Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva variante de RAT conocida como Janela, dirigida a entidades financieras en la regiónDurante el segundo trimestre del presente año, investigadores de seguridad identificaron una nueva amenaza conocida como JanelaRAT, una variante de un troyano previamente conocido como BX RAT, la cual está siendo dirigida a usuarios y/o entidades FinTech (Tecnología Financiera) de Latinoamérica.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-rat-conocida-como-janela-dirigida-a-entidades-financieras-en-la-regionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el segundo trimestre del presente año, investigadores de seguridad identificaron una nueva amenaza conocida como JanelaRAT, una variante de un troyano previamente conocido como BX RAT, la cual está siendo dirigida a usuarios y/o entidades FinTech (Tecnología Financiera) de Latinoamérica.
Nueva versión de LummaC Stealer distribuye Amadey bot y descarga software malicioso adicionalMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad relacionada con el Stealer conocido como LummaC, específicamente en su versión 19.07.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-de-lummac-stealer-distribuye-amadey-bot-y-descarga-software-malicioso-adicionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad relacionada con el Stealer conocido como LummaC, específicamente en su versión 19.07.
QwixxRAT nuevo troyano de acceso remotoEl equipo Csirt ha descubierto una amenaza, QwixxRAT, un troyano de acceso remoto sigiloso que capturada datos confidenciales de sistemas Windows. Se adquiere en redes sociales como Telegram y Discord con suscripciones semanales o permanentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/qwixxrat-nuevo-troyano-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo Csirt ha descubierto una amenaza, QwixxRAT, un troyano de acceso remoto sigiloso que capturada datos confidenciales de sistemas Windows. Se adquiere en redes sociales como Telegram y Discord con suscripciones semanales o permanentes.
Nueva variante de Gigabud RAT denominada Gigabud.LoanEn el primer semestre de 2023, el sector financiero de países como Tailandia, Indonesia, Vietnam, Filipinas y Perú ha sido blanco de ataques de seguridad. Estos ataques involucran Gigabud.loan, una versión del troyano bancario Gigabud RAT, que se activa de manera discreta siguiendo órdenes precisas de los ciberdelincuentes. Esta amenaza realiza acciones como grabar pantallas y simular notificaciones de préstamos para capturar información bancaria.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-gigabud-rat-denominada-gigabud.loanhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el primer semestre de 2023, el sector financiero de países como Tailandia, Indonesia, Vietnam, Filipinas y Perú ha sido blanco de ataques de seguridad. Estos ataques involucran Gigabud.loan, una versión del troyano bancario Gigabud RAT, que se activa de manera discreta siguiendo órdenes precisas de los ciberdelincuentes. Esta amenaza realiza acciones como grabar pantallas y simular notificaciones de préstamos para capturar información bancaria.
El ransomware BlackCat implementa nuevas herramientas.Dentro de las últimas actualizaciones que se observan en el mundo de la ciberseguridad, es constante la implementación de nuevas herramientas destinadas a generar afectaciones en la tecnología y el sector financiero. En estas nuevas versiones, el equipo del Csirt identificó Sphynx, una variante del ransomware BlackCat que se evidenció a principios del año 2023. En esta ocasión, se han incorporado nuevas herramientas para llevar a cabo movimientos laterales y conexiones remotas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-blackcat-implementa-nuevas-herramientashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de las últimas actualizaciones que se observan en el mundo de la ciberseguridad, es constante la implementación de nuevas herramientas destinadas a generar afectaciones en la tecnología y el sector financiero. En estas nuevas versiones, el equipo del Csirt identificó Sphynx, una variante del ransomware BlackCat que se evidenció a principios del año 2023. En esta ocasión, se han incorporado nuevas herramientas para llevar a cabo movimientos laterales y conexiones remotas.
Nuevo Stealer identificado como LumarA principios del segundo semestre del presente año, investigadores de seguridad realizaron seguimiento a la red oscura, donde encontraron un foro clandestino que se encuentra ofreciendo una nueva amenaza conocida como Lumar; un stealer dotado con capacidades de alto nivel que le permite recopilar y exfiltrar información sensible como credenciales de acceso, códigos de múltiple factor (MFA), documentos, cookies de navegadores, entre otra.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-identificado-como-lumarhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A principios del segundo semestre del presente año, investigadores de seguridad realizaron seguimiento a la red oscura, donde encontraron un foro clandestino que se encuentra ofreciendo una nueva amenaza conocida como Lumar; un stealer dotado con capacidades de alto nivel que le permite recopilar y exfiltrar información sensible como credenciales de acceso, códigos de múltiple factor (MFA), documentos, cookies de navegadores, entre otra.
Nuevos indicadores de compromiso de Netsupport Manager RATEl equipo de analistas del Csirt Financiero mantiene bajo seguimiento a "NetSupport Manager RAT un tipo de malware que se disfraza como una herramienta legítima de control remoto, como NetSupport Manager, pero en realidad se utiliza para acceder de manera no autorizada a sistemas y redes, robar información confidencial, instalar malware adicional y realizar actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-de-netsupport-manager-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero mantiene bajo seguimiento a "NetSupport Manager RAT un tipo de malware que se disfraza como una herramienta legítima de control remoto, como NetSupport Manager, pero en realidad se utiliza para acceder de manera no autorizada a sistemas y redes, robar información confidencial, instalar malware adicional y realizar actividades maliciosas.
Nuevos métodos sofisticados utilizados por ciberdelincuentes para distribuir APK maliciosas en dispositivos AndroidMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero se identificó nuevos métodos avanzados implementados por actores maliciosos con el propósito de eludir las tradicionales medidas de seguridad y análisis. Estas nuevas estrategias subrayan una evolución y mayor sofisticación en las tácticas empleadas por estos individuos para evadir la detección y proteger sus actividades fraudulentas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-metodos-sofisticados-utilizados-por-ciberdelincuentes-para-distribuir-apk-maliciosas-en-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero se identificó nuevos métodos avanzados implementados por actores maliciosos con el propósito de eludir las tradicionales medidas de seguridad y análisis. Estas nuevas estrategias subrayan una evolución y mayor sofisticación en las tácticas empleadas por estos individuos para evadir la detección y proteger sus actividades fraudulentas.
Nueva campaña de simulación de herramientas TI que entregan malwareEl equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó que se encuentran publicitando herramientas de TI maliciosas las cuales se utilizan para acceder de manera no autorizada a sistemas y redes con tal de exfiltrar información confidencial, instalar malware adicional y realizar actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-simulacion-de-herramientas-ti-que-entregan-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó que se encuentran publicitando herramientas de TI maliciosas las cuales se utilizan para acceder de manera no autorizada a sistemas y redes con tal de exfiltrar información confidencial, instalar malware adicional y realizar actividades maliciosas.
Nuevos indicadores de compromiso relacionados con RhadamanthysRhadamanthys es un software malicioso que se clasifica como un "stealer" y está diseñado para extraer datos de los equipos infectados. Se ha observado que esta amenaza se propaga a través de sitios web maliciosos que imitan programas legítimos, lo que facilita su infiltración en sistemas sin despertar sospechas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-rhadamanthyshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Rhadamanthys es un software malicioso que se clasifica como un "stealer" y está diseñado para extraer datos de los equipos infectados. Se ha observado que esta amenaza se propaga a través de sitios web maliciosos que imitan programas legítimos, lo que facilita su infiltración en sistemas sin despertar sospechas.
Malware convierte equipos Windows y Mac OS en servidores ProxyEl equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó que están utilizando nuevas estrategias a través de atractivas ofertas o software comprometido las cuales se utilizan para acceder de manera no autorizada a sistemas y redes con tal de exfiltrar información confidencial, instalar malware adicional y realizar actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-convierte-equipos-windows-y-mac-os-en-servidores-proxyhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó que están utilizando nuevas estrategias a través de atractivas ofertas o software comprometido las cuales se utilizan para acceder de manera no autorizada a sistemas y redes con tal de exfiltrar información confidencial, instalar malware adicional y realizar actividades maliciosas.
Nuevos indicadores de compromiso de Cuba ransomwareEl equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó nuevos indicadores de compromiso (IoC) de Cuba Ransomware el cual se encuentra actualmente en el cuarto año de su operación y no muestra signos de desaceleración. Solo en la primera mitad de 2023, los operadores detrás del ransomware Cuba fueron los perpetradores de varios ataques de alto perfil del sector de infraestructura crítica en Estados Unidos, y también a un integrador de TI en América Latina. con tal de exfiltrar información confidencial del servicio financiero, instalar malware adicional y realizar actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-de-cuba-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó nuevos indicadores de compromiso (IoC) de Cuba Ransomware el cual se encuentra actualmente en el cuarto año de su operación y no muestra signos de desaceleración. Solo en la primera mitad de 2023, los operadores detrás del ransomware Cuba fueron los perpetradores de varios ataques de alto perfil del sector de infraestructura crítica en Estados Unidos, y también a un integrador de TI en América Latina. con tal de exfiltrar información confidencial del servicio financiero, instalar malware adicional y realizar actividades maliciosas.
Nuevo Stealer Denominado AgnianeEl equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó un nuevo malware llamado Agniane Stealer que tiene funciones para exfiltrar información confidencial y cuenta con técnicas para evitar su detección ante herramientas antimalware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-agnianehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt mantiene bajo seguimiento a las nuevas campañas gestadas por los actores de amenaza en donde se identificó un nuevo malware llamado Agniane Stealer que tiene funciones para exfiltrar información confidencial y cuenta con técnicas para evitar su detección ante herramientas antimalware.
Nuevo troyano de acceso remoto QuiteRATEl equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado QuiteRat RAT el cual es atribuido al grupo APT 38 más conocido como Lazarus y que se distribuye mediante la explotación de la vulnerabilidad en ManageEngine ServiceDesk (CVE-2022-47966).http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-quiterathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó un nuevo troyano de acceso remoto denominado QuiteRat RAT el cual es atribuido al grupo APT 38 más conocido como Lazarus y que se distribuye mediante la explotación de la vulnerabilidad en ManageEngine ServiceDesk (CVE-2022-47966).
Nueva campaña masiva de phishing con motivaciones financierasRecientemente, investigadores de seguridad identificaron una campaña masiva de phishing con motivaciones financieras desplegada desde Rusia, donde los actores de amenaza manipulan un kit de herramientas maliciosas identificado como Telekopye que tiene la finalidad de aprovechar un bot de Telegram para almacenar la información exfiltrada, además, de generar los sitios web fraudulentos y enviar las URL a los usuarios para comprometerlos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-masiva-de-phishing-con-motivaciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores de seguridad identificaron una campaña masiva de phishing con motivaciones financieras desplegada desde Rusia, donde los actores de amenaza manipulan un kit de herramientas maliciosas identificado como Telekopye que tiene la finalidad de aprovechar un bot de Telegram para almacenar la información exfiltrada, además, de generar los sitios web fraudulentos y enviar las URL a los usuarios para comprometerlos.
SmokeLoader distribuye un nuevo malware de escaneo de Wi-Fi denominado Whiffy ReconMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad relacionada con SmokeLoader, en esta campaña se observó que esta relacionado con el uso de un nuevo software malicioso de escaneo de Wi-Fi denominado Whiffy Recon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/smokeloader-distribuye-un-nuevo-malware-de-escaneo-de-wi-fi-denominado-whiffy-reconhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad relacionada con SmokeLoader, en esta campaña se observó que esta relacionado con el uso de un nuevo software malicioso de escaneo de Wi-Fi denominado Whiffy Recon.
Nuevo malware sigiloso denominado CollectionRATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano de acceso remoto llamado CollectionRAT que está siendo utilizado por el grupo Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-sigiloso-denominado-collectionrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano de acceso remoto llamado CollectionRAT que está siendo utilizado por el grupo Lazarus.
Nuevos indicadores de compromiso asociados a Adwind RAT 3.0Es importante destacar que aproximadamente el 70% de programas maliciosos existentes son troyanos, donde se incluye la característica de Remote Access Trojan (RAT) que han estado siendo utilizados por los actores de amenaza durante muchos años con la finalidad de impactar los pilares de la seguridad informática. Es el caso de Adwind RAT, una amenaza que ha estado activa desde 2012 aproximadamente, dotado de capacidades que le permiten eludir herramientas de seguridad, capturar y exfiltrar información sensible de las infraestructuras comprometidas por la misma.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-adwind-rat-3.0http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es importante destacar que aproximadamente el 70% de programas maliciosos existentes son troyanos, donde se incluye la característica de Remote Access Trojan (RAT) que han estado siendo utilizados por los actores de amenaza durante muchos años con la finalidad de impactar los pilares de la seguridad informática. Es el caso de Adwind RAT, una amenaza que ha estado activa desde 2012 aproximadamente, dotado de capacidades que le permiten eludir herramientas de seguridad, capturar y exfiltrar información sensible de las infraestructuras comprometidas por la misma.
Nuevos indicadores de compromiso relacionados con XWormMediante el monitoreo y seguimiento de amenazas realizado el equipo de analistas del Csirt Financiero recopilo nuevos indicadores de compromiso relacionados con XWorm, la cual es una amenaza diseñada para afectar sistemas operativos Windows y presenta una amplia gama de capacidades maliciosas, que van desde el control remoto de escritorio hasta la propagación de ransomware y la captura de información sensible. Convirtiéndose en una amenaza altamente peligrosa y que ha ganado gran notoriedad, implementándose en diversas operaciones maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-xwormhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo y seguimiento de amenazas realizado el equipo de analistas del Csirt Financiero recopilo nuevos indicadores de compromiso relacionados con XWorm, la cual es una amenaza diseñada para afectar sistemas operativos Windows y presenta una amplia gama de capacidades maliciosas, que van desde el control remoto de escritorio hasta la propagación de ransomware y la captura de información sensible. Convirtiéndose en una amenaza altamente peligrosa y que ha ganado gran notoriedad, implementándose en diversas operaciones maliciosas.
Grupos APT Fin8 y Stac4663 aprovechan vulnerabilidad critica en productos de CitrixRecientemente el equipo del Csirt financiero observó un aumento en los ataques donde diversos grupos de ciberdelincuentes se encuentran explotando la vulnerabilidad CVE-2023-3519 que previamente había sido reportada el mes de julio mediante una Tailored Threat Analysis (TTA) identificada con el ticket I-009510 en donde se dio a conocer la afectación a más de 2.000 productos NetScaler ADC y NetScaler Gateway.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupos-apt-fin8-y-stac4663-aprovechan-vulnerabilidad-critica-en-productos-de-citrixhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo del Csirt financiero observó un aumento en los ataques donde diversos grupos de ciberdelincuentes se encuentran explotando la vulnerabilidad CVE-2023-3519 que previamente había sido reportada el mes de julio mediante una Tailored Threat Analysis (TTA) identificada con el ticket I-009510 en donde se dio a conocer la afectación a más de 2.000 productos NetScaler ADC y NetScaler Gateway.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}