-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Se identifican nuevas capacidades de Decoy Dog
Publicado: 25/07/2023 | Importancia: Media
Decoy Dog es un kit de herramientas maliciosas basado en el troyano de acceso remoto de código abierto Pupy, que fue identificado por primera vez en abril de 2023, desde entonces, equipos de investigadores le han generado seguimiento con el objetivo de identificar nuevas capacidades del mismo, debido a que es una amenaza muy reciente y poco conocida.
Actores de amenaza aprovechan el entorno Node.js para afectar la cadena de suministro de las entidades
Publicado: 25/07/2023 | Importancia: Media
Durante el primer trimestre del año 2023, investigadores de seguridad identificaron una amenaza cibernética que aprovechaba la herramienta NPM (sistema de gestión de paquetes por defecto para Node.js) con la finalidad de cargar paquetes que alojaban un script, que tiene el propósito de ejecutar software malicioso tras su previa implementación en la infraestructura informática.
Nueva actividad del troyano bancario Casbaneiro con técnicas UAC Bypass.
Publicado: 25/07/2023 | Importancia: Media
A través de fuentes abiertas de informacion el equipo de analistas del CSIRT Financiero ha estado monitoreando activamente diversas fuentes de información en busca de posibles amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de nuestros asociados. Durante nuestras investigaciones, hemos identificado una nueva actividad preocupante relacionada con el troyano bancario Casbaneiro, también conocido como Metamorfo y Ponteiro. Esta amenaza está dirigida específicamente a instituciones financieras y a sus usuarios en América Latina y América del Norte.
Nuevas actualizaciones del troyano bancario Zanubis
Publicado: 24/07/2023 | Importancia: Media
El equipo del CSIRT Financiero ha detectado la actividad del troyano bancario para Android llamado Zanubis, el cual ya ha sido reportado en campañas anteriores en América Latina. Zanubis está diseñado específicamente para dispositivos Android y busca atacar a instituciones financieras y usuarios de criptomonedas.
Luca Stealer: el infostealer en auge que acecha en el panorama de amenazas cibernéticas
Publicado: 23/07/2023 | Importancia: Media
El panorama de amenazas cibernéticas está experimentando una nueva oleada de preocupación debido a la creciente presencia de Luca Stealer, un malware diseñado para capturar información confidencial y datos personales. Los actores de amenaza detrás de esta campaña están aprovechando el entusiasmo generado por los lanzamientos de nuevos productos para llevar a cabo sus planes maliciosos. El reciente descubrimiento de un sitio web de phishing, disfrazado como la plataforma legítima de Microsoft Crypto Wallet, distribuyendo malware disfrazado de aplicaciones genuinas.
Nuevos indicadores de compromiso asociados al troyano Ursa
Publicado: 23/07/2023 | Importancia: Media
Recientemente, se identificó actividad en la cual estaba implicado el troyano URSA observando que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.
Nueva herramienta de cifrado conocida como Attacker-Crypter
Publicado: 23/07/2023 | Importancia: Media
Recientemente se identificó una nueva herramienta de cifrado que ha surgido en el panorama del ciberespacio y que representa una amenaza inminente para la integridad y seguridad de los sistemas y redes objetivo. Esta herramienta se conoce como "Attacker-Crypter" y tiene la capacidad de ofuscar y manipular código malicioso para evadir la detección por parte de las soluciones de seguridad y antivirus.
Nueva amenaza denominada como BundleBot
Publicado: 22/07/2023 | Importancia: Media
Se ha identificado una amenaza denominada BundleBot que recientemente ha estado operando de forma silenciosa, esta abusa del paquete Donet, archivo único se encuentra desarrollado bajo el lenguaje de programación .NET, minimizando la tasa de detección y permitiendo la captura y exfiltración de información sensible alojada en los sistemas operativos comprometidos por parte de los actores de amenaza.
P2PInfect: nuevo gusano Peer-to-Peer que amenaza instancias de Redis en entornos de nube
Publicado: 22/07/2023 | Importancia: Media
Recientemente se identificó un nuevo gusano peer-to-peer (P2P) denominado P2PInfect. Este gusano, escrito en el lenguaje de programación Rust, es altamente escalable y compatible con la nube. P2PInfect se dirige a instancias de Redis, una popular aplicación de base de datos de código abierto ampliamente utilizada en entornos de nube, con presencia en sistemas operativos Linux y Windows.
Ransomware Kanti: una nueva amenaza escrita en lenguaje de programación NIM
Publicado: 22/07/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información y en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó un nuevo ransomware denominado Kanti escrito en lenguaje de programación NIM, lo que permite una ejecución eficiente y la compilación de código en archivos ejecutables adecuados para los sistemas operativos Windows y Linux.
Nueva actividad maliciosa de Raccoon stealer
Publicado: 21/07/2023 | Importancia: Media
El equipo de analistas del CSIRT Financiero ha detectado nuevos indicadores de compromiso en el actual panorama de ciberseguridad. Se ha observado un aumento en las campañas de distribución de Raccoon Stealer, un malware activo desde alrededor de 2019, diseñado para capturar información confidencial, incluidas credenciales de inicio de sesión y detalles financieros.
Nueva variante de AsyncRAT denominada HotRAT
Publicado: 21/07/2023 | Importancia: Media
Recientemente investigadores de seguridad identificaron una nueva amenaza en la naturaleza, la cual fue denominada como HotRAT, además, se identificó que se trata de una variante de la familia de malware conocida como AsyncRAT.
Nueva actividad del grupo Apt FIN8 utilizando el backdoor Sardonic para distribuir el ransomware Blackcat
Publicado: 20/07/2023 | Importancia: Media
A través de fuentes abiertas de información se identificó nueva actividad del grupo de ciberdelincuentes conocido como APT FIN8, el cual está utilizando una versión actualizada de un backdoor denominado Sardonic para distribuir el ransomware BlackCat.
Nueva campaña maliciosa en Latinoamérica con ataque Multi-Fase
Publicado: 19/07/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura tecnológica de los asociados, se identificó nueva actividad del actor de amenaza que fue nombrado como Manipulated Caiman, el cual ha estado activo durante al menos dos años, dirigiéndose principalmente a ciudadanos de México.
Nuevos indicadores de compromiso relacionados con el troyano de acceso remoto NanoCore
Publicado: 18/07/2023 | Importancia: Media
Mediante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información, se identificaron nuevos indicadores de compromiso (IoC) relacionados con el troyano de acceso remoto NanoCore, siendo una amenaza comercializada en varios foros clandestinos.
Ciberdelincuentes utilizan tecnología WebAPK en sus aplicaciones maliciosas para Android
Publicado: 17/07/2023 | Importancia: Media
Recientemente, se ha identificado una nueva estrategia por parte de los actores de amenaza para instalar aplicaciones maliciosas en los dispositivos móviles de las víctimas, donde no se requiere la autorización de permisos por parte del usuario y no genera alertamiento al equipo sobre la descarga de APPs de fuentes no confiables.
Nuevos indicadores de compromiso (IoC) vinculados a Amadey botnet
Publicado: 16/07/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a la botnet Amadey, los cuales indican que los actores de amenaza siguen implementando esta amenaza para sus campañas maliciosas.
Nuevos indicadores de compromiso asociados a Quasar RAT
Publicado: 16/07/2023 | Importancia: Media
Los troyanos de acceso remoto (RAT, por siglas en inglés), son amenazas que permiten al ciberdelincuente ingresar de manera arbitraria al sistema informático objetivo; este tipo de malware es altamente implementado y reconocido en el ecosistema de ciberseguridad.
Nueva amenaza: CustomerLoader, un malware sofisticado para la distribución de múltiples familias de malware
Publicado: 15/07/2023 | Importancia: Media
En el actual panorama de ciberseguridad, la detección y análisis de malware son fundamentales para proteger los sistemas y datos de organizaciones y usuarios. En ese contexto recientemente, se descubrió un nuevo loader denominado CustomerLoader, el cual ha sido objeto de distribución activa por parte de diversos actores de amenazas. El nombre de este malware se debe a la presencia de la cadena "customer" en sus capacidades de carga y comunicaciones de Comando y Control (C2).
Nuevos indicadores de compromiso asociados al troyano bancario QakBot
Publicado: 15/07/2023 | Importancia: Media
Una de las amenazas que más afecta el ecosistema de ciberseguridad en el sector financiero, son los troyanos bancarios, un tipo de malware que tiene como objetivo capturar información sensible y que suele apuntar a datos relacionados con credenciales bancarias, billeteras y criptomonedas.
Nueva campaña activa del APT Lazarus distribuyendo amenazas personalizadas actualizadas
Publicado: 14/07/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, se identificó una campaña activa hasta la fecha y dirigida a India, Sudáfrica y Colombia por el APT Lazarus, un grupo de amenazas cibernéticas patrocinado por el estado de Corea del Note; donde los adversarios utilizan aplicaciones troyanizadas con puertas traseras para acceder a los sistemas objetivos.
Grupo cibercriminal TeamTNT dirigen sus campañas a la captura de credenciales de acceso para Azure y Google Cloud
Publicado: 13/07/2023 | Importancia: Media
Recientemente, actores de amenaza identificados como TeamTNT han sido vinculados a campañas maliciosas que tiene la finalidad de capturar credenciales de acceso asociadas a los servicios de Microsoft Azure y Google Cloud Plataform (GCP).
Nuevos indicadores de compromiso relacionados con el RAT Ave Maria
Publicado: 13/07/2023 | Importancia: Media
Mediante el monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se identificaron nuevos indicadores de compromiso (IoC) relacionados con el troyano de acceso remoto (RAT) Ave Maria, una amenaza altamente sofisticada que afecta a sistemas operativos Windows y se caracteriza por su capacidad para tomar el control completo de los sistemas infectados de forma remota.
Nueva actividad del troyano LokiBot: explotación de vulnerabilidades en documentos de Microsoft Office.
Publicado: 12/07/2023 | Importancia: Media
En el ámbito de la seguridad informática, es fundamental estar al tanto de las amenazas emergentes y las tácticas utilizadas por los ciberdelincuentes para infiltrarse en los sistemas. Recientemente, se ha descubierto una serie de documentos maliciosos de Microsoft Office que aprovechan vulnerabilidades conocidas, en particular, CVE-2021-40444 y CVE-2022-30190, que son vulnerabilidades de ejecución remota de código. Estas vulnerabilidades permitieron a los atacantes insertar macros maliciosas en los documentos de Microsoft, lo que resultó en la instalación del troyano LokiBot en el sistema de las víctimas.
NokNok: La nueva amenaza para sistemas MacOS distribuida por el APT Charming Kitten
Publicado: 11/07/2023 | Importancia: Media
En el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó una nueva amenaza llamada NokNok dirigida a sistemas macOS y distribuida por el grupo de ciberdelincuentes conocido como APT Charming Kitten (APT42 o Phosphorus). Este grupo ha estado activo desde al menos 2014 y se cree que opera desde Irán.
Letscall: nuevo kit de herramientas de Vishing
Publicado: 10/07/2023 | Importancia: Media
El Vishing, ha experimentado un aumento en popularidad en los últimos años, lo que ha llevado a una disminución de la confianza en las llamadas de números desconocidos. Este fenómeno ha llevado a que las personas sean cautelosas al recibir llamadas de supuestos empleados bancarios, ya que existe una alta posibilidad de que sean estafadores. En este contexto, ha surgido un grupo de aplicaciones maliciosas llamado "Letscall" que se dirige principalmente a personas en Corea del Sur, pero que podría expandirse a otros países. Este grupo de amenazas utiliza un framework completo que proporciona instrucciones y herramientas para operar los dispositivos afectados y comunicarse con las víctimas.
Nueva actividad de la botnet Truebot en América del Norte.
Publicado: 10/07/2023 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, en busca de nuevas amenazas o actividades maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron nuevas campañas maliciosas relacionadas con Truebot dirigidas a diversas organizaciones en los Estados Unidos y Canadá.
El auge del troyano TOITOIN y su cadena de infección sofisticada que afecta a entidades en América Latina
Publicado: 09/07/2023 | Importancia: Media
En el mundo en constante cambio de las amenazas cibernéticas, ha surgido recientemente una nueva y sofisticada campaña de ataque dirigido en la región de América Latina (LATAM). Esta campaña utiliza un troyano de múltiples etapas llamado TOITOIN, con módulos diseñados específicamente en cada etapa para llevar a cabo actividades maliciosas. Este troyano se destaca por su técnica única de descifrado XOR, que utiliza para decodificar su archivo de configuración y recopilar información crucial del sistema y datos relacionados con los navegadores instalados.
Nuevos indicadores de compromiso vinculados al stealer Vidar
Publicado: 09/07/2023 | Importancia: Media
A través del monitoreo a ciberamenazas que puedan afectar el ecosistema del sector financiero, recientemente se identificaron nuevos indicadores de compromiso vinculados a la familia de malware Vidar stealer, una amenaza que se encuentra vigente en Colombia y que continua sus operaciones de afectación.
Nuevos indicadores de compromiso relacionados con el troyano FormBook
Publicado: 08/07/2023 | Importancia: Media
En el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan generar afectaciones en la infraestructura de los asociados, se identificaron y recopilaron nuevos indicadores de compromiso relacionados con FormBook, un troyano Infostealer que se ha vuelto cada vez más frecuente en los ataques cibernéticos recientes. Esta amenaza está disponible como Malware as a Service "malware como servicio", lo que permite que atacantes con pocos conocimientos técnicos y de programación utilicen este malware para capturar diversa información sensible.