-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nuevo ataque de cadena de suministro mediante Polyfill.io
Publicado: 27/06/2024 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha observado un nuevo ataque a la cadena de suministro que utiliza el servicio Polyfill.io. Después de que una empresa china adquiriera el dominio, la biblioteca JavaScript "Polyfill.js" fue modificada con el objetivo de redirigir a los usuarios a sitios maliciosos y fraudulentos.
Nuevo Backdoor denominado HappyDoor
Publicado: 26/06/2024 | Importancia: Media
Se observó un nuevo Backdoor denominado HappyDoor desarrollado por el actor de amenaza (APT) Kimsuky. Contando con capacidad para evadir la detección y realizar actividades maliciosas y realizar técnicas avanzadas de ofuscación y cifrado.
DBatloader: Cambios en sus Métodos y Nuevas Campañas de Distribución
Publicado: 26/06/2024 | Importancia: Media
A través del monitoreo realizado por parte del Csirt Financiero, se ha identificado un aumento en la actividad de DBatLoader, un loader utilizado por múltiples actores de amenaza para distribuir una variedad de malware. Históricamente asociado con cargas útiles como Vidar Stealer y Ursnif, DBatLoader ahora está entregando ejecutables que contienen Remcos RAT y Formbook, según nuevos indicadores de compromiso descubiertos durante un monitoreo reciente.
El troyano bancario Medusa surge con nuevas capacidades
Publicado: 25/06/2024 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un aumento en la actividad del troyano bancario Medusa. Este troyano, identificado por primera vez en 2020, expandió su alcance rápidamente, afectando a varias instituciones financieras en América del Norte y Europa.
UAC-0184 UTILIZA UNA NUEVA TÉCNICA DE ADMINISTRACIÓN DE WINDOWS
Publicado: 24/06/2024 | Importancia: Media
Durante el monitoreo de actividades recientes maliciosas, el equipo del Csirt financiero detectó actividad reciente del grupo de ciberdelincuentes denominado UAC-0184, haciendo uso de una nueva técnica de ataque llamada GrimResourse, que explota archivos de la consola guardada de administración (MSC) para ejecutar código malicioso mediante Microsoft Management Console (MMC).
Meterpreter opera desde la memoria en lugar del disco duro
Publicado: 23/06/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado Meterpreter que opera exclusivamente en memoria.
Nuevo Stealer denominado Blank Grabber
Publicado: 23/06/2024 | Importancia: Media
se identificó un nuevo Stealer denominado Blank Grabber. Este software malicioso está diseñado para infiltrarse en sistemas con el objetivo de capturar información confidencial y evadir herramientas de antimalware.
Nueva actividad maliciosa del ransomware Blackmatter
Publicado: 23/06/2024 | Importancia: Media
Los analistas del Csirt Financiero han identificado recientemente nuevos indicadores de compromiso asociados con BlackMatter. Estos indicadores incluyen patrones específicos de tráfico de red durante la fase de cifrado de datos, comportamientos anómalos en el acceso a archivos críticos antes del cifrado, y firmas digitales únicas utilizadas en las notas de rescate. Estos hallazgos permiten una detección más temprana y precisa de la actividad de BlackMatter, mejorando así la capacidad de respuesta ante posibles ataques.
Nuevo Backdoor denominado Oyster
Publicado: 22/06/2024 | Importancia: Media
Nuevo Backdoor denominado Oyster
Onnx Store dirigido a cuentas de Microsoft 365 de entidades financieras
Publicado: 21/06/2024 | Importancia: Media
Se ha identificado una nueva plataforma de phishing llamada ONNX Store ha surgido como una amenaza grave para las cuentas de Microsoft 365 en empresas financieras. Este servicio malicioso utiliza archivos PDF con códigos QR para engañar a los empleados, comprometiendo sistemas críticos a través de tácticas sofisticadas y evasivas.
Botnet Zergeca con capacidades avanzadas
Publicado: 20/06/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamado Zergeca.
Nueva actividad maliciosa relacionada con Rafel RAT
Publicado: 20/06/2024 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero en búsqueda de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados, se observó una reciente actividad relacionada con el malware de código abierto denominado Rafel RAT, dirigido a dispositivos Android.
Nuevo software malicioso denominado Fickle Stealer
Publicado: 19/06/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados, se ha identificado un nuevo software malicioso denominado Fickle Stealer, desarrollado en el lenguaje de programación Rust.
Satanstealer, una nueva amenaza cibernética
Publicado: 19/06/2024 | Importancia: Media
El equipo del Csirt Financiero ha identificado recientemente una nueva amenaza cibernética conocida como SatanStealer, que ha surgido como una preocupación significativa en el panorama de la ciberseguridad. Este Stealer fue detectado por primera a principios del presente año, cuando comenzó a ser comercializado en foros de la Deep web.
Nueva actividad maliciosa por parte del actor Markopolo entregando diferentes familias de malware
Publicado: 18/06/2024 | Importancia: Media
Se ha identificado una nueva actividad maliciosa por el actor de amenazas denominado Markopolo, haciendo uso de campañas para capturar información de criptomonedas.
Nueva campaña maliciosa con Hijack loader y Vidar stealer
Publicado: 18/06/2024 | Importancia: Media
En los últimos meses ha surgido nueva actividad maliciosa en el panorama de la ciberseguridad, los ciberdelincuentes están utilizando tácticas sofisticadas para distribuir y ejecutar cargas útiles maliciosas en sistemas operativos. Esta nueva actividad se basa en la distribución de software malicioso o versiones modificadas de software libre, que oculta una carga útil maliciosa conocida como Hijack Loader. El cual es utilizado para propagar Vidar Stealer, un conocido stealer diseñado para capturar datos confidenciales como credenciales financieras y criptomonedas.
Backdoor distribuido mediante sitios web legítimos
Publicado: 17/06/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una actualización falsa de Google Chrome que conlleva a la instalación de BadSpace.
Nuevos artefactos relacionados con VenomRAT
Publicado: 16/06/2024 | Importancia: Media
Mediante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se han observado y recopilado nuevos indicadores de compromiso relacionados con VenomRAT, un troyano de acceso remoto multifuncional, diseñado específicamente para sistemas operativos Windows XP a 10.
NUEVA VARIANTE DE GH0ST RAT, DENOMINADA NOODLE RAT
Publicado: 14/06/2024 | Importancia: Media
Gh0st RAT, conocido también como Rekoobe, se trata de un malware tipo RAT (Remote Access Trojan) utilizado para el control y monitoreo remoto de sistemas infectados. Recientemente, el equipo de analistas del Csirt Financiero detectó una nueva variante de esta amenaza, denominada NOODLE RAT.
Nueva actividad del ransomware Black Basta explotando vulnerabilidad de Windows
Publicado: 13/06/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de nuevas amenazas o campañas maliciosas que puedan impactar la infraestructura tecnológica de los asociados, se observó una nueva actividad relacionada con el ransomware Black Basta.
Nuevo Backdoor Warmcookie en Windows, desplegado a través de phishing
Publicado: 13/06/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, identificó a WARMCOOKIE es una nueva y sofisticada puerta trasera de Windows descubierta recientemente, que se despliega mediante una campaña de phishing con un tema de reclutamiento denominado REF6127.
Nueva campaña de Remcos, captura inicios de sesión mediante archivos UUEncoding
Publicado: 12/06/2024 | Importancia: Media
Se identificó una campaña de distribución del troyano de acceso remoto Remcos RAT, en la que los atacantes utilizan correos electrónicos de phishing disfrazados de comunicaciones comerciales legítimas, como cotizaciones y temas de importación/exportación.
NiceRAT distribuido mediante una Botnet
Publicado: 12/06/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la que distribuyen NiceRAT.
Nueva actividad maliciosa del troyano Qakbot
Publicado: 11/06/2024 | Importancia: Media
Los troyanos bancarios representan una seria amenaza en el ámbito financiero al buscar adquirir información sensible, como credenciales bancarias, billeteras y criptomonedas. El equipo de analistas del Csirt Financiero ha observado nueva actividad maliciosa relacionada con el troyano Qakbot, identificando a su vez nuevos indicadores de compromiso.
Nueva actividad maliciosa relaciona con el Backdoor More_eggs
Publicado: 10/06/2024 | Importancia: Media
Se observó una nueva actividad maliciosa dirigiéndose a sectores de servicios industriales mediante ataque de phishing, haciéndolo pasar por un currículum para entregar el Backdoor More_eggs
Nueva actividad maliciosa del Ransomware ALPHV
Publicado: 09/06/2024 | Importancia: Media
El ransomware ALPHV es utilizado para comprometer y cifrar datos de múltiples organizaciones. Los atacantes emplearon técnicas sofisticadas para obtener acceso inicial y mantener el control de los sistemas comprometidos.
Nueva actividad maliciosa de Riseprostealer
Publicado: 07/06/2024 | Importancia: Media
El equipo del Csirt Financiero ha detectado una nueva campaña de malware que busca instalar el Stealer RisePro en dispositivos de la víctimas. Esta amenaza, identificada por primera vez en 2022, se comercializa a diferentes precios y posee capacidades avanzadas para extraer información confidencial.
Productos BoxedApp es utilizado por actores maliciosos para entregar diferentes familias de malware
Publicado: 06/06/2024 | Importancia: Media
Se observó una nueva actividad maliciosa relacionada con los productos BoxedApp para entregar diferentes familias de malware, principalmente troyanos de acceso remoto, Stealer, Ransomware y entre otros.
Nueva variante del ransomware Knight
Publicado: 05/06/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva variante del ransomware Knight.
Darkgate: el ascenso del troyano de acceso remoto y sus tácticas evolutivas
Publicado: 05/06/2024 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa relacionada con el troyano DarkGate. Desarrollado en Borland Delphi, este malware se ha comercializado como servicio en foros de Deep y Dark Web en ruso desde 2018. DarkGate es un troyano de acceso remoto (RAT) que ofrece diversas funcionalidades, como inyección de procesos, descarga y ejecución de archivos, exfiltración de datos, comandos shell y keylogging.