Vulnerabilidades de seguridad de SaltStack Salt en VMware vRealize Operations ManagerSe han evidenciado dos vulnerabilidades importantes de seguridad en SaltStack Salt de VMware vRealize Operations Manager, las cuales permiten el acceso sin autenticación de un agente remoto y recorrer el directorio de forma arbitraria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-de-seguridad-de-saltstack-salt-en-vmware-vrealize-operations-managerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han evidenciado dos vulnerabilidades importantes de seguridad en SaltStack Salt de VMware vRealize Operations Manager, las cuales permiten el acceso sin autenticación de un agente remoto y recorrer el directorio de forma arbitraria.
Malware Evilnum con modificaciones para atacar al sector financieroEl equipo del Csirt Financiero ha identificado una campaña de ataques a empleados y usuarios de entidades financieras extranjeras con una versión mejorada del malware Evilnum, el cual tiene la capacidad de cargar y descargar archivos, recolectar cookies de seguimiento y ejecutar comandos arbitrarios en el equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-evilnum-con-modificaciones-para-atacar-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña de ataques a empleados y usuarios de entidades financieras extranjeras con una versión mejorada del malware Evilnum, el cual tiene la capacidad de cargar y descargar archivos, recolectar cookies de seguimiento y ejecutar comandos arbitrarios en el equipo comprometido.
Nefilim / Nephilim Ransomware, sucesor de Nemty ransomwareEl equipo del Csirt Financiero ha identificado una nueva variante de Nemty Ransomware denominado Nefilim o Nephilim Ransomware, la cual tiene por objetivo cifrar la información confidencial y exfiltrarla para extorsionar a las empresas vulneradas. En la última campaña realizada se enfocó en empresas privadas como refinerías petroleras, de ingeniería y de construcción.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nefilim-nephilim-ransomware-sucesor-de-nemty-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva variante de Nemty Ransomware denominado Nefilim o Nephilim Ransomware, la cual tiene por objetivo cifrar la información confidencial y exfiltrarla para extorsionar a las empresas vulneradas. En la última campaña realizada se enfocó en empresas privadas como refinerías petroleras, de ingeniería y de construcción.
Nueva campaña de distribución de RemcosRATReporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-remcosrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Reporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.
Vulnerabilidades de seguridad en controladores Citrix ShareFileDentro de la constante labor investigativa que realiza el equipo del Csirt Financiero se identificaron correcciones de software emitidas por Citrix para mitigar las vulnerabilidades que afectan servicios brindados a través de sus productoshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-de-seguridad-en-controladores-citrix-sharefilehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de la constante labor investigativa que realiza el equipo del Csirt Financiero se identificaron correcciones de software emitidas por Citrix para mitigar las vulnerabilidades que afectan servicios brindados a través de sus productos
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/servicios-expuestos-en-colombia-3http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
Vulnerabilidad en IBM Java SDK afectan a Rational Service TesterEl equipo del Csirt Financiero ha identificado vulnerabilidad en IBM SDK Java Technology Edition, Versión 1.8 y IBM Runtime Environment Java Versión 1.8, utilizadas por Rational Service Tester, una herramienta de IBM para realizar servicios de prueba y comprobar la calidad de las aplicaciones con arquitectura orientada a servicios tanto en plataforma Windows como en Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-ibm-java-sdk-afectan-a-rational-service-testerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado vulnerabilidad en IBM SDK Java Technology Edition, Versión 1.8 y IBM Runtime Environment Java Versión 1.8, utilizadas por Rational Service Tester, una herramienta de IBM para realizar servicios de prueba y comprobar la calidad de las aplicaciones con arquitectura orientada a servicios tanto en plataforma Windows como en Linux.
Maze Team utiliza nuevas formas de extorsión orientada a la afectación reputacionalEn el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/maze-team-utiliza-nuevas-formas-de-extorsion-orientada-a-la-afectacion-reputacionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.
Nuevo ransomware Vcrypt, bloquea archivos utilizando 7ZipEl equipo del Csirt Financiero ha identificado un nuevo ransomware denominado Vcrypt, este malware utiliza el programa 7Zip para comprimir la información del equipo protegido mediante contraseña y luego eliminar el contenido de las carpetas originales, dejando solo las carpetas comprimidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-vcrypt-bloquea-archivos-utilizando-7ziphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un nuevo ransomware denominado Vcrypt, este malware utiliza el programa 7Zip para comprimir la información del equipo protegido mediante contraseña y luego eliminar el contenido de las carpetas originales, dejando solo las carpetas comprimidas.
Nuevos indicadores de compromiso asociados a QakBot.El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a QakBot, el cual se distribuye a través de campañas de malspam con documentos de tipo Microsoft Word con macros maliciosas embebidas para infectar equipos evadiendo su detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a QakBot, el cual se distribuye a través de campañas de malspam con documentos de tipo Microsoft Word con macros maliciosas embebidas para infectar equipos evadiendo su detección.
Servidores MDM vulnerados para instalar malware bancario en dispositivos AndroidInvestigadores han detectado que ciberdelincuentes han vulnerado servidores MDM (Mobile Device Manager) de diferentes compañías y así han logrado instalar el malware bancario conocido como Cerberus en el 75% de los dispositivos móviles administrados, el malware bancario tiene la capacidad de recolectar toda la información sensible del dispositivo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/servidores-mdm-vulnerados-para-instalar-malware-bancario-en-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores han detectado que ciberdelincuentes han vulnerado servidores MDM (Mobile Device Manager) de diferentes compañías y así han logrado instalar el malware bancario conocido como Cerberus en el 75% de los dispositivos móviles administrados, el malware bancario tiene la capacidad de recolectar toda la información sensible del dispositivo infectado.
Troyano bancario Grandoreiro apunta a usuarios de países latinoamericanosEl equipo del Csirt Financiero ha realizado un análisis al troyano bancario Grandoreiro, este troyano ha atacado a usuarios de entidades financieras en países como Brasil (de donde es originario), Perú, México y España, entre otros y muestra un esfuerzo inusual de sus autores para evadir la detección y la emulación, buscando así progresar hacia una arquitectura modular.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-grandoreiro-apunta-a-usuarios-de-paises-latinoamericanoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha realizado un análisis al troyano bancario Grandoreiro, este troyano ha atacado a usuarios de entidades financieras en países como Brasil (de donde es originario), Perú, México y España, entre otros y muestra un esfuerzo inusual de sus autores para evadir la detección y la emulación, buscando así progresar hacia una arquitectura modular.
Campaña PerSwaysion; kit de phishing webCampaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-perswaysion-kit-de-phishing-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.
Sitios de Wordpress vulnerados para distribuir RATEl Csirt financiero ha identificado una modalidad en que los ciberdelincuentes comprometen sitios web desarrollados en el gestor de contenidos Wordpress para distribuir software malicioso RAT en equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/sitios-de-wordpress-vulnerados-para-distribuir-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado una modalidad en que los ciberdelincuentes comprometen sitios web desarrollados en el gestor de contenidos Wordpress para distribuir software malicioso RAT en equipos con sistema operativo Windows.
Nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia.Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ataques-dirigidos-a-instituciones-financieras-y-de-salud-en-rusiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.
Formjacking; inyección de código JavaScript maliciosoEl Csirt financiero ha identificado el aumentado y la popularidad en el mundo cibercriminal de la amenaza conocida como Formjacking. Mediante la inyección de código JavaScript los ciberdelincuentes toman el control de la página del formulario del sitio objetivo para exfiltrar credenciales de tarjetas de crédito y detalles de pago en los sitios web de comercio electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/formjacking-inyeccion-de-codigo-javascript-maliciosohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado el aumentado y la popularidad en el mundo cibercriminal de la amenaza conocida como Formjacking. Mediante la inyección de código JavaScript los ciberdelincuentes toman el control de la página del formulario del sitio objetivo para exfiltrar credenciales de tarjetas de crédito y detalles de pago en los sitios web de comercio electrónico.
Indicadores de compromiso asociados a Botnet LeetHozer.El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-botnet-leethozerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.
Vulnerabilidad de Microsoft Teams permitía ataques por medio de imágenesEl Csirt Financiero ha referenciado una vulnerabilidad en Microsoft Teams donde un archivo .gif enviado a una potencial víctima, permitía al ciberdelincuente descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales. Al ciberdelincuente lograría acceder a la cuenta del usuario o a las cuentas de todo un equipo al mismo tiempo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-microsoft-teams-permitia-ataques-por-medio-de-imageneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha referenciado una vulnerabilidad en Microsoft Teams donde un archivo .gif enviado a una potencial víctima, permitía al ciberdelincuente descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales. Al ciberdelincuente lograría acceder a la cuenta del usuario o a las cuentas de todo un equipo al mismo tiempo.
Grupo “Florentino” usa campañas de phishing utilizando office 365En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-201cflorentino201d-usa-campanas-de-phishing-utilizando-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.
Vulnerabilidad de día cero en firewall empresarial de SOPHOSEl equipo del Csirt financiero identificó que la firma de ciberseguridad Sophos publicó una actualización de seguridad el sábado, buscando corregir una vulnerabilidad de día cero en su producto de firewall empresarial XG.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-dia-cero-en-firewall-empresarial-de-sophoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero identificó que la firma de ciberseguridad Sophos publicó una actualización de seguridad el sábado, buscando corregir una vulnerabilidad de día cero en su producto de firewall empresarial XG.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}