Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Operación Fox Tempest facilita evasión de seguridad mediante malware firmadoDurante actividades recientes de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con Fox Tempest, actor financiero responsable de operar un esquema denominado Malware-Signing-as-a-Service (MSaaS), diseñado para proporcionar certificados de firma digital fraudulentos a otros grupos criminaleshttp://csirtasobancaria.com/Plone/alertas-de-seguridad/operacion-fox-tempest-facilita-evasion-de-seguridad-mediante-malware-firmadohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades recientes de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con Fox Tempest, actor financiero responsable de operar un esquema denominado Malware-Signing-as-a-Service (MSaaS), diseñado para proporcionar certificados de firma digital fraudulentos a otros grupos criminales
Nueva campaña emplea el cargador PawsRunner para ocultar y desplegar PureLogsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que emplea el cargador PawsRunner para distribuir el infostealer PureLogs, una amenaza desarrollada en .NET cuyo propósito es la extracción masiva de credenciales, billeteras digitales y datos sensibles de los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-emplea-el-cargador-pawsrunner-para-ocultar-y-desplegar-purelogshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que emplea el cargador PawsRunner para distribuir el infostealer PureLogs, una amenaza desarrollada en .NET cuyo propósito es la extracción masiva de credenciales, billeteras digitales y datos sensibles de los equipos comprometidos.
Suplantaciones de Microsoft Teams distribuyen Valley RATEl equipo de analistas del Csirt Financiero ha identificado una campaña maliciosa que distribuye ValleyRAT mediante páginas fraudulentas que suplantan el portal oficial de Microsoft Teams.http://csirtasobancaria.com/Plone/alertas-de-seguridad/suplantaciones-de-microsoft-teams-distribuyen-valley-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña maliciosa que distribuye ValleyRAT mediante páginas fraudulentas que suplantan el portal oficial de Microsoft Teams.
Nueva actividad de RemotePE asociado al grupo LazarusDurante actividades de monitoreo e investigación realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada con RemotePE, un malware tipo RAT (Remote Access Trojan) atribuido a un subgrupo vinculado con Lazarus dirigido a empresas financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-remotepe-asociado-al-grupo-lazarushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo e investigación realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad asociada con RemotePE, un malware tipo RAT (Remote Access Trojan) atribuido a un subgrupo vinculado con Lazarus dirigido a empresas financieras.
Nuevo loader IronWind empleado por el grupo WIRTE en operaciones de ciberespionajeDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del loader IronWind, una amenaza de ciberespionaje operada por el grupo identificado como WIRTE.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-ironwind-empleado-por-el-grupo-wirte-en-operaciones-de-ciberespionajehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del loader IronWind, una amenaza de ciberespionaje operada por el grupo identificado como WIRTE.
Nueva actividad maliciosa atribuida a la botnet AmadeyDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con la botnet Amadey, malware modular utilizado principalmente como loader y plataforma de distribución de amenazas adicionales.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-la-botnet-amadeyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con la botnet Amadey, malware modular utilizado principalmente como loader y plataforma de distribución de amenazas adicionales.
Nueva actividad maliciosa asociada a Lumma StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con Lumma Stealer, un stealer comercializado bajo el modelo Malware-as-a-Service (MaaS) dentro de foros clandestinos y comunidades de la dark web.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-a-lumma-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó actividad asociada con Lumma Stealer, un stealer comercializado bajo el modelo Malware-as-a-Service (MaaS) dentro de foros clandestinos y comunidades de la dark web.
Nuevo RAT denominado Banana RAT afecta el sector financiero en america del surEl Csirt Financiero ha encontrado actividad relacionada a Banana RAT, un troyano de acceso remoto orientado al fraude financiero el cual hace parte de una operación atribuida al APT SHADOW-WATER-063 que se encuentra dirigido específicamente contra entidades financieras y usuarios corporativos mediante campañas de ingeniería socialhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-denominado-banana-rat-afecta-el-sector-financiero-en-america-del-surhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha encontrado actividad relacionada a Banana RAT, un troyano de acceso remoto orientado al fraude financiero el cual hace parte de una operación atribuida al APT SHADOW-WATER-063 que se encuentra dirigido específicamente contra entidades financieras y usuarios corporativos mediante campañas de ingeniería social
Nueva actividad de la botnet P2Pinfect afecta entornos Kubernetes a través de servicios expuestos.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a la botnet P2Pinfect, caracterizada por comprometer entornos Kubernetes mediante configuraciones inseguras, servicios administrativos expuestos y mecanismos orientados a mantener persistencia prolongada dentro de infraestructuras de contenedores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-la-botnet-p2pinfect-afecta-entornos-kubernetes-a-traves-de-servicios-expuestoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a la botnet P2Pinfect, caracterizada por comprometer entornos Kubernetes mediante configuraciones inseguras, servicios administrativos expuestos y mecanismos orientados a mantener persistencia prolongada dentro de infraestructuras de contenedores.
Campaña maliciosa relacionada a CountLoaderA través actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de CountLoader, la cual utiliza una arquitectura modular y altamente ofuscada diseñada para mantenerse oculta mientras descarga y ejecuta distintas cargas maliciosas en sistemas Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-relacionada-al-malware-countloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de CountLoader, la cual utiliza una arquitectura modular y altamente ofuscada diseñada para mantenerse oculta mientras descarga y ejecuta distintas cargas maliciosas en sistemas Windows.
Nueva amenaza llamada DevilNFC dirigida a fraude financiero móvil mediante NFCDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con DevilNFC, un nuevo malware para dispositivos Android diseñado para abusar de funcionalidades NFC (Near Field Communication) con el objetivo de ejecutar fraudes financieros mediante retransmisión de comunicaciones contactless.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-llamada-devilnfc-dirigida-a-fraude-financiero-movil-mediante-nfchttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con DevilNFC, un nuevo malware para dispositivos Android diseñado para abusar de funcionalidades NFC (Near Field Communication) con el objetivo de ejecutar fraudes financieros mediante retransmisión de comunicaciones contactless.
Nueva actividad maliciosa asociada a RustyStealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con RustyStealer, un stealer diseñado para comprometer sistemas Windows y capturar información sensible de usuarios y organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-asociada-a-rustystealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad relacionada con RustyStealer, un stealer diseñado para comprometer sistemas Windows y capturar información sensible de usuarios y organizaciones.
Nueva campaña de Paper Werewolf despliega EchoGather RAT y PaperGrabber stealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida a Paper Werewolf. La campaña evidencia una evolución en el conjunto de herramientas del grupo, ya que incorpora PaperGrabber stealer, EchoGather RAT, descargadores desarrollados en C++, C#, Python y JavaScript, además de un implante personalizado para el marco de posexplotación Mythic.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-paper-werewolf-despliega-echogather-rat-y-papergrabber-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña atribuida a Paper Werewolf. La campaña evidencia una evolución en el conjunto de herramientas del grupo, ya que incorpora PaperGrabber stealer, EchoGather RAT, descargadores desarrollados en C++, C#, Python y JavaScript, además de un implante personalizado para el marco de posexplotación Mythic.
Nueva variante de Amatera StealerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con una nueva variante de Amatera Stealer 4.0.2 Beta, un stealer desarrollado en C++ y comercializado bajo un modelo Malware-as-a-Service (MaaS).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-amatera-stealerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con una nueva variante de Amatera Stealer 4.0.2 Beta, un stealer desarrollado en C++ y comercializado bajo un modelo Malware-as-a-Service (MaaS).
Nueva campaña de XWorm v7.1 emplea phishing y ejecución en memoria para comprometer sistemas WindowsDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a XWorm v7.1. Esta amenaza permite a ciberdelincuentes comprometer equipos Windows mediante correos de phishing, ejecución de archivos comprimidos y uso indebido de herramientas legítimas del sistema operativo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-xworm-v7-1-emplea-phishing-y-ejecucion-en-memoria-para-comprometer-sistemas-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a XWorm v7.1. Esta amenaza permite a ciberdelincuentes comprometer equipos Windows mediante correos de phishing, ejecución de archivos comprimidos y uso indebido de herramientas legítimas del sistema operativo.
Nueva campaña de Kazuar evoluciona con arquitectura distribuida p2p para mantener acceso encubierto en entornos comprometidos.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña relacionada con el backdoor Kazuar, atribuida al grupo ruso Secret Blizzard, caracterizada por la evolución de sus capacidades hacia una arquitectura botnet peer-to-peer (P2P) altamente modular, orientada a mantener acceso persistente y encubierto dentro de infraestructuras comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-kazuar-evoluciona-con-arquitectura-distribuida-p2p-para-mantener-acceso-encubierto-en-entornos-comprometidoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña relacionada con el backdoor Kazuar, atribuida al grupo ruso Secret Blizzard, caracterizada por la evolución de sus capacidades hacia una arquitectura botnet peer-to-peer (P2P) altamente modular, orientada a mantener acceso persistente y encubierto dentro de infraestructuras comprometidas.
Nueva campaña denominada TencShell incorpora capacidades de persistencia, evasión y pivoting interno.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña denominada TencShell, orientada al acceso persistente, ejecución remota de comandos y control encubierto de sistemas comprometidos, la amenaza utiliza técnicas avanzadas de evasión, ejecución fileless e inyección de código en memoria para dificultar su detección mediante controles tradicionales de seguridad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-denominada-tencshell-incorpora-capacidades-de-persistencia-evasion-y-pivoting-internohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña denominada TencShell, orientada al acceso persistente, ejecución remota de comandos y control encubierto de sistemas comprometidos, la amenaza utiliza técnicas avanzadas de evasión, ejecución fileless e inyección de código en memoria para dificultar su detección mediante controles tradicionales de seguridad.
The Gentlemen explota vulnerabilidades en Fortinet y Cisco para comprometer redes empresarialesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del ransomware The Gentlemen, operado bajo el modelo RaaS (Ransomware-as-a-Service).http://csirtasobancaria.com/Plone/alertas-de-seguridad/the-gentlemen-explota-vulnerabilidades-en-fortinet-y-cisco-para-comprometer-redes-empresarialeshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del ransomware The Gentlemen, operado bajo el modelo RaaS (Ransomware-as-a-Service).
Nueva campaña de TrickMo distribuye variante Android con capacidades de acceso remotoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a una nueva variante TrickMo, una amenaza especializada en comprometer dispositivos móviles utilizados para acceder a servicios bancarios, plataformas fintech, billeteras digitales y aplicaciones de autenticación multifactor.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-trickmo-distribuye-variante-android-con-capacidades-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a una nueva variante TrickMo, una amenaza especializada en comprometer dispositivos móviles utilizados para acceder a servicios bancarios, plataformas fintech, billeteras digitales y aplicaciones de autenticación multifactor.
SHADOW-AETHER-040 y SHADOW-AETHER-064: campañas dirigidas contra LATAM incorporan herramientas asistidas por IADurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con dos campañas maliciosas denominadas SHADOW-AETHER-040 y SHADOW-AETHER-064.http://csirtasobancaria.com/Plone/alertas-de-seguridad/shadow-aether-040-y-shadow-aether-064-campanas-dirigidas-contra-latam-incorporan-herramientas-asistidas-por-iahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó información relacionada con dos campañas maliciosas denominadas SHADOW-AETHER-040 y SHADOW-AETHER-064.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}