Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Vulnerabilidad de Microsoft Teams permitía ataques por medio de imágenesEl Csirt Financiero ha referenciado una vulnerabilidad en Microsoft Teams donde un archivo .gif enviado a una potencial víctima, permitía al ciberdelincuente descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales. Al ciberdelincuente lograría acceder a la cuenta del usuario o a las cuentas de todo un equipo al mismo tiempo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-microsoft-teams-permitia-ataques-por-medio-de-imageneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha referenciado una vulnerabilidad en Microsoft Teams donde un archivo .gif enviado a una potencial víctima, permitía al ciberdelincuente descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales. Al ciberdelincuente lograría acceder a la cuenta del usuario o a las cuentas de todo un equipo al mismo tiempo.
Indicadores de compromiso asociados a Botnet LeetHozer.El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-botnet-leethozerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.
Black Rose Lucy, ransomware móvil para Android.El equipo del Csirt financiero ha identificado una amenaza que regresa después de dos años, se trata del ransomware Black Rose Lucy, se hace pasar por una aplicación de reproducción de video para dispositivos Android, bajo esta apariencia solicita a los usuarios habilitar los servicios de accesibilidad para tener un mínimo de interacción con la víctima y finalmente instalar la carga útil del ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/black-rose-lucy-ransomware-movil-para-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha identificado una amenaza que regresa después de dos años, se trata del ransomware Black Rose Lucy, se hace pasar por una aplicación de reproducción de video para dispositivos Android, bajo esta apariencia solicita a los usuarios habilitar los servicios de accesibilidad para tener un mínimo de interacción con la víctima y finalmente instalar la carga útil del ransomware.
Formjacking; inyección de código JavaScript maliciosoEl Csirt financiero ha identificado el aumentado y la popularidad en el mundo cibercriminal de la amenaza conocida como Formjacking. Mediante la inyección de código JavaScript los ciberdelincuentes toman el control de la página del formulario del sitio objetivo para exfiltrar credenciales de tarjetas de crédito y detalles de pago en los sitios web de comercio electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/formjacking-inyeccion-de-codigo-javascript-maliciosohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado el aumentado y la popularidad en el mundo cibercriminal de la amenaza conocida como Formjacking. Mediante la inyección de código JavaScript los ciberdelincuentes toman el control de la página del formulario del sitio objetivo para exfiltrar credenciales de tarjetas de crédito y detalles de pago en los sitios web de comercio electrónico.
Nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia.Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ataques-dirigidos-a-instituciones-financieras-y-de-salud-en-rusiahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_servicios-expuestos-en-colombia-1http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
Sitios de Wordpress vulnerados para distribuir RATEl Csirt financiero ha identificado una modalidad en que los ciberdelincuentes comprometen sitios web desarrollados en el gestor de contenidos Wordpress para distribuir software malicioso RAT en equipos con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/sitios-de-wordpress-vulnerados-para-distribuir-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado una modalidad en que los ciberdelincuentes comprometen sitios web desarrollados en el gestor de contenidos Wordpress para distribuir software malicioso RAT en equipos con sistema operativo Windows.
Indicadores de compromiso asociados a campaña del troyano EventBotEl equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-campana-del-troyano-eventbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.
RAT RevCode WebMonitor empaquetada en instalador Zoom.El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.http://csirtasobancaria.com/Plone/alertas-de-seguridad/rat-revcode-webmonitor-empaquetada-en-instalador-zoomhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.
Campaña PerSwaysion; kit de phishing webCampaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-perswaysion-kit-de-phishing-webhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.
Troyano bancario Grandoreiro apunta a usuarios de países latinoamericanosEl equipo del Csirt Financiero ha realizado un análisis al troyano bancario Grandoreiro, este troyano ha atacado a usuarios de entidades financieras en países como Brasil (de donde es originario), Perú, México y España, entre otros y muestra un esfuerzo inusual de sus autores para evadir la detección y la emulación, buscando así progresar hacia una arquitectura modular.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-grandoreiro-apunta-a-usuarios-de-paises-latinoamericanoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha realizado un análisis al troyano bancario Grandoreiro, este troyano ha atacado a usuarios de entidades financieras en países como Brasil (de donde es originario), Perú, México y España, entre otros y muestra un esfuerzo inusual de sus autores para evadir la detección y la emulación, buscando así progresar hacia una arquitectura modular.
Nueva campaña de phishing distribuyendo Lokibot y Jigsaw ransomwareDesde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-distribuyendo-lokibot-y-jigsaw-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.
Servidores MDM vulnerados para instalar malware bancario en dispositivos AndroidInvestigadores han detectado que ciberdelincuentes han vulnerado servidores MDM (Mobile Device Manager) de diferentes compañías y así han logrado instalar el malware bancario conocido como Cerberus en el 75% de los dispositivos móviles administrados, el malware bancario tiene la capacidad de recolectar toda la información sensible del dispositivo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/servidores-mdm-vulnerados-para-instalar-malware-bancario-en-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores han detectado que ciberdelincuentes han vulnerado servidores MDM (Mobile Device Manager) de diferentes compañías y así han logrado instalar el malware bancario conocido como Cerberus en el 75% de los dispositivos móviles administrados, el malware bancario tiene la capacidad de recolectar toda la información sensible del dispositivo infectado.
Nuevos indicadores de compromiso asociados a LokibotDesde el Csirt Financiero se ha evidenciado una nueva campaña de phishing distribuyendo a Lokibot a través de archivos de tipo CAB (Windows Cabinet); esto con el fin de realizar la exfiltración de información confidencial de los equipos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-lokibothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha evidenciado una nueva campaña de phishing distribuyendo a Lokibot a través de archivos de tipo CAB (Windows Cabinet); esto con el fin de realizar la exfiltración de información confidencial de los equipos comprometidos.
Nuevos indicadores de compromiso asociados a QakBot.El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a QakBot, el cual se distribuye a través de campañas de malspam con documentos de tipo Microsoft Word con macros maliciosas embebidas para infectar equipos evadiendo su detección.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a QakBot, el cual se distribuye a través de campañas de malspam con documentos de tipo Microsoft Word con macros maliciosas embebidas para infectar equipos evadiendo su detección.
Nuevo ransomware Vcrypt, bloquea archivos utilizando 7ZipEl equipo del Csirt Financiero ha identificado un nuevo ransomware denominado Vcrypt, este malware utiliza el programa 7Zip para comprimir la información del equipo protegido mediante contraseña y luego eliminar el contenido de las carpetas originales, dejando solo las carpetas comprimidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-vcrypt-bloquea-archivos-utilizando-7ziphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un nuevo ransomware denominado Vcrypt, este malware utiliza el programa 7Zip para comprimir la información del equipo protegido mediante contraseña y luego eliminar el contenido de las carpetas originales, dejando solo las carpetas comprimidas.
Vulnerabilidades de seguridad en NGINX Controller.Se detectan tres vulnerabilidades importantes de seguridad en NGINX las cuales implican problemas al desbordamiento de búfer, inicios de sesión incorrecta y permisos por defecto; la ejecución de estas amenazas puede acarrear serios problemas y comprometer en su totalidad el sistema operativo debido a la ejecución de código arbitrario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-de-seguridad-en-nginx-controllerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detectan tres vulnerabilidades importantes de seguridad en NGINX las cuales implican problemas al desbordamiento de búfer, inicios de sesión incorrecta y permisos por defecto; la ejecución de estas amenazas puede acarrear serios problemas y comprometer en su totalidad el sistema operativo debido a la ejecución de código arbitrario.
Nueva variante de malware de ATM de la familia CessoATM.Investigadores han detectado una nueva variante del malware de la familia CessoATM, en la que en este caso impacta también a cajeros automáticos del fabricante NCR. Esta familia de malware fue descubierta en marzo del 2020, cuando se verificaron unas muestras de malware no conocidas hasta la fecha en VirusTotal. Ha impactado principalmente en Brasil, pero debido a la estructura del malware se evidencia que está preparado para afectar a otros países localizados en Latinoamérica, además de Estados Unidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-malware-de-atm-de-la-familia-cessoatmhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores han detectado una nueva variante del malware de la familia CessoATM, en la que en este caso impacta también a cajeros automáticos del fabricante NCR. Esta familia de malware fue descubierta en marzo del 2020, cuando se verificaron unas muestras de malware no conocidas hasta la fecha en VirusTotal. Ha impactado principalmente en Brasil, pero debido a la estructura del malware se evidencia que está preparado para afectar a otros países localizados en Latinoamérica, además de Estados Unidos.
Maze Team utiliza nuevas formas de extorsión orientada a la afectación reputacionalEn el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.http://csirtasobancaria.com/Plone/alertas-de-seguridad/maze-team-utiliza-nuevas-formas-de-extorsion-orientada-a-la-afectacion-reputacionalhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.
Vulnerabilidad en IBM Java SDK afectan a Rational Service TesterEl equipo del Csirt Financiero ha identificado vulnerabilidad en IBM SDK Java Technology Edition, Versión 1.8 y IBM Runtime Environment Java Versión 1.8, utilizadas por Rational Service Tester, una herramienta de IBM para realizar servicios de prueba y comprobar la calidad de las aplicaciones con arquitectura orientada a servicios tanto en plataforma Windows como en Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-ibm-java-sdk-afectan-a-rational-service-testerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado vulnerabilidad en IBM SDK Java Technology Edition, Versión 1.8 y IBM Runtime Environment Java Versión 1.8, utilizadas por Rational Service Tester, una herramienta de IBM para realizar servicios de prueba y comprobar la calidad de las aplicaciones con arquitectura orientada a servicios tanto en plataforma Windows como en Linux.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}