Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña dirigida a dispositivos Android atribuido a PlayPraetorsMediante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una operación a gran escala basada en un modelo de Malware-as-a-Service (MaaS), operada por actores de habla china, que distribuye el troyano de acceso remoto (RAT) y botnet para Android denominado PlayPraetors.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-dirigida-a-dispositivos-android-atribuido-a-playpraetorshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante actividades de monitoreo realizadas por el equipo del Csirt Financiero, se observó una operación a gran escala basada en un modelo de Malware-as-a-Service (MaaS), operada por actores de habla china, que distribuye el troyano de acceso remoto (RAT) y botnet para Android denominado PlayPraetors.
Nueva campaña dirigida a dispositivos Android integra capacidades RAT avanzadas orientadas al fraude financiero.El equipo de analistas del Csirt Financiero ha identificado una campaña activa de malware para dispositivos Android, orientada al fraude financiero, caracterizada por el uso de aplicaciones dropper que instalan de forma encubierta un SMS Stealer avanzado con capacidades de control remoto tipo RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-dirigida-a-dispositivos-android-integra-capacidades-rat-avanzadas-orientadas-al-fraude-financierohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de malware para dispositivos Android, orientada al fraude financiero, caracterizada por el uso de aplicaciones dropper que instalan de forma encubierta un SMS Stealer avanzado con capacidades de control remoto tipo RAT.
Nueva campaña dirigida a MacOS.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZuRu.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-dirigida-a-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de ZuRu.
Nueva campaña distribuye BeaverTail, OtterCookie e InvisibleFerret mediante software troyanizadoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que empleó una aplicación troyanizada denominada Chessfi para lograr la ejecución de código malicioso en equipos de una organización.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-beavertail-ottercookie-e-invisibleferret-mediante-software-troyanizadohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que empleó una aplicación troyanizada denominada Chessfi para lograr la ejecución de código malicioso en equipos de una organización.
Nueva campaña distribuye Bumblebee mediante instaladores falsos de herramientas TIEl equipo de analistas del CSIRT Financiero ha identificado una nueva actividad maliciosa orientada a distribuir el loader Bumblebee mediante instaladores falsos de herramientas legítimas comúnmente utilizadas en entornos técnicos, como WinMTR y Milestone XProtect.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-bumblebee-mediante-instaladores-falsos-de-herramientas-tihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha identificado una nueva actividad maliciosa orientada a distribuir el loader Bumblebee mediante instaladores falsos de herramientas legítimas comúnmente utilizadas en entornos técnicos, como WinMTR y Milestone XProtect.
Nueva campaña distribuye DeVixor mediante sitios falsos y archivos APK maliciosos.El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye DeVixor, un troyano bancario dirigido a dispositivos Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-devixor-mediante-sitios-falsos-y-archivos-apk-maliciososhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye DeVixor, un troyano bancario dirigido a dispositivos Android.
Nueva campaña distribuye documentos Word maliciosos para entregar RedLine Clipper, AgentTesla y OriginBotnetNueva campaña distribuye documentos Word maliciosos para entregar RedLine Clipper, AgentTesla y OriginBotnethttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-documentos-word-maliciosos-para-entregar-redline-clipper-agenttesla-y-originbotnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña distribuye el ransomware DOGEMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que distribuye ransomware denominado DOGE.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-el-ransomware-dogehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que distribuye ransomware denominado DOGE.
Nueva campaña distribuye la puerta trasera Oyster mediante instaladores de Microsoft TeamsEl equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye la puerta trasera Oyster, también conocida como Broomstick, a través de instaladores troyanizados del software corporativo Microsoft Teams, esta amenaza tiene como propósito obtener acceso remoto persistente en los equipos comprometidos, facilitando además la ejecución de cargas maliciosas adicionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-la-puerta-trasera-oyster-mediante-instaladores-de-microsoft-teamshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye la puerta trasera Oyster, también conocida como Broomstick, a través de instaladores troyanizados del software corporativo Microsoft Teams, esta amenaza tiene como propósito obtener acceso remoto persistente en los equipos comprometidos, facilitando además la ejecución de cargas maliciosas adicionales.
Nueva campaña distribuye Medusa RansomwareEl equipo de analistas del Csirt Financiero ha identificado una nueva campaña que distribuye Medusa Ransomware, también conocido como MedusaBlog, una amenaza activa desde junio de 2021 que afecta equipos Windows y aplica una estrategia de doble extorsión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-medusa-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña que distribuye Medusa Ransomware, también conocido como MedusaBlog, una amenaza activa desde junio de 2021 que afecta equipos Windows y aplica una estrategia de doble extorsión.
Nueva campaña distribuye troyano de acceso remoto NjRATGracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-troyano-de-acceso-remoto-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.
Nueva campaña distribuye un troyano bancario a través de WhatsApp.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa activa en Brasil que distribuye el troyano bancario Eternidade Stealer. Su mecanismo de propagación a través de WhatsApp Web, junto con sus capacidades de exfiltración de información y evasión de controles de seguridad, lo convierte en una amenaza con un elevado potencial de impactohttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-un-troyano-bancario-a-traves-de-whatsapphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa activa en Brasil que distribuye el troyano bancario Eternidade Stealer. Su mecanismo de propagación a través de WhatsApp Web, junto con sus capacidades de exfiltración de información y evasión de controles de seguridad, lo convierte en una amenaza con un elevado potencial de impacto
Nueva campaña e indicadores de compromiso asociados a Remcos RATEsta investigación que afecta directamente al sector financiero en Colombia se logró gracias al reporte realizado por parte de uno de los asociados, el cual describe la campaña de distribución de la amenaza Remcos RAT junto con nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-e-indicadores-de-compromiso-asociados-a-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Esta investigación que afecta directamente al sector financiero en Colombia se logró gracias al reporte realizado por parte de uno de los asociados, el cual describe la campaña de distribución de la amenaza Remcos RAT junto con nuevos indicadores de compromiso.
NUEVA CAMPAÑA EJERCIDA POR EL TROYANO LAMPIONEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero pudo evidenciar una nueva campaña de distribución del troyano Lampion. Al momento de la consulta, se puedo observar que la amenaza se dirige hacia Portugal, usando como señuelo temáticas de la pandemia y del proceso actual de vacunación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-ejercida-por-el-troyano-lampionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero pudo evidenciar una nueva campaña de distribución del troyano Lampion. Al momento de la consulta, se puedo observar que la amenaza se dirige hacia Portugal, usando como señuelo temáticas de la pandemia y del proceso actual de vacunación.
Nueva campaña entrega Bumblebee y despliega Akira RansomwareDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña en la que, mediante envenenamiento SEO como mecanismo de entrega, se distribuyen herramientas de apariencia legítima asociadas a tecnología y administración de redes, como ManageEngine OpManager, Axis Camera Station y Angry IP Scanner. Estas aplicaciones son presentadas como descargas legítimas a través de sitios web comprometidos o creados específicamente para simular portales oficiales, donde los instaladores han sido modificados para incluir el loader conocido como Bumblebee, el cual actúa como punto de entrada al entorno comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-entrega-bumblebee-y-despliega-akira-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña en la que, mediante envenenamiento SEO como mecanismo de entrega, se distribuyen herramientas de apariencia legítima asociadas a tecnología y administración de redes, como ManageEngine OpManager, Axis Camera Station y Angry IP Scanner. Estas aplicaciones son presentadas como descargas legítimas a través de sitios web comprometidos o creados específicamente para simular portales oficiales, donde los instaladores han sido modificados para incluir el loader conocido como Bumblebee, el cual actúa como punto de entrada al entorno comprometido.
Nueva campaña explota la vulnerabilidad CVE-2017-0199 para propagar FormBookDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing que utiliza un archivo de Excel malicioso para explotar la vulnerabilidad CVE-2017-0199 en versiones anteriores de Microsoft Office. Esta vulnerabilidad permite la ejecución remota de código a través de la funcionalidad OLE (Object Linking and Embedding), facilitando la descarga y ejecución de un archivo HTA malicioso desde un servidor remoto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-explota-la-vulnerabilidad-cve-2017-0199-para-propagar-formbookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing que utiliza un archivo de Excel malicioso para explotar la vulnerabilidad CVE-2017-0199 en versiones anteriores de Microsoft Office. Esta vulnerabilidad permite la ejecución remota de código a través de la funcionalidad OLE (Object Linking and Embedding), facilitando la descarga y ejecución de un archivo HTA malicioso desde un servidor remoto.
Nueva campaña híbrida de phishing combina capacidades de Salty2FA y Tycoon2FADurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-hibrida-de-phishing-combina-capacidades-de-salty2fa-y-tycoon2fahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se observó una evolución notable dentro del ecosistema de phishing-as-a-service (PhaaS). Esta observación surgió tras detectar campañas que ya no utilizaban únicamente las variantes tradicionales de Salty2FA, sino que incorporaban componentes propios de Tycoon2FA, dando origen a una nueva cadena operativa híbrida.
Nueva campaña implementa variante de massloggerNueva campaña implementa una variante del malware troyano Masslogger diseñada para capturar y exfiltrar las credenciales de los usuarios de múltiples fuentes como Outlook, Google Chrome y mensajería instantánea.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-implementa-variante-de-massloggerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña implementa una variante del malware troyano Masslogger diseñada para capturar y exfiltrar las credenciales de los usuarios de múltiples fuentes como Outlook, Google Chrome y mensajería instantánea.
Nueva campaña incorpora HttpTroy y una nueva variante de BLINDINGCAN.El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de dos amenazas sofisticadas: HttpTroy y una nueva variante del troyano de acceso remoto BLINDINGCAN.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-incorpora-httptroy-y-una-nueva-variante-de-blindingcanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de dos amenazas sofisticadas: HttpTroy y una nueva variante del troyano de acceso remoto BLINDINGCAN.
Nueva campaña llamada OBSCURE#BAT diseñada para distribuir el rootkit R77Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que difunde rootkit R77.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-llamada-obscure-bat-disenada-para-distribuir-el-rootkit-r77http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que difunde rootkit R77.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}