Nuevo servicio web implementado por campañas para la distribución de malwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-servicio-web-implementado-por-campanas-para-la-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.
Nueva Botnet P2P se enfoca en Servicios Telnet vulnerablesEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-p2p-se-enfoca-en-servicios-telnet-vulnerableshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.
Grupo FULLZ HOUSE exfiltra tarjetas de crédito a través de skimming webEn el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-fullz-house-exfiltra-tarjetas-de-credito-a-traves-de-skimming-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.
Extorsión ante ataques DDoS en LatinoaméricaEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas se ha evidenciado que, en las últimas dos semanas, diferentes entidades bancarias han sido objetivos de ataques de DDoS, ataques atribuidos a un grupo cibercriminal que parece suplantar a Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/extorsion-ante-ataques-ddos-en-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas se ha evidenciado que, en las últimas dos semanas, diferentes entidades bancarias han sido objetivos de ataques de DDoS, ataques atribuidos a un grupo cibercriminal que parece suplantar a Lazarus.
Nueva campaña maliciosa del Grupo TA505En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-grupo-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.
Nuevo ransomware Egregor exfiltra datos de empresas a nivel mundialEn el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-egregor-exfiltra-datos-de-empresas-a-nivel-mundialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.
Grupo APT TA2552 utiliza phishing para leer Información Confidencial de Office 365En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-ta2552-utiliza-phishing-para-leer-informacion-confidencial-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.
Variante del Ransomware STOP DJVU denominada KolzEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-ransomware-stop-djvu-denominada-kolzhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.
Nuevas variantes de Loda RATEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-loda-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.
Nuevos Indicadores de Compromiso Asociados Al Troyano Bancario QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.
Ransomware Agelocker dirige sus ataques a Nas de QnapEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-agelocker-dirige-sus-ataques-a-nas-de-qnaphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.
Skimmer Gstaticapi, exfiltra detalles de Pago ElectrónicoEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-gstaticapi-exfiltra-detalles-de-pago-electronicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.
Nuevos indicadores de Compromiso de EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-de-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.
Vulnerabilidades en Chrome exponen a usuariosEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-chrome-exponen-a-usuarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.
Ransomware Mount Locker exige rescates millonariosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-mount-locker-exige-rescates-millonarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.
Ciberdelincuentes emplean tarjetas Sim y Anydesk para exfiltrar credenciales de cuentas bancariasEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas técnicas de exfiltración, empleadas recientemente por los ciberdelincuentes para sustraer de forma fraudulenta los recursos de las cuentas bancarias comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-emplean-tarjetas-sim-y-anydesk-para-exfiltrar-credenciales-de-cuentas-bancariashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas técnicas de exfiltración, empleadas recientemente por los ciberdelincuentes para sustraer de forma fraudulenta los recursos de las cuentas bancarias comprometidas.
Uso de Sim Swapping y Telegram para exfiltrar datos de dispositivos móvilesEl equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-sim-swapping-y-telegram-para-exfiltrar-datos-de-dispositivos-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.
Troyano Bancario Alien incrementa su actividad maliciosaEn el monitoreo realizado por el Csirt Financiero, se ha identificado actividad maliciosa por parte del troyano bancario Alien, el cual tiene afectación sobre dispositivos con sistema operativo Android. Este malware se distribuye principalmente por medio de aplicaciones falsas o modificadas que son alojadas en sitios web no oficiales. Reutiliza código fuente de versiones anteriores del troyano bancario Cerberus y emplea técnicas mediante las cuales logra evadir herramientas de la detección de malware como Google Play Protect.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-alien-incrementa-su-actividad-maliciosahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado actividad maliciosa por parte del troyano bancario Alien, el cual tiene afectación sobre dispositivos con sistema operativo Android. Este malware se distribuye principalmente por medio de aplicaciones falsas o modificadas que son alojadas en sitios web no oficiales. Reutiliza código fuente de versiones anteriores del troyano bancario Cerberus y emplea técnicas mediante las cuales logra evadir herramientas de la detección de malware como Google Play Protect.
Indicadores de Compromiso Asociados al Troyano Bancario URSA/MISPADUEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevos indicadores de compromiso (IOC) relacionados al troyano bancario URSA también conocido como Mispadu. Este troyano se distribuye a través de mensajes de correo electrónico tipo malspam en archivos adjuntos comprimidos .zip.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-troyano-bancario-ursa-mispaduhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevos indicadores de compromiso (IOC) relacionados al troyano bancario URSA también conocido como Mispadu. Este troyano se distribuye a través de mensajes de correo electrónico tipo malspam en archivos adjuntos comprimidos .zip.
Actividad de EventbotEn el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-eventbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.