-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nueva actividad maliciosa del ransomware Medusalocker
Publicado: 29/03/2023 | Importancia: Media
A través de un monitoreo realizado por el equipo de analistas del Csirt financiero a fuentes abiertas de información se identificaron nuevos indicadores de compromiso relacionados con el ransomware denominado MedusaLocker el cual ha tenido un aumento en su actividad recientemente y ha afectado a organizaciones de América latina pertenecientes a todos los sectores económicos, incluyendo el financiero.
Batloader entrega cargas útiles de Remcos RAT y Formbook
Publicado: 29/03/2023 | Importancia: Media
Batloader es un loader (cargador) de acceso inicial que está siendo utilizado por diversos actores de amenaza para distribuir diferentes tipos de malware y donde anteriormente se conocieron cargas útiles secundarias como Vidar Stealer y Ursnif distribuidas por Batloader; en esta ocasión a través de un monitore por el equipo del Csirt financiero se identificaron nuevos indicadores de compromiso de tipo ejecutable que están siendo distribuidos por los ciberdelincuentes que contienen Remcos RAT y Formbook.
Nueva variante del troyano bancario IcedID
Publicado: 28/03/2023 | Importancia: Media
IcedID es un troyano bancario que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.
Emerge un nuevo stealer para sistemas MacOS denominado MacStealer
Publicado: 27/03/2023 | Importancia: Media
En la actualidad, el panorama de amenazas está en constante evolución y se vuelve cada vez más complejo y sofisticado. En ese orden de ideas, se ha descubierto un nuevo stealer de macOS llamado MacStealer que utiliza Telegram para el comando y control (C2).
Nuevas actividades maliciosas relacionadas con el ransomware LockBit
Publicado: 27/03/2023 | Importancia: Media
El equipo de analistas del Csirt financiero realizó un monitoreo a diversas fuentes de información abiertas, en busca de nuevas amenazas y/o campañas que puedan afectar la infraestructura de los asociados, en el cual se identificaron nuevas actividades maliciosas e indicadores de compromiso relacionados con el ransomware LockBit.
Rhadamanthys entre las amenazas más utilizadas en el mes de marzo
Publicado: 26/03/2023 | Importancia: Media
Rhadamanthys una amenaza de tipo stealer, el cual fue identificado en el año 2022 y desde entonces los actores de amenaza han realizado la distribución de esta amenaza de forma continua en el último mes, donde el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso de Rhadamanthys en los que se encuentran archivos de tipo ejecutable y algunas direcciones IP.
Nuevos indicadores de compromiso asociados al troyano de acceso remoto NanoCore
Publicado: 26/03/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero realiza constantes monitoreos al ciberespacio en busca de nuevas campañas maliciosas y/o amenazas con altas capacidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, por lo anterior se identificaron nuevos indicadores de compromiso del troyano de acceso remoto denominado NanoCore RAT.
Nueva variante del stealer BlackGuard
Publicado: 25/03/2023 | Importancia: Media
Recientemente se identificó en el panorama de amenazas, una nueva variante del stealer BlackGuard, que se propaga a través de ataques de spearphishing y tiene la capacidad de capturar información confidencial del usuario y secuestrar billeteras criptográficas. Asimismo, se está tratando de propagar a través de medios extraíbles y dispositivos compartidos.
Nuevos artefactos asociados a RedLine stealer
Publicado: 24/03/2023 | Importancia: Media
RedLine es un stealer (ladrón de información) el cual es comercializado a través de foros clandestinos de la Deep y Dark web bajo la modalidad de Malware como servicio (MaaS - Malware as a Service), en esta ocasión el equipo de analistas del Csirt financiero identificó nuevos indicadores de compromiso asociados a esta amenaza en los que se encuentra archivos de tipo ejecutables (EXE) y direcciones IP.
Nuevo loader denominado AresLoader
Publicado: 24/03/2023 | Importancia: Media
AresLoader es un nuevo malware de carga como servicio (Malware as a Service) ofrecido por actores de amenazas con vínculos con el hacktivismo ruso que fue visto recientemente en el ciberespacio. El servicio ofrece una herramienta "binder" que permite a los atacantes obtener acceso remoto a sistemas y desplegar cargas útiles adicionales.
Nueva actividad maliciosa dirigida a Colombia por parte del troyano de acceso remoto Asyncrat
Publicado: 23/03/2023 | Importancia: Media
El troyano de acceso remoto AsyncRAT es una de las familias de malware más distribuida por diversos grupos de ciberdelincuentes en los últimos años, así mismo, se evidencian nuevas campañas maliciosas que afectan a Colombia y el sector financiero; de acuerdo con lo anterior, se identificaron nuevos indicadores de compromiso asociados a esta amenaza.
Campaña masiva de phishing orquestada mediante el Phiskit Switchsymb
Publicado: 22/03/2023 | Importancia: Media
Recientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:
Nueva actividad maliciosa del troyano bancario Ursnif
Publicado: 21/03/2023 | Importancia: Media
El troyano bancario Ursnif fue identificado por primera vez en el año 2017 y aunque recientemente se han realizado reportes sobre esta amenaza, el equipo de analistas del Csirt observó nuevas cargas útiles que están siendo distribuidas y pueden afectar entidades de América Latina.
Evolución del backdoor Dtrack utilizado por diversos grupos APT
Publicado: 20/03/2023 | Importancia: Media
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado grupos de ciberdelincuentes APT utilizando esta amenaza como Lazarus y Andariel (subgrupo asociado a Lazarus), el cual se ha enfocado en recopilar información confidencial, incluyendo credenciales de inicio de sesión, información de la red y datos de sistemas operativos.
Nuevos IoC asociados al stealer Raccoon
Publicado: 20/03/2023 | Importancia: Media
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero han identificado nuevos indicadores de compromiso (IoC) asociados al troyano Raccoon Stealer, diseñado para afectar a equipos con sistema operativo Microsoft Windows.
Campaña masiva del troyano bancario Mispadu
Publicado: 19/03/2023 | Importancia: Media
El troyano bancario Mispadu, también conocido como URSA, ha estado involucrado en múltiples campañas de spam en países como Bolivia, Chile, México, Perú y Portugal, desde agosto de 2022. Su objetivo es capturar credenciales de las víctimas al acceder a banca en línea, escuelas, servicios gubernamentales, redes sociales, juegos, comercio electrónico, repositorios públicos, etc. Los atacantes utilizaron una estrategia de infección en varias etapas y técnicas de ofuscación para evadir la detección.
BatLoader distribuye Vidar stealer y Ursnif mediante anuncios de búsqueda de Google
Publicado: 19/03/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero realizó un monitoreo a través de diferentes fuentes de información abiertas, en busca de nuevas amenazas o campañas maliciosas que puedan llegar a afectar la infraestructura de los asociados, donde se observó nueva actividad maliciosa relacionada con el software malicioso BatLoader abusando de anuncios de Google para realizar la entrega de cargas útiles secundarias como Vidar Stealer y Ursnif.
Actualización del troyano bancario FakeCalls
Publicado: 19/03/2023 | Importancia: Media
Actualmente, se ha identificado una campaña en la cual suplantan a organizaciones financieras a través de llamadas telefónicas, que tienen el objetivo de engañar a los usuarios para que estos suministren información bancaria como el número de tarjetas de crédito.
Nueva actualización del ransomware LockBit
Publicado: 18/03/2023 | Importancia: Media
Recientemente, se observó una nueva actividad maliciosa en la que se identificó que el grupo de ciberdelincuentes del ransomware LockBit han empezado a utilizar una nueva variante denominada LockBit Green, conteniendo algunas funcionalidades que implementaba el ransomware Conti, por lo que puede ser más atractivo para los que están afiliados a este, ya que se pueden familiarizar de forma rápida con esta nueva actualización.
Emerge otra familia de ransomware basada en Chaos denominada SkullLocker
Publicado: 17/03/2023 | Importancia: Media
SkullLocker es una nueva amenaza en el panorama actual, identificada como una nueva variante de la familia de ransomware Chaos, su objetivo principal es cifrar los archivos en equipos infectados y exigir el pago por la llave de descifrado. Asimismo, puede afectar a varias ubicaciones y extensiones de archivo, con más de 300 extensiones diferentes que incluyen archivos de texto, imágenes, audio, video y varios formatos de documentos y bases de datos.
Surge una nueva versión del inyector DotRunpeX
Publicado: 16/03/2023 | Importancia: Media
DotRunpeX ganó notoriedad entre noviembre de 2022 y enero de 2023, con el mayor número de ataques observados en diciembre de 2022. Está amenaza continúa evolucionando y se han observado una docenas de campañas que lo emplean como una infección de segunda etapa. Este inyector DotNet se utiliza para ofrecer varias familias de malware diferentes, principalmente relacionadas con stealer, RAT, loaders y downloaders.
Nuevo troyano bancario para Android denominado GoatRAT
Publicado: 15/03/2023 | Importancia: Media
Recientemente, se ha identificado una nueva variante de troyano bancario denominado GoatRAT, dirigido a sistemas operativos Android, cuenta con capacidades que le permiten realizar transferencias bancarias sin autorización e interacción del usuario, explotando el nuevo sistema de pago automatizado que ha sido impulsado por bancos brasileños.
Nueva actualización en el código del troyano bancario Emotet
Publicado: 13/03/2023 | Importancia: Media
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, en esta ocasión se observó nueva actividad maliciosa del troyano bancario Emotet con nuevas técnicas de evasión, con esto se identificaron nuevos indicadores de compromiso que tienen como objetivo afectar la confidencialidad de su entidad.
Se identifican nuevos indicadores del troyano bancario Mekotio
Publicado: 12/03/2023 | Importancia: Media
A través de un monitoreo a fuentes abiertas de ciberseguridad fueron identificadas nuevas campañas del troyano bancario Mekotio donde se observaron nuevos indicadores de compromiso que los ciberdelincuentes siguen distribuyendo con el objetivo de generar alguna afectación en los pilares de la seguridad de la información de su entidad.
Nueva variante del ransomware IceFire dirigida a Linux
Publicado: 12/03/2023 | Importancia: Media
La primeras actividades de IceFire se observaron a finales de 2022, sin embargo, recientemente, investigadores de seguridad identificaron una nueva variante dirigida a redes empresariales que están bajo entorno Linux; su tamaño es de 2,18 MB y está dotado con un binario ELF (formato de archivo estándar común para archivos ejecutables, código objeto, bibliotecas compartidas y volcados de núcleo) con arquitectura de 64 bits que es compilado con GCC (conjunto de compiladores creados por el proyecto GNU) para que sea compatible con entornos AMD64.
Emerge un nuevo ransomware con funcionalidades de clipper denominado BlackSnake
Publicado: 11/03/2023 | Importancia: Media
El ransomware es una amenaza cada vez más sofisticada y peligrosa, y los actores de amenazas están siempre buscando nuevas formas de extorsionar a las víctimas. Una nueva variante llamada BlackSnake ha sido descubierta recientemente, y entre sus capacidades puede realizar operaciones de clipper dirigidas a usuarios de criptomonedas, cabe mencionar que esta amenaza se ha creado en función de la fuente del ransomware Chaos.
Nueva variante del troyano bancario Xenomorph
Publicado: 10/03/2023 | Importancia: Media
Se conoce que esta amenaza es propiedad de Hadoken Security Group, una operación cibercriminal que continúa mejorando el código malicioso de Xenomorph, llamando a su nueva versión Xenomorph.C, la cual admite un nuevo sistema de transferencia automatizada (ATS) y va dirigido a más de 400 entidades bancarias en países como España, Turquía, Polonia, Estados Unidos, Australia, Canadá, Italia, entre otros.
Emerge un nuevo troyano bancario denominado NeXus
Publicado: 09/03/2023 | Importancia: Media
NeXus es un nuevo troyano bancario que ha sido identificado recientemente que está siendo promovido por un actor de amenazas (TA) en un foro de cibercrimen ruso. Este malware es utilizado por grupos de ciberdelincuentes para infiltrarse en dispositivos móviles y capturar credenciales de aplicaciones bancarias específicas y es compatible con versiones de Android que van desde la versión “Lollipop" hasta Android 13.
Nuevo criptominero denominado ScrubCrypt
Publicado: 09/03/2023 | Importancia: Media
El grupo minero de criptomonedas conocido como 8220 Gang ha sido observado utilizando un nuevo criptominero llamado ScrubCrypt para llevar a cabo operaciones de criptojacking (ciberataque en la que un delincuente utiliza la potencia de procesamiento de un equipo de otra persona sin su consentimiento para minar criptomonedas) mediante la explotación de vulnerabilidades de Oracle WebLogic.
Emerge un nuevo ransomware denominado Sirattacker
Publicado: 08/03/2023 | Importancia: Media
Emerge una nueva variante de ransomware en el panorama de amenazas denominado Sirattacker derivada del builder del grupo Chaos, esta fue detectada por primera vez en febrero de 2023 y afecta sistemas operativos Windows.