Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos indicadores de compromiso asociados a LokibotDesde el Csirt Financiero se ha evidenciado una nueva campaña de phishing distribuyendo a Lokibot a través de archivos de tipo CAB (Windows Cabinet); esto con el fin de realizar la exfiltración de información confidencial de los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado una nueva campaña de phishing distribuyendo a Lokibot a través de archivos de tipo CAB (Windows Cabinet); esto con el fin de realizar la exfiltración de información confidencial de los equipos comprometidos.
Servidores MDM vulnerados para instalar malware bancario en dispositivos AndroidInvestigadores han detectado que ciberdelincuentes han vulnerado servidores MDM (Mobile Device Manager) de diferentes compañías y así han logrado instalar el malware bancario conocido como Cerberus en el 75% de los dispositivos móviles administrados, el malware bancario tiene la capacidad de recolectar toda la información sensible del dispositivo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/servidores-mdm-vulnerados-para-instalar-malware-bancario-en-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores han detectado que ciberdelincuentes han vulnerado servidores MDM (Mobile Device Manager) de diferentes compañías y así han logrado instalar el malware bancario conocido como Cerberus en el 75% de los dispositivos móviles administrados, el malware bancario tiene la capacidad de recolectar toda la información sensible del dispositivo infectado.
Nueva campaña de phishing distribuyendo Lokibot y Jigsaw ransomwareDesde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-distribuyendo-lokibot-y-jigsaw-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.
Troyano bancario Grandoreiro apunta a usuarios de países latinoamericanosEl equipo del Csirt Financiero ha realizado un análisis al troyano bancario Grandoreiro, este troyano ha atacado a usuarios de entidades financieras en países como Brasil (de donde es originario), Perú, México y España, entre otros y muestra un esfuerzo inusual de sus autores para evadir la detección y la emulación, buscando así progresar hacia una arquitectura modular.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-grandoreiro-apunta-a-usuarios-de-paises-latinoamericanoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha realizado un análisis al troyano bancario Grandoreiro, este troyano ha atacado a usuarios de entidades financieras en países como Brasil (de donde es originario), Perú, México y España, entre otros y muestra un esfuerzo inusual de sus autores para evadir la detección y la emulación, buscando así progresar hacia una arquitectura modular.
Campaña PerSwaysion; kit de phishing webCampaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-perswaysion-kit-de-phishing-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.
RAT RevCode WebMonitor empaquetada en instalador Zoom.El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rat-revcode-webmonitor-empaquetada-en-instalador-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.
Indicadores de compromiso asociados a campaña del troyano EventBotEl equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-campana-del-troyano-eventbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.
Sitios de Wordpress vulnerados para distribuir RATEl Csirt financiero ha identificado una modalidad en que los ciberdelincuentes comprometen sitios web desarrollados en el gestor de contenidos Wordpress para distribuir software malicioso RAT en equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/sitios-de-wordpress-vulnerados-para-distribuir-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado una modalidad en que los ciberdelincuentes comprometen sitios web desarrollados en el gestor de contenidos Wordpress para distribuir software malicioso RAT en equipos con sistema operativo Windows.
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_servicios-expuestos-en-colombia-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
Nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia.Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ataques-dirigidos-a-instituciones-financieras-y-de-salud-en-rusiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.
Formjacking; inyección de código JavaScript maliciosoEl Csirt financiero ha identificado el aumentado y la popularidad en el mundo cibercriminal de la amenaza conocida como Formjacking. Mediante la inyección de código JavaScript los ciberdelincuentes toman el control de la página del formulario del sitio objetivo para exfiltrar credenciales de tarjetas de crédito y detalles de pago en los sitios web de comercio electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/formjacking-inyeccion-de-codigo-javascript-maliciosohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado el aumentado y la popularidad en el mundo cibercriminal de la amenaza conocida como Formjacking. Mediante la inyección de código JavaScript los ciberdelincuentes toman el control de la página del formulario del sitio objetivo para exfiltrar credenciales de tarjetas de crédito y detalles de pago en los sitios web de comercio electrónico.
Black Rose Lucy, ransomware móvil para Android.El equipo del Csirt financiero ha identificado una amenaza que regresa después de dos años, se trata del ransomware Black Rose Lucy, se hace pasar por una aplicación de reproducción de video para dispositivos Android, bajo esta apariencia solicita a los usuarios habilitar los servicios de accesibilidad para tener un mínimo de interacción con la víctima y finalmente instalar la carga útil del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/black-rose-lucy-ransomware-movil-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha identificado una amenaza que regresa después de dos años, se trata del ransomware Black Rose Lucy, se hace pasar por una aplicación de reproducción de video para dispositivos Android, bajo esta apariencia solicita a los usuarios habilitar los servicios de accesibilidad para tener un mínimo de interacción con la víctima y finalmente instalar la carga útil del ransomware.
Indicadores de compromiso asociados a Botnet LeetHozer.El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-botnet-leethozerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.
Vulnerabilidad de Microsoft Teams permitía ataques por medio de imágenesEl Csirt Financiero ha referenciado una vulnerabilidad en Microsoft Teams donde un archivo .gif enviado a una potencial víctima, permitía al ciberdelincuente descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales. Al ciberdelincuente lograría acceder a la cuenta del usuario o a las cuentas de todo un equipo al mismo tiempo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-microsoft-teams-permitia-ataques-por-medio-de-imageneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha referenciado una vulnerabilidad en Microsoft Teams donde un archivo .gif enviado a una potencial víctima, permitía al ciberdelincuente descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales. Al ciberdelincuente lograría acceder a la cuenta del usuario o a las cuentas de todo un equipo al mismo tiempo.
Indicadores de compromiso relacionados al troyano Cerberus.El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Cerberus, el cual suplanta las aplicaciones móviles para infectar dispositivos Android, tomar acceso remoto y exfiltra información sensible.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-troyano-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Cerberus, el cual suplanta las aplicaciones móviles para infectar dispositivos Android, tomar acceso remoto y exfiltra información sensible.
Grupo “Florentino” usa campañas de phishing utilizando office 365En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-201cflorentino201d-usa-campanas-de-phishing-utilizando-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.
Vulnerabilidad de día cero en firewall empresarial de SOPHOSEl equipo del Csirt financiero identificó que la firma de ciberseguridad Sophos publicó una actualización de seguridad el sábado, buscando corregir una vulnerabilidad de día cero en su producto de firewall empresarial XG.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-dia-cero-en-firewall-empresarial-de-sophoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero identificó que la firma de ciberseguridad Sophos publicó una actualización de seguridad el sábado, buscando corregir una vulnerabilidad de día cero en su producto de firewall empresarial XG.
Ransomware MedusaLockerEn el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-medusalockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.
Nuevo malware de puerta trasera BazarBackdoor.El Csirt financiero ha identificado una nueva campaña de phishing encargada de instalar una puerta trasera sigilosa llamada BazarBackdoor, la cual es utilizada por los ciberdelincuentes para comprometer y obtener acceso a redes corporativas, capturando información sensible de los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-de-puerta-trasera-bazarbackdoorhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado una nueva campaña de phishing encargada de instalar una puerta trasera sigilosa llamada BazarBackdoor, la cual es utilizada por los ciberdelincuentes para comprometer y obtener acceso a redes corporativas, capturando información sensible de los equipos comprometidos.
Actualizaciones de seguridad de VMwareDentro de la constante labor investigativa que realiza el equipo del Csirt Financiero se identificaron correcciones de software emitidas por VMware, a vulnerabilidades que afectan servicios brindados a través de sus sistemas operativos ESXi.http://csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-de-seguridad-de-vmwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de la constante labor investigativa que realiza el equipo del Csirt Financiero se identificaron correcciones de software emitidas por VMware, a vulnerabilidades que afectan servicios brindados a través de sus sistemas operativos ESXi.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}