Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Emerge un nuevo troyano bancario para Android denominado BratsRecientemente se descubrió un nuevo troyano bancario para Android denominado Brats, el cual está diseñado para abusar del sistema de transferencia instantánea PIX y ATS (Automatic Transaction System); Este malware se dirige a víctimas en Brasil, donde explota el sistema de pagos PIX y aplicaciones de bancos brasileños.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-troyano-bancario-para-android-denominado-bratshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se descubrió un nuevo troyano bancario para Android denominado Brats, el cual está diseñado para abusar del sistema de transferencia instantánea PIX y ATS (Automatic Transaction System); Este malware se dirige a víctimas en Brasil, donde explota el sistema de pagos PIX y aplicaciones de bancos brasileños.
Nueva actividad del troyano bancario QakbotRecientemente, se identificó una nueva campaña que tiene como objetivo distribuir el troyano bancario Qakbot, este se distribuye adjuntando un archivo PDF malicioso en forma de respuesta/delivery en un correo electrónico, su contenido es engañoso y está diseñado para persuadir a las víctimas a la apertura del archivo adjunto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-troyano-bancario-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se identificó una nueva campaña que tiene como objetivo distribuir el troyano bancario Qakbot, este se distribuye adjuntando un archivo PDF malicioso en forma de respuesta/delivery en un correo electrónico, su contenido es engañoso y está diseñado para persuadir a las víctimas a la apertura del archivo adjunto.
Campaña masiva de ataques a páginas web de WordPress mediante el backdoor Balad InjectorMás un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-de-ataques-a-paginas-web-de-wordpress-mediante-el-backdoor-balad-injectorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Más un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.
Flujo de operación de una campaña de malspam que entrega el troyano IcedIDRecientemente se identificó una campaña de malspam que distribuye la carga útil del troyano bancario IcedID mediante una imagen ISO oculta que contiene un archivo LNK para ejecutar una serie de acciones maliciosas a la infraestructura tecnológica de las víctimas; los atacantes utilizan comandos de descubrimiento para recopilar información sobre el entorno y escalar privilegios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/flujo-de-operacion-de-una-campana-de-malspam-que-entrega-el-troyano-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó una campaña de malspam que distribuye la carga útil del troyano bancario IcedID mediante una imagen ISO oculta que contiene un archivo LNK para ejecutar una serie de acciones maliciosas a la infraestructura tecnológica de las víctimas; los atacantes utilizan comandos de descubrimiento para recopilar información sobre el entorno y escalar privilegios.
Surge nuevo ransomware denominado CylanceRecientemente, se ha identificado un nuevo ransomware identificado como ‘Cylance’, nombre asignado debido a su extensión de cifrado que posee; esta nueva familia de malware tiene la capacidad de afectar sistemas operativos Windows y distribuciones Linux, adicionalmente, puede personalizarse a través de líneas de comando dando la posibilidad de que ejecute de diversas maneras y cifre múltiples archivos en específico dependiendo de la necesidad del actor de amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-nuevo-ransomware-denominado-cylancehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado un nuevo ransomware identificado como ‘Cylance’, nombre asignado debido a su extensión de cifrado que posee; esta nueva familia de malware tiene la capacidad de afectar sistemas operativos Windows y distribuciones Linux, adicionalmente, puede personalizarse a través de líneas de comando dando la posibilidad de que ejecute de diversas maneras y cifre múltiples archivos en específico dependiendo de la necesidad del actor de amenaza.
Nuevo ransomware denominado Money MessageEn el ámbito de ciberseguridad, es frecuente evidenciar nuevas familias de malware con funcionalidades y actividades únicas, las cuales suponen un riesgo importante a la seguridad de la información de las organizaciones de diversos sectores en el país. Según lo anterior, se ha identificado un nuevo ransomware denominado Money Message.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-money-messagehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ámbito de ciberseguridad, es frecuente evidenciar nuevas familias de malware con funcionalidades y actividades únicas, las cuales suponen un riesgo importante a la seguridad de la información de las organizaciones de diversos sectores en el país. Según lo anterior, se ha identificado un nuevo ransomware denominado Money Message.
Emerge un nuevo stealer denominado RilideRecientemente se ha descubierto un nuevo stealer denominado Rilide que se disfraza como una extensión legítima de Google Drive y se dirige a navegadores basados en Chromium como Google Chrome, Microsoft Edge, Brave y Opera.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-stealer-denominado-rilidehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha descubierto un nuevo stealer denominado Rilide que se disfraza como una extensión legítima de Google Drive y se dirige a navegadores basados en Chromium como Google Chrome, Microsoft Edge, Brave y Opera.
El rasnomware Blackcat explota vulnerabilidades expuestas en internetA través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero a fuentes abiertas de información, se identificó una nueva actividad maliciosa del ransomware Blackcat también conocido como ALPHV donde un grupo de ciberdelincuentes está realizando la explotación de vulnerabilidades para entregar la carga útil de Blackcat.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-rasnomware-blackcat-explota-vulnerabilidades-expuestas-en-internethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero a fuentes abiertas de información, se identificó una nueva actividad maliciosa del ransomware Blackcat también conocido como ALPHV donde un grupo de ciberdelincuentes está realizando la explotación de vulnerabilidades para entregar la carga útil de Blackcat.
Nueva versión del stealer Typhon RebornEl stealer Typhon Reborn, ha regresado con una versión actualizada (V2) que incluye mejores capacidades para evadir la detección y obstaculizar procesos de análisis por parte de analistas de seguridad. La nueva variante también cuenta con capacidades de exfiltración de datos a través de la API de Telegram y fue comercializada por su desarrollador el 31 de enero de 2023. Es de mencionar que excluye notablemente a Ucrania y Georgia de la lista de países que evitará infectar.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-stealer-typhon-rebornhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El stealer Typhon Reborn, ha regresado con una versión actualizada (V2) que incluye mejores capacidades para evadir la detección y obstaculizar procesos de análisis por parte de analistas de seguridad. La nueva variante también cuenta con capacidades de exfiltración de datos a través de la API de Telegram y fue comercializada por su desarrollador el 31 de enero de 2023. Es de mencionar que excluye notablemente a Ucrania y Georgia de la lista de países que evitará infectar.
Surge nuevo ransomware denominado Rorschach con el cifrado más rápido hasta la fechaMediante un monitoreo realizado a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado Rorschach el cual impacto una empresa con sede en Estados Unidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/surge-nuevo-ransomware-denominado-rorschach-con-el-cifrado-mas-rapido-hasta-la-fechahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante un monitoreo realizado a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado Rorschach el cual impacto una empresa con sede en Estados Unidos.
Nuevos indicadores de compromiso relacionados al troyano bancario ErmacEl equipo de analistas del Csirt Financiero, realizó un monitoreo en busca de nuevas amenazas o campañas maliciosas que pueda llegar a afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario Ermac, el cual está dirigido a dispositivos Móviles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-al-troyano-bancario-ermachttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero, realizó un monitoreo en busca de nuevas amenazas o campañas maliciosas que pueda llegar a afectar la infraestructura tecnológica de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados con el troyano bancario Ermac, el cual está dirigido a dispositivos Móviles.
Nueva actividad maliciosa del ransomware ClopAunque Clop ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-clophttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque Clop ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.
Nuevos artefactos del troyano bancario GrandoreiroA través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso en los que se pueden encontrar algunos artefactos de tipo ejecutable.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-bancario-grandoreirohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de fuentes abiertas de información el equipo de analistas del Csirt Financiero ha identificado nueva actividad de un troyano muy popular denominado Grandoreiro, donde se observó nuevas actualizaciones en sus campañas y con esto son identificados nuevos indicadores de compromiso en los que se pueden encontrar algunos artefactos de tipo ejecutable.
Se identifican nuevos artefactos del troyano bancario LokibotAunque Lokibot ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-nuevos-artefactos-del-troyano-bancario-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque Lokibot ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.
Nuevos indicadores de compromiso asociados a BianLian ransomwareEntre las amenazas más reconocidas en el ámbito de ciberseguridad el ransomware es uno de los tipos de malware más peligrosos que existen; esto debido a su capacidad de cifrar, modificar y/o eliminar archivos almacenados en el sistema informático comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-bianlian-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Entre las amenazas más reconocidas en el ámbito de ciberseguridad el ransomware es uno de los tipos de malware más peligrosos que existen; esto debido a su capacidad de cifrar, modificar y/o eliminar archivos almacenados en el sistema informático comprometido.
Nuevo Kit de herramientas denominado AlienFox empleado para ataques a servicios en la nubeEl kit de herramientas AlienFox es utilizado por ciberdelincuentes para buscar servidores mal configurados y capturar secretos de autenticación y credenciales de servicios de correo electrónico basados en la nube. El kit se vende en un canal privado de Telegram y está dirigido a configuraciones erróneas comunes en servidores asociados con marcos web populares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramientas-denominado-alienfox-empleado-para-ataques-a-servicios-en-la-nubehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El kit de herramientas AlienFox es utilizado por ciberdelincuentes para buscar servidores mal configurados y capturar secretos de autenticación y credenciales de servicios de correo electrónico basados en la nube. El kit se vende en un canal privado de Telegram y está dirigido a configuraciones erróneas comunes en servidores asociados con marcos web populares.
Nueva actividad maliciosa del ransomware MedusalockerA través de un monitoreo realizado por el equipo de analistas del Csirt financiero a fuentes abiertas de información se identificaron nuevos indicadores de compromiso relacionados con el ransomware denominado MedusaLocker el cual ha tenido un aumento en su actividad recientemente y ha afectado a organizaciones de América latina pertenecientes a todos los sectores económicos, incluyendo el financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-medusalockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo realizado por el equipo de analistas del Csirt financiero a fuentes abiertas de información se identificaron nuevos indicadores de compromiso relacionados con el ransomware denominado MedusaLocker el cual ha tenido un aumento en su actividad recientemente y ha afectado a organizaciones de América latina pertenecientes a todos los sectores económicos, incluyendo el financiero.
Batloader entrega cargas útiles de Remcos RAT y FormbookBatloader es un loader (cargador) de acceso inicial que está siendo utilizado por diversos actores de amenaza para distribuir diferentes tipos de malware y donde anteriormente se conocieron cargas útiles secundarias como Vidar Stealer y Ursnif distribuidas por Batloader; en esta ocasión a través de un monitore por el equipo del Csirt financiero se identificaron nuevos indicadores de compromiso de tipo ejecutable que están siendo distribuidos por los ciberdelincuentes que contienen Remcos RAT y Formbook.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/batloader-entrega-cargas-utiles-de-remcos-rat-y-formbookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Batloader es un loader (cargador) de acceso inicial que está siendo utilizado por diversos actores de amenaza para distribuir diferentes tipos de malware y donde anteriormente se conocieron cargas útiles secundarias como Vidar Stealer y Ursnif distribuidas por Batloader; en esta ocasión a través de un monitore por el equipo del Csirt financiero se identificaron nuevos indicadores de compromiso de tipo ejecutable que están siendo distribuidos por los ciberdelincuentes que contienen Remcos RAT y Formbook.
Nueva variante del troyano bancario IcedIDIcedID es un troyano bancario que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bancario-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IcedID es un troyano bancario que representa una gran amenaza para la privacidad de los usuarios afectados, así como para la seguridad económica e informática, este troyano comienza a ejecutar diferentes tareas maliciosas que tienen como objetivo monitorear la actividad generada por la víctima en navegadores web, exfiltrar datos personales y manipular el sistema operativo.
Nuevas actividades maliciosas relacionadas con el ransomware LockBitEl equipo de analistas del Csirt financiero realizó un monitoreo a diversas fuentes de información abiertas, en busca de nuevas amenazas y/o campañas que puedan afectar la infraestructura de los asociados, en el cual se identificaron nuevas actividades maliciosas e indicadores de compromiso relacionados con el ransomware LockBit.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-maliciosas-relacionadas-con-el-ransomware-lockbithttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt financiero realizó un monitoreo a diversas fuentes de información abiertas, en busca de nuevas amenazas y/o campañas que puedan afectar la infraestructura de los asociados, en el cual se identificaron nuevas actividades maliciosas e indicadores de compromiso relacionados con el ransomware LockBit.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}