Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva capacidad de autopropagación implementada en Black BastaEvidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-capacidad-de-autopropagacion-implementada-en-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Evidentemente el ransomware Black Basta se ha convertido en una ciberamenaza relevante debido a su capacidad de afectación, este dirige sus actividades a sistemas operativos Windows, Linux y ESXi. En su versión más reciente, tiene la capacidad de autopropagarse a través de la red durante el proceso de cifrado, para esto utiliza el protocolo LDAP de acceso a los directorios.
Nueva cepa de malware denominada LONEPAGEEl equipo del Csirt Financiero identificó una nueva cepa de malware maliciosa denominada LONEPAGE, un malware de Visual Basic Script (VBS), con capacidad para conectarse a un servidor de comando y control (C2) para realizar diferentes acciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-cepa-de-malware-denominada-lonepagehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una nueva cepa de malware maliciosa denominada LONEPAGE, un malware de Visual Basic Script (VBS), con capacidad para conectarse a un servidor de comando y control (C2) para realizar diferentes acciones maliciosas.
Nueva cepa de ransomware denominada ScRansom implementada por el grupo APT CosmicBeetleEste ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-cepa-de-ransomware-denominada-scransom-implementada-por-el-grupo-apt-cosmicbeetlehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Este ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.
Nueva distribución de InfoStealer a través de instaladores empaquetadosSe observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-de-infostealer-a-traves-de-instaladores-empaquetadoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.
Nueva distribución del stealer Phantom GoblinEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Phantom Goblin, un stealer diseñado para capturar credenciales y otros datos sensibles almacenados en navegadores web, esta amenaza emplea técnicas de ingeniería social y se distribuye principalmente a través de campañas de phishing con archivos adjuntos en formato RAR que contienen accesos directos (LNK) maliciosos, su ejecución activa comandos de PowerShell que descargan cargas útiles desde GitHub, permitiendo la captura de información y el establecimiento de túneles en Visual Studio Code (VSCode) para mantener acceso remoto no autorizado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-stealer-phantom-goblinhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con Phantom Goblin, un stealer diseñado para capturar credenciales y otros datos sensibles almacenados en navegadores web, esta amenaza emplea técnicas de ingeniería social y se distribuye principalmente a través de campañas de phishing con archivos adjuntos en formato RAR que contienen accesos directos (LNK) maliciosos, su ejecución activa comandos de PowerShell que descargan cargas útiles desde GitHub, permitiendo la captura de información y el establecimiento de túneles en Visual Studio Code (VSCode) para mantener acceso remoto no autorizado.
Nueva Distribución del Troyano Bancario DridexEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-troyano-bancario-dridexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.
Nueva Distribución del Troyano Bancario DridexEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-distribucion-del-troyano-bancario-dridex-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva variante del malware Dridex que compromete equipos de cómputo con sistema operativo Windows, sustrae información de carácter confidencial del equipo comprometido y sus usuarios.
Nueva Dropper Gh0stGambit Distribuyendo Gh0st RAT a Usuarios ChinosEl equipo de analistas del Csirt Financiero detectó un nuevo dropper denominado Gh0stGambit distribuyendo el troyano de acceso remoto Gh0st RAT, explotando un sitio falso de Google Chrome para atacar usuarios Windows en china.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-dropper-gh0stgambit-distribuyendo-gh0st-rat-a-usuarios-chinoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero detectó un nuevo dropper denominado Gh0stGambit distribuyendo el troyano de acceso remoto Gh0st RAT, explotando un sitio falso de Google Chrome para atacar usuarios Windows en china.
Nueva familia de malware denominada MosaicLoaderEn el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-malware-denominada-mosaicloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.
Nueva familia de malware denominada VidarA través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado un nuevo troyano denominado Vidar, que tiene como finalidad realizar la captura de información confidencial del equipo y de la víctima, esta amenaza está dirigida a sistemas operativos Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-malware-denominada-vidarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado un nuevo troyano denominado Vidar, que tiene como finalidad realizar la captura de información confidencial del equipo y de la víctima, esta amenaza está dirigida a sistemas operativos Microsoft Windows.
Nueva familia de malware denominado TigerDownloader y TigerRATEn el constante monitoreo a fuentes abiertas para la identificación de posibles amenazas el equipo de analistas del Csirt Financiero ha observado una nueva familia de RAT de nombre TigerDownloader cuyo objetivo principal es la distribución del nuevo troyano de acceso remoto (RAT) identificado como TigerRAT.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-malware-denominado-tigerdownloader-y-tigerrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas para la identificación de posibles amenazas el equipo de analistas del Csirt Financiero ha observado una nueva familia de RAT de nombre TigerDownloader cuyo objetivo principal es la distribución del nuevo troyano de acceso remoto (RAT) identificado como TigerRAT.
Nueva familia de ransomware denominada HydroxGeneralmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-ransomware-denominada-hydroxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Generalmente el ransomware tiene como objetivo principal generar ganancias económicas, al cifrar la información confidencial de sus víctimas; asimismo en el ciberespacio existen distintos actores de amenazas dentro de los cuales se encuentran los Script Kiddies a quienes puede estar atribuido esta nueva familia denominada Hydrox que busca afectar sistemas operativos Microsoft Windows y MacOS.
Nueva familia de ransomware denominada Ransomexx2Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-familia-de-ransomware-denominada-ransomexx2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del ciberespacio es constante las actualizaciones y diversas variantes de amenazas que los ciberdelincuentes realizan en pro de afectar entidades y organizaciones con el fin de obtener alguna ganancia ya se económica o reputacional, es por eso que a través de fuentes abiertas de información el equipo de analistas del Csirt identifico una variante de ransomware denominada como RansomExx2 el cual principalmente afecta a equipos con sistema operativo Linux y donde posiblemente también se encuentre una versión para Windows.
Nueva funcionalidad de Trickbot.Trickbot es un troyano bancario desarrollado para la captura de credenciales alojadas en el navegador, se ha identificado un nuevo módulo el cual exfiltra la información alojada en el Active Directory de Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-funcionalidad-de-trickbot-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Trickbot es un troyano bancario desarrollado para la captura de credenciales alojadas en el navegador, se ha identificado un nuevo módulo el cual exfiltra la información alojada en el Active Directory de Windows.
Nueva herramienta de cifrado conocida como Attacker-CrypterRecientemente se identificó una nueva herramienta de cifrado que ha surgido en el panorama del ciberespacio y que representa una amenaza inminente para la integridad y seguridad de los sistemas y redes objetivo. Esta herramienta se conoce como "Attacker-Crypter" y tiene la capacidad de ofuscar y manipular código malicioso para evadir la detección por parte de las soluciones de seguridad y antivirus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-de-cifrado-conocida-como-attacker-crypterhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una nueva herramienta de cifrado que ha surgido en el panorama del ciberespacio y que representa una amenaza inminente para la integridad y seguridad de los sistemas y redes objetivo. Esta herramienta se conoce como "Attacker-Crypter" y tiene la capacidad de ofuscar y manipular código malicioso para evadir la detección por parte de las soluciones de seguridad y antivirus.
Nueva herramienta de exfiltración de datosEn el monitoreo continuo de fuentes abiertas de información y en la búsqueda de actividad maliciosa que pueda llegar a impactar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt financiero ha identificado el desarrollo de una nueva herramienta de exfiltración de datos, denominada Exmatter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-de-exfiltracion-de-datoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo de fuentes abiertas de información y en la búsqueda de actividad maliciosa que pueda llegar a impactar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt financiero ha identificado el desarrollo de una nueva herramienta de exfiltración de datos, denominada Exmatter.
Nueva herramienta loader denominada "Bioload", asociada al grupo FIN7Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-loader-denominada-bioload-asociada-al-grupo-fin7http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.
Nueva modificación y distribución de CryptBot InfostealerEn el seguimiento a amenazas potenciales cuyo objetivo sea el sector financiero, el equipo de analistas del Csirt Financiero ha observado la distribución de una versión modificada del infostealer identificado como CryptBot.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-modificacion-y-distribucion-de-cryptbot-infostealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a amenazas potenciales cuyo objetivo sea el sector financiero, el equipo de analistas del Csirt Financiero ha observado la distribución de una versión modificada del infostealer identificado como CryptBot.
Nueva operación de TinyLoaderMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-operacion-de-tinyloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de TinyLoader.
Nueva operación del grupo ciberdelincuente TA505 usando el descargador Get2TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-operacion-del-grupo-ciberdelincuente-ta505-usando-el-descargador-get2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}