Análisis técnico de Malware Azorult mediante mapa COVID-19El Csirt Financiero realizó un análisis a la muestra relacionada con el mapa y se identificó que el malware incrustado dentro del archivo ejecutable es Azorult.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-azorult-mediante-mapa-covid-19http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero realizó un análisis a la muestra relacionada con el mapa y se identificó que el malware incrustado dentro del archivo ejecutable es Azorult.
Indicadores de compromiso asociados a ransomware PXJDesde el Csirt Financiero se han identificado indicadores de compromiso asociados a PXJ ransomware, vacía la papelera reciclaje, deshabilita la recuperación de archivos y cifra los archivos utilizando los algoritmos AES y RSA.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-ransomware-pxjhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado indicadores de compromiso asociados a PXJ ransomware, vacía la papelera reciclaje, deshabilita la recuperación de archivos y cifra los archivos utilizando los algoritmos AES y RSA.
Troyano Geost para dispositivos móvilesEl equipo del Csirt Financiero ha detectado un troyano denominado Geost, el malware se encuentra en aplicaciones maliciosas de tiendas no oficiales o de terceros, por lo que la víctima podría descargarlo accediendo en busca de aplicaciones fuera de las tiendas oficiales o a través de un link que los dirija a la APP. Tras su descarga e instalación, la aplicación solicita permisos de administrador al usuario, luego de que son concedidos, oculta su icono para evitar ser detectado y comienza actividades maliciosas en segundo plano.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-geost-para-dispositivos-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha detectado un troyano denominado Geost, el malware se encuentra en aplicaciones maliciosas de tiendas no oficiales o de terceros, por lo que la víctima podría descargarlo accediendo en busca de aplicaciones fuera de las tiendas oficiales o a través de un link que los dirija a la APP. Tras su descarga e instalación, la aplicación solicita permisos de administrador al usuario, luego de que son concedidos, oculta su icono para evitar ser detectado y comienza actividades maliciosas en segundo plano.
Nueva variante de TrickBotEl equipo del Csirt Financiero ha detectado una nueva variante de TrickBot; no obstante, se mantiene el método principal de distribución mediante el envío masivo de mensajes de correo electrónico con documentos ofimáticos que contienen macros embebidas maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha detectado una nueva variante de TrickBot; no obstante, se mantiene el método principal de distribución mediante el envío masivo de mensajes de correo electrónico con documentos ofimáticos que contienen macros embebidas maliciosas.
Nueva variedad de ransomware utiliza el nombre de Coronavirus.El equipo del Csirt financiero ha identificado una nueva variante de ransomware denominada Coronavirus enfocada en el cifrado de archivos locales del sistema, los ciberdelincuentes dejan una nota con las indicaciones para el pago y rescate de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variedad-de-ransomware-utiliza-el-nombre-de-coronavirushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha identificado una nueva variante de ransomware denominada Coronavirus enfocada en el cifrado de archivos locales del sistema, los ciberdelincuentes dejan una nota con las indicaciones para el pago y rescate de la información.
Nuevos indicadores de compromiso asociados a WannaCryEl equipo del Csirt Financiero en su constante investigación ha identificado nuevos indicadores de compromiso asociados al ransomware WannaCry, su método de distribución se realiza principalmente en correos tipo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-wannacryhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero en su constante investigación ha identificado nuevos indicadores de compromiso asociados al ransomware WannaCry, su método de distribución se realiza principalmente en correos tipo malspam.
Nuevos indicadores de compromiso asociados a AzorultEl Csirt Financiero en su constante monitoreo de amenazas que podrían afectar al sector, ha identificado actividad y nuevas capacidades de Azorult para exfiltrar información sensible de equipos infectados, además de realizar la descarga y ejecución de diferentes cargas útiles de malware catalogado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-azorulthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero en su constante monitoreo de amenazas que podrían afectar al sector, ha identificado actividad y nuevas capacidades de Azorult para exfiltrar información sensible de equipos infectados, además de realizar la descarga y ejecución de diferentes cargas útiles de malware catalogado.
Ciberdelincuentes aprovechan COVID-19 para distribuir RAT Ave María.El Csirt Financiero en su constante monitoreo de las nuevas amenazas que podrían afectar al sector, ha identificado que los ciberdelincuentes han aprovechado la alarma generada por COVID-19 para distribuir cargas útiles del RAT Ave María, el cual proporciona acceso y control total al equipo infectadohttp://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-aprovechan-covid-19-para-distribuir-rat-ave-mariahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero en su constante monitoreo de las nuevas amenazas que podrían afectar al sector, ha identificado que los ciberdelincuentes han aprovechado la alarma generada por COVID-19 para distribuir cargas útiles del RAT Ave María, el cual proporciona acceso y control total al equipo infectado
Nuevos indicadores de compromiso asociados a Artemis, Trickbot y EmotetMediante la continua búsqueda de amenazas que afecten al sector financiero de manera directa o indirecta, se ha encontrado un documento de Word malicioso el cual está siendo distribuido con malware embebido, este documento concuerda con el modo de operar más común por los ciberdelincuentes para lograr obtener beneficios económicos con la información obtenida luego de la infección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-artemis-trickbot-y-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante la continua búsqueda de amenazas que afecten al sector financiero de manera directa o indirecta, se ha encontrado un documento de Word malicioso el cual está siendo distribuido con malware embebido, este documento concuerda con el modo de operar más común por los ciberdelincuentes para lograr obtener beneficios económicos con la información obtenida luego de la infección.
Nuevo tipo de ransomware: NetWalkerEl equipo del Csirt financiero identificó un nuevo tipo de ransomware dirigido a usuarios del sistema operativo Windows 10; este ransomware es distribuido mediante phishing y mensajes masivos de correo electrónico tipo spam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-tipo-de-ransomware-netwalkerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero identificó un nuevo tipo de ransomware dirigido a usuarios del sistema operativo Windows 10; este ransomware es distribuido mediante phishing y mensajes masivos de correo electrónico tipo spam.
Nuevos indicadores de compromiso asociados al malware GuildmaEn el constante monitoreo realizado por el Csirt Financiero a las amenazas que puedan afectar al sector, se ha identificado una variante del troyano bancario Guildma, que ha causado afectación a entidades financieras en Brasil, sin embargo, no se puede descartar un posible ataque; ya que es uno de los troyanos con mayor impacto en la región suramericana.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-malware-guildmahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el Csirt Financiero a las amenazas que puedan afectar al sector, se ha identificado una variante del troyano bancario Guildma, que ha causado afectación a entidades financieras en Brasil, sin embargo, no se puede descartar un posible ataque; ya que es uno de los troyanos con mayor impacto en la región suramericana.
Vulnerabilidad de ejecución remota en protocolo SMBv3Desde el Csirt Financiero se ha identificado una vulnerabilidad en el protocolo SMBv3 [3.1.1] asociada a la forma como controla las conexiones que utilizan compresión. Esto afecta a servidores y clientes SMB.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-ejecucion-remota-en-protocolo-smbv3http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una vulnerabilidad en el protocolo SMBv3 [3.1.1] asociada a la forma como controla las conexiones que utilizan compresión. Esto afecta a servidores y clientes SMB.
Nuevos indicadores de compromiso relacionados con EmotetSe han identificado nuevos indicadores de compromiso asociados a Emotet los cuales están relacionados con servicios de envío de spam, descargador de malware, además de una serie de variantes y capacidades para evitar la detección y el análisis de herramientas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-emotet-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado nuevos indicadores de compromiso asociados a Emotet los cuales están relacionados con servicios de envío de spam, descargador de malware, además de una serie de variantes y capacidades para evitar la detección y el análisis de herramientas antimalware.
Aumento del uso de RAT en dispositivos móviles.En los últimos meses el panorama de amenazas a los dispositivos móviles se ha visto afectado por el uso de troyanos de acceso remoto afectando directamente a la banca móvil. De acuerdo a los análisis del equipo del Csirt Financiero se proyecta un aumento de casos de infección de malware con RAT a dispositivos móviles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-del-uso-de-rat-en-dispositivos-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses el panorama de amenazas a los dispositivos móviles se ha visto afectado por el uso de troyanos de acceso remoto afectando directamente a la banca móvil. De acuerdo a los análisis del equipo del Csirt Financiero se proyecta un aumento de casos de infección de malware con RAT a dispositivos móviles.
Indicadores de compromiso asociados a Nemty ransomware.En el constante monitoreo que realiza el Csirt Financiero, se ha identificado el envío masivo de correos electrónicos que distribuyen Nemty ransomware, desarrollado para cifrar archivos del usuario y pedir rescate por la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-nemty-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero, se ha identificado el envío masivo de correos electrónicos que distribuyen Nemty ransomware, desarrollado para cifrar archivos del usuario y pedir rescate por la información.
Detección de nuevo phishing con NetSupport Manager RATNetSupport Manager RAT es una herramienta empleada por los administradores de sistemas para el acceso remoto a los equipos. Sin embargo, la aplicación también puede ser utilizada por los ciberdelincuentes para obtener acceso no autorizado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/deteccion-de-nuevo-phishing-con-netsupport-manager-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NetSupport Manager RAT es una herramienta empleada por los administradores de sistemas para el acceso remoto a los equipos. Sin embargo, la aplicación también puede ser utilizada por los ciberdelincuentes para obtener acceso no autorizado.
Actividad de phishing dirigida a usuarios de MasterCardEn el constante monitoreo que realiza el Csirt Financiero, se ha evidenciado actividad de los ciberdelincuentes a través de la creación de sitios falsos y mensajes de correo electrónico para inducir a los usuarios de MasterCard y hacer la captura de sus datos personales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-phishing-dirigida-a-usuarios-de-mastercardhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero, se ha evidenciado actividad de los ciberdelincuentes a través de la creación de sitios falsos y mensajes de correo electrónico para inducir a los usuarios de MasterCard y hacer la captura de sus datos personales.
Ciberdelincuentes aprovechan el Coronavirus para distribuir malwareEl equipo del Csirt Financiero ha identificado que los ciberdelincuentes continúan utilizando el despliegue noticioso que tiene el Coronavirus (Covid-19) en todo el mundo, para la difusión de una versión poco modificada de Emotet y posterior a este, Remcos RAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-aprovechan-el-coronavirus-para-distribuir-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que los ciberdelincuentes continúan utilizando el despliegue noticioso que tiene el Coronavirus (Covid-19) en todo el mundo, para la difusión de una versión poco modificada de Emotet y posterior a este, Remcos RAT.
Ciberdelincuentes usan SSL para phishingDesde el Csirt Financiero se ha detectado un aumento masivo en el uso de SSL (Secure Socket Layer) en ataques de phishing, lo que muestra como los ciberdelincuentes están perfeccionando sus métodos buscando mejores beneficios económicos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-usan-ssl-para-phishinghttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha detectado un aumento masivo en el uso de SSL (Secure Socket Layer) en ataques de phishing, lo que muestra como los ciberdelincuentes están perfeccionando sus métodos buscando mejores beneficios económicos.
Indicadores de compromiso asociados a ObliqueRATDesde el Csirt Financiero se han identificado nuevos indicadores de amenazas relacionados con malware distribuido a través de documentos Microsoft Word con macros maliciosas embebidas para obtener el control del equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-obliquerathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado nuevos indicadores de amenazas relacionados con malware distribuido a través de documentos Microsoft Word con macros maliciosas embebidas para obtener el control del equipo.