Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nuevo troyano bancario denominado HelloTeacher
Publicado: 06/06/2023 | Importancia: Media
En el ecosistema de ciberseguridad en el sector financiero, los actores de amenaza implementan diversas familias de malware que tienen como propósito recopilar información bancaria de las víctimas para beneficio económico propio; estas amenazas son comúnmente conocidas como troyanos bancarios.
CMDStealer, operación dirigida al sector financiero
Publicado: 05/06/2023 | Importancia: Media
Un desconocido actor de amenazas con objetivos financieros está desplegando campañas maliciosas a países como Portugal, México y Perú, con la finalidad de exfiltrar información bancaria de sus víctimas, dentro de las cuales se encuentran las credenciales de acceso. Para ello, emplean una táctica conocida como LOLBaS (Living Off the Land Binaries and Scripts) la cual se basa en la manipulación de binarios legítimos de los sistemas operativos para lograr sus actividades maliciosas, además, los cibercriminales se apoyan con scripts basados en CMD para comprometer la información de la víctima.
Nueva actividad maliciosa relacionada con la Botnet TrueBot.
Publicado: 04/06/2023 | Importancia: Media
A través de monitoreo constante a diversas fuentes de información, el equipo de analistas del Csirt Financiero identificó actividades recientes del software malicioso denominado TrueBot, botnet de descarga que ha estado activa desde el 2017.
NoEscape RaaS: amenaza dual para sistemas Windows y Linux
Publicado: 04/06/2023 | Importancia: Media
Recientemente, se ha descubierto una nueva iniciativa de Ransomware-as-a-Service (RaaS) llamada 'NoEscape'. Esta nueva amenaza fue promocionada en un foro de cibercrimen a finales de mayo de 2023, y sus creadores buscaban activamente afiliados para unirse a su red. NoEscape ofrece a los afiliados una variedad de opciones de construcción de ejecutables de ransomware para sistemas Windows y Linux.
IOC recientes del troyano IcedID
Publicado: 04/06/2023 | Importancia: Media
Durante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.
Nuevos IoC relacionados con el troyano de acceso remoto NjRAT
Publicado: 03/06/2023 | Importancia: Media
Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información abiertas, en busca de campañas, artefactos o nuevas amenazas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron indicadores de compromiso recientes y relacionados con el troyano de acceso remoto NjRAT.
Makop Ransomware: Un peligroso actor de amenazas en constante evolución
Publicado: 02/06/2023 | Importancia: Media
En el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.
Campaña de ciberataque "Horabot" amenaza a usuarios de habla hispana en América Latina
Publicado: 01/06/2023 | Importancia: Media
Una campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.
IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos Linux
Publicado: 31/05/2023 | Importancia: Media
Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.
Nuevos indicadores de compromiso asociados a LockBit y su versión 3.0
Publicado: 31/05/2023 | Importancia: Media
A través del monitoreo realizado a diversas fuentes de información en búsqueda de nuevas amenazas o campañas que puedan afectar el ecosistema de ciberseguridad del sector financiero, se identificaron nuevos indicadores de compromiso relacionados a LockBit y su versión 3.5.
SeroXen: Un nuevo y evasivo troyano de acceso remoto (RAT)
Publicado: 30/05/2023 | Importancia: Media
SeroXen es un nuevo troyano de acceso remoto (RAT) que ha ganado popularidad en 2023. Se presenta como una herramienta legítima que proporciona acceso a los equipos objetivo sin ser detectado por solo $30 al mes o $60 de por vida. Es una RAT sin archivos que combina proyectos de código abierto como Quasar RAT, r77-rootkit y NirCmd. Este RAT evita la detección en análisis estáticos y dinámicos, lo que lo convierte en una amenaza preocupante.
Identificada una nueva familia de ransomware con el nombre de xCor
Publicado: 30/05/2023 | Importancia: Media
xCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.
Nuevo ransomware denominado Rhysida
Publicado: 30/05/2023 | Importancia: Media
Recientemente, se ha identificado un nuevo ransomware denominado como Rhysida, el cual ha sido atribuido a un incidente relacionado con el ejército de Chile, donde ha afectado sus servicios y disponibilidad.
Nueva amenaza denominada PixBankBot afecta al sector bancario
Publicado: 29/05/2023 | Importancia: Media
Mediante un monitoreo realizado a través de diferentes fuentes de información, el equipo de analistas del Csirt Financiero, identificó una nueva amenaza denominada PixBankBot dirigido en principio a bancos brasileños; este software malicioso utiliza el framework del Sistema de Transferencia Automatizado (ATS), lo que le permite malicioso realizar transacciones fraudulentas en los dispositivos de las víctimas.
Bandit Stealer: el nuevo InfoStealer que apunta a navegadores y billeteras de criptomonedas
Publicado: 28/05/2023 | Importancia: Media
Bandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.
Nueva amenaza denominada PowerExchange
Publicado: 28/05/2023 | Importancia: Media
PowerExchange es una amenaza identificada recientemente, la cual se encuentra desarrollada bajo PowerShell y con el objetivo de penetrar en servidores de Microsoft Exchange que se encuentre expuestos en la internet o de forma local.
LockBit 3.0: utiliza la técnica de inyección EWM para propagar el ransomware
Publicado: 27/05/2023 | Importancia: Media
En la actualidad, el mundo digital enfrenta constantemente nuevas amenazas de malware que buscan infiltrarse en sistemas y comprometer la seguridad de la información. Recientemente, se ha detectado una nueva variante del ransomware LockBit que utiliza una técnica de infección conocida como EWM (Exploit Windows Memory). Esta técnica ha sido utilizada previamente por otras familias de malware como Gapz y PowerLoader.
Nuevos indicadores de compromiso asociados a Vidar stealer
Publicado: 26/05/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado, nuevos indicadores de compromiso asociados a Vidar stealer, una amenaza que es reconocida en el ámbito de ciberseguridad en Colombia debido a sus diversas afectaciones al sector financiero.
Buhti: La amenaza emergente que aprovecha vulnerabilidades y utiliza variantes filtradas de ransomware LockBit y Babuk
Publicado: 25/05/2023 | Importancia: Media
En el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.
Operación Magalenha: Amenaza brasileña dirigida a instituciones financieras portuguesas
Publicado: 24/05/2023 | Importancia: Media
Un actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.
Evolución del Downloader Guloader
Publicado: 24/05/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.
BlackByte NT: La nueva versión del ransomware BlackByte
Publicado: 23/05/2023 | Importancia: Media
BlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.
Nueva campaña maliciosa del ransomware Black Basta
Publicado: 23/05/2023 | Importancia: Media
A medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.
BlackCat: Ataques de ransomware potenciados por controladores maliciosos
Publicado: 22/05/2023 | Importancia: Media
Recientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.
Nuevos IoC asociados al troyano de acceso remoto AveMaria
Publicado: 22/05/2023 | Importancia: Media
AveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.
Nuevos indicadores de compromiso asociados a Bumblebee
Publicado: 22/05/2023 | Importancia: Media
A través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.
Actualización de IoC asociados a NetSupport RAT
Publicado: 21/05/2023 | Importancia: Media
NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.
Nuevos indicadores de compromiso relacionados a la botnet Amadey
Publicado: 21/05/2023 | Importancia: Media
Amadey se caracteriza por su capacidad para capturar información confidencial como contraseñas, datos bancarios y credenciales de inicio de sesión, así como realizar acciones no autorizadas en el sistema infectado.
El ransomware Clop es distribuido por el grupo APT Fin7
Publicado: 20/05/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.
MalasLocker: Ransomware enfocado en servidores Zimbra
Publicado: 20/05/2023 | Importancia: Media
Una nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.