Malware Lucifer apunta a Distribuciones LINUXEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-lucifer-apunta-a-distribuciones-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.
Emotet actualiza la plantilla de sus campañasEn el monitoreo realizado por el Csirt Financiero se ha identificado el envío masivo de mensajes de correo electrónico malspam para infectar equipos de cómputo con el troyano bancario Emotet. Las campañas más recientes de spam cuentan con enlaces para la descarga del malware o documentos con nombre relacionados a temas de facturación, datos financieros e información acerca del COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-actualiza-la-plantilla-de-sus-campanashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado el envío masivo de mensajes de correo electrónico malspam para infectar equipos de cómputo con el troyano bancario Emotet. Las campañas más recientes de spam cuentan con enlaces para la descarga del malware o documentos con nombre relacionados a temas de facturación, datos financieros e información acerca del COVID-19.
Nuevo malware Anubis exfiltra información en sistemas WindowsEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo malware denominado Anubis, el cual se diferencia del troyano bancario para dispositivos Android que lleva el mismo nombre.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-anubis-exfiltra-informacion-en-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo malware denominado Anubis, el cual se diferencia del troyano bancario para dispositivos Android que lleva el mismo nombre.
Troyano Bancario Qbot tiene nuevas funcionalidadesEn el monitoreo realizado por el Csirt Financiero se han evidenciado nuevas funcionalidades del troyano bancario Qbot, también denominado QakBot, el cual data actividad desde el 2008. Este troyano es conocido por realizar la recopilación de datos sensibles de los navegadores web, exfiltrar credenciales bancarias y otro tipo de información financiera en los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-qbot-tiene-nuevas-funcionalidadeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se han evidenciado nuevas funcionalidades del troyano bancario Qbot, también denominado QakBot, el cual data actividad desde el 2008. Este troyano es conocido por realizar la recopilación de datos sensibles de los navegadores web, exfiltrar credenciales bancarias y otro tipo de información financiera en los equipos comprometidos.
TA2719 suplanta entidades financieras para distribuir RATEn el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ta2719-suplanta-entidades-financieras-para-distribuir-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.
Grupo APT norcoreano ataca entidades financieras alrededor del mundoEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-norcoreano-ataca-entidades-financieras-alrededor-del-mundohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.
El Grupo DEATHSTALKER incluye en sus ataques a Entidades FinancierasEn el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-deathstalker-incluye-en-sus-ataques-a-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado la actividad del grupo cibercriminal DeathStalker. Se tiene conocimiento sobre DeathStalker desde 2012 y, en la actualidad, están dirigiendo sus campañas a empresas del sector financiero y bufetes de abogados. Aunque el grupo está dirigiendo sus campañas a estos sectores, su motivación principal no es la ganancia económica.
Criptominero Lemon Duck con cargas útiles de CriptojackingEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/criptominero-lemon-duck-con-cargas-utiles-de-criptojackinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.
Identificadas tres vulnerabilidades en Servidor ApacheEn el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/identificadas-tres-vulnerabilidades-en-servidor-apachehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.
Vulnerabilidad Google Drive es utilizada en distribución de MalwareEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidenció la explotación de vulnerabilidad del servicio de Google Drive que permite reemplazar archivos, documentos o imágenes por archivos maliciosos que los ciberdelincuentes utilizan en sus campañas de spearphishing.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-google-drive-es-utilizada-en-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidenció la explotación de vulnerabilidad del servicio de Google Drive que permite reemplazar archivos, documentos o imágenes por archivos maliciosos que los ciberdelincuentes utilizan en sus campañas de spearphishing.
Nuevos Indicadores de Compromiso del Troyano Bancario QakbotEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, en esta campaña utiliza dos técnicas que se implementan para evadir y obstaculizar el análisis de la amenaza.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, en esta campaña utiliza dos técnicas que se implementan para evadir y obstaculizar el análisis de la amenaza.
Campaña de distribución de nueva variante de DridexEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva campaña de distribución de una nueva variante del troyano bancario Dridex que afecta a usuarios con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-nueva-variante-de-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado una nueva campaña de distribución de una nueva variante del troyano bancario Dridex que afecta a usuarios con sistema operativo Windows.
APT Blind Eagle dirige sus ataques a ColombiaEn el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blind-eagle-dirige-sus-ataques-a-colombiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.
Vulnerabilidad en Cajero AutomáticoEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una vulnerabilidad presente en los cajeros automáticos (ATM), para explotar la vulnerabilidad se requiere acceso físico al cajero e interceptar y modificar las comunicaciones del cajero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-cajero-automaticohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una vulnerabilidad presente en los cajeros automáticos (ATM), para explotar la vulnerabilidad se requiere acceso físico al cajero e interceptar y modificar las comunicaciones del cajero.
Actualización en la Distribución de IcedIDEn el monitoreo realizado por Csirt Financiero se ha identificado una actualización en los métodos de phishing empleados por los autores de IcedID, utilizando cuentas de correo comerciales previamente comprometidas, las cuales hacen parte de los clientes de los objetivos de los cibercriminales, esto con el fin de crear confiabilidad, dado que el cliente y la víctima ya tienen una relación comercial establecida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-en-la-distribucion-de-icedidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por Csirt Financiero se ha identificado una actualización en los métodos de phishing empleados por los autores de IcedID, utilizando cuentas de correo comerciales previamente comprometidas, las cuales hacen parte de los clientes de los objetivos de los cibercriminales, esto con el fin de crear confiabilidad, dado que el cliente y la víctima ya tienen una relación comercial establecida.
Botnet Fritzfrog afecta servidores SSHEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-fritzfrog-afecta-servidores-sshhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.
Vulnerabilidad de Memoria Compartida de IBM DB2En el monitoreo realizado por el Csirt Financiero se ha constatado la publicación de la vulnerabilidad (CVE-2020-4414) de seguridad en IBM DB2. Esta vulnerabilidad permite a un ciberdelincuente local obtener información sensible o generar una denegación de servicios mediante solicitudes específicas provocando uso inadecuado de la memoria compartida, afectando equipos con distribuciones Linux y sistemas operativos Unix y Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-memoria-compartida-de-ibm-db2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha constatado la publicación de la vulnerabilidad (CVE-2020-4414) de seguridad en IBM DB2. Esta vulnerabilidad permite a un ciberdelincuente local obtener información sensible o generar una denegación de servicios mediante solicitudes específicas provocando uso inadecuado de la memoria compartida, afectando equipos con distribuciones Linux y sistemas operativos Unix y Windows.
Hidden Cobra y el RAT BlindingcanEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.http://csirtasobancaria.com/Plone/alertas-de-seguridad/hidden-cobra-y-el-rat-blindingcanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.
Venta de infostealer Purplewave en la DarkwebEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.http://csirtasobancaria.com/Plone/alertas-de-seguridad/venta-de-infostealer-purplewave-en-la-darkwebhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.
Malware loup extrae dinero de atm-ncrEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-loup-extrae-dinero-de-atm-ncrhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.