Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
APT41 utiliza la herramienta Speculoos para explotar vulnerabilidad en redes Citrix.El equipo del Csirt Financiero identificó que el grupo cibercriminal APT41 ha realizado una campaña de ataque con el backdoor conocido como Speculoos a varias entidades de América y Europa explotando varias vulnerabilidades de productos Citrix.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt41-utiliza-la-herramienta-speculoos-para-explotar-vulnerabilidad-en-redes-citrixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó que el grupo cibercriminal APT41 ha realizado una campaña de ataque con el backdoor conocido como Speculoos a varias entidades de América y Europa explotando varias vulnerabilidades de productos Citrix.
Vulnerabilidad de estado crítico en Google Chrome.Recientemente Google Chrome informó sobre la liberación de la versión correctiva a un fallo del navegador que afecta un llamado al bloque de memoria, la versión 81.0.4044.113 llega a corregir esta vulnerabilidad de estado crítico la cual permite omitir todos los niveles de protección del navegador y ejecutar código arbitrario en el sistema.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-estado-critico-en-google-chromehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente Google Chrome informó sobre la liberación de la versión correctiva a un fallo del navegador que afecta un llamado al bloque de memoria, la versión 81.0.4044.113 llega a corregir esta vulnerabilidad de estado crítico la cual permite omitir todos los niveles de protección del navegador y ejecutar código arbitrario en el sistema.
Malware bancario Grandoreiro de superposición remotaEl equipo Csirt financiero ha identificado un nuevo troyano denominado Grandoreiro que amenaza al sector bancario en Brasil, también se ha visto que sus últimos ataques fueron dirigidos a la banca española; su metodología hace uso de las técnicas de superposición remota, lo cual facilita a los ciberdelincuentes el proceso de engaño al usuario para realizar transferencias no autorizadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-bancario-grandoreiro-de-superposicion-remotahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo Csirt financiero ha identificado un nuevo troyano denominado Grandoreiro que amenaza al sector bancario en Brasil, también se ha visto que sus últimos ataques fueron dirigidos a la banca española; su metodología hace uso de las técnicas de superposición remota, lo cual facilita a los ciberdelincuentes el proceso de engaño al usuario para realizar transferencias no autorizadas.
Vulnerabilidades críticas en OracleDentro de la constante labor investigativa que ejecuta el equipo del Csirt Financiero se identificaron correcciones de software emitidas por Oracle para mitigar 405 vulnerabilidades que afectan servicios brindados a través de sus productos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-criticas-en-oraclehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de la constante labor investigativa que ejecuta el equipo del Csirt Financiero se identificaron correcciones de software emitidas por Oracle para mitigar 405 vulnerabilidades que afectan servicios brindados a través de sus productos.
Actualizaciones en plataforma MagentoMagento es una plataforma de código abierto desarrollada en PHP, tiene como objetivo brindar a las empresas ayuda para posicionar sus productos en Internet, tiene nuevas actualizaciones y el procesador de pagos Visa ha sugerido a los comerciantes que hacen uso de esta plataforma, migrar de la versión 1.0 a la 2.0, además que la versión 1.0 dejará de funcionar en junio de 2020.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-en-plataforma-magentohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Magento es una plataforma de código abierto desarrollada en PHP, tiene como objetivo brindar a las empresas ayuda para posicionar sus productos en Internet, tiene nuevas actualizaciones y el procesador de pagos Visa ha sugerido a los comerciantes que hacen uso de esta plataforma, migrar de la versión 1.0 a la 2.0, además que la versión 1.0 dejará de funcionar en junio de 2020.
Nuevos indicadores de compromiso asociados a .NET RAT.Desde el Csirt Financiero se ha identificado una muestra de malware que explota la vulnerabilidad CVE-2019-0541 con el fin de lanzar la RAT (Herramienta de acceso remoto) .NET, la cual se conecta al servidor C2 (comando y control) que aloja un documento señuelo de COVID-19.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-net-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una muestra de malware que explota la vulnerabilidad CVE-2019-0541 con el fin de lanzar la RAT (Herramienta de acceso remoto) .NET, la cual se conecta al servidor C2 (comando y control) que aloja un documento señuelo de COVID-19.
Campaña de phishing para capturar credenciales de plataforma WebexEl equipo del Csirt Financiero ha identificado un ataque de phishing a través de mensajes de correo electrónico relacionado como señuelo una vulnerabilidad crítica “falsa” de Cisco, para que los usuarios de la plataforma de videoconferencias WebEx ingresen sus credenciales en formularios fraudulentos y de esta forma los ciberdelincuentes obtienen las credenciales de las videoconferencias capturando información y documentación sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-para-capturar-credenciales-de-plataforma-webexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un ataque de phishing a través de mensajes de correo electrónico relacionado como señuelo una vulnerabilidad crítica “falsa” de Cisco, para que los usuarios de la plataforma de videoconferencias WebEx ingresen sus credenciales en formularios fraudulentos y de esta forma los ciberdelincuentes obtienen las credenciales de las videoconferencias capturando información y documentación sensible.
Nuevo malware de Card-skimmer ataca plugin WooCommerce de WordPressDesde el Csirt Financiero se ha identificado un nuevo ataque hacia el plugin WooCommerce de WordPress, este complemento es utilizado para implementar tiendas en línea con características como: carrito, mi cuenta y finalizar compra; emplea también métodos de pago como paypal, trasferencia bancaria y Stripe; WooCommerce se convierte entonces en el foco de los atacantes de ciberdelincuentes que buscan afectar a los usuarios, empresas y entidades bancarias.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-de-card-skimmer-ataca-plugin-woocommerce-de-wordpresshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado un nuevo ataque hacia el plugin WooCommerce de WordPress, este complemento es utilizado para implementar tiendas en línea con características como: carrito, mi cuenta y finalizar compra; emplea también métodos de pago como paypal, trasferencia bancaria y Stripe; WooCommerce se convierte entonces en el foco de los atacantes de ciberdelincuentes que buscan afectar a los usuarios, empresas y entidades bancarias.
Hoaxcalls, botnet que aprovecha vulnerabilidades en dispositivos Grandstream y DrayTekEl equipo del Csirt Financiero ha identificado una forma en que la botnet Hoaxcalls utiliza las capacidades físicas de routers y dispositivos que proveen sistemas telefónicos para realizar ataques DDoS, utiliza para este propósito, exploits de las vulnerabilidades CVE-2020-8515 y CVE-2020-5722 que se encuentran en dichos dispositivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hoaxcalls-botnet-que-aprovecha-vulnerabilidades-en-dispositivos-grandstream-y-draytekhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una forma en que la botnet Hoaxcalls utiliza las capacidades físicas de routers y dispositivos que proveen sistemas telefónicos para realizar ataques DDoS, utiliza para este propósito, exploits de las vulnerabilidades CVE-2020-8515 y CVE-2020-5722 que se encuentran en dichos dispositivos.
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/servicios-expuestos-en-colombia-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra realizando el monitoreo de las diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando el alto crecimiento del teletrabajo.
MakeFrame; último skimmer de Magecart Group 7El equipo Csirt financiero ha detectado una nueva amenaza dirigida aparentemente por el grupo Magecart, se le atribuye la creación de una novedosa metodología de exfiltración de datos sensibles de usuarios mediante formularios incrustados en sitios web que, si bien son legítimos, han sido seleccionados para comprometerlos. Por ejemplo, compra de un producto online que la empresa comprometida ofrece, sustraen información de los clientes como datos de tarjetas de crédito, lugar de residencia y correo electrónico, entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/makeframe-ultimo-skimmer-de-magecart-group-7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo Csirt financiero ha detectado una nueva amenaza dirigida aparentemente por el grupo Magecart, se le atribuye la creación de una novedosa metodología de exfiltración de datos sensibles de usuarios mediante formularios incrustados en sitios web que, si bien son legítimos, han sido seleccionados para comprometerlos. Por ejemplo, compra de un producto online que la empresa comprometida ofrece, sustraen información de los clientes como datos de tarjetas de crédito, lugar de residencia y correo electrónico, entre otros.
Nuevos indicadores de compromiso asociados a variante de QBot.El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano Qbot, conocido por buscar a usuarios de servicios bancarios con el objetivo de capturar sus credenciales de inicio de sesión, también posiblemente esté vinculado a la actividad de Trickbot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-variante-de-qbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano Qbot, conocido por buscar a usuarios de servicios bancarios con el objetivo de capturar sus credenciales de inicio de sesión, también posiblemente esté vinculado a la actividad de Trickbot.
Credenciales de Zoom comercializados en sitios clandestinos.Desde el Csirt Financiero se evidencia que múltiples credenciales de usuario de la aplicación ZOOM están siendo comercializados en foros clandestinos, los ciberdelincuentes han infectado ejecutables legítimos alojados en sitios alternos al original con el fin de infectar equipos; todos estos ataques son motivados debido a que ZOOM es una de las aplicaciones más utilizadas por las organizaciones para hacer videoconferencias y tratar temas confidenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/credenciales-de-zoom-comercializados-en-sitios-clandestinoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se evidencia que múltiples credenciales de usuario de la aplicación ZOOM están siendo comercializados en foros clandestinos, los ciberdelincuentes han infectado ejecutables legítimos alojados en sitios alternos al original con el fin de infectar equipos; todos estos ataques son motivados debido a que ZOOM es una de las aplicaciones más utilizadas por las organizaciones para hacer videoconferencias y tratar temas confidenciales.
Utilizan atributos de CSS para realizar campaña de phishing.El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/utilizan-atributos-de-css-para-realizar-campana-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.
Nueva variante de xHelperEn el constante monitoreo que realiza el Csirt Financiero frente a nuevas amenazas se ha identificado una nueva variante del troyano para sistemas operativos Android xHelper, la cual puede reinstalarse en dispositivos y mantener persistencia si es eliminado o se restablece de fábrica; después de la instalación se oculta en el dispositivo y comienza una serie de pasos para escalar privilegios de administrador y exfiltrar la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-xhelperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el Csirt Financiero frente a nuevas amenazas se ha identificado una nueva variante del troyano para sistemas operativos Android xHelper, la cual puede reinstalarse en dispositivos y mantener persistencia si es eliminado o se restablece de fábrica; después de la instalación se oculta en el dispositivo y comienza una serie de pasos para escalar privilegios de administrador y exfiltrar la información.
Análisis de malware EvilnumDesde el Csirt Financiero se ha identificado una nueva campaña dirigida a instituciones financieras en la se distribuye el malware bancario denominado Evilnum, puerta trasera (backdoor) orientada a capturar información, históricamente había sido utilizado en ataques dirigidos a instituciones financieras, Fintech y mercados de capitales, utilizando la suplantación de identidad como vector inicial para la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-evilnumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva campaña dirigida a instituciones financieras en la se distribuye el malware bancario denominado Evilnum, puerta trasera (backdoor) orientada a capturar información, históricamente había sido utilizado en ataques dirigidos a instituciones financieras, Fintech y mercados de capitales, utilizando la suplantación de identidad como vector inicial para la infección.
Botnet Vollgar busca minar mediante MS-SQLEl equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-vollgar-busca-minar-mediante-ms-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.
Instalador malicioso de aplicación ZOOMEl equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/instalador-malicioso-de-aplicacion-zoomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.
Nuevos indicadores de compromiso asociados a TA505 y SilenceEl equipo del Csirt Financiero han identificado nuevos indicadores de compromiso asociados al grupo ciberdelincuente TA505, el cual se caracteriza por realizar ataques al sector financiero a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ta505-y-silencehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero han identificado nuevos indicadores de compromiso asociados al grupo ciberdelincuente TA505, el cual se caracteriza por realizar ataques al sector financiero a nivel mundial.
Nueva versión del troyano IcedIDEl equipo del Csirt Financiero ha identificado una nueva versión de IcedID troyano tipo bancario que, desde su descubrimiento en 2017, ha afectado a numerosas entidades financieras de Estados Unidos, Reino Unido y Canadá. Su característica principal es la inyección web, realizando funciones de redirección si la víctima accede a alguno de los sitios web infectados por este malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-troyano-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva versión de IcedID troyano tipo bancario que, desde su descubrimiento en 2017, ha afectado a numerosas entidades financieras de Estados Unidos, Reino Unido y Canadá. Su característica principal es la inyección web, realizando funciones de redirección si la víctima accede a alguno de los sitios web infectados por este malware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}