Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Malware SpyLoan dirigido a dispositivos móviles en América LatinaEl equipo del Csirt Financiero durante sus actividades de inteligencia, observó una nueva amenaza conocida como SpyLoan que se dirige a usuarios móviles en América Latina; se trata de aplicaciones (APPS) que se difunden a través de anuncios en redes sociales y ofrecen préstamos inmediatos a tasas de interés extremadamente altas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-spyloan-dirigido-a-dispositivos-moviles-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero durante sus actividades de inteligencia, observó una nueva amenaza conocida como SpyLoan que se dirige a usuarios móviles en América Latina; se trata de aplicaciones (APPS) que se difunden a través de anuncios en redes sociales y ofrecen préstamos inmediatos a tasas de interés extremadamente altas.
Malware Sunspot asociado al grupo StellarParticle, implicado en la cadena de infección de SolarWindsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidenció un nuevo malware asociado a un grupo de actividad denominado StellarParticle, implicado en la cadena de infección de SolarWinds. Este malware se utilizó para insertar el backdoor SUNBURST en las compilaciones de software de los productos de gestión de SolarWinds Orion, este malware fue reconocido por los investigadores de CrowdStrike Intelligence, los cuales identificaron el backdoor que se implementó en la construcción de los productos de SolarWinds, sin generar sospechas a los desarrolladores.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-sunspot-asociado-al-grupo-stellarparticle-implicado-en-la-cadena-de-infeccion-de-solarwindshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero evidenció un nuevo malware asociado a un grupo de actividad denominado StellarParticle, implicado en la cadena de infección de SolarWinds. Este malware se utilizó para insertar el backdoor SUNBURST en las compilaciones de software de los productos de gestión de SolarWinds Orion, este malware fue reconocido por los investigadores de CrowdStrike Intelligence, los cuales identificaron el backdoor que se implementó en la construcción de los productos de SolarWinds, sin generar sospechas a los desarrolladores.
Malware TeaBot enfocado hacia el sector bancarioEn el continuo monitoreo a fuentes abiertas por parte del Csirt Financiero, se ha logrado identificar actividad de un troyano bancario denominado TeaBot, el cual desde enero del presente año ha afectado a dispositivos con sistema operativo Android, exfiltrando información sensible de usuarios en Europa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-teabot-enfocado-hacia-el-sector-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo a fuentes abiertas por parte del Csirt Financiero, se ha logrado identificar actividad de un troyano bancario denominado TeaBot, el cual desde enero del presente año ha afectado a dispositivos con sistema operativo Android, exfiltrando información sensible de usuarios en Europa.
Malware TrickbotSe ha detectado actividad de malware Trickbot, el cual se cataloga como un troyano financiero que apunta a obtener credenciales de usuario, además podría ser utilizado como dropper para ejecutar otros software maliciosos dentro del dispositivo comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado actividad de malware Trickbot, el cual se cataloga como un troyano financiero que apunta a obtener credenciales de usuario, además podría ser utilizado como dropper para ejecutar otros software maliciosos dentro del dispositivo comprometido.
Malware Voldemort utiliza Google Sheets para exfiltrar datosEl malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-voldemort-utiliza-google-sheets-para-exfiltrar-datoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.
Malware WSH RATEl malware analizado es un RAT, Malware WSH RAT, variante del gusano Houdini distribuido a través de una campaña de phishing, que está dirigido a clientes de banca comercial el cual se conecta a servidores de comando y control con el objetivo de ejecutar comandos en el sistema infectado y exfiltrar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-wsh-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware analizado es un RAT, Malware WSH RAT, variante del gusano Houdini distribuido a través de una campaña de phishing, que está dirigido a clientes de banca comercial el cual se conecta a servidores de comando y control con el objetivo de ejecutar comandos en el sistema infectado y exfiltrar información confidencial.
Malware XcodeSpy descarga backdoor en MacOsEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado la aparición de un malware denominado XcodeSpy, el cual consiste en la entrega de una puerta trasera conocida como EggShell que compromete principalmente a usuarios MacOs. De Xcode se sabe que es un entorno de desarrollo integrado (IDE) para aplicaciones y sistemas de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-xcodespy-descarga-backdoor-en-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado la aparición de un malware denominado XcodeSpy, el cual consiste en la entrega de una puerta trasera conocida como EggShell que compromete principalmente a usuarios MacOs. De Xcode se sabe que es un entorno de desarrollo integrado (IDE) para aplicaciones y sistemas de información.
Malware XCSSET afecta equipos y dispositivos AppleEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuenteshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-xcsset-afecta-equipos-y-dispositivos-applehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuentes
Malware XFSADM para cajeros automáticos (ATM)Desde el CSIRT Financiero se detectó un malware para cajeros automáticos (ATM) el cual roba datos de las tarjetas posiblemente cuando este infecta las redes de los bancos llegando hasta los cajeros automáticos y extrayendo la información de las bibliotecas apuntadas a XFS, comprometiendo la confidencialidad de la información de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-xfsadm-para-cajeros-automaticos-atmhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detectó un malware para cajeros automáticos (ATM) el cual roba datos de las tarjetas posiblemente cuando este infecta las redes de los bancos llegando hasta los cajeros automáticos y extrayendo la información de las bibliotecas apuntadas a XFS, comprometiendo la confidencialidad de la información de los usuarios.
Malware Zshlayer dirige sus ataques a Sistemas Operativos MacOSEn el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque dirigido a equipos con sistema operativo MacOS, con una variante del troyano Shlayer denominado ZShlayer. Esta nueva variante se ofusca para evadir herramientas de seguridad y así lograr comprometer el equipo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-zshlayer-dirige-sus-ataques-a-sistemas-operativos-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado un ataque dirigido a equipos con sistema operativo MacOS, con una variante del troyano Shlayer denominado ZShlayer. Esta nueva variante se ofusca para evadir herramientas de seguridad y así lograr comprometer el equipo.
Mamont: un nuevo troyano bancario para Android que se camufla de Google ChromeA través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados, se ha detectado un nuevo troyano bancario que se hace pasar por Google Chrome, denominado Mamont, el cual presenta amplias capacidades para capturar datos financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mamont-un-nuevo-troyano-bancario-para-android-que-se-camufla-de-google-chromehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados, se ha detectado un nuevo troyano bancario que se hace pasar por Google Chrome, denominado Mamont, el cual presenta amplias capacidades para capturar datos financieros.
Más de 40 controladores certificados por Microsoft podrían permitir la instalación de malware persistente en equipos con Windows.Desde el CSIRT Financiero se observa que más de 40 controladores de alrededor de 20 proveedores diferentes de hardware, podrían ser aprovechados por ciberdelincuentes para obtener los privilegios más elevados en los sistemas víctimas y así lograr ocultar e instalar malware que no se detectaría por soluciones de seguridad, dando al atacante persistencia en el sistema incluso si se reinstala el sistema operativo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mas-de-40-controladores-certificados-por-microsoft-podrian-permitir-la-instalacion-de-malware-persistente-en-equipos-con-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se observa que más de 40 controladores de alrededor de 20 proveedores diferentes de hardware, podrían ser aprovechados por ciberdelincuentes para obtener los privilegios más elevados en los sistemas víctimas y así lograr ocultar e instalar malware que no se detectaría por soluciones de seguridad, dando al atacante persistencia en el sistema incluso si se reinstala el sistema operativo.
Más de 500 organizaciones víctimas del ransomware Black BastaMediante constante monitoreo, el equipo de analistas del Csirt Financiero, ha identificado nuevos ataques del ransomware Black Basta, mediante los cuales ha comprometido a más de 500 organizaciones entre abril de 2022 y mayo del 2024. Este grupo de ciberdelincuentes ha atacado a diversos sectores, incluyendo la industria privada, la atención médica y la infraestructura crítica, en América del Norte, Europa y Australia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mas-de-500-organizaciones-victimas-del-ransomware-black-bastahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante constante monitoreo, el equipo de analistas del Csirt Financiero, ha identificado nuevos ataques del ransomware Black Basta, mediante los cuales ha comprometido a más de 500 organizaciones entre abril de 2022 y mayo del 2024. Este grupo de ciberdelincuentes ha atacado a diversos sectores, incluyendo la industria privada, la atención médica y la infraestructura crítica, en América del Norte, Europa y Australia.
Mas de dos millones de contraseñas WiFi quedan expuestas por appWiFi Finder (hostpot, punto de acceso WiFi) para Android expuso una base de datos en donde alojaba las credenciales de más de dos millones de redes WiFi.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mas-de-dos-millones-de-contrasenas-wifi-quedan-expuestas-por-apphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
WiFi Finder (hostpot, punto de acceso WiFi) para Android expuso una base de datos en donde alojaba las credenciales de más de dos millones de redes WiFi.
Más de medio millón de equipos infectados por la botnet de criptomonedas Smominru.La botnet llamada Smominru lleva activa aproximadamente desde Mayo del 2017, desde entonces ha comprometido a más de medio millón de equipos enfocado a dos objetivos, el primero se basa en la capturara de información de acceso a plataformas usadas por el usuario y la segunda en convertir al dispositivo infectado en un bot más para poder hacer más grande su red de minería de criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mas-de-medio-millon-de-equipos-infectados-por-la-botnet-de-criptomonedas-smominruhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La botnet llamada Smominru lleva activa aproximadamente desde Mayo del 2017, desde entonces ha comprometido a más de medio millón de equipos enfocado a dos objetivos, el primero se basa en la capturara de información de acceso a plataformas usadas por el usuario y la segunda en convertir al dispositivo infectado en un bot más para poder hacer más grande su red de minería de criptomonedas.
Masslogger es empleado en campañas de exfiltración de información sensible.El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada a MassLogger, una amenaza clasificada como stealer, empleada por cibercriminales en campañas globales dirigidas a comprometer credenciales, capturar datos sensibles y exfiltrarlos mediante protocolos cifrados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/masslogger-es-empleado-en-campanas-de-exfiltracion-de-informacion-sensiblehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado actividad maliciosa asociada a MassLogger, una amenaza clasificada como stealer, empleada por cibercriminales en campañas globales dirigidas a comprometer credenciales, capturar datos sensibles y exfiltrarlos mediante protocolos cifrados.
Maze Team utiliza nuevas formas de extorsión orientada a la afectación reputacionalEn el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/maze-team-utiliza-nuevas-formas-de-extorsion-orientada-a-la-afectacion-reputacionalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.
Medusalocker, entre los ransomware más distribuidos en américa latinaEl equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso relacionados con el ransomware MedusaLocker, que ha experimentado un aumento en su actividad reciente. Ha afectado a diversas organizaciones de todos los sectores económicos en América Latina, incluyendo el sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/medusalocker-entre-los-ransomware-mas-distribuidos-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso relacionados con el ransomware MedusaLocker, que ha experimentado un aumento en su actividad reciente. Ha afectado a diversas organizaciones de todos los sectores económicos en América Latina, incluyendo el sector financiero.
Meduza Stealer: El peligroso infostealer que amenaza la seguridad digitalEn el oscuro mundo de la ciberdelincuencia, la evolución de las amenazas digitales no conoce límites. Recientemente se ha descubierto un nuevo y peligroso infostealer conocido como Meduza. Este malware, diseñado para el sistema operativo Windows ha surgido como una amenaza sofisticada y lucrativa en el creciente ecosistema del crimeware como servicio (CaaS). Este stealer está siendo activamente desarrollado por su autor para evadir la detección de soluciones de software y se enfoca en la captura integral de datos de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/meduza-stealer-el-peligroso-infostealer-que-amenaza-la-seguridad-digitalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el oscuro mundo de la ciberdelincuencia, la evolución de las amenazas digitales no conoce límites. Recientemente se ha descubierto un nuevo y peligroso infostealer conocido como Meduza. Este malware, diseñado para el sistema operativo Windows ha surgido como una amenaza sofisticada y lucrativa en el creciente ecosistema del crimeware como servicio (CaaS). Este stealer está siendo activamente desarrollado por su autor para evadir la detección de soluciones de software y se enfoca en la captura integral de datos de los usuarios.
Metamorfo: Troyano bancario que se oculta en ejecutable de antivirus.Desde el CSIRT Financiero se detecta nueva campaña de Malware que utiliza el Troyano bancario dirigido a organizaciones financieras denominado Metamorfo, el cual utiliza diferentes técnicas, tácticas y procedimientos (TTP) para evadir la detección y posteriormente entregar (descargar/ejecutar) la carga maliciosa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/metamorfo-troyano-bancario-que-se-oculta-en-ejecutable-de-antivirushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta nueva campaña de Malware que utiliza el Troyano bancario dirigido a organizaciones financieras denominado Metamorfo, el cual utiliza diferentes técnicas, tácticas y procedimientos (TTP) para evadir la detección y posteriormente entregar (descargar/ejecutar) la carga maliciosa.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}