Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Análisis técnico de Malware Azorult mediante mapa COVID-19El Csirt Financiero realizó un análisis a la muestra relacionada con el mapa y se identificó que el malware incrustado dentro del archivo ejecutable es Azorult.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-azorult-mediante-mapa-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero realizó un análisis a la muestra relacionada con el mapa y se identificó que el malware incrustado dentro del archivo ejecutable es Azorult.
Análisis Técnico de Malware ATM JaDi (JavaDispCash)Desde el CSIRT Financiero se profundiza en el modelado, actuación y variantes del malware ATM JaDi (JavaDispCash), teniendo en cuenta que puede generar impacto significativo al sector en la afectación sobre los cajeros automáticos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-javadispcashhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se profundiza en el modelado, actuación y variantes del malware ATM JaDi (JavaDispCash), teniendo en cuenta que puede generar impacto significativo al sector en la afectación sobre los cajeros automáticos.
Análisis técnico de malware OSTAPEl Csirt Financiero realizó el análisis de malware OSTAP que se caracteriza por su eficacia a la hora de evadir los sistemas antimalware y entornos virtualizados, convirtiéndose en una forma óptima de distribuir otro tipo de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-ostaphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero realizó el análisis de malware OSTAP que se caracteriza por su eficacia a la hora de evadir los sistemas antimalware y entornos virtualizados, convirtiéndose en una forma óptima de distribuir otro tipo de malware.
Análisis técnico del malware RyukEn los últimos días se detectaron ataques de Ransomware a dos organizaciones de España, las cuales de manera oficial confirmaron el ataque sufrido. Los tipos de Ransomware identificados se tratan de las nuevas versiones de Ryuk y BitPaymer. El CSIRT Financiero ha realizado análisis técnico del ransomware Ryuk, con el fin de establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-ryukhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos días se detectaron ataques de Ransomware a dos organizaciones de España, las cuales de manera oficial confirmaron el ataque sufrido. Los tipos de Ransomware identificados se tratan de las nuevas versiones de Ryuk y BitPaymer. El CSIRT Financiero ha realizado análisis técnico del ransomware Ryuk, con el fin de establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.
Análisis técnico de troyano bancarioEl Csirt Financiero ha detectado y notificado con anterioridad diversas campañas en las que se han utilizado troyanos bancarios de origen aparentemente brasileño, durante los meses de abril y mayo del 2020. En esta ocasión, el equipo del Csirt Financiero ha detectado una nueva campaña dirigida, al igual que las anteriores, a usuarios de entidades bancarias de habla portuguesa y española.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-troyano-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha detectado y notificado con anterioridad diversas campañas en las que se han utilizado troyanos bancarios de origen aparentemente brasileño, durante los meses de abril y mayo del 2020. En esta ocasión, el equipo del Csirt Financiero ha detectado una nueva campaña dirigida, al igual que las anteriores, a usuarios de entidades bancarias de habla portuguesa y española.
Análisis técnico del malware BitPaymerEn referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-del-malware-bitpaymerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.
Análisis técnico malware Quasar RATEl CSIRT Financiero por medio de sus fuentes de información identificó un malware que se ha distribuido a través de phishing y maneja herramientas de acceso remoto legitimas de código abierto, las cuales son modificadas para realizar acciones criminales. Al ser herramientas aparentemente legítimas les permite evadir los controles de seguridad y así poder capturar información confidencial de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-malware-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero por medio de sus fuentes de información identificó un malware que se ha distribuido a través de phishing y maneja herramientas de acceso remoto legitimas de código abierto, las cuales son modificadas para realizar acciones criminales. Al ser herramientas aparentemente legítimas les permite evadir los controles de seguridad y así poder capturar información confidencial de los usuarios.
Anchor_Linux: módulo de Trickbot para distribuciones LinuxEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado que el troyano bancario Trickbot ahora infecta equipos con distribuciones Linux. Trickbot se hizo notar a nivel mundial en el 2019 por sus actividades ilegales, como la exfiltración de credenciales, información personal y funcionalidades que permiten la descarga e instalación de otras familias de malware (Dropper).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/anchor_linux-modulo-de-trickbot-para-distribuciones-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado que el troyano bancario Trickbot ahora infecta equipos con distribuciones Linux. Trickbot se hizo notar a nivel mundial en el 2019 por sus actividades ilegales, como la exfiltración de credenciales, información personal y funcionalidades que permiten la descarga e instalación de otras familias de malware (Dropper).
AndroMut: Nuevo descargador para el RAT FlawedAmmyy dirigido por TA505Desde CSIRT Financiero se ha identificado nueva actividad asociada al RAT FlawedAmmyy, el cual utiliza AndroMut un nuevo Dropper (Descargador) de Malware, este utiliza diferentes métodos para obtener persistencia en el sistema víctima y diversos análisis para evadir su detección, logrando mantener el sigilo y ser más difícil de ser detectado y analizado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/andromut-nuevo-descargador-para-el-rat-flawedammyy-dirigido-por-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se ha identificado nueva actividad asociada al RAT FlawedAmmyy, el cual utiliza AndroMut un nuevo Dropper (Descargador) de Malware, este utiliza diferentes métodos para obtener persistencia en el sistema víctima y diversos análisis para evadir su detección, logrando mantener el sigilo y ser más difícil de ser detectado y analizado.
Antidot: un nuevo troyano bancario dirigido a dispositivos AndroidDurante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, en búsqueda de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se ha detectado un nuevo troyano bancario dirigido a dispositivos Android, denominado Antidot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/antidot-un-nuevo-troyano-bancario-dirigido-a-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, en búsqueda de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se ha detectado un nuevo troyano bancario dirigido a dispositivos Android, denominado Antidot.
Anubis apunta a más de 250 aplicaciones móvilesEn el constante monitoreo que realiza el Csirt Financiero frente a las amenazas que puedan afectar al sector, se ha evidenciado el envío masivo de mensajes de tipo malspam y/o phishing, con un enlace que lleva a la descarga de Anubis por medio de una aplicación para Android (APK).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/anubis-apunta-a-mas-de-250-aplicaciones-movileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero frente a las amenazas que puedan afectar al sector, se ha evidenciado el envío masivo de mensajes de tipo malspam y/o phishing, con un enlace que lleva a la descarga de Anubis por medio de una aplicación para Android (APK).
Anuncios maliciosos de Google generan la descarga de troyanos bancariosEl equipo de analistas del Csirt financiero a través de un monitoreo a fuentes abiertas de información, observo un aumento en la utilización de anuncios de Google con fines de propagación de campañas de publicidad maliciosa. en esta campaña se ha producido la distribución de malware, que incluye una nueva variante del cargador DarkGate y dos troyanos bancarios: IcedID y DanaBot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/anuncios-maliciosos-de-google-generan-la-descarga-de-troyanos-bancarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt financiero a través de un monitoreo a fuentes abiertas de información, observo un aumento en la utilización de anuncios de Google con fines de propagación de campañas de publicidad maliciosa. en esta campaña se ha producido la distribución de malware, que incluye una nueva variante del cargador DarkGate y dos troyanos bancarios: IcedID y DanaBot.
Aparece en la naturaleza un nuevo RAT dirigido al kernel Linux denominado ShikitegaEl creciente número de amenazas que se ven en la naturaleza sigue siendo una constante durante los últimos meses, en este sentido se ha descubierto una nueva familia de malware denominada Shikitega la cual ha sido categorizada como un troyano de acceso remoto; esta amenaza se dirige a equipos y dispositivos que ejecutan sistemas Linux, entre estos están incluidos los que hacen parte de la categoría IoT, a su vez su operación se divide en varias etapas que ejecutan distintas cargas útiles, explotan algunas vulnerabilidades, implantan un minero y usan Mettle.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aparece-en-la-naturaleza-un-nuevo-rat-dirigido-al-kernel-linux-denominado-shikitegahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El creciente número de amenazas que se ven en la naturaleza sigue siendo una constante durante los últimos meses, en este sentido se ha descubierto una nueva familia de malware denominada Shikitega la cual ha sido categorizada como un troyano de acceso remoto; esta amenaza se dirige a equipos y dispositivos que ejecutan sistemas Linux, entre estos están incluidos los que hacen parte de la categoría IoT, a su vez su operación se divide en varias etapas que ejecutan distintas cargas útiles, explotan algunas vulnerabilidades, implantan un minero y usan Mettle.
Aplicaciones Android para seguimiento del COVID-19 que descargan malwareEl equipo del Csirt Financiero ha identificado varias aplicaciones para dispositivos con sistema operativo Android que realizan el seguimiento de los casos positivos para COVID-19, sin embargo, después de la instalación, descargan código malicioso con la capacidad de capturar información sensible del usuario y, en algunos casos, descargar malware adicional en el dispositivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aplicaciones-android-para-seguimiento-del-covid-19-que-descargan-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado varias aplicaciones para dispositivos con sistema operativo Android que realizan el seguimiento de los casos positivos para COVID-19, sin embargo, después de la instalación, descargan código malicioso con la capacidad de capturar información sensible del usuario y, en algunos casos, descargar malware adicional en el dispositivo.
Aplicaciones troyanizadas en Google Play propagan el spyware JokerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aplicaciones-troyanizadas-en-google-play-propagan-el-spyware-jokerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.
ApolloRAT una amenaza en crecimiento compilada con NuiktaEl panorama de amenazas en la actualidad se encuentra en constante evolución ya que los actores de amenazas desarrollan nuevas familias de malware con capacidades útiles para los ciberdelincuentes que las emplean para perpetrar ataques sobre infraestructuras críticas; asimismo, la venta de malware es un negocio encontrado en diferentes foros de la Deep y Dark Web, en ese orden de ideas, se ha observado un nuevo troyano de acceso remoto denominado ApolloRAT que es ofrecido por $15 dólares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apollorat-una-amenaza-en-crecimiento-compilada-con-nuiktahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas en la actualidad se encuentra en constante evolución ya que los actores de amenazas desarrollan nuevas familias de malware con capacidades útiles para los ciberdelincuentes que las emplean para perpetrar ataques sobre infraestructuras críticas; asimismo, la venta de malware es un negocio encontrado en diferentes foros de la Deep y Dark Web, en ese orden de ideas, se ha observado un nuevo troyano de acceso remoto denominado ApolloRAT que es ofrecido por $15 dólares.
AppleProcessHub: un stealer dirigido a equipo macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nuevo stealer denominado AppleProcessHub dirigido a usuarios de macOS, descubierto como una biblioteca dinámica maliciosa llamada libsystd.dylib, diseñada para capturar información sensible del equipo, incluyendo contraseñas almacenadas en el llavero (Keychain de macOS), historiales de terminal (bash y zsh), configuraciones de SSH y GitHub, así como otros datos confidenciales del usuario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/appleprocesshub-un-stealer-dirigido-a-equipo-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nuevo stealer denominado AppleProcessHub dirigido a usuarios de macOS, descubierto como una biblioteca dinámica maliciosa llamada libsystd.dylib, diseñada para capturar información sensible del equipo, incluyendo contraseñas almacenadas en el llavero (Keychain de macOS), historiales de terminal (bash y zsh), configuraciones de SSH y GitHub, así como otros datos confidenciales del usuario.
APT Blacktech utiliza diferentes herramientas de malwareEl equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blacktech-utiliza-diferentes-herramientas-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.
APT Blind Eagle dirige sus ataques a ColombiaEn el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blind-eagle-dirige-sus-ataques-a-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.
APT Elephant Beetle busca afectar a servidores de aplicaciones JavaEl equipo del Csirt Financiero ha identificado actividad maliciosa del APT denominado Elephant Beetle, el cual es un grupo cibercriminal que busca al realizar la explotación de vulnerabilidades no corregidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-elephant-beetle-busca-afectar-a-servidores-de-aplicaciones-javahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado actividad maliciosa del APT denominado Elephant Beetle, el cual es un grupo cibercriminal que busca al realizar la explotación de vulnerabilidades no corregidas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}