Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña del grupo APT Lyceum distribuye DNS BackdoorSe ha detectado una nueva campaña maliciosa por parte del grupo APT Lyceum que contiene un DNS backdoor, que implementa una versión reformada del software libre “Dig.Net”. Este backdoor hace uso del protocolo DNS para realiza la comunicación con el servidor de comando y control (C2) para efectuar diferentes acciones como realizar consultas de DNS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt-lyceum-distribuye-dns-backdoorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva campaña maliciosa por parte del grupo APT Lyceum que contiene un DNS backdoor, que implementa una versión reformada del software libre “Dig.Net”. Este backdoor hace uso del protocolo DNS para realiza la comunicación con el servidor de comando y control (C2) para efectuar diferentes acciones como realizar consultas de DNS.
Nueva campaña del grupo APT UTG-Q-010Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña orquestada por el grupo llamado UTG-Q-010.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt-utg-q-010http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña orquestada por el grupo llamado UTG-Q-010.
Nueva campaña del grupo APT28.Desde el CSIRT Financiero se ha identificado nueva campaña del grupo APT28, esta vez su objetivo principal son los dispositivos IoT que no han sido actualizados y/o los dispositivos que tengan credenciales por defecto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt28http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado nueva campaña del grupo APT28, esta vez su objetivo principal son los dispositivos IoT que no han sido actualizados y/o los dispositivos que tengan credenciales por defecto.
Nueva campaña del grupo Earth PretaEl equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-earth-pretahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.
Nueva campaña del grupo Lazarus llamada Operación BlacksmithMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña llamada Operación Blacksmith.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-lazarus-llamada-operacion-blacksmithhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña llamada Operación Blacksmith.
Nueva campaña del grupo RevengeHotels distribuye VenomRATRevengeHotels, conocido también como TA558, ha lanzado una nueva serie de campañas contra hoteles de América Latina, particularmente en Brasil.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-revengehotels-distribuye-venomrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña del grupo SideCopy haciendo uso de RAT personalizadosDurante los monitoreos constantes realizados por el equipo de analistas del Csirt Financiero, se ha identificado recientemente actividad atribuida al grupo APT SideCopy el cual ha desplegado nuevas campañas ampliando su espectro de objetivos, que tradicionalmente incluían sectores como defensa, universidades y asuntos marítimos, hacia entidades gubernamentales, ambientales y financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-sidecopy-haciendo-uso-de-rat-personalizadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los monitoreos constantes realizados por el equipo de analistas del Csirt Financiero, se ha identificado recientemente actividad atribuida al grupo APT SideCopy el cual ha desplegado nuevas campañas ampliando su espectro de objetivos, que tradicionalmente incluían sectores como defensa, universidades y asuntos marítimos, hacia entidades gubernamentales, ambientales y financieras.
Nueva campaña del grupo TA505 busca diseminar el descargador Get2 en conjunto al RAT SDBbot.Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-ta505-busca-diseminar-el-descargador-get2-en-conjunto-al-rat-sdbbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.
Nueva campaña del grupo TA505 distribuyendo el dropper (descargador de malware) GET2.Por medio de fuentes de inteligencia de amenazas del CSIRT Financiero se ha identificado una nueva actividad del grupo TA505, esta nueva campaña utiliza las mismas técnicas de distribución y ofuscación de malware utilizada en campañas anteriores; El método de distribución consiste en el envío de correos maliciosos que pretenden distribuir el dropper GET2, con archivos adjuntos de office que contienen macros maliciosas embebidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-ta505-distribuyendo-el-dropper-descargador-de-malware-get2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de inteligencia de amenazas del CSIRT Financiero se ha identificado una nueva actividad del grupo TA505, esta nueva campaña utiliza las mismas técnicas de distribución y ofuscación de malware utilizada en campañas anteriores; El método de distribución consiste en el envío de correos maliciosos que pretenden distribuir el dropper GET2, con archivos adjuntos de office que contienen macros maliciosas embebidas.
Nueva campaña del loader Bumblebee suplantando DocuSignEn el ejercicio de monitorear las actividades maliciosas de las amenazas recurrentes en el ciberespacio se identificó una nueva campaña de phishing que ha estado suplantando DocuSign (una empresa de tecnología que ofrece soluciones de firma electrónica y gestión de documentos en línea) en un intento por persuadir a los usuarios para que descarguen un artefacto malicioso que contiene la carga útil de Bumblebee.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-loader-bumblebee-suplantando-docusignhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear las actividades maliciosas de las amenazas recurrentes en el ciberespacio se identificó una nueva campaña de phishing que ha estado suplantando DocuSign (una empresa de tecnología que ofrece soluciones de firma electrónica y gestión de documentos en línea) en un intento por persuadir a los usuarios para que descarguen un artefacto malicioso que contiene la carga útil de Bumblebee.
Nueva campaña del malware Casbaneiro apunta a MéxicoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-malware-casbaneiro-apunta-a-mexicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.
Nueva campaña del malware QakbotInvestigadores especializados han generado una nueva advertencia respecto al malware Qakbot. Este tiene la capacidad de propagarse como un gusano, infectando a los usuarios y realizando las funciones de un troyano. Se considera que el malware es distribuido por un grupo organizado de cibercrimen, sin embargo, no se ha logrado atribuir este hecho a ningún grupo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-malware-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores especializados han generado una nueva advertencia respecto al malware Qakbot. Este tiene la capacidad de propagarse como un gusano, infectando a los usuarios y realizando las funciones de un troyano. Se considera que el malware es distribuido por un grupo organizado de cibercrimen, sin embargo, no se ha logrado atribuir este hecho a ningún grupo.
Nueva campaña del ransomware eCh0raix dirigida a los dispositivos de almacenamiento en redA través de actividades de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva campaña asociada a eCh0raix, ransomware con la capacidad de cifrar todos los archivos guardados en diversos equipos de TI y pedir el pago de un rescate a cambio de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-ech0raix-dirigida-a-los-dispositivos-de-almacenamiento-en-redhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva campaña asociada a eCh0raix, ransomware con la capacidad de cifrar todos los archivos guardados en diversos equipos de TI y pedir el pago de un rescate a cambio de la información.
Nueva campaña del ransomware NokoyawaEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña asociada al ransomware Nokoyawa, el cual tiene como función principal el cifrado de datos en los sistemas que sean comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-nokoyawahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña asociada al ransomware Nokoyawa, el cual tiene como función principal el cifrado de datos en los sistemas que sean comprometidos.
Nueva campaña del ransomware Qilin aprovecha fallas de FortinetDurante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una nueva campaña maliciosa relacionada a los actores de amenaza detrás del ransomware Qilin, también conocido como Phantom Mantis, en la que han incorporado a su arsenal la explotación activa de dos vulnerabilidades críticas en productos Fortinet “CVE 2024 21762 y CVE 2024 55591”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-qilin-aprovecha-fallas-de-fortinethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una nueva campaña maliciosa relacionada a los actores de amenaza detrás del ransomware Qilin, también conocido como Phantom Mantis, en la que han incorporado a su arsenal la explotación activa de dos vulnerabilidades críticas en productos Fortinet “CVE 2024 21762 y CVE 2024 55591”.
Nueva campaña del ransomware RALordEl equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware RALord, una amenaza desarrollada en el lenguaje Rust que ha sido utilizada en campañas recientes para comprometer la confidencialidad y disponibilidad de la información mediante técnicas de doble extorsión.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-ralordhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware RALord, una amenaza desarrollada en el lenguaje Rust que ha sido utilizada en campañas recientes para comprometer la confidencialidad y disponibilidad de la información mediante técnicas de doble extorsión.
Nueva campaña del troyano Adwind podría afectar al sector FinancieroDesde el CSIRT Financiero se ha identificado una nueva campaña del troyano Adwind, el cual busca afectar a los usuarios del sector de servicios públicos. Sin embargo, dentro de sus funcionalidades está el robo de credenciales de varios aplicativos, también se encuentra relacionada a diferentes campañas de robo de información a usuarios del sector.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-adwind-podria-afectar-al-sector-financierohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña del troyano Adwind, el cual busca afectar a los usuarios del sector de servicios públicos. Sin embargo, dentro de sus funcionalidades está el robo de credenciales de varios aplicativos, también se encuentra relacionada a diferentes campañas de robo de información a usuarios del sector.
Nueva campaña del troyano Astaroth busca afectar a usuarios de sistemas operativos Microsoft.Desde el CSIRT Financiero se ha detectado una nueva campaña de Malspam relacionada con el Troyano Astaroth, el cual busca la captura y robo de credenciales de los usuarios de Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-astaroth-busca-afectar-a-usuarios-de-sistemas-operativos-microsofthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado una nueva campaña de Malspam relacionada con el Troyano Astaroth, el cual busca la captura y robo de credenciales de los usuarios de Windows.
Nueva campaña del troyano bancario AnatsaEn el mundo actual, donde la tecnología móvil se ha vuelto constante en el ámbito laboral y en el día a día de las personas, también ha habido un aumento en las amenazas cibernéticas dirigidas a dispositivos móviles. Una de las últimas campañas maliciosas que ha surgido es la del troyano bancario de Android llamado Anatsa. Desde marzo de 2023, esta amenaza ha estado afectando a los usuarios de banca en línea en países como Estados Unidos, Reino Unido, Alemania, Austria y Suiza. Los ciberdelincuentes están utilizando la Play Store, la tienda oficial de aplicaciones de Android, como medio de distribución.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-anatsahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo actual, donde la tecnología móvil se ha vuelto constante en el ámbito laboral y en el día a día de las personas, también ha habido un aumento en las amenazas cibernéticas dirigidas a dispositivos móviles. Una de las últimas campañas maliciosas que ha surgido es la del troyano bancario de Android llamado Anatsa. Desde marzo de 2023, esta amenaza ha estado afectando a los usuarios de banca en línea en países como Estados Unidos, Reino Unido, Alemania, Austria y Suiza. Los ciberdelincuentes están utilizando la Play Store, la tienda oficial de aplicaciones de Android, como medio de distribución.
Nueva campaña del troyano bancario AnatsaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña del troyano bancario llamado Anatsa.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-anatsa-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña del troyano bancario llamado Anatsa.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}