Nuevos indicadores de compromiso asociados a TA505El equipo del CSIRT Financiero identificó una campaña del grupo TA505 en la que se presume, debido a la trayectoria del grupo ciberdelincuente, que van por información de los usuarios. El modo de operar de este grupo por lo general es enviando código malicioso por medio de correos no deseados y luego de esto, esperar a que una persona interactúe con el correo electrónico y así poder obtener los datos personales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero identificó una campaña del grupo TA505 en la que se presume, debido a la trayectoria del grupo ciberdelincuente, que van por información de los usuarios. El modo de operar de este grupo por lo general es enviando código malicioso por medio de correos no deseados y luego de esto, esperar a que una persona interactúe con el correo electrónico y así poder obtener los datos personales.
Phishing dirigido a Latinoamérica asociado a malware BandloadEl CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-dirigido-a-latinoamerica-asociado-a-malware-bandloadhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.
Indicadores de amenaza relacionadas a botnet GeostSe ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-amenaza-relacionadas-a-botnet-geosthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.
Análisis de amenaza FrameworkPOSEn la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-amenaza-frameworkposhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.
Técnicas de infección de malware Nodersok sin uso de archivosSe ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-infeccion-de-malware-nodersok-sin-uso-de-archivoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.
Nueva campaña de malspam busca distribuir TrickbotDesde el CSIRT Financiero se ha identificado una nueva campaña de envío masivo de correos electrónicos que distribuye código malicioso, en este caso, se está distribuyendo el troyano bancario llamado denominado Trickbot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-busca-distribuir-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña de envío masivo de correos electrónicos que distribuye código malicioso, en este caso, se está distribuyendo el troyano bancario llamado denominado Trickbot.
Nueva actividad del grupo LazarusGracias a las fuentes de información del CSIRT Financiero, se ha logrado identificar una nueva actividad del grupo Lazarus. En esta ocasión el grupo en mención desarrolló un nuevo malware que está diseñado para afectar de manera directa los procesos de Microsoft Windows, como también realizar la captura de datos a partir de un componente oculto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-lazarushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a las fuentes de información del CSIRT Financiero, se ha logrado identificar una nueva actividad del grupo Lazarus. En esta ocasión el grupo en mención desarrolló un nuevo malware que está diseñado para afectar de manera directa los procesos de Microsoft Windows, como también realizar la captura de datos a partir de un componente oculto.
Actividad de Malware Casbaneiro que afecta a países de Latinoamérica.Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-malware-casbaneiro-que-afecta-a-paises-de-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.
Nueva vulnerabilidad en tarjeta SIM, nombrada “WiBattack”Desde el CSIRT Financiero se identifica una nueva vulnulnerabilidad en las tarjetas SIM la cual es similar a Simjacker, que permite a atacantes rastrear los dispositivos de los usuarios ingresando de forma no autorizada a las aplicaciones del navegador de Internet inalambrico en donde se ejecutan las tarjetas SIM. Si un atacante lograra explotar la vulnerabilidad podría tomar el control de un dispositivo móvil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-en-tarjeta-sim-nombrada-201cwibattack201dhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se identifica una nueva vulnulnerabilidad en las tarjetas SIM la cual es similar a Simjacker, que permite a atacantes rastrear los dispositivos de los usuarios ingresando de forma no autorizada a las aplicaciones del navegador de Internet inalambrico en donde se ejecutan las tarjetas SIM. Si un atacante lograra explotar la vulnerabilidad podría tomar el control de un dispositivo móvil.
Campaña de Phishing que distribuye LokibotSe ha identificado una campaña de phishing la cual distribuye el malware lokibot. El fin de esta campaña es poder infectar usuarios, para que sean inmersos en la botnet, además, poder extraer datos que podrían afectar las finanzas del usuario involucrado. Se tiene conocimiento que la distribución de esta campaña se centra en el envío de correos con archivos adjuntos de tipo RAR o ejecutables que al momento de ser abiertos por el usuario inicia el proceso de infección del equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-que-distribuye-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de phishing la cual distribuye el malware lokibot. El fin de esta campaña es poder infectar usuarios, para que sean inmersos en la botnet, además, poder extraer datos que podrían afectar las finanzas del usuario involucrado. Se tiene conocimiento que la distribución de esta campaña se centra en el envío de correos con archivos adjuntos de tipo RAR o ejecutables que al momento de ser abiertos por el usuario inicia el proceso de infección del equipo.
WhiteShadow, descargador de Malware utilizado en campañas de spamEl CSIRT Financiero en la verificación y búsqueda de amenazas ha identificado a WhiteShadow, un descargador de malware que se ha propagado mediante campañas de spam, esta amenaza utiliza servicios de Microsoft SQL para propagar su malware en otros equipos que sean vulnerables, investigadores han identificado la distribución de troyanos como agente tesla, AZORult, Nanocore, njRat, orion logger, Remcos, formbook RAT, descargadores y cepas de keylogger. Aun se desconoce la atribución de esta amenaza y se cree que la motivación es financiera.http://csirtasobancaria.com/Plone/alertas-de-seguridad/whiteshadow-descargador-de-malware-utilizado-en-campanas-de-spam-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero en la verificación y búsqueda de amenazas ha identificado a WhiteShadow, un descargador de malware que se ha propagado mediante campañas de spam, esta amenaza utiliza servicios de Microsoft SQL para propagar su malware en otros equipos que sean vulnerables, investigadores han identificado la distribución de troyanos como agente tesla, AZORult, Nanocore, njRat, orion logger, Remcos, formbook RAT, descargadores y cepas de keylogger. Aun se desconoce la atribución de esta amenaza y se cree que la motivación es financiera.
Nuevos indicadores de compromiso asociados a Trickbot y EmotetTrickbot y Emotet son troyanos de tipo bancario, cada uno cuenta con características diferentes, pero cuentan con la misma funcionalidad, la captura de datos de los usuarios que sean infectados con esta amenaza. Desde el CSIRT Financiero se ha identificado una nueva campaña la cual distribuye de los dos troyanos, con el objetivo de obtener la mayor cantidad de datos y así generar un beneficio económico a costas de los usuarios poco precavidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbot-y-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Trickbot y Emotet son troyanos de tipo bancario, cada uno cuenta con características diferentes, pero cuentan con la misma funcionalidad, la captura de datos de los usuarios que sean infectados con esta amenaza. Desde el CSIRT Financiero se ha identificado una nueva campaña la cual distribuye de los dos troyanos, con el objetivo de obtener la mayor cantidad de datos y así generar un beneficio económico a costas de los usuarios poco precavidos.
Análisis Ransonware REvil/Sodinokivi, asociado a GandCrabEl CSIRT Financiero ha realizado análisis a la amenaza identificada como REvil Ransomware. Esta fue observada por primera vez a mediados de abril de 2019, ha sido distribuida mediante malspam, y utiliza técnicas para explotar vulnerabilidades como las de Oracle weblogic y ataques mediante protocolo RDP. Se tiene conocimiento que tiene motivaciones financieras ya que es atribuida al grupo de ciberdelincuentes Gold Southfield.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-ransonware-revil-sodinokivi-asociado-a-gandcrabhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha realizado análisis a la amenaza identificada como REvil Ransomware. Esta fue observada por primera vez a mediados de abril de 2019, ha sido distribuida mediante malspam, y utiliza técnicas para explotar vulnerabilidades como las de Oracle weblogic y ataques mediante protocolo RDP. Se tiene conocimiento que tiene motivaciones financieras ya que es atribuida al grupo de ciberdelincuentes Gold Southfield.
Nuevos indicadores de compromiso asociados a EmotetEl CSIRT Financiero ha identificado nuevas campañas de malspam asociados al malware bancario Emotet, las cuales están dirigidas a diferentes objetivos internacionales; la finalidad de estas campañas es instalar un malware tipo dropper para lograr ejecutar la carga útil de Emotet dentro del dispositivo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado nuevas campañas de malspam asociados al malware bancario Emotet, las cuales están dirigidas a diferentes objetivos internacionales; la finalidad de estas campañas es instalar un malware tipo dropper para lograr ejecutar la carga útil de Emotet dentro del dispositivo infectado.
Indicadores de compromiso relacionados al grupo MageCartMageCart es un seudónimo para varios grupos de cibercrimen dedicados a realizar actividades de carding y captura de credenciales bancarias, actualmente se considera un enemigo público para la industria del comercio ya que maneja vectores de ataque enfocados a dominios web que alojan plataformas de pago; además se evidencia que están en constante exploración hacía nuevas técnicas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-grupo-magecarthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
MageCart es un seudónimo para varios grupos de cibercrimen dedicados a realizar actividades de carding y captura de credenciales bancarias, actualmente se considera un enemigo público para la industria del comercio ya que maneja vectores de ataque enfocados a dominios web que alojan plataformas de pago; además se evidencia que están en constante exploración hacía nuevas técnicas.
Nuevos indicadores de compromiso relacionados con un troyano bancario que utiliza las técnicas de un malware de tipo "Hosts Modifier".Gracias a fuentes externas del CSIRT Financiero, se identificó la presencia de un troyano el cual busca afectar a usuarios de entidades bancarias, se tiene conocimiento que en Latinoamérica hay entidades afectadas, viéndose comprometidos datos de usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-un-troyano-bancario-que-utiliza-las-tecnicas-de-un-malware-de-tipo-hosts-modifierhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a fuentes externas del CSIRT Financiero, se identificó la presencia de un troyano el cual busca afectar a usuarios de entidades bancarias, se tiene conocimiento que en Latinoamérica hay entidades afectadas, viéndose comprometidos datos de usuarios.
Nuevo malware ATMDTRACK apunta a cajeros automáticos en un país de Asia.Investigadores de seguridad han detectado un nuevo malware denominado ATMDtrack, esta nueva amenaza se relaciona con los actores detrás del grupo Lazarus dedicados a infectar cajeros automáticos con malware para obtener beneficios monetarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-atmdtrack-apunta-a-cajeros-automaticos-en-un-pais-de-asiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de seguridad han detectado un nuevo malware denominado ATMDtrack, esta nueva amenaza se relaciona con los actores detrás del grupo Lazarus dedicados a infectar cajeros automáticos con malware para obtener beneficios monetarios.
Análisis de malware CerberusCerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.
Análisis Avanzado de la amenaza EmotetEmotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-la-amenaza-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.
Nuevos indicadores asociados al grupo de amenazas FIN7FIN7 es un grupo de amenazas el cual ha registrado múltiples campañas dirigidas a sectores minoristas, restauración y hotelería a través de la suplantación de identidad con el fin de capturar datos de activos financieros de compañías (como tarjetas débitos) para generar transferencias bancarias a cuentas en el extranjero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-asociados-al-grupo-de-amenazas-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
FIN7 es un grupo de amenazas el cual ha registrado múltiples campañas dirigidas a sectores minoristas, restauración y hotelería a través de la suplantación de identidad con el fin de capturar datos de activos financieros de compañías (como tarjetas débitos) para generar transferencias bancarias a cuentas en el extranjero.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}