Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña del dropper NullMixerEn el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó varios troyanos en un solo dropper llamado NullMixer que tiene como finalidad la distribución de una amplia variedad de familias de Malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-dropper-nullmixerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó varios troyanos en un solo dropper llamado NullMixer que tiene como finalidad la distribución de una amplia variedad de familias de Malware.
Nueva campaña del grupo APT Hive0117Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt-hive0117http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña phishing.
Nueva campaña del grupo APT KimsukyEl equipo del Csirt Financiero ha identificado una nueva campaña atribuida al grupo norcoreano Kimsuky, denominada Larva-24005, la cual representa una amenaza relevante para la ciberseguridad en la región de Asia y el mundo, con especial énfasis en los sectores de software, energía y financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt-kimsukyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva campaña atribuida al grupo norcoreano Kimsuky, denominada Larva-24005, la cual representa una amenaza relevante para la ciberseguridad en la región de Asia y el mundo, con especial énfasis en los sectores de software, energía y financiero.
Nueva campaña del grupo APT Lyceum distribuye DNS BackdoorSe ha detectado una nueva campaña maliciosa por parte del grupo APT Lyceum que contiene un DNS backdoor, que implementa una versión reformada del software libre “Dig.Net”. Este backdoor hace uso del protocolo DNS para realiza la comunicación con el servidor de comando y control (C2) para efectuar diferentes acciones como realizar consultas de DNS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt-lyceum-distribuye-dns-backdoorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva campaña maliciosa por parte del grupo APT Lyceum que contiene un DNS backdoor, que implementa una versión reformada del software libre “Dig.Net”. Este backdoor hace uso del protocolo DNS para realiza la comunicación con el servidor de comando y control (C2) para efectuar diferentes acciones como realizar consultas de DNS.
Nueva campaña del grupo APT UTG-Q-010Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña orquestada por el grupo llamado UTG-Q-010.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt-utg-q-010http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña orquestada por el grupo llamado UTG-Q-010.
Nueva campaña del grupo APT28.Desde el CSIRT Financiero se ha identificado nueva campaña del grupo APT28, esta vez su objetivo principal son los dispositivos IoT que no han sido actualizados y/o los dispositivos que tengan credenciales por defecto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt28http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado nueva campaña del grupo APT28, esta vez su objetivo principal son los dispositivos IoT que no han sido actualizados y/o los dispositivos que tengan credenciales por defecto.
Nueva campaña del grupo APT36 entrega archivos LNK como falsos PDF legítimosDurante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa atribuida al grupo APT36 (Transparent Tribe), orientada al compromiso de sistemas Windows mediante técnicas de phishing y ejecución encubierta de malware, Empleando archivos de acceso directo .LNK disfrazados como documentos PDF legítimos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt36-entrega-archivos-lnk-como-falsos-pdf-legitimoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo y seguimiento de amenazas, el equipo de analistas del Csirt Financiero identificó una campaña activa atribuida al grupo APT36 (Transparent Tribe), orientada al compromiso de sistemas Windows mediante técnicas de phishing y ejecución encubierta de malware, Empleando archivos de acceso directo .LNK disfrazados como documentos PDF legítimos.
Nueva campaña del grupo Earth PretaEl equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-earth-pretahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.
Nueva campaña del grupo Lazarus llamada Operación BlacksmithMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña llamada Operación Blacksmith.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-lazarus-llamada-operacion-blacksmithhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña llamada Operación Blacksmith.
Nueva campaña del grupo RevengeHotels distribuye VenomRATRevengeHotels, conocido también como TA558, ha lanzado una nueva serie de campañas contra hoteles de América Latina, particularmente en Brasil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-revengehotels-distribuye-venomrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña del grupo SideCopy haciendo uso de RAT personalizadosDurante los monitoreos constantes realizados por el equipo de analistas del Csirt Financiero, se ha identificado recientemente actividad atribuida al grupo APT SideCopy el cual ha desplegado nuevas campañas ampliando su espectro de objetivos, que tradicionalmente incluían sectores como defensa, universidades y asuntos marítimos, hacia entidades gubernamentales, ambientales y financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-sidecopy-haciendo-uso-de-rat-personalizadoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los monitoreos constantes realizados por el equipo de analistas del Csirt Financiero, se ha identificado recientemente actividad atribuida al grupo APT SideCopy el cual ha desplegado nuevas campañas ampliando su espectro de objetivos, que tradicionalmente incluían sectores como defensa, universidades y asuntos marítimos, hacia entidades gubernamentales, ambientales y financieras.
Nueva campaña del grupo TA505 busca diseminar el descargador Get2 en conjunto al RAT SDBbot.Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-ta505-busca-diseminar-el-descargador-get2-en-conjunto-al-rat-sdbbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.
Nueva campaña del grupo TA505 distribuyendo el dropper (descargador de malware) GET2.Por medio de fuentes de inteligencia de amenazas del CSIRT Financiero se ha identificado una nueva actividad del grupo TA505, esta nueva campaña utiliza las mismas técnicas de distribución y ofuscación de malware utilizada en campañas anteriores; El método de distribución consiste en el envío de correos maliciosos que pretenden distribuir el dropper GET2, con archivos adjuntos de office que contienen macros maliciosas embebidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-ta505-distribuyendo-el-dropper-descargador-de-malware-get2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de inteligencia de amenazas del CSIRT Financiero se ha identificado una nueva actividad del grupo TA505, esta nueva campaña utiliza las mismas técnicas de distribución y ofuscación de malware utilizada en campañas anteriores; El método de distribución consiste en el envío de correos maliciosos que pretenden distribuir el dropper GET2, con archivos adjuntos de office que contienen macros maliciosas embebidas.
Nueva campaña del kit de phishing BlackForce que mejora evasión, persistencia y exfiltraciónEl Csirt Financiero identificó una campaña basada en el kit de phishing BlackForce, distribuido y comercializado en Telegram. Esta herramienta permite exfiltrar credenciales, interceptar procesos de autenticación en tiempo real y evadir MFA mediante ataques MitB apoyados en páginas falsas construidas con React. Además, incorpora mecanismos de evasión y validación que bloquean bots y analizadores para asegurar que solo víctimas reales accedan al flujo malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-kit-de-phishing-blackforce-que-mejora-evasion-persistencia-y-exfiltracionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero identificó una campaña basada en el kit de phishing BlackForce, distribuido y comercializado en Telegram. Esta herramienta permite exfiltrar credenciales, interceptar procesos de autenticación en tiempo real y evadir MFA mediante ataques MitB apoyados en páginas falsas construidas con React. Además, incorpora mecanismos de evasión y validación que bloquean bots y analizadores para asegurar que solo víctimas reales accedan al flujo malicioso.
Nueva campaña del loader Bumblebee suplantando DocuSignEn el ejercicio de monitorear las actividades maliciosas de las amenazas recurrentes en el ciberespacio se identificó una nueva campaña de phishing que ha estado suplantando DocuSign (una empresa de tecnología que ofrece soluciones de firma electrónica y gestión de documentos en línea) en un intento por persuadir a los usuarios para que descarguen un artefacto malicioso que contiene la carga útil de Bumblebee.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-loader-bumblebee-suplantando-docusignhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear las actividades maliciosas de las amenazas recurrentes en el ciberespacio se identificó una nueva campaña de phishing que ha estado suplantando DocuSign (una empresa de tecnología que ofrece soluciones de firma electrónica y gestión de documentos en línea) en un intento por persuadir a los usuarios para que descarguen un artefacto malicioso que contiene la carga útil de Bumblebee.
Nueva campaña del malware Casbaneiro apunta a MéxicoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-malware-casbaneiro-apunta-a-mexicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.
Nueva campaña del malware QakbotInvestigadores especializados han generado una nueva advertencia respecto al malware Qakbot. Este tiene la capacidad de propagarse como un gusano, infectando a los usuarios y realizando las funciones de un troyano. Se considera que el malware es distribuido por un grupo organizado de cibercrimen, sin embargo, no se ha logrado atribuir este hecho a ningún grupo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-malware-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores especializados han generado una nueva advertencia respecto al malware Qakbot. Este tiene la capacidad de propagarse como un gusano, infectando a los usuarios y realizando las funciones de un troyano. Se considera que el malware es distribuido por un grupo organizado de cibercrimen, sin embargo, no se ha logrado atribuir este hecho a ningún grupo.
Nueva campaña del ransomware eCh0raix dirigida a los dispositivos de almacenamiento en redA través de actividades de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva campaña asociada a eCh0raix, ransomware con la capacidad de cifrar todos los archivos guardados en diversos equipos de TI y pedir el pago de un rescate a cambio de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-ech0raix-dirigida-a-los-dispositivos-de-almacenamiento-en-redhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva campaña asociada a eCh0raix, ransomware con la capacidad de cifrar todos los archivos guardados en diversos equipos de TI y pedir el pago de un rescate a cambio de la información.
Nueva campaña del ransomware NokoyawaEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña asociada al ransomware Nokoyawa, el cual tiene como función principal el cifrado de datos en los sistemas que sean comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-nokoyawahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña asociada al ransomware Nokoyawa, el cual tiene como función principal el cifrado de datos en los sistemas que sean comprometidos.
Nueva campaña del ransomware Qilin aprovecha fallas de FortinetDurante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una nueva campaña maliciosa relacionada a los actores de amenaza detrás del ransomware Qilin, también conocido como Phantom Mantis, en la que han incorporado a su arsenal la explotación activa de dos vulnerabilidades críticas en productos Fortinet “CVE 2024 21762 y CVE 2024 55591”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-ransomware-qilin-aprovecha-fallas-de-fortinethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una nueva campaña maliciosa relacionada a los actores de amenaza detrás del ransomware Qilin, también conocido como Phantom Mantis, en la que han incorporado a su arsenal la explotación activa de dos vulnerabilidades críticas en productos Fortinet “CVE 2024 21762 y CVE 2024 55591”.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}