Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Ataques de Jackpotting en máquinas ATM DieboldEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.http://csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_emotet-despliega-malspam-despues-de-5-meses-de-ausenciahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.
Thiefquest el malware dirigido a MacOSEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una nueva amenaza dirigida a Sistemas MacOS, se trata del malware conocido como ThiefQuest o EvilQuest. Los ciberdelincuentes introdujeron funcionalidades maliciosas en versiones de aplicaciones de seguridad como Little Snitch y en las aplicaciones Ableton y Mixed In Key utilizadas para la reproducción de música.http://csirtasobancaria.com/Plone/alertas-de-seguridad/thiefquest-el-malware-dirigido-a-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una nueva amenaza dirigida a Sistemas MacOS, se trata del malware conocido como ThiefQuest o EvilQuest. Los ciberdelincuentes introdujeron funcionalidades maliciosas en versiones de aplicaciones de seguridad como Little Snitch y en las aplicaciones Ableton y Mixed In Key utilizadas para la reproducción de música.
Nuevo framework de malware multiplataforma asociado a Lazarus GroupEl equipo del Csirt Financiero ha evidenciado a través del monitoreo que el grupo cibercriminal Lazarus, conocido por tener vínculos con el régimen norcoreano, ha creado un nuevo APT Framework multiplataforma con la intención de infiltrarse en entidades corporativas de todo el mundo, capturar datos de los clientes y distribuir Ransomware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-framework-de-malware-multiplataforma-asociado-a-lazarus-grouphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo que el grupo cibercriminal Lazarus, conocido por tener vínculos con el régimen norcoreano, ha creado un nuevo APT Framework multiplataforma con la intención de infiltrarse en entidades corporativas de todo el mundo, capturar datos de los clientes y distribuir Ransomware.
Nuevos indicadores de compromiso asociados a WastedlockerEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, nuevos indicadores de compromiso asociados a WastedLocker. La aparición de esta nueva variante de ransomware posee características que le permite elevar privilegios mediante bypass UAC para modificar la carpeta system32 y de esta manera interactuar con los archivos del sistema.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-wastedlockerhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, nuevos indicadores de compromiso asociados a WastedLocker. La aparición de esta nueva variante de ransomware posee características que le permite elevar privilegios mediante bypass UAC para modificar la carpeta system32 y de esta manera interactuar con los archivos del sistema.
Nueva campaña de malspam infecta los equipos con NjRAT y AsyncRATEl equipo del Csirt Financiero ha evidenciado el envío masivo de mensajes de correo electrónico distribuyendo a njRAT y AsyncRAT, utilizan como asunto un supuesto pago realizado desde la entidad bancaria del usuario. Los ciberdelincuentes utilizan técnicas para persuadir y engañar a usuarios incautos, logrando que realicen la descarga y ejecución de archivos maliciosos, ya sea a través de URL o documentos adjuntos en los mensajes.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-infecta-los-equipos-con-njrat-y-asyncrathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado el envío masivo de mensajes de correo electrónico distribuyendo a njRAT y AsyncRAT, utilizan como asunto un supuesto pago realizado desde la entidad bancaria del usuario. Los ciberdelincuentes utilizan técnicas para persuadir y engañar a usuarios incautos, logrando que realicen la descarga y ejecución de archivos maliciosos, ya sea a través de URL o documentos adjuntos en los mensajes.
Captura y exfiltración de datos en estándar EMVEl equipo del Csirt Financiero ha evidenciado que la información de las tarjetas de chip que cumplen el estándar EMV puede ser capturada y exfiltrada, mediante la utilización de malware como: Alina POS, Dexter POS y TinyLoader, en los sistemas POS.http://csirtasobancaria.com/Plone/alertas-de-seguridad/captura-y-exfiltracion-de-datos-en-estandar-emvhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado que la información de las tarjetas de chip que cumplen el estándar EMV puede ser capturada y exfiltrada, mediante la utilización de malware como: Alina POS, Dexter POS y TinyLoader, en los sistemas POS.
Subastarán Código Fuente De Troyano Bancario CerberusEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, que los operadores del troyano bancario para Android Cerberus, están subastando en un foro clandestino de internet el código fuente, la lista de sus clientes, la guía de instalación y secuencias de comandos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/subastaran-codigo-fuente-de-troyano-bancario-cerberushttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, que los operadores del troyano bancario para Android Cerberus, están subastando en un foro clandestino de internet el código fuente, la lista de sus clientes, la guía de instalación y secuencias de comandos.
Nuevo módulo de Emotet para exfiltrar información de correos electrónicosEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-modulo-de-emotet-para-exfiltrar-informacion-de-correos-electronicoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.
Anchor_Linux: módulo de Trickbot para distribuciones LinuxEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado que el troyano bancario Trickbot ahora infecta equipos con distribuciones Linux. Trickbot se hizo notar a nivel mundial en el 2019 por sus actividades ilegales, como la exfiltración de credenciales, información personal y funcionalidades que permiten la descarga e instalación de otras familias de malware (Dropper).http://csirtasobancaria.com/Plone/alertas-de-seguridad/anchor_linux-modulo-de-trickbot-para-distribuciones-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado que el troyano bancario Trickbot ahora infecta equipos con distribuciones Linux. Trickbot se hizo notar a nivel mundial en el 2019 por sus actividades ilegales, como la exfiltración de credenciales, información personal y funcionalidades que permiten la descarga e instalación de otras familias de malware (Dropper).
Troyano Wellmess, experto en exfiltración de informaciónEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha detectado actividad del troyano WellMess, este ha sido utilizado por diferentes grupos de ciberdelincuentes desde el año 2018. Fue escrito en lenguaje Go y es compatible con .NET, se distribuye en sistemas operativos Windows de 32 y 64 bits.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-wellmess-experto-en-exfiltracion-de-informacionhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha detectado actividad del troyano WellMess, este ha sido utilizado por diferentes grupos de ciberdelincuentes desde el año 2018. Fue escrito en lenguaje Go y es compatible con .NET, se distribuye en sistemas operativos Windows de 32 y 64 bits.
Grupo cibercriminal Prilex reinicia operaciones.Desde el Csirt Financiero se ha identificado que el grupo Prilex, del cual no se tenía información desde principios del 2019, ha reiniciado sus ataques a través de campañas de malspam que tiene como objetivo infectar los equipos con malware para exfiltrar la información de los sistemas POS (Point of Sale) y capturar los datos de las tarjetas utilizadas en estos puntos de venta.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-cibercriminal-prilex-reinicia-operacioneshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado que el grupo Prilex, del cual no se tenía información desde principios del 2019, ha reiniciado sus ataques a través de campañas de malspam que tiene como objetivo infectar los equipos con malware para exfiltrar la información de los sistemas POS (Point of Sale) y capturar los datos de las tarjetas utilizadas en estos puntos de venta.
Backdoor Doki infecta contenedores Docker mal configuradosEl equipo del Csirt Financiero ha detectado actividad del backdoor Doki, dirigida a las API de contenedores Docker alijadas en servidores de plataformas de nube como AWS, Azure, Alibaba Cloud entre otros. Estos contenedores funcionan empaquetando o reuniendo varias aplicaciones de software en un solo lugar, facilitando la instalación, configuración y despliegue de los servicios tecnológicos en servidores.http://csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-doki-infecta-contenedores-docker-mal-configuradoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha detectado actividad del backdoor Doki, dirigida a las API de contenedores Docker alijadas en servidores de plataformas de nube como AWS, Azure, Alibaba Cloud entre otros. Estos contenedores funcionan empaquetando o reuniendo varias aplicaciones de software en un solo lugar, facilitando la instalación, configuración y despliegue de los servicios tecnológicos en servidores.
Skimming usado en ataques de HomoglyphEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado un kit de skimming que usa ataques de homoglyph y mensajes de phishing para la realizar la infección de equipos. La amenaza consiste en registrar dominios IDN de entidades reconocidas, sustituyendo algún carácter de la URL de tal modo que a simple vista no se evidencie el cambio y pueda pasar desapercibido para el usuario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimming-usado-en-ataques-de-homoglyphhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado un kit de skimming que usa ataques de homoglyph y mensajes de phishing para la realizar la infección de equipos. La amenaza consiste en registrar dominios IDN de entidades reconocidas, sustituyendo algún carácter de la URL de tal modo que a simple vista no se evidencie el cambio y pueda pasar desapercibido para el usuario.
Nuevos indicadores de compromiso del troyano GrandoreiroEl equipo del Csirt Financiero han identificado nuevos indicadores de compromiso relacionados con el troyano denominado Grandoreiro. Este se encuentra activo desde el año 2017 y dirige sus ciberataques a países de Latinoamérica y España. El método de propagación consiste en el envío de mensajes de correo electrónico tipo malspam con enlaces para su descarga, simulando un documento. Los mensajes de correo intentan suplantar empresas conocidas y utilizan asuntos que inducen o motivan al usuario a su descarga y visualización.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-grandoreirohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero han identificado nuevos indicadores de compromiso relacionados con el troyano denominado Grandoreiro. Este se encuentra activo desde el año 2017 y dirige sus ciberataques a países de Latinoamérica y España. El método de propagación consiste en el envío de mensajes de correo electrónico tipo malspam con enlaces para su descarga, simulando un documento. Los mensajes de correo intentan suplantar empresas conocidas y utilizan asuntos que inducen o motivan al usuario a su descarga y visualización.
Indicadores de compromiso asociados al grupo APT TA505El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo TA505, este grupo utiliza diferentes tipos de malware que le permiten obtener acceso remoto, aceptar comandos de un servidor de comando y control (C2), extraer información de los equipos y redes comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-grupo-apt-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo TA505, este grupo utiliza diferentes tipos de malware que le permiten obtener acceso remoto, aceptar comandos de un servidor de comando y control (C2), extraer información de los equipos y redes comprometidos.
Campañas BEC contra ejecutivos financieros a través de Office 365Desde el mes de marzo del presente año, se han evidenciado nuevas campañas de Business Email Compromise (BEC) que hacen uso de técnicas de spearphishing en cuentas de Office 365 dirigidas a altos directivos en más de 1.000 empresas en todo el mundo. Las campañas más recientes se encuentran dirigidas a puestos Senior en Estados Unidos y Canadá.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campanas-bec-contra-ejecutivos-financieros-a-traves-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el mes de marzo del presente año, se han evidenciado nuevas campañas de Business Email Compromise (BEC) que hacen uso de técnicas de spearphishing en cuentas de Office 365 dirigidas a altos directivos en más de 1.000 empresas en todo el mundo. Las campañas más recientes se encuentran dirigidas a puestos Senior en Estados Unidos y Canadá.
Nuevo RAT de la familia Carbanak llamado Gosh para LinuxDesde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-de-la-familia-carbanak-llamado-gosh-para-linuxhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.
Vulnerabilidades en dispositivos con procesador SnapdragonEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado la identificación de cientos de vulnerabilidades a nivel de código de procesador Snapdragon SoC arquitectura Hexagon Procesador de Señal Digital (DSP) de la empresa Qualcomm. Estas vulnerabilidades afectan a los dispositivos móviles distribuidos por Google, Samsung, LG, Xiaomi, OnePlus, entre otros.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-dispositivos-con-procesador-snapdragonhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado la identificación de cientos de vulnerabilidades a nivel de código de procesador Snapdragon SoC arquitectura Hexagon Procesador de Señal Digital (DSP) de la empresa Qualcomm. Estas vulnerabilidades afectan a los dispositivos móviles distribuidos por Google, Samsung, LG, Xiaomi, OnePlus, entre otros.
Aumento de actividad cibercriminal de Agent TeslaEl equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemiahttp://csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-cibercriminal-de-agent-teslahttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia
Nueva variante de FTCode RansomwareEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ftcode-ransomwarehttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}