-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
El ransomware BlackCat implementa nuevas herramientas.
Publicado: 17/08/2023 | Importancia: Media
Dentro de las últimas actualizaciones que se observan en el mundo de la ciberseguridad, es constante la implementación de nuevas herramientas destinadas a generar afectaciones en la tecnología y el sector financiero. En estas nuevas versiones, el equipo del Csirt identificó Sphynx, una variante del ransomware BlackCat que se evidenció a principios del año 2023. En esta ocasión, se han incorporado nuevas herramientas para llevar a cabo movimientos laterales y conexiones remotas.
Nueva variante de Gigabud RAT denominada Gigabud.Loan
Publicado: 16/08/2023 | Importancia: Media
En el primer semestre de 2023, el sector financiero de países como Tailandia, Indonesia, Vietnam, Filipinas y Perú ha sido blanco de ataques de seguridad. Estos ataques involucran Gigabud.loan, una versión del troyano bancario Gigabud RAT, que se activa de manera discreta siguiendo órdenes precisas de los ciberdelincuentes. Esta amenaza realiza acciones como grabar pantallas y simular notificaciones de préstamos para capturar información bancaria.
QwixxRAT nuevo troyano de acceso remoto
Publicado: 14/08/2023 | Importancia: Media
El equipo Csirt ha descubierto una amenaza, QwixxRAT, un troyano de acceso remoto sigiloso que capturada datos confidenciales de sistemas Windows. Se adquiere en redes sociales como Telegram y Discord con suscripciones semanales o permanentes.
Nueva versión de LummaC Stealer distribuye Amadey bot y descarga software malicioso adicional
Publicado: 13/08/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad relacionada con el Stealer conocido como LummaC, específicamente en su versión 19.07.
Nueva variante de RAT conocida como Janela, dirigida a entidades financieras en la región
Publicado: 13/08/2023 | Importancia: Media
Durante el segundo trimestre del presente año, investigadores de seguridad identificaron una nueva amenaza conocida como JanelaRAT, una variante de un troyano previamente conocido como BX RAT, la cual está siendo dirigida a usuarios y/o entidades FinTech (Tecnología Financiera) de Latinoamérica.
Nuevos indicadores de compromiso (IoC) de Remcos RAT
Publicado: 12/08/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó nuevos indicadores de compromiso (IoC) de Remcos RAT, un troyano de acceso remoto, que surgió en el año 2016, el cual incorpora técnicas avanzadas de ofuscación.
El troyano de acceso remoto AgentTesla se distribuye mediante archivos de panel de control (CPL)
Publicado: 11/08/2023 | Importancia: Media
A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar la infraestructura tecnológica de los asociados, se identificó recientemente una actividad relacionada con AgentTesla RAT junto con archivos de panel de control (CPL) adjuntos a mensajes de correos electrónicos tipo phishing.
Nueva amenaza denominada Statc de tipo stealer
Publicado: 10/08/2023 | Importancia: Media
Recientemente, el equipo del Csirt Financiero observó una amenaza dirigida al sector bancario, un malware de tipo stealer denominado Statc. Durante la investigación se identificó que afecta a equipos con sistemas operativo Microsoft Windows. Este stealer se basa en el uso de la técnica malvertising, los actores de amenaza hacen uso de anuncios para atraer a sus víctimas.
Nueva campaña que distribuye múltiples familias de malware
Publicado: 09/08/2023 | Importancia: Media
Recientemente, investigadores de seguridad identificaron diversas campañas maliciosas que tienen el objetivo de distribuir múltiples archivos que contienen las cargas útiles de diferentes familias de malware como el troyano de acceso remoto CraxsRAT, ransomware Chaos, entre otros.
Nueva actividad maliciosa del ransomware Rhysida afectando organizaciones de América latina
Publicado: 08/08/2023 | Importancia: Media
En el panorama de la ciberseguridad, surge una amenaza de relevancia denominada Rhysida, un ransomware recientemente identificado que opera bajo el modelo Ransomware-as-a-Service (RaaS). Desarrollado en C++ y compilado con MinGW, este malware presenta un perfil técnico destacado. Su capacidad para generar archivos binarios eficientes, apoyado en la biblioteca criptográfica LibTomCrypt, otorga al ransomware una robusta capacidad de cifrado.
Nuevos indicadores de compromiso asociados al troyano DarkCrystal
Publicado: 07/08/2023 | Importancia: Media
La amenaza cibernética DarkCrystal, también conocida como DcRAT es un troyano de acceso remoto que está dotado de altas capacidades que le permiten impactar a los pilares fundamentales de la seguridad informática como la captura y exfiltración de data sensible, tener control sobre la infraestructura tecnológica comprometida, entre otros.
Nueva variante del troyano SkidMap dirigida a servidores Redis
Publicado: 07/08/2023 | Importancia: Media
A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del CSIRT Financiero identificó que los servicios vulnerables de Redis han sido atacados por una variante nueva y peligrosa de un Troyano llamado SkidMap que está diseñado para atacar una amplia gama de distribuciones de Linux.
Grupo APT BlueCharlie actualiza su infraestructura para sus campañas maliciosas
Publicado: 06/08/2023 | Importancia: Media
Luego de conocer las tácticas, técnicas e infraestructura empleada por el grupo cibercriminal BlueCharlie, también conocido como Blue Callisto, Callisto, COLDRIVER, Star Blizzard, SEABORGIUM y/o TA446, este grupo APT se encargó de actualizar sus métodos y servicios con la finalidad de seguir afectando a diferentes organizaciones a nivel mundial.
Nuevos indicadores del troyano Iced ID
Publicado: 06/08/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso asociados al troyano bancario IcedID, una amenaza de alta sofisticación. Este troyano está diseñado para adquirir información financiera valiosa, como credenciales bancarias y números de tarjetas de crédito. Además, opera como una puerta trasera que permite a los atacantes acceder de forma remota a sistemas infectados y llevar a cabo actividades adicionales, como la instalación de software malicioso.
Nuevo rootkit identificado como Reptile
Publicado: 05/08/2023 | Importancia: Media
Recientemente investigadores de seguridad identificaron campañas maliciosas dirigidas a Corea del sur donde los cibercriminales emplean una nueva amenaza de código abierto denominada Reptile, un rootkit con altas capacidades que es compatible para ser desplegado en sistemas operativos Linux.
El cargador GuLoader es distribuido mediante facturas fiscales y hojas de ruta disfrazadas.
Publicado: 04/08/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una nueva actividad del cargador GuLoader el cual está siendo distribuido mediante correos electrónicos que contienen archivos adjuntos disfrazados de facturas fiscales y hojas de ruta, estas hojas acompañan al contrato de transporte de mercancías que se realiza entre un expedidor y el transportista.
Nueva versión del troyano de acceso remoto STRRAT implementa técnicas de ofuscación.
Publicado: 03/08/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, en busca de amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó la nueva versión 1.6 de STRRAT, un troyano de acceso remoto basado en Java, que surgió en el año 2020, la cual fue actualizada y mejorada incorporando técnicas avanzadas de ofuscación de cadenas.
Se identifica nueva actividad del troyano bancario Anatsa de Android
Publicado: 02/08/2023 | Importancia: Media
Se identifico el troyano bancario Anatsa el cual se encuentra presente en diferentes aplicaciones para Android que se hacen pasar por benignas o legitimas como lectores de PDF y otras de administración de archivos.
Nueva actividad maliciosa del troyano bancario Spynote
Publicado: 01/08/2023 | Importancia: Media
Se ha observado una reciente campaña que tiene como objetivo la distribución del troyano bancario para Android conocido como SpyNote. Dirigido específicamente a clientes de diferentes bancos en Europa, esta amenaza se propaga mediante sofisticadas estrategias de phishing y smishing, permitiendo a los atacantes acceder a datos confidenciales, realizar fraudes bancarios y tomar el control remoto de los dispositivos de las víctimas.
Nuevo dowloader denominado Wikiloader
Publicado: 01/08/2023 | Importancia: Media
El equipo del Csirt ha observado un nuevo loader denominado WikiLoader que ha sido detectado en varias campañas dirigidas específicamente a organizaciones financieras en Italia. Este está relacionado a el actor de amenaza(TA) conocido como TA544.
Nueva Backdoor denominada Submarine
Publicado: 31/07/2023 | Importancia: Media
La agencia de defensa cibernética americana (CISA) dio a conocer mediante un informe la existencia de actores de amenaza que se encuentran implementando una backdoor denominada Submarine en ataques donde se explota una vulnerabilidad conocida como CVE-2023-2868, la cual está asociada al servicio Barracuda Email Security Gateway.
XWorm utiliza LOLBins en una compleja cadena de infección
Publicado: 30/07/2023 | Importancia: Media
En el panorama actual de ciberseguridad, los actores de amenazas han perfeccionado sus estrategias para llevar a cabo ataques maliciosos de manera cada vez más sigilosa y sofisticada. Entre las tácticas más utilizadas se encuentran los ataques de varias etapas, que buscan aumentar la probabilidad de éxito en la entrega de su carga maliciosa y eludir la detección de las soluciones antivirus. Recientemente, se identificó el RAT XWorm, que destaca por su método novedoso de propagación y su sofisticado enfoque de ataque de varias etapas mediante el uso de LOLBins (Living Off the Land Binaries), que son binarios legítimos del sistema.
Atacantes maliciosos explotan el controlador de protocolo URI "search-ms" para distribuir cargas maliciosas
Publicado: 30/07/2023 | Importancia: Media
Se ha descubierto una técnica de ataque novedosa que utiliza el controlador de protocolo URI "search-ms" para dirigir a los usuarios a sitios web comprometidos mediante JavaScript alojado en la página o archivos adjuntos HTML.
Nueva campaña maliciosa utilizando archivos CHM para distribuir amenazas de tipo Infostealer
Publicado: 29/07/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a impactar en la infraestructura tecnológica de los asociados, se identificó una nueva actividad maliciosa donde los ciberdelincuentes utilizan archivos CHM para distribuir Infostealer y comprometer la seguridad de los sistemas informáticos.
Nuevas actualizaciones del troyano IcedID
Publicado: 29/07/2023 | Importancia: Media
Durante el proceso de monitoreo realizado por el equipo de analistas Csirt Financiero, se han identificado nuevos indicadores de compromiso (IoC) vinculados al troyano bancario IcedID, el cual ha experimentado notables modificaciones en su módulo BackConnect (BC) utilizado para actividades posteriores al compromiso en sistemas comprometidos.
Nueva actividad maliciosa del troyano bancario BankBot
Publicado: 28/07/2023 | Importancia: Media
Dentro de las amenazas identificadas por el equipo de analistas del Csirt Financiero, se han detectado varios tipos de troyanos que suelen ser utilizados por diversos grupos de cibercriminales debido a sus diversas capacidades. Entre estas amenazas, los troyanos bancarios para dispositivos móviles son los más frecuentemente utilizados por los actores de amenaza. Recientemente, durante un monitoreo, el equipo del Csirt identificó nuevos indicadores de compromiso relacionados con el troyano bancario denominado BankBot.
Nuevos indicadores de compromiso relacionados con DcRAT
Publicado: 27/07/2023 | Importancia: Media
A través del minucioso trabajo de rastreo y vigilancia llevado a cabo por los expertos del Csirt Financiero, se han descubierto recientemente nuevos indicadores de compromiso relacionados con la temida amenaza conocida como DcRAT. Esta peligrosa herramienta es utilizada por ciberdelincuentes para tomar control remoto de sistemas comprometidos y llevar a cabo actividades maliciosas, incluyendo la recolección de información confidencial, la ejecución de comandos y la implantación de archivos con software malicioso.
Nitrogen: Una campaña maliciosa que abusa de anuncios en Google y Bing para propagar malware
Publicado: 26/07/2023 | Importancia: Media
La ciberseguridad es una preocupación cada vez mayor en el mundo digital actual, y los ciberdelincuentes continúan desarrollando tácticas sofisticadas para infiltrarse en redes corporativas y comprometer la información confidencial. Una de las últimas amenazas destacadas es la campaña de malware 'Nitrogen', que ha utilizado anuncios de búsqueda de Google y Bing para distribuir software falso y propagar cargas maliciosas.
Ransomware Rhysida y sus métodos operativos
Publicado: 26/07/2023 | Importancia: Media
Rhysida es una amenaza de tipo ransomware que fue identificada recientemente y operada como Ransomware-as-a-Service (RaaS), que se encuentra desarrollado en C++ y compilado utilizando MinGW, la cual es una herramienta para desarrolladores que desean crear o portar aplicaciones a la plataforma de Windows utilizando las herramientas y bibliotecas del sistema GNU.
Amenaza emergente: Cookie Stealer acecha en falsos instaladores de Microsoft Visual Studio
Publicado: 26/07/2023 | Importancia: Media
Microsoft Visual Studio, el popular entorno de desarrollo integrado (IDE) utilizado por muchos desarrolladores, ha atraído la atención de ciberdelincuentes que buscan aprovechar su amplia adopción. Estos atacantes han creado instaladores maliciosos que se hacen pasar por legítimos, lo que expone a los usuarios desprevenidos a software malicioso. En ese contexto, se descubrió un instalador falso de Visual Studio que, disfrazado como auténtico, que contiene un infostealer denominado Cookie Stealer.