Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Uso de Sim Swapping y Telegram para exfiltrar datos de dispositivos móvilesEl equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.http://csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-sim-swapping-y-telegram-para-exfiltrar-datos-de-dispositivos-movileshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.
Ciberdelincuentes emplean tarjetas Sim y Anydesk para exfiltrar credenciales de cuentas bancariasEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas técnicas de exfiltración, empleadas recientemente por los ciberdelincuentes para sustraer de forma fraudulenta los recursos de las cuentas bancarias comprometidas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-emplean-tarjetas-sim-y-anydesk-para-exfiltrar-credenciales-de-cuentas-bancariashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas técnicas de exfiltración, empleadas recientemente por los ciberdelincuentes para sustraer de forma fraudulenta los recursos de las cuentas bancarias comprometidas.
Ransomware Mount Locker exige rescates millonariosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-mount-locker-exige-rescates-millonarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.
Vulnerabilidades en Chrome exponen a usuariosEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.http://csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-chrome-exponen-a-usuarioshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.
Nuevos indicadores de Compromiso de EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-de-emotethttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.
Skimmer Gstaticapi, exfiltra detalles de Pago ElectrónicoEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.http://csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-gstaticapi-exfiltra-detalles-de-pago-electronicohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.
Ransomware Agelocker dirige sus ataques a Nas de QnapEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.http://csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-agelocker-dirige-sus-ataques-a-nas-de-qnaphttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.
Campañas de Phishing con temática de Actualización de Versión WindowsEl equipo del Csirt Financiero ha evidenciado, a través del monitoreo de fuentes abiertas, nuevas campañas de phishing dirigidas a empleados de distintas entidades, donde se ofrece la actualización del sistema operativo Windows 7 a Windows 10, como en su oportunidad lo hizo Microsoft por el fin del ciclo vital de Windows 7 (enero 14 del 2020), cuando Microsoft instaba a actualizar cualquier equipo o dispositivo a Windows 10.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campanas-de-phishing-con-tematica-de-actualizacion-de-version-windowshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado, a través del monitoreo de fuentes abiertas, nuevas campañas de phishing dirigidas a empleados de distintas entidades, donde se ofrece la actualización del sistema operativo Windows 7 a Windows 10, como en su oportunidad lo hizo Microsoft por el fin del ciclo vital de Windows 7 (enero 14 del 2020), cuando Microsoft instaba a actualizar cualquier equipo o dispositivo a Windows 10.
Nuevos Indicadores de Compromiso Asociados Al Troyano Bancario QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-qakbothttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.
Nuevas variantes de Loda RATEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-loda-rathttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.
Variante del Ransomware STOP DJVU denominada KolzEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.http://csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-ransomware-stop-djvu-denominada-kolzhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.
Grupo APT TA2552 utiliza phishing para leer Información Confidencial de Office 365En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-ta2552-utiliza-phishing-para-leer-informacion-confidencial-de-office-365http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.
Grupo APT Cryptomimic tiene como objetivo Organizaciones FinancierasEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el actuar del grupo APT CryptoMimic, también conocido como: Dangerous Password, CageyChameleon, Leery Turtle o CryptoCore, el cual fue identificado por primera vez en abril de 2018; tiene como objetivo entidades financieras y organizaciones internacionales que cuenten con activos en criptomonedas.http://csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-cryptomimic-tiene-como-objetivo-organizaciones-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el actuar del grupo APT CryptoMimic, también conocido como: Dangerous Password, CageyChameleon, Leery Turtle o CryptoCore, el cual fue identificado por primera vez en abril de 2018; tiene como objetivo entidades financieras y organizaciones internacionales que cuenten con activos en criptomonedas.
Venta de Acceso a cuentas bancarias de Entidades FinancierasEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha localizado publicación relacionada aparentemente con la venta de credenciales que posibilitarían el acceso a 5.000 cuentas bancarias por parte del cibercriminal que realice la transacción.http://csirtasobancaria.com/Plone/alertas-de-seguridad/venta-de-acceso-a-cuentas-bancarias-de-entidades-financierashttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha localizado publicación relacionada aparentemente con la venta de credenciales que posibilitarían el acceso a 5.000 cuentas bancarias por parte del cibercriminal que realice la transacción.
Slothfulmedia, troyano de acceso remoto.En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un malware denominado SlothfulMedia, el cual tiene características de Dropper , encargado de desplegar dos archivos maliciosos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/slothfulmedia-troyano-de-acceso-remotohttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un malware denominado SlothfulMedia, el cual tiene características de Dropper , encargado de desplegar dos archivos maliciosos.
Botnet Ipstorm afecta a Windows, distribuciones Linux, Android y MacosEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.http://csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ipstorm-afecta-a-windows-distribuciones-linux-android-y-macoshttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nuevas variantes de IPStorm, una botnet punto a punto (P2P) desarrollada en el lenguaje de programación Golang y detectada por primera vez en mayo de 2019. Esta botnet fue utilizada inicialmente para comprometer redes con sistema operativo Windows.
Campaña de Ciberespionage Dukong utiliza temas de COVID 19 para comprometer Dispositivos Android.El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.http://csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ciberespionage-dukong-utiliza-temas-de-covid-19-para-comprometer-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.
Troyano Bancario Guildma ahora afecta Dispositivos AndroidEl equipo del Csirt financiero ha evidenciado la evolución del troyano bancario Guildma, usualmente utilizado por los ciberdelincuentes para comprometer equipos con sistema operativo Windows. Se ha observado una versión multiplataforma que puede comprometer dispositivos móviles Android.http://csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-guildma-ahora-afecta-dispositivos-androidhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha evidenciado la evolución del troyano bancario Guildma, usualmente utilizado por los ciberdelincuentes para comprometer equipos con sistema operativo Windows. Se ha observado una versión multiplataforma que puede comprometer dispositivos móviles Android.
Nuevo ransomware Egregor exfiltra datos de empresas a nivel mundialEn el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-egregor-exfiltra-datos-de-empresas-a-nivel-mundialhttp://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se ha evidenciado un nuevo ransomware llamado Egregor derivado del ransomware Sekhmet. Esta amenaza exfiltra datos confidenciales y luego cifrar la información, la nota de rescate fija un plazo de tres días para la cancelación del rescate o de lo contrario amenazan con publicar la información de la entidad afectada.
Nueva campaña maliciosa del Grupo TA505En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.http://csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-grupo-ta505http://csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}