Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo malware para cajeros automáticos denominado FiXSMediante un monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información abiertas se identificó un nuevo malware denominado FiXS dirigido a la región de Latinoamérica, donde los bancos de México fueron los primeros afectados por este software malicioso.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-para-cajeros-automaticos-denominado-fixshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero en diversas fuentes de información abiertas se identificó un nuevo malware denominado FiXS dirigido a la región de Latinoamérica, donde los bancos de México fueron los primeros afectados por este software malicioso.
Se identifican nuevos IoC asociados al troyano bancario QakBotEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio, en busca de campañas o amenazas que pueden afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-ioc-asociados-al-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio, en busca de campañas o amenazas que pueden afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario QakBot también conocido como Qbot que ha sido utilizado por diversos ciberdelincuentes desde el año 2007.
Blind Eagle mantiene una activa campaña maliciosa en contra de entidades colombianasEl grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.http://csirtasobancaria.com/Plone/alertas-de-seguridad/blind-eagle-mantiene-una-activa-campana-maliciosa-en-contra-de-entidades-colombianashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle, ha estado desplegando campañas en Colombia desde 2019. Comúnmente utilizan correos electrónicos tipo phishing para dirigirse a entidades específicas y estratégicas en sectores clave, incluyendo salud, finanzas, judiciales, gubernamentales, entre otros. Además, también se han descubierto campañas dirigidas a Ecuador, Chile y España.
Nuevos IoC asociados al ransomware Black BastaA medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ioc-asociados-al-ransomware-black-bastahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que pasa el tiempo, los cibercriminales detrás del ransomware Black Basta actualizan esta amenaza y sus herramientas en pro de lograr tener éxito en sus actividades maliciosas, ya se conocen las altas capacidades que este tiene como la ofuscación de archivos para generar persistencia, realizar copia de sí mismo en la carpeta temporal del sistema y/o cifrar la información alojada en las infraestructuras tecnológicas comprometidas, inhabilitando el acceso a la misma e impactando de forma crítica a las organizaciones.
Nueva actividad del troyano de acceso remoto Parallax RATRecientemente se identificó una nueva campaña relacionada con el troyano de acceso remoto conocido como Parallax que está atacando empresas de criptomonedas mediante técnicas de inyección que le permiten ocultarse en procesos legítimos. Una vez que el malware se inyecta, los atacantes pueden interactuar con la víctima a través del Bloc de notas de Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-de-acceso-remoto-parallax-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una nueva campaña relacionada con el troyano de acceso remoto conocido como Parallax que está atacando empresas de criptomonedas mediante técnicas de inyección que le permiten ocultarse en procesos legítimos. Una vez que el malware se inyecta, los atacantes pueden interactuar con la víctima a través del Bloc de notas de Windows.
Nuevos artefactos del troyano bancario TrickbotEn el ciberespacio son constantes las nuevas actualizaciones a diferentes amenazas utilizadas por diversos grupos de ciberdelincuentes que emplean nuevas infraestructuras, nuevos vectores de infección y nuevos métodos para propagar distintos malware con el objetivo de afectar algunos de los pilares de la seguridad; en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados al troyano bancario Trickbot el cual ha evolucionado con el tiempo ya que en sus inicios sólo poseía características de troyano bancario dirigido exclusivamente a capturar credenciales de cuentas bancarias para luego ejecutar acciones fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-bancario-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ciberespacio son constantes las nuevas actualizaciones a diferentes amenazas utilizadas por diversos grupos de ciberdelincuentes que emplean nuevas infraestructuras, nuevos vectores de infección y nuevos métodos para propagar distintos malware con el objetivo de afectar algunos de los pilares de la seguridad; en esta ocasión el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados al troyano bancario Trickbot el cual ha evolucionado con el tiempo ya que en sus inicios sólo poseía características de troyano bancario dirigido exclusivamente a capturar credenciales de cuentas bancarias para luego ejecutar acciones fraudulentas.
Nueva campaña del loader Bumblebee suplantando DocuSignEn el ejercicio de monitorear las actividades maliciosas de las amenazas recurrentes en el ciberespacio se identificó una nueva campaña de phishing que ha estado suplantando DocuSign (una empresa de tecnología que ofrece soluciones de firma electrónica y gestión de documentos en línea) en un intento por persuadir a los usuarios para que descarguen un artefacto malicioso que contiene la carga útil de Bumblebee.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-loader-bumblebee-suplantando-docusignhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear las actividades maliciosas de las amenazas recurrentes en el ciberespacio se identificó una nueva campaña de phishing que ha estado suplantando DocuSign (una empresa de tecnología que ofrece soluciones de firma electrónica y gestión de documentos en línea) en un intento por persuadir a los usuarios para que descarguen un artefacto malicioso que contiene la carga útil de Bumblebee.
Emerge un nuevo RAT denominado HiatusÚltimamente la proliferación de amenazas es recurrente en el ciberespacio por lo que es común que emerjan nuevas familias de malware, en particular, se ha identificado un nuevo troyano de acceso remoto denominado Hiatus que recopila información de los sistemas infectados y la envía a un servidor de comando y control.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-rat-denominado-hiatushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Últimamente la proliferación de amenazas es recurrente en el ciberespacio por lo que es común que emerjan nuevas familias de malware, en particular, se ha identificado un nuevo troyano de acceso remoto denominado Hiatus que recopila información de los sistemas infectados y la envía a un servidor de comando y control.
Emerge un nuevo ransomware denominado SirattackerEmerge una nueva variante de ransomware en el panorama de amenazas denominado Sirattacker derivada del builder del grupo Chaos, esta fue detectada por primera vez en febrero de 2023 y afecta sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-ransomware-denominado-sirattackerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emerge una nueva variante de ransomware en el panorama de amenazas denominado Sirattacker derivada del builder del grupo Chaos, esta fue detectada por primera vez en febrero de 2023 y afecta sistemas operativos Windows.
Nuevo criptominero denominado ScrubCryptEl grupo minero de criptomonedas conocido como 8220 Gang ha sido observado utilizando un nuevo criptominero llamado ScrubCrypt para llevar a cabo operaciones de criptojacking (ciberataque en la que un delincuente utiliza la potencia de procesamiento de un equipo de otra persona sin su consentimiento para minar criptomonedas) mediante la explotación de vulnerabilidades de Oracle WebLogic.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-criptominero-denominado-scrubcrypthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo minero de criptomonedas conocido como 8220 Gang ha sido observado utilizando un nuevo criptominero llamado ScrubCrypt para llevar a cabo operaciones de criptojacking (ciberataque en la que un delincuente utiliza la potencia de procesamiento de un equipo de otra persona sin su consentimiento para minar criptomonedas) mediante la explotación de vulnerabilidades de Oracle WebLogic.
Emerge un nuevo troyano bancario denominado NeXusNeXus es un nuevo troyano bancario que ha sido identificado recientemente que está siendo promovido por un actor de amenazas (TA) en un foro de cibercrimen ruso. Este malware es utilizado por grupos de ciberdelincuentes para infiltrarse en dispositivos móviles y capturar credenciales de aplicaciones bancarias específicas y es compatible con versiones de Android que van desde la versión “Lollipop" hasta Android 13.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-troyano-bancario-denominado-nexushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NeXus es un nuevo troyano bancario que ha sido identificado recientemente que está siendo promovido por un actor de amenazas (TA) en un foro de cibercrimen ruso. Este malware es utilizado por grupos de ciberdelincuentes para infiltrarse en dispositivos móviles y capturar credenciales de aplicaciones bancarias específicas y es compatible con versiones de Android que van desde la versión “Lollipop" hasta Android 13.
Nueva variante del troyano bancario XenomorphSe conoce que esta amenaza es propiedad de Hadoken Security Group, una operación cibercriminal que continúa mejorando el código malicioso de Xenomorph, llamando a su nueva versión Xenomorph.C, la cual admite un nuevo sistema de transferencia automatizada (ATS) y va dirigido a más de 400 entidades bancarias en países como España, Turquía, Polonia, Estados Unidos, Australia, Canadá, Italia, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bancario-xenomorphhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que esta amenaza es propiedad de Hadoken Security Group, una operación cibercriminal que continúa mejorando el código malicioso de Xenomorph, llamando a su nueva versión Xenomorph.C, la cual admite un nuevo sistema de transferencia automatizada (ATS) y va dirigido a más de 400 entidades bancarias en países como España, Turquía, Polonia, Estados Unidos, Australia, Canadá, Italia, entre otros.
Emerge un nuevo ransomware con funcionalidades de clipper denominado BlackSnakeEl ransomware es una amenaza cada vez más sofisticada y peligrosa, y los actores de amenazas están siempre buscando nuevas formas de extorsionar a las víctimas. Una nueva variante llamada BlackSnake ha sido descubierta recientemente, y entre sus capacidades puede realizar operaciones de clipper dirigidas a usuarios de criptomonedas, cabe mencionar que esta amenaza se ha creado en función de la fuente del ransomware Chaos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-ransomware-con-funcionalidades-de-clipper-denominado-blacksnakehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una amenaza cada vez más sofisticada y peligrosa, y los actores de amenazas están siempre buscando nuevas formas de extorsionar a las víctimas. Una nueva variante llamada BlackSnake ha sido descubierta recientemente, y entre sus capacidades puede realizar operaciones de clipper dirigidas a usuarios de criptomonedas, cabe mencionar que esta amenaza se ha creado en función de la fuente del ransomware Chaos.
Nueva variante del ransomware IceFire dirigida a LinuxLa primeras actividades de IceFire se observaron a finales de 2022, sin embargo, recientemente, investigadores de seguridad identificaron una nueva variante dirigida a redes empresariales que están bajo entorno Linux; su tamaño es de 2,18 MB y está dotado con un binario ELF (formato de archivo estándar común para archivos ejecutables, código objeto, bibliotecas compartidas y volcados de núcleo) con arquitectura de 64 bits que es compilado con GCC (conjunto de compiladores creados por el proyecto GNU) para que sea compatible con entornos AMD64.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-icefire-dirigida-a-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La primeras actividades de IceFire se observaron a finales de 2022, sin embargo, recientemente, investigadores de seguridad identificaron una nueva variante dirigida a redes empresariales que están bajo entorno Linux; su tamaño es de 2,18 MB y está dotado con un binario ELF (formato de archivo estándar común para archivos ejecutables, código objeto, bibliotecas compartidas y volcados de núcleo) con arquitectura de 64 bits que es compilado con GCC (conjunto de compiladores creados por el proyecto GNU) para que sea compatible con entornos AMD64.
Se identifican nuevos indicadores del troyano bancario MekotioA través de un monitoreo a fuentes abiertas de ciberseguridad fueron identificadas nuevas campañas del troyano bancario Mekotio donde se observaron nuevos indicadores de compromiso que los ciberdelincuentes siguen distribuyendo con el objetivo de generar alguna afectación en los pilares de la seguridad de la información de su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-indicadores-del-troyano-bancario-mekotiohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo a fuentes abiertas de ciberseguridad fueron identificadas nuevas campañas del troyano bancario Mekotio donde se observaron nuevos indicadores de compromiso que los ciberdelincuentes siguen distribuyendo con el objetivo de generar alguna afectación en los pilares de la seguridad de la información de su entidad.
Nueva actualización en el código del troyano bancario EmotetEl equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, en esta ocasión se observó nueva actividad maliciosa del troyano bancario Emotet con nuevas técnicas de evasión, con esto se identificaron nuevos indicadores de compromiso que tienen como objetivo afectar la confidencialidad de su entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-en-el-codigo-del-troyano-bancario-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, en esta ocasión se observó nueva actividad maliciosa del troyano bancario Emotet con nuevas técnicas de evasión, con esto se identificaron nuevos indicadores de compromiso que tienen como objetivo afectar la confidencialidad de su entidad.
Nuevo troyano bancario para Android denominado GoatRATRecientemente, se ha identificado una nueva variante de troyano bancario denominado GoatRAT, dirigido a sistemas operativos Android, cuenta con capacidades que le permiten realizar transferencias bancarias sin autorización e interacción del usuario, explotando el nuevo sistema de pago automatizado que ha sido impulsado por bancos brasileños.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-para-android-denominado-goatrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva variante de troyano bancario denominado GoatRAT, dirigido a sistemas operativos Android, cuenta con capacidades que le permiten realizar transferencias bancarias sin autorización e interacción del usuario, explotando el nuevo sistema de pago automatizado que ha sido impulsado por bancos brasileños.
Surge una nueva versión del inyector DotRunpeXDotRunpeX ganó notoriedad entre noviembre de 2022 y enero de 2023, con el mayor número de ataques observados en diciembre de 2022. Está amenaza continúa evolucionando y se han observado una docenas de campañas que lo emplean como una infección de segunda etapa. Este inyector DotNet se utiliza para ofrecer varias familias de malware diferentes, principalmente relacionadas con stealer, RAT, loaders y downloaders.http://csirtasobancaria.com/Plone/alertas-de-seguridad/surge-una-nueva-version-del-inyector-dotrunpexhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
DotRunpeX ganó notoriedad entre noviembre de 2022 y enero de 2023, con el mayor número de ataques observados en diciembre de 2022. Está amenaza continúa evolucionando y se han observado una docenas de campañas que lo emplean como una infección de segunda etapa. Este inyector DotNet se utiliza para ofrecer varias familias de malware diferentes, principalmente relacionadas con stealer, RAT, loaders y downloaders.
Emerge otra familia de ransomware basada en Chaos denominada SkullLockerSkullLocker es una nueva amenaza en el panorama actual, identificada como una nueva variante de la familia de ransomware Chaos, su objetivo principal es cifrar los archivos en equipos infectados y exigir el pago por la llave de descifrado. Asimismo, puede afectar a varias ubicaciones y extensiones de archivo, con más de 300 extensiones diferentes que incluyen archivos de texto, imágenes, audio, video y varios formatos de documentos y bases de datos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-otra-familia-de-ransomware-basada-en-chaos-denominada-skulllocker-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SkullLocker es una nueva amenaza en el panorama actual, identificada como una nueva variante de la familia de ransomware Chaos, su objetivo principal es cifrar los archivos en equipos infectados y exigir el pago por la llave de descifrado. Asimismo, puede afectar a varias ubicaciones y extensiones de archivo, con más de 300 extensiones diferentes que incluyen archivos de texto, imágenes, audio, video y varios formatos de documentos y bases de datos.
Nueva actualización del ransomware LockBitRecientemente, se observó una nueva actividad maliciosa en la que se identificó que el grupo de ciberdelincuentes del ransomware LockBit han empezado a utilizar una nueva variante denominada LockBit Green, conteniendo algunas funcionalidades que implementaba el ransomware Conti, por lo que puede ser más atractivo para los que están afiliados a este, ya que se pueden familiarizar de forma rápida con esta nueva actualización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-del-ransomware-lockbithttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se observó una nueva actividad maliciosa en la que se identificó que el grupo de ciberdelincuentes del ransomware LockBit han empezado a utilizar una nueva variante denominada LockBit Green, conteniendo algunas funcionalidades que implementaba el ransomware Conti, por lo que puede ser más atractivo para los que están afiliados a este, ya que se pueden familiarizar de forma rápida con esta nueva actualización.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}