturar esos registros que representan una potencial recompensa económica; en la naturaleza circulan varias ciberamenazas asociadas a diversas familias de stealer entre ellos el ya conocido Prynt Stealer, respecto a este se ha descubierto que sus desarrolladores implantan puertas traseras (backdoors) en sus constructores, esto con el propósito de exfiltrar una copia de la data capturada de las víctimas obtenida en campañas desplegadas previamente empleando esta familia de malware a través de un canal de Telegram.http://csirtasobancaria.com/Plone/alertas-de-seguridad/prynt-stealer-implementa-puertas-traseras-adicionaleshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El activo más importante para una organización hoy en día es su información, partiendo de esa perspectiva los ciberdelincuentes tienen como principal objetivo capturar esos registros que representan una potencial recompensa económica; en la naturaleza circulan varias ciberamenazas asociadas a diversas familias de stealer entre ellos el ya conocido Prynt Stealer, respecto a este se ha descubierto que sus desarrolladores implantan puertas traseras (backdoors) en sus constructores, esto con el propósito de exfiltrar una copia de la data capturada de las víctimas obtenida en campañas desplegadas previamente empleando esta familia de malware a través de un canal de Telegram.
Repositorio abierto permite que ciberdelincuentes adquieran una nueva versión del kit de herramientas conocido como BurntcigarRecientemente se ha conocido un repositorio abierto que permite descargar un kit de herramientas que tiene la capacidad de deshabilitar las soluciones de seguridad en las infraestructuras tecnológicas, este conjunto de archivos es conocidos como Burntcigar, muy popular por facilitar la entrada de los atacantes al sistema de los equipos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/repositorio-abierto-permite-que-ciberdelincuentes-adquieran-una-nueva-version-del-kit-de-herramientas-conocido-como-burntcigarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha conocido un repositorio abierto que permite descargar un kit de herramientas que tiene la capacidad de deshabilitar las soluciones de seguridad en las infraestructuras tecnológicas, este conjunto de archivos es conocidos como Burntcigar, muy popular por facilitar la entrada de los atacantes al sistema de los equipos.
Nuevas capacidades identificadas en BumblebeeBumblebee es un backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, en esta nueva variante presenta alta similitud con BookWorm.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-capacidades-identificadas-en-bumblebeehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bumblebee es un backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, en esta nueva variante presenta alta similitud con BookWorm.
Nueva actividad maliciosa asociada al troyano bancario SharkbotEn el ámbito de ciberseguridad, es muy frecuente presenciar campañas maliciosas en donde los ciberdelincuentes implementan programas maliciosos específicamente desarrollados para impactar un sector objetivo; un ejemplo claro de esto, son los troyanos bancarios, los cuales tienen como propósito recopilar información sensible de las victimas relacionadas con entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-al-troyano-bancario-sharkbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de ciberseguridad, es muy frecuente presenciar campañas maliciosas en donde los ciberdelincuentes implementan programas maliciosos específicamente desarrollados para impactar un sector objetivo; un ejemplo claro de esto, son los troyanos bancarios, los cuales tienen como propósito recopilar información sensible de las victimas relacionadas con entidades financieras.
Código fuente del troyano acceso remoto CodeRAT expuesto en repositorios de GitHubCodeRAT, es un troyano de acceso remoto (RAT) el cual está siendo utilizado por los ciberdelincuentes gracias a las grandes capacidades que ofrece esta amenaza; en esta ocasión se identificó que el código fuente de CodeRAT fue filtrado y expuesto en un repositorio de GitHub el cual permite que más ciberdelincuentes puedan adquirirlo permitiendo ejecutar el RAT ofreciendo al usuario remoto una amplia gama capacidades posteriores a la infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/codigo-fuente-del-troyano-acceso-remoto-coderat-expuesto-en-repositorios-de-githubhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CodeRAT, es un troyano de acceso remoto (RAT) el cual está siendo utilizado por los ciberdelincuentes gracias a las grandes capacidades que ofrece esta amenaza; en esta ocasión se identificó que el código fuente de CodeRAT fue filtrado y expuesto en un repositorio de GitHub el cual permite que más ciberdelincuentes puedan adquirirlo permitiendo ejecutar el RAT ofreciendo al usuario remoto una amplia gama capacidades posteriores a la infección.
Nuevo Phishing-as-a-Service denominado EvilProxyRecientemente, investigadores identificaron un nuevo phishing como servicio (Phishing-as-a-Service o PhaaS por sus siglas) denominado EvilProxy o Moloch, el cual fue anunciado en foros clandestinos de la Dark web. Esta amenaza permite a los ciberdelincuentes comprometer a usuarios con MFA (Autenticación de múltiples factores) permitido a mayor escala sin la necesidad de infectar servicios anteriores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-phishing-as-a-service-denominado-evilproxyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores identificaron un nuevo phishing como servicio (Phishing-as-a-Service o PhaaS por sus siglas) denominado EvilProxy o Moloch, el cual fue anunciado en foros clandestinos de la Dark web. Esta amenaza permite a los ciberdelincuentes comprometer a usuarios con MFA (Autenticación de múltiples factores) permitido a mayor escala sin la necesidad de infectar servicios anteriores.
Nuevo skimmer de JavaScript empleado por el grupo de ciberdelincuentes MagecartRecientemente se observó en la naturaleza un nuevo skimmer de JavaScript creado por el grupo de cibercriminales conocido como Magecart, quienes se dedican a vulnerar la seguridad de los sistemas de compras en línea con nuevos métodos y técnicas para capturar información sensible relacionado con datos financieros de las víctimas dentro de sitios web que empleen la plataforma Magento.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-skimmer-de-javascript-empleado-por-el-grupo-de-ciberdelincuentes-magecarthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se observó en la naturaleza un nuevo skimmer de JavaScript creado por el grupo de cibercriminales conocido como Magecart, quienes se dedican a vulnerar la seguridad de los sistemas de compras en línea con nuevos métodos y técnicas para capturar información sensible relacionado con datos financieros de las víctimas dentro de sitios web que empleen la plataforma Magento.
Nuevo troyano de acceso remoto denominado Venom RATSe identificó una familia denominada Venom RAT, como un Malware as a Service (MaaS, por sus siglas en inglés), es una herramienta que puede ser adquirida de forma legítima y por esta razón los ciberdelincuentes comenzaron a obtener dicho RAT con fines delictivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-venom-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificó una familia denominada Venom RAT, como un Malware as a Service (MaaS, por sus siglas en inglés), es una herramienta que puede ser adquirida de forma legítima y por esta razón los ciberdelincuentes comenzaron a obtener dicho RAT con fines delictivos.
Nuevo Framework denominado BruteratelBruteratel es un framework que permite a los actores de amenaza simular un ciberataque contra una organización con el objetivo que los ciberdelincuentes puedan encontrar brechas de seguridad donde identifican vulnerabilidades para poder desencadenar un proceso de infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-denominado-bruteratelhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bruteratel es un framework que permite a los actores de amenaza simular un ciberataque contra una organización con el objetivo que los ciberdelincuentes puedan encontrar brechas de seguridad donde identifican vulnerabilidades para poder desencadenar un proceso de infección.
El troyano bancario Ares resurge con nuevas TTPAunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-ares-resurge-con-nuevas-ttphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.
Nuevo troyano de acceso remoto denominado Magic RatDentro de las amenazas más utilizadas por los ciberdelincuentes en los últimos meses, se observó que los troyanos de acceso remoto (RAT) son los más comunes e implementadas por los cibercriminales gracias a las capacidades que pueden llegar a otorgar, permitiendo la obtención de datos confidenciales de entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado Magic RAT, el cual es atribuido al grupo APT 38 más conocido como Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-magic-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de las amenazas más utilizadas por los ciberdelincuentes en los últimos meses, se observó que los troyanos de acceso remoto (RAT) son los más comunes e implementadas por los cibercriminales gracias a las capacidades que pueden llegar a otorgar, permitiendo la obtención de datos confidenciales de entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado Magic RAT, el cual es atribuido al grupo APT 38 más conocido como Lazarus.
Aparece en la naturaleza un nuevo RAT dirigido al kernel Linux denominado ShikitegaEl creciente número de amenazas que se ven en la naturaleza sigue siendo una constante durante los últimos meses, en este sentido se ha descubierto una nueva familia de malware denominada Shikitega la cual ha sido categorizada como un troyano de acceso remoto; esta amenaza se dirige a equipos y dispositivos que ejecutan sistemas Linux, entre estos están incluidos los que hacen parte de la categoría IoT, a su vez su operación se divide en varias etapas que ejecutan distintas cargas útiles, explotan algunas vulnerabilidades, implantan un minero y usan Mettle.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aparece-en-la-naturaleza-un-nuevo-rat-dirigido-al-kernel-linux-denominado-shikitegahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El creciente número de amenazas que se ven en la naturaleza sigue siendo una constante durante los últimos meses, en este sentido se ha descubierto una nueva familia de malware denominada Shikitega la cual ha sido categorizada como un troyano de acceso remoto; esta amenaza se dirige a equipos y dispositivos que ejecutan sistemas Linux, entre estos están incluidos los que hacen parte de la categoría IoT, a su vez su operación se divide en varias etapas que ejecutan distintas cargas útiles, explotan algunas vulnerabilidades, implantan un minero y usan Mettle.
Nueva actividad maliciosa del grupo cibercriminal conocido como WorokEn el ámbito de la ciberseguridad se han identificado varios grupos cibercriminales los cuales en su mayoría son financiados por gobiernos de muchos países que se suman a los constantes ataques cibernéticos para capturar información confidencial, afectar infraestructuras críticas de entidades y organizaciones a nivel mundial, teniendo en cuenta esto, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa de un grupo cibercriminal conocido como Worok, el cual dirige sus ataques a sectores financieros, gubernamentales y de telecomunicaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-grupo-cibercriminal-conocido-como-worokhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de la ciberseguridad se han identificado varios grupos cibercriminales los cuales en su mayoría son financiados por gobiernos de muchos países que se suman a los constantes ataques cibernéticos para capturar información confidencial, afectar infraestructuras críticas de entidades y organizaciones a nivel mundial, teniendo en cuenta esto, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa de un grupo cibercriminal conocido como Worok, el cual dirige sus ataques a sectores financieros, gubernamentales y de telecomunicaciones.
PlugX un RAT Loader que prevalece en el tiempoEl ciberespacio es un ecosistema lleno de amenazas que ponen en riesgo los activos de una organización o de las personas debido a los constantes ataques cibernéticos orquestados por los ciberdelincuentes, dentro de ese flujo de acción suelen emplear herramientas modulares para controlar remotamente los equipos infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/plugx-un-rat-loader-que-prevalece-en-el-tiempohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ciberespacio es un ecosistema lleno de amenazas que ponen en riesgo los activos de una organización o de las personas debido a los constantes ataques cibernéticos orquestados por los ciberdelincuentes, dentro de ese flujo de acción suelen emplear herramientas modulares para controlar remotamente los equipos infectados.
Nuevos indicadores vinculados al troyano IcedIDIcedID es un troyano que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática. Tras infiltrarse en la infraestructura tecnológica, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-vinculados-al-troyano-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IcedID es un troyano que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática. Tras infiltrarse en la infraestructura tecnológica, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.
Familias de ransomware implementan nuevo método de cifrado de archivosRecientemente se ha identificado un nuevo comportamiento atribuido al tipo de malware conocido en el ciberespacio como ransomware, donde los ciberdelincuentes implementan una táctica que le permite generar una mayor afectación al objetivo y en un intervalo de tiempo más corto, este método ha sido denominado cifrado intermitente.http://csirtasobancaria.com/Plone/alertas-de-seguridad/familias-de-ransomware-implementan-nuevo-metodo-de-cifrado-de-archivoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha identificado un nuevo comportamiento atribuido al tipo de malware conocido en el ciberespacio como ransomware, donde los ciberdelincuentes implementan una táctica que le permite generar una mayor afectación al objetivo y en un intervalo de tiempo más corto, este método ha sido denominado cifrado intermitente.
Actualización de artefactos empleados por NetSupport RATNetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo, es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-de-artefactos-empleados-por-netsupport-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo, es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}