-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nuevos artefactos del troyano bancario IcedID
Publicado: 29/07/2022 | Importancia: Media
Aunque el troyano bancario IcedID, ha sido reportado en ocasiones anteriores, los ciberdelincuentes mantienen en constantes actualizaciones de los artefactos utilizados en nuevas campañas y ataques que pueden llegar afectar entidades y organizaciones; en esta ocasión el equipo de analistas del Csirt Financiero identifico nuevos indicadores de compromiso (IoC) de IcedID, el cual está dirigido a sistemas operativos Windows.
Ransomware Monster implementa interfaz gráfica avanzada
Publicado: 28/07/2022 | Importancia: Media
Los ciberdelincuentes, mediante nuevas técnicas y tácticas realizan constantes actualizaciones en sus campañas, desarrollando nuevas amenazas que pueden afectar entidades y organizaciones; el equipo de analistas del Csirt Financiero identificó una nueva actualización del ransomware Monster, el cual es uno de los primeros en contar con una interfaz gráfica avanzada del usuario (GUI), que para los actores de amenaza lo hace mucho más sencillo y accesible al momento de realizar un ataque.
Campaña de phishing refleja páginas legítimas de organizaciones para exfiltrar credenciales de acceso
Publicado: 27/07/2022 | Importancia: Media
Recientemente se ha detectado una campaña masiva de phishing que tiene como objetivo la captura y exfiltración de credenciales de acceso a cuentas de correos corporativas, esto se realiza a través la generación de sitios web que suplantan a portales de organizaciones legítimas, esta actividad se encuentra dirigida a cuentas de correo de Google.
Nueva campaña de distribución de RedLine Stealer
Publicado: 27/07/2022 | Importancia: Media
El equipo de analista del Csirt Financiero a través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, ha identificado una nueva campaña de distribución de Redline Stealer, la cual está dirigida a equipos con sistema operativo Microsoft Windows.
Amenaza dirigida a cuentas Business de Facebook denominada Ducktail
Publicado: 26/07/2022 | Importancia: Media
Amenaza dirigida a cuentas Business de Facebook denominada Ducktail
Nueva actividad maliciosa del grupo APT Armageddon, relacionado al conflicto entre Rusia y Ucrania
Publicado: 26/07/2022 | Importancia: Media
En los últimos meses del presente año, varios grupos de ciberdelincuentes se han aprovechado del conflicto armado entre Rusia y Ucrania creando campañas tipo phishing destinadas a la descarga de archivos adjuntos maliciosos; el equipo de analistas del Csirt Financiero identificó una nueva actividad del grupo APT Armageddon también conocido como UAC-0010 y Gamaredon el cual está distribuyendo correos electrónicos aparentemente provenientes de la Academia Nacional de Seguridad de Ucrania.
Actores de amenaza desarrollan exploits para la vulnerabilidad CVE-2022-24521
Publicado: 26/07/2022 | Importancia: Media
Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.
Evolución del Ransomware Black Basta
Publicado: 25/07/2022 | Importancia: Media
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero comparte un análisis de la evolución de Black Basta, ransomware dirigido a diferentes sectores en los cuales encontramos al financiero. Tiene como objetivo el cifrado de información y con esto lograr beneficios económicos para los ciberdelincuentes.
Nuevos artefactos relacionados con DCRat vistos en numerosas campañas desde el mes de abril
Publicado: 25/07/2022 | Importancia: Media
El troyano de acceso remoto (RAT) DarkCrystal también conocido como DCRat, se desarrolla activamente dado que es ofrecido con el modelo de negocio MaaS (Malware as a Service) por lo que los actores de amenazas implementan mejoras en su código para continuar ofreciendo otras capacidades a sus compradores; además el modelo de venta es a través de foros de la Darknet particularmente los de habla rusa, por precios asequibles para cualquier ciberdelincuente.
Microsoft dejará de brindar soporte a Windows Server 20H2
Publicado: 24/07/2022 | Importancia: Alta
El fabricante de tecnología Microsoft ha informado la fecha en la cual dejará de brindar soporte a el sistema Windows Server 20H2, esto se hará oficial a partir de 9 de agosto del presente año.
Nuevos indicadores de compromiso asociados a Remcos Rat en el mes de julio
Publicado: 24/07/2022 | Importancia: Media
Aunque el troyano acceso remoto Remcos RAT ha sido reportado en ocasiones anteriores, su actividad es persistente en el ciberespacio; dado que los ciberdelincuentes continúan en constantes actualizaciones de nuevas campañas, donde se han observado nuevos indicadores de compromiso (IOC) de esta amenaza que se dirige a equipos con sistema operativo Microsoft Windows.
Nuevos artefactos relacionados con Konni RAT hacen parte de ataques cibernéticos dirigidos por APT37
Publicado: 23/07/2022 | Importancia: Media
APT37 es un grupo de delincuentes informáticos, cuya financiación es realizada por el gobierno de Corea del Norte y ha estado activo desde principios de 2012, este APT es conocido por tener como objetivos organizaciones de alto valor como las del sector financiero; recientemente se le atribuye una nueva campaña en curso dirigida a países de la unión europea en la que infectan a sus víctimas con el troyano de acceso remoto (RAT) Konni.
Nueva actividad maliciosa asociada a QuasarRAT
Publicado: 23/07/2022 | Importancia: Media
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de QuasarRat, identificado por primera vez en 2015 y escrito en lenguaje de programación .NET el cual afecta a sistemas operativos Microsoft Windows.
Nueva variante del troyano bancario BRATA, denominado Amextroll
Publicado: 22/07/2022 | Importancia: Media
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario BRATA, el cual se actualizó agregando nuevas funcionalidades de evasión y ofuscación; además, es distribuido en foros clandestinos como una versión de prueba bajo el nombre Amextroll.
Nueva actividad maliciosa atribuida al APT Evilnum
Publicado: 21/07/2022 | Importancia: Media
En el monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del grupo de amenaza persistente avanzada (APT, por sus siglas en inglés) Evilnum, donde están distribuyendo un backdoor bajo este mismo nombre, esta familia de malware posee características de evasión y detección de motores antimalware.
Nueva variante del troyano bancario QakBot
Publicado: 20/07/2022 | Importancia: Media
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, el equipo de analistas del Csirt Financiero ha identificado una nueva variante del troyano bancario denominado QakBot también conocido como QBot, QuackBot, o Pinkslipbot, este se dirige a equipos con sistema operativo Microsoft Windows.
Nuevas actividades asociadas al grupo APT29
Publicado: 19/07/2022 | Importancia: Media
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevas actividades por parte del grupo ruso APT29 (Cozy Bear), suelen emplear técnicas de phishing, spearphishing o enlaces adjuntos en correos electrónicos que tienen como objetivo comprometer y exfiltrar información de las víctimas.
Nuevo spyware denominado CloudMensis dirigido a usuarios de Apple
Publicado: 19/07/2022 | Importancia: Media
Se ha descubierto recientemente un nuevo spyware denominado CloudMensis dirigido a equipos con sistema operativo MacOS; los ciberdelincuentes emplean servicios de almacenamiento en nube como un C2 (servidor de comando y control) para desplegar su operación sobre su objetivo.
Nueva actividad maliciosa atribuida a Magecart
Publicado: 19/07/2022 | Importancia: Media
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nueva actividad asociada a Megacart, grupo de ciberdelincuentes que tienen como objetivo la captura y exfiltración de datos bancarios asociados a tarjetas de crédito.
Nueva variante del troyano Joker, denominada Autolycos
Publicado: 18/07/2022 | Importancia: Media
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva variante del troyano Joker, el cual afecta a dispositivos Android y es denominado Autolycos.
Ataque DDOS dirigido a usuarios de CloudFlare a través de la botnet Mantis
Publicado: 18/07/2022 | Importancia: Media
Un nuevo ataque por parte de la botnet Mantis ha sido identificado, este se dirigió a clientes de Cloudflare y tiene como objetivo generar afectación a la infraestructura tecnológica y los servicios de esta entidad.
Campaña de phishing suplanta a la aplicación de servicio al cliente de entidad financiera en India
Publicado: 17/07/2022 | Importancia: Media
A través del monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una campaña de phishing que descarga una aplicación que suplanta el servicio al cliente de una entidad financiera en India; esta APP captura y reenvía los mensajes de texto hacia los ciberdelincuentes.
Nuevos indicadores de compromiso asociados al troyano Grandoreiro
Publicado: 17/07/2022 | Importancia: Media
A través del monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) asociados a Grandoreiro, troyano bancario procedente de Brasil desarrollado con el objetivo de exfiltrar información bancaria a través de superposición de ventanas que suplantan a una entidad bancaria, además, de la implementación de una puerta trasera desde la cual recibe nuevas instrucciones y actualizaciones al mismo por parte de comando y control.
Nuevo ransomware denominado BlueSky
Publicado: 17/07/2022 | Importancia: Media
En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado un nuevo ransomware denominado BlueSky.
Nueva actividad del grupo APT H0lyGh0st
Publicado: 16/07/2022 | Importancia: Media
Los grupos APT (Advanced Persistent Threat, por sus siglas en inglés) son parte de la naturaleza de la constante ciberguerra que se confronta en la red, en la mayoría de los casos estos actores maliciosos son financiados por los gobiernos de muchos países que se suman a los constantes ataques cibernéticos para capturar información confidencial, afectar infraestructuras críticas como parte de estrategias para ganar poder; de ese modo, se ha visto un nuevo APT denominado H0lyGhost, de origen norcoreano que está llevando a cabo una serie de campañas maliciosas dirigidas a pequeñas y medianas empresas a nivel global, en las cuales buscan infectar a sus víctimas con el ransomware que lleva su nombre.
Nuevo RAT dirigido a Android denominado AIRAVAT
Publicado: 16/07/2022 | Importancia: Media
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó a AIRAVAT, RAT multifuncional dirigido a Android con el objetivo de capturar y exfiltrar información como registro de llamadas, capturas de pantalla, mensajes de texto, entre otros, además, posee características para emplear funciones de tipo ransomware.
ApolloRAT una amenaza en crecimiento compilada con Nuikta
Publicado: 15/07/2022 | Importancia: Media
El panorama de amenazas en la actualidad se encuentra en constante evolución ya que los actores de amenazas desarrollan nuevas familias de malware con capacidades útiles para los ciberdelincuentes que las emplean para perpetrar ataques sobre infraestructuras críticas; asimismo, la venta de malware es un negocio encontrado en diferentes foros de la Deep y Dark Web, en ese orden de ideas, se ha observado un nuevo troyano de acceso remoto denominado ApolloRAT que es ofrecido por $15 dólares.
Nuevas TTP asociadas al troyano de acceso remoto NJRAT
Publicado: 14/07/2022 | Importancia: Media
Uno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.
Nueva campaña asociada al troyano bancario Anubis
Publicado: 13/07/2022 | Importancia: Media
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Anubis, el cual afecta dispositivos móviles Android y que tiene como objetivo capturar y exfiltrar datos bancarios que incluyen credenciales de APP bancarias, números de tarjetas de crédito y débito.
Nuevos indicadores de compromiso asociados a MedusaLocker
Publicado: 11/07/2022 | Importancia: Media
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a MedusaLocker, ransomware distribuido con la finalidad de cifrar datos, unidades de red compartidas y exigir el pago por el descifrado a través de una nota de rescate.