Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo RAT desarrollado en Golang aprovecha vulnerabilidad Oracle WeblogicEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano de acceso remoto (RAT) desarrollado en el framework Golang. La amenaza cibernética se encarga de explotar la vulnerabilidad CVE-2019-2725 de Oracle WebLogic RCE en las versiones 10.3.6.0.0 y 12.1.3.0.0.0, mediante la ejecución de código remoto dentro de una red sin la necesidad de credenciales, afectando los sistemas de información y servicios tecnológicos de servidores WebLogic.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-desarrollado-en-golang-aprovecha-vulnerabilidad-oracle-weblogichttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano de acceso remoto (RAT) desarrollado en el framework Golang. La amenaza cibernética se encarga de explotar la vulnerabilidad CVE-2019-2725 de Oracle WebLogic RCE en las versiones 10.3.6.0.0 y 12.1.3.0.0.0, mediante la ejecución de código remoto dentro de una red sin la necesidad de credenciales, afectando los sistemas de información y servicios tecnológicos de servidores WebLogic.
Nuevos Indicadores de Compromiso asociados a EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano modular Emotet, el cual se distribuye a través de mensajes de correo electrónico malspam con archivos adjuntos maliciosos o con enlaces anexos para la descarga de archivos de primera fase de infección e iniciar el proceso de infección del equipo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-emotet-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano modular Emotet, el cual se distribuye a través de mensajes de correo electrónico malspam con archivos adjuntos maliciosos o con enlaces anexos para la descarga de archivos de primera fase de infección e iniciar el proceso de infección del equipo.
Nuevos indicadores de compromiso asociados a LokibotEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al troyano Lokibot perteneciente a la familia de malware bancario. Esta amenaza cuenta con funcionalidades encargadas de capturar y exfiltrar información como contraseñas, números de tarjetas crédito y/o débito, recopilación de información de criptomonedas, suplantación de aplicaciones y páginas web, entre otras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-lokibot-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados al troyano Lokibot perteneciente a la familia de malware bancario. Esta amenaza cuenta con funcionalidades encargadas de capturar y exfiltrar información como contraseñas, números de tarjetas crédito y/o débito, recopilación de información de criptomonedas, suplantación de aplicaciones y páginas web, entre otras.
Ciberdelincuentes alteran las URL para evadir los Sistemas AntimalwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado un método utilizado por los ciberdelincuentes para agregar texto aleatorio a las direcciones URL para evadir la detección antispam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-alteran-las-url-para-evadir-los-sistemas-antimalwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado un método utilizado por los ciberdelincuentes para agregar texto aleatorio a las direcciones URL para evadir la detección antispam.
Muestras de malware que comprometen Sistemas POSEn el monitoreo realizado a fuentes abiertas el Csirt Financiero, se han identificado diferentes muestras de malware que comprometen a sistemas de Punto de Venta (POS), están atribuidas a TinyPOS, RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/muestras-de-malware-que-comprometen-sistemas-poshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas el Csirt Financiero, se han identificado diferentes muestras de malware que comprometen a sistemas de Punto de Venta (POS), están atribuidas a TinyPOS, RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS.
Vulnerabilidad en IBM Informix permite ejecutar código maliciosoEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha identificado una vulnerabilidad en la base de datos de IBM Informix Dynamic Server de impacto medio al lograr afectar la infraestructura tecnológica de los asociados.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-ibm-informix-permite-ejecutar-codigo-maliciosohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha identificado una vulnerabilidad en la base de datos de IBM Informix Dynamic Server de impacto medio al lograr afectar la infraestructura tecnológica de los asociados.
Múltiples vulnerabilidades halladas en dispositivos NetGearEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha comprobado múltiples vulnerabilidades en los productos de NetGear.http://csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-halladas-en-dispositivos-netgearhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
MALLOCKER, ransomware para Dispositivos AndroidEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha registrado un ransomware llamado MalLocker.B que afecta dispositivos Android y se muestra en la pantalla del usuario como un aviso de la Policía (local) con la exigencia del pago de una aparente multa; esto lo logra utilizando las notificaciones de “Llamada entrante” y del botón “Inicio”.http://csirtasobancaria.com/Plone/alertas-de-seguridad/mallocker-ransomware-para-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha registrado un ransomware llamado MalLocker.B que afecta dispositivos Android y se muestra en la pantalla del usuario como un aviso de la Policía (local) con la exigencia del pago de una aparente multa; esto lo logra utilizando las notificaciones de “Llamada entrante” y del botón “Inicio”.
TA505 explota vulnerabilidad ZerologonDesde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ta505-explota-vulnerabilidad-zerologonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el monitoreo realizado por el Csirt Financiero se ha evidenciado que TA505 está realizando explotación de la vulnerabilidad Zerologon, en donde abusan del aplicativo de Windows MSBuild(.)exe para compilar Mimikatz, actualizado con la funcionalidad incorporada de ZeroLogon.
Nuevo servicio web implementado por campañas para la distribución de malwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-servicio-web-implementado-por-campanas-para-la-distribucion-de-malwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.
Ramsonware Exorcist 2.0 distribuido a través de software falsoEn el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ramsonware-exorcist-2-0-distribuido-a-traves-de-software-falsohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas por parte del equipo del Csirt financiero, se ha evidenciado actividad por parte del ransomware Exorcist 2.0, que realiza afectación sobre equipos de cómputo con sistema operativo Windows. El método de distribución empleado consta de la utilización de plataformas como PopCash que contienen publicidad engañosa y dirigen al usuario a sitios web para la descarga de actualizaciones de Windows 10 o la descarga gratuita de software licenciado.
Nueva Botnet P2P se enfoca en Servicios Telnet vulnerablesEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-botnet-p2p-se-enfoca-en-servicios-telnet-vulnerableshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet P2P con afectación sobre múltiples arquitecturas de CPU incluidas x86 (32/64), ARM (32/64) entre otras, capaz de propagarse a través de ataques de fuerza bruta aprovechando el protocolo de red telnet que usa los puertos 23/2323.
Grupo FULLZ HOUSE exfiltra tarjetas de crédito a través de skimming webEn el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-fullz-house-exfiltra-tarjetas-de-credito-a-traves-de-skimming-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a fuentes abiertas, por parte del equipo del Csirt financiero, se ha evidenciado actividad maliciosa del grupo FULLZ HOUSE. Estos cibercriminales son reconocidos por exfiltrar información de tarjetas de crédito mediante el compromiso de sitios web con pasarelas de pago.
Extorsión ante ataques DDoS en LatinoaméricaEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas se ha evidenciado que, en las últimas dos semanas, diferentes entidades bancarias han sido objetivos de ataques de DDoS, ataques atribuidos a un grupo cibercriminal que parece suplantar a Lazarus.http://csirtasobancaria.com/Plone/alertas-de-seguridad/extorsion-ante-ataques-ddos-en-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas se ha evidenciado que, en las últimas dos semanas, diferentes entidades bancarias han sido objetivos de ataques de DDoS, ataques atribuidos a un grupo cibercriminal que parece suplantar a Lazarus.
Nueva campaña maliciosa del Grupo TA505En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-grupo-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.
Troyano Bancario Guildma ahora afecta Dispositivos AndroidEl equipo del Csirt financiero ha evidenciado la evolución del troyano bancario Guildma, usualmente utilizado por los ciberdelincuentes para comprometer equipos con sistema operativo Windows. Se ha observado una versión multiplataforma que puede comprometer dispositivos móviles Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-guildma-ahora-afecta-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha evidenciado la evolución del troyano bancario Guildma, usualmente utilizado por los ciberdelincuentes para comprometer equipos con sistema operativo Windows. Se ha observado una versión multiplataforma que puede comprometer dispositivos móviles Android.
Nuevo ransomware Egregor exfiltra datos de empresas a nivel mundialEn el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-egregor-exfiltra-datos-de-empresas-a-nivel-mundialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.
Campaña de Ciberespionage Dukong utiliza temas de COVID 19 para comprometer Dispositivos Android.El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ciberespionage-dukong-utiliza-temas-de-covid-19-para-comprometer-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.
Botnet Ipstorm afecta a Windows, distribuciones Linux, Android y MacosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ipstorm-afecta-a-windows-distribuciones-linux-android-y-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.
Slothfulmedia, troyano de acceso remoto.En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un malware denominado SlothfulMedia, el cual tiene características de Dropper , encargado de desplegar dos archivos maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/slothfulmedia-troyano-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un malware denominado SlothfulMedia, el cual tiene características de Dropper , encargado de desplegar dos archivos maliciosos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}