Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña de propagación del troyano bancario AlienEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidencia una nueva campaña de propagación del troyano bancario Alien, el cual afecta a dispositivos Android. En esta oportunidad, los ciberdelincuentes distribuyen la aplicación maliciosa aprovechando la alarma sanitaria aún presente asociada al COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-propagacion-del-troyano-bancario-alienhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidencia una nueva campaña de propagación del troyano bancario Alien, el cual afecta a dispositivos Android. En esta oportunidad, los ciberdelincuentes distribuyen la aplicación maliciosa aprovechando la alarma sanitaria aún presente asociada al COVID-19.
Malware FreakOut, ataca a dispositivos LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt financiero encontró tres vulnerabilidades dirigidas a dispositivos Linux, que están siendo explotadas por una nueva variante del malware FreakOut, para productos que aún no se encuentran parcheados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-freakout-ataca-a-dispositivos-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt financiero encontró tres vulnerabilidades dirigidas a dispositivos Linux, que están siendo explotadas por una nueva variante del malware FreakOut, para productos que aún no se encuentran parcheados.
Bizarro, nuevo troyano bancario brasileñoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado Bizarro, originario de Brasil, que afecta equipos con sistema operativo Windows. Este troyano ha realizado afectaciones en diferentes países a nivel mundial, afectando a 70 bancos de diferentes países europeos y latinoamericanos como Alemania, Argentina, Brasil, Chile, Ecuador, España, Francia, Italia, México, Perú, y Portugal.http://csirtasobancaria.com/Plone/alertas-de-seguridad/bizarro-nuevo-troyano-bancario-brasilenohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado Bizarro, originario de Brasil, que afecta equipos con sistema operativo Windows. Este troyano ha realizado afectaciones en diferentes países a nivel mundial, afectando a 70 bancos de diferentes países europeos y latinoamericanos como Alemania, Argentina, Brasil, Chile, Ecuador, España, Francia, Italia, México, Perú, y Portugal.
Raindrop, nuevo malware vinculado al ataque de SolarwindsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor denominado Raindrop, el cual está relacionado con la cadena de infección realizada a la plataforma Orion de SolarWinds en 2020. Este backdoor fue utilizado para entregar una carga útil de Cobalt Strike facilitando a los ciberdelincuentes moverse lateralmente en la red comprometida.http://csirtasobancaria.com/Plone/alertas-de-seguridad/raindrop-nuevo-malware-vinculado-al-ataque-de-solarwindshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor denominado Raindrop, el cual está relacionado con la cadena de infección realizada a la plataforma Orion de SolarWinds en 2020. Este backdoor fue utilizado para entregar una carga útil de Cobalt Strike facilitando a los ciberdelincuentes moverse lateralmente en la red comprometida.
Una ruta específica en el navegador genera un error de pantalla azul en Windows 10En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/una-ruta-especifica-en-el-navegador-genera-un-error-de-pantalla-azul-en-windows-10http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.
Vulnerabilidades encontradas en servicios FortinetEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, encontró información relacionada con vulnerabilidades en el firewall de aplicaciones Web FortiWeb (WAF) de Fortinet. Los eventos de seguridad ya se encuentran analizados y han sido abordados con el lanzamiento de parches de seguridad, los cuales se hace necesario implementar, para evitar la explotación por parte de amenazas cibernéticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-encontradas-en-servicios-fortinethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, encontró información relacionada con vulnerabilidades en el firewall de aplicaciones Web FortiWeb (WAF) de Fortinet. Los eventos de seguridad ya se encuentran analizados y han sido abordados con el lanzamiento de parches de seguridad, los cuales se hace necesario implementar, para evitar la explotación por parte de amenazas cibernéticas.
Utilización de Bulletproof hostings por parte de grupos de MagecartEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/utilizacion-de-bulletproof-hostings-por-parte-de-grupos-de-magecarthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.
Nueva campaña de distribución de AsyncRatEn el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-distribucion-de-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.
Campaña de distribución de nueva variante de UrsnifEn el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-nueva-variante-de-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.
Publicación de parches para vulnerabilidades en WindowsEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/publicacion-de-parches-para-vulnerabilidades-en-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.
Malware Sunspot asociado al grupo StellarParticle, implicado en la cadena de infección de SolarWindsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidenció un nuevo malware asociado a un grupo de actividad denominado StellarParticle, implicado en la cadena de infección de SolarWinds. Este malware se utilizó para insertar el backdoor SUNBURST en las compilaciones de software de los productos de gestión de SolarWinds Orion, este malware fue reconocido por los investigadores de CrowdStrike Intelligence, los cuales identificaron el backdoor que se implementó en la construcción de los productos de SolarWinds, sin generar sospechas a los desarrolladores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-sunspot-asociado-al-grupo-stellarparticle-implicado-en-la-cadena-de-infeccion-de-solarwindshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidenció un nuevo malware asociado a un grupo de actividad denominado StellarParticle, implicado en la cadena de infección de SolarWinds. Este malware se utilizó para insertar el backdoor SUNBURST en las compilaciones de software de los productos de gestión de SolarWinds Orion, este malware fue reconocido por los investigadores de CrowdStrike Intelligence, los cuales identificaron el backdoor que se implementó en la construcción de los productos de SolarWinds, sin generar sospechas a los desarrolladores.
Campaña de distribución de malware a varias empresas colombianasEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una campaña de infección a varias empresas colombianas denominada Operación Spalax. Según investigadores de ESET (compañía de seguridad informática) se ha observado esta operación desde al menos abril de 2018, cuyo objetivo es la distribución de troyanos de acceso remoto (RAT) a través de mensajes de correo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-malware-a-varias-empresas-colombianashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una campaña de infección a varias empresas colombianas denominada Operación Spalax. Según investigadores de ESET (compañía de seguridad informática) se ha observado esta operación desde al menos abril de 2018, cuyo objetivo es la distribución de troyanos de acceso remoto (RAT) a través de mensajes de correo malspam.
Nuevo troyano bancario que afecta dispositivos AndroidEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-que-afecta-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.
Posible relación entre Sunburst con la herramienta Kazuar de TurlaEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una posible relación entre Sunburst y una herramienta utilizada desde varios años atrás por el grupo cibercriminal Turla, denominada Kazuar. Cabe destacar que aún no hay confirmación de una conexión entre esta herramientas, pero tienen gran similitud en varias características de su desarrollo y ejecución.http://csirtasobancaria.com/Plone/alertas-de-seguridad/posible-relacion-entre-sunburst-con-la-herramienta-kazuar-de-turlahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una posible relación entre Sunburst y una herramienta utilizada desde varios años atrás por el grupo cibercriminal Turla, denominada Kazuar. Cabe destacar que aún no hay confirmación de una conexión entre esta herramientas, pero tienen gran similitud en varias características de su desarrollo y ejecución.
Última técnica utilizada para distribuir LokiBot.En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-tecnica-utilizada-para-distribuir-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.
Nuevos indicadores de compromiso asociados a TrickbotEn el monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso de Trickbot, un troyano bancario diseñado para exfiltrar información financiera confidencial de usuarios a través de la infección de equipos. Trickbot también destaca al ser uno de los primeros malware capaz de exfiltrar datos de billeteras bitcoin.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-trickbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso de Trickbot, un troyano bancario diseñado para exfiltrar información financiera confidencial de usuarios a través de la infección de equipos. Trickbot también destaca al ser uno de los primeros malware capaz de exfiltrar datos de billeteras bitcoin.
Nueva campaña de phishing descarga QratEn el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-descarga-qrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.
Nuevo ransomware denominado Babuk LockerEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Ransomware denominado Babuk Locker capaz de afectar sistemas operativos Windows. Los ataques de este Ransomware han sido originados desde principios de 2021 y ya cuenta con una variada lista de víctimas alrededor del mundo. También se tiene conocimiento de que las cifras de rescate establecidas por los ciberdelincuentes varían entre $60.000 y $85.000 dólares en monedas bitcoin.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevo-ransomware-denominado-babuk-lockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Ransomware denominado Babuk Locker capaz de afectar sistemas operativos Windows. Los ataques de este Ransomware han sido originados desde principios de 2021 y ya cuenta con una variada lista de víctimas alrededor del mundo. También se tiene conocimiento de que las cifras de rescate establecidas por los ciberdelincuentes varían entre $60.000 y $85.000 dólares en monedas bitcoin.
Información publicada asociada a usuarios de cuentas American ExpressEn el monitoreo realizado por el Csirt Financiero a diversas fuentes, se ha evidenciado la publicación gratuita de 10,000 datos de clientes pertenecientes a American Express en México, donde también se afirma tener datos de otras entidades financieras mexicanas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/informacion-publicada-asociada-a-usuarios-de-cuentas-american-expresshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a diversas fuentes, se ha evidenciado la publicación gratuita de 10,000 datos de clientes pertenecientes a American Express en México, donde también se afirma tener datos de otras entidades financieras mexicanas.
Nueva actividad del grupo FIN7 utilizando JSSLoaderEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado nueva actividad del grupo APT FIN7, también conocido como grupo Carbanak el cual ha sido el encargado de realizar distintas campañas para la distribución de malware desde el año 2014. El grupo está enfocado principalmente en la ejecución de acciones cibercriminales motivado financieramente en contra diversas organizaciones.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-fin7-utilizando-jssloaderhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado nueva actividad del grupo APT FIN7, también conocido como grupo Carbanak el cual ha sido el encargado de realizar distintas campañas para la distribución de malware desde el año 2014. El grupo está enfocado principalmente en la ejecución de acciones cibercriminales motivado financieramente en contra diversas organizaciones.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}