Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Valak 2.0 exfiltrador de informaciónMediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el descargador del malware Valak versión 2.0. En esta nueva versión, implementa características diseñadas para evadir los parámetros de seguridad circundantes en el sistema a comprometer. Se enfoca hacia perfiles como administradores de dominio, intentando exfiltrar la mayor cantidad de información sensible y causar un mayor impacto.http://csirtasobancaria.com/Plone/alertas-de-seguridad/valak-2-0-exfiltrador-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el descargador del malware Valak versión 2.0. En esta nueva versión, implementa características diseñadas para evadir los parámetros de seguridad circundantes en el sistema a comprometer. Se enfoca hacia perfiles como administradores de dominio, intentando exfiltrar la mayor cantidad de información sensible y causar un mayor impacto.
Análisis técnico de Amenazas – BizonalDesde el Csirt Financiero se ha evidenciado un malware que ha estado afectando a entidades financieras de Europa del Este. El malware se conoce como Bizonal y está asociado con el grupo de APT CactusPete. Un backdoor con muchas modificaciones que permiten a los ciberdelincuentes llevar a cabo nuevos tipos de actividades maliciosas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-amenazas-2013-bizonalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado un malware que ha estado afectando a entidades financieras de Europa del Este. El malware se conoce como Bizonal y está asociado con el grupo de APT CactusPete. Un backdoor con muchas modificaciones que permiten a los ciberdelincuentes llevar a cabo nuevos tipos de actividades maliciosas.
Malware Grandoreiro actualizado con latenbot-C2Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el malware Grandoreiro y el cual se ha documentado en comunicados anteriores. Esta vez, se reinventa e incluye en su suite de herramientas, el módulo botnet Latenbot optimizando la comunicación con el servidor de comando y control (C2).http://csirtasobancaria.com/Plone/alertas-de-seguridad/malware-grandoreiro-actualizado-con-latenbot-c2http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el malware Grandoreiro y el cual se ha documentado en comunicados anteriores. Esta vez, se reinventa e incluye en su suite de herramientas, el módulo botnet Latenbot optimizando la comunicación con el servidor de comando y control (C2).
El ransomware Ragnar Locker oculto en máquina virtualEn el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.http://csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-ragnar-locker-oculto-en-maquina-virtualhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero evidenció una nueva versión de ransomware denominada Ragnar Locker el cual se encuentra embebido en una máquina virtual, capaz de cifrar la información de unidades locales y de red.
Indicadores de compromiso asociados a CactusPete APTEn el constante monitoreo que realiza el equipo del Csirt Financiero, se ha identificado información sobre el grupo de ciberdelincuentes CactusPete APT, que tiene como objetivo distribuir el backdoor llamado Bizonal. Troyano que una vez ejecutado proporciona control total a los ciberdelincuentes sobre el equipo comprometido y por ende a la información confidencial.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-cactuspete-apthttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero, se ha identificado información sobre el grupo de ciberdelincuentes CactusPete APT, que tiene como objetivo distribuir el backdoor llamado Bizonal. Troyano que una vez ejecutado proporciona control total a los ciberdelincuentes sobre el equipo comprometido y por ende a la información confidencial.
Análisis técnico de amenaza Defensor IDDesde el Csirt Financiero ha evidenciado un nuevo malware, dirigido principalmente a los usuarios de entidades bancarias localizadas en Brasil. El troyano bancario para dispositivos Android se ha denominado Defensor ID, nombre que utiliza la aplicación para su descarga.http://csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-amenaza-defensor-idhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero ha evidenciado un nuevo malware, dirigido principalmente a los usuarios de entidades bancarias localizadas en Brasil. El troyano bancario para dispositivos Android se ha denominado Defensor ID, nombre que utiliza la aplicación para su descarga.
Ransomware ProLock y troyano Qakbot en trabajo colaborativoEl ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-prolock-y-troyano-qakbot-en-trabajo-colaborativohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.
Nueva variante de Zloader exfiltra información financiera.El equipo del Csirt Financiero ha identificado campañas de infección con una variante del troyano bancario Zloader en Estados Unidos y varios países de Europa; tiene como objetivo exfiltrar las credenciales e información sensible de los usuarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-zloader-exfiltra-informacion-financierahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado campañas de infección con una variante del troyano bancario Zloader en Estados Unidos y varios países de Europa; tiene como objetivo exfiltrar las credenciales e información sensible de los usuarios.
Vulnerabilidad 0-Day halladas en Windows sin corrección.Dentro del constante monitoreo que realiza el equipo del Csirt Financiero, evidencia que Microsoft Windows no ha corregido 3 vulnerabilidades que afectan los servicios suministrados por el Sistema Operativo Windows 10 y en un principio permitirían la ejecución de código arbitrario a nivel de usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-0-day-halladas-en-windows-sin-correccionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del constante monitoreo que realiza el equipo del Csirt Financiero, evidencia que Microsoft Windows no ha corregido 3 vulnerabilidades que afectan los servicios suministrados por el Sistema Operativo Windows 10 y en un principio permitirían la ejecución de código arbitrario a nivel de usuario.
Nuevos indicadores de compromiso asociados a IcedIDA través del continuo monitoreo realizado por el equipo del Csirt Financiero a nuevos vectores de amenazas, se han identificado nuevos indicadores de compromiso asociados a IcedID, troyano con capacidades para expandirse a través de la red, monitorear la actividad del navegador web mediante la configuración de un proxy local con el fin de crear un túnel de tráfico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-icedid-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del continuo monitoreo realizado por el equipo del Csirt Financiero a nuevos vectores de amenazas, se han identificado nuevos indicadores de compromiso asociados a IcedID, troyano con capacidades para expandirse a través de la red, monitorear la actividad del navegador web mediante la configuración de un proxy local con el fin de crear un túnel de tráfico.
LOLSnif, nueva variante basada en el troyano bancario UrsnifUrsnif: es un troyano bancario que ha tenido diferentes variantes debido a la estabilidad de su código. La variante que se analizará utiliza técnicas basadas en LOLBINS y varias capas de ofuscación con el fin de dificultar su detección. También utiliza Internet Explorer para realizar la comunicación con el servidor de comando y control (C2), ya que mediante este navegador puede omitir configuraciones de proxy en redes corporativas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/lolsnif-nueva-variante-basada-en-el-troyano-bancario-ursnifhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ursnif: es un troyano bancario que ha tenido diferentes variantes debido a la estabilidad de su código. La variante que se analizará utiliza técnicas basadas en LOLBINS y varias capas de ofuscación con el fin de dificultar su detección. También utiliza Internet Explorer para realizar la comunicación con el servidor de comando y control (C2), ya que mediante este navegador puede omitir configuraciones de proxy en redes corporativas.
Grupo Tropic Trooper utiliza USBFerry en entornos Air gappedEn el constante monitoreo que realiza el Csirt Financiero, evidenció investigación relacionada con el grupo cibercriminal Tropic Trooper, el cual está empleando dispositivos USB para realizar ataques a infraestructuras de tipo air gapped, con el fin de exfiltrar información confidencialhttp://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-tropic-trooper-utiliza-usbferry-en-entornos-air-gappedhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero, evidenció investigación relacionada con el grupo cibercriminal Tropic Trooper, el cual está empleando dispositivos USB para realizar ataques a infraestructuras de tipo air gapped, con el fin de exfiltrar información confidencial
Nueva campaña utilizando el troyano adwind ratDesde el Csirt Financiero se ha evidenciado una nueva campaña contra entidades bancarias localizadas en la India, en los ataques se ha utilizado el troyano Adwind RAT. Este malware está programado en Java y permite ejecución multiplataforma sin distinción del sistema operativo, siempre y cuando cuente con Java instalado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-utilizando-el-troyano-adwind-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado una nueva campaña contra entidades bancarias localizadas en la India, en los ataques se ha utilizado el troyano Adwind RAT. Este malware está programado en Java y permite ejecución multiplataforma sin distinción del sistema operativo, siempre y cuando cuente con Java instalado.
Nuevo grupo Vendetta afecta organizaciones de Europa y LatinoaméricaEl nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-vendetta-afecta-organizaciones-de-europa-y-latinoamericahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.
Nuevo malware dirigido a dispositivos ATMEl equipo del Csirt Financiero ha conocido acerca de un nuevo malware dirigido a cajeros automáticos (ATM), este hace parte de la familia del malware conocida como Dispcash.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-dirigido-a-dispositivos-atmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha conocido acerca de un nuevo malware dirigido a cajeros automáticos (ATM), este hace parte de la familia del malware conocida como Dispcash.
Nuevos indicadores de compromiso asociados a Emotet.Desde el Csirt Financiero se han identificado nuevos indicadores de compromiso asociados a Emotet, troyano que permite a los ciberdelincuentes a través de diferentes técnicas, la extracción de información relacionada con credenciales de acceso a portales bancarios.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado nuevos indicadores de compromiso asociados a Emotet, troyano que permite a los ciberdelincuentes a través de diferentes técnicas, la extracción de información relacionada con credenciales de acceso a portales bancarios.
Copperhedge, Taintedscribe y Pebbledash, malware distribuido por Hidden CobraEl equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copperhedge-taintedscribe-y-pebbledash-malware-distribuido-por-hidden-cobrahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.
Spyware Mandrake, malware sin detección por más de 4 añosEn el constante monitoreo que realiza el equipo del Csirt Financiero se han identificado campañas de infección del malware Mandrake, el cual es un spyware que había pasado desapercibido por más de 4 años, creando múltiples aplicaciones Android para tomar control total del dispositivo exfiltrando los datos sensibles.http://csirtasobancaria.com/Plone/alertas-de-seguridad/spyware-mandrake-malware-sin-deteccion-por-mas-de-4-anoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo del Csirt Financiero se han identificado campañas de infección del malware Mandrake, el cual es un spyware que había pasado desapercibido por más de 4 años, creando múltiples aplicaciones Android para tomar control total del dispositivo exfiltrando los datos sensibles.
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra monitoreando diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, verificando un alto crecimiento del teletrabajohttp://csirtasobancaria.com/Plone/alertas-de-seguridad/servicios-expuestos-en-colombia-4http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra monitoreando diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, verificando un alto crecimiento del teletrabajo
Nuevos indicadores de compromiso asociados con LampionEl equipo del Csirt Financiero ha identificado actividad reciente del malware Lampion, el cual ha migrado a una nueva versión según lo observado en el mes de mayo del presente año, suplantando facturas bancarias, facturas relacionadas al grupo Vodafone, así como fondos de emergencia otorgados por el gobierno portugués por la presente pandemia COVID-19, todo a través del envio de mensajes correo tipo malspam.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-con-lampionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado actividad reciente del malware Lampion, el cual ha migrado a una nueva versión según lo observado en el mes de mayo del presente año, suplantando facturas bancarias, facturas relacionadas al grupo Vodafone, así como fondos de emergencia otorgados por el gobierno portugués por la presente pandemia COVID-19, todo a través del envio de mensajes correo tipo malspam.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}