Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Una nueva versión del troyano bancario Sova demuestra su constante evoluciónEn la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/una-nueva-version-del-troyano-bancario-sova-demuestra-su-constante-evolucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).
Un nuevo wiper denominado Azov aparece en la naturalezaLos ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-wiper-denominado-azov-aparece-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.
Un nuevo troyano bancario denominado Zanubis visto en campañas dirigidas a bancos de LatinoaméricaLos actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-troyano-bancario-denominado-zanubis-visto-en-campanas-dirigidas-a-bancos-de-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.
Un nuevo stealer en la naturaleza denominado TyphonLas técnicas de ingeniería social generalmente son usadas por los ciberdelincuentes para persuadir al usuario a realizar acciones inintencionadas que podrán afectar la seguridad de su información, lo que les permite llevar a cabo su objetivo principal el cual es obtener ganancias económicas; en esta ocasión se observó una campaña que distribuye un archivo embebido con una URL que redirecciona a un sitio web de tipo phishing y paralelamente genera la descarga de un malware de tipo stealer denominado Typhon.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-en-la-naturaleza-denominado-typhonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las técnicas de ingeniería social generalmente son usadas por los ciberdelincuentes para persuadir al usuario a realizar acciones inintencionadas que podrán afectar la seguridad de su información, lo que les permite llevar a cabo su objetivo principal el cual es obtener ganancias económicas; en esta ocasión se observó una campaña que distribuye un archivo embebido con una URL que redirecciona a un sitio web de tipo phishing y paralelamente genera la descarga de un malware de tipo stealer denominado Typhon.
Un nuevo stealer denominado Mitsu es distribuido por medio de sitios phishingLos actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-denominado-mitsu-es-distribuido-por-medio-de-sitios-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.
Un nuevo ransomware denominado Bl00dy aparece en la naturalezaBl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-ransomware-denominado-bl00dy-aparece-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bl00dy es el nombre de un nuevo grupo de ransomware que apareció en escena desde julio de este año cuando impactaron varias entidades, aunque no existe demasiada información asociada a este, más que su propia descripción en su canal de Telegram en donde afirman cifrar todos los archivos de sus víctimas; así mismo se ha rastreado nueva actividad de este grupo quienes distribuyen un nuevo ransomware con su nombre, puntualmente emplean el mecanismo de doble extorsión publicando o comercializando los datos capturados en el “muro de la vergüenza” como denominaron la exfiltración de los datos a través de Telegram.
Un nuevo kit de herramientas de phishing como servicio denominado CaffeineLas plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-kit-de-herramientas-de-phishing-como-servicio-denominado-caffeinehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.
Un nuevo brote de ransomware denominado SomniaLos actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-brote-de-ransomware-denominado-somniahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza rusos suelen estar ligados con la creación de nuevas familias de malware dentro del panorama de amenazas, especialmente han estado activos en el ciberespacio a razón del conflicto que existe con Ucrania y sus aliados; es así como algunos grupos de hacktivistas rusos se involucran en la ciberguerra que se lidia actualmente, para lo cual crean nuevas herramientas que impacten eficientemente las infraestructuras tecnológicas de sus objetivos, de ahí que recientemente se descubriera una nueva cepa de ransomware denominada Somnia.
Última versión del bot Amadey instala malware adicionalEn el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-version-del-bot-amadey-instala-malware-adicionalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).
Última técnica utilizada para distribuir LokiBot.En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-tecnica-utilizada-para-distribuir-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.
Última actualización de Drupal CoreÚltima actualización de Drupal Core parchea varias vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-actualizacion-de-drupal-corehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
UAC-0184 UTILIZA UNA NUEVA TÉCNICA DE ADMINISTRACIÓN DE WINDOWSDurante el monitoreo de actividades recientes maliciosas, el equipo del Csirt financiero detectó actividad reciente del grupo de ciberdelincuentes denominado UAC-0184, haciendo uso de una nueva técnica de ataque llamada GrimResourse, que explota archivos de la consola guardada de administración (MSC) para ejecutar código malicioso mediante Microsoft Management Console (MMC).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uac-0184-utiliza-una-nueva-tecnica-de-administracion-de-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo de actividades recientes maliciosas, el equipo del Csirt financiero detectó actividad reciente del grupo de ciberdelincuentes denominado UAC-0184, haciendo uso de una nueva técnica de ataque llamada GrimResourse, que explota archivos de la consola guardada de administración (MSC) para ejecutar código malicioso mediante Microsoft Management Console (MMC).
Tycoon2FA y Dadsec: campaña de phishing AiTM dirigida a credenciales empresarialesDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de recopilación de credenciales atribuida al grupo Storm-1575 mediante el uso del kit de phishing Tycoon2FA.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tycoon2fa-y-dadsec-campana-de-phishing-aitm-dirigida-a-credenciales-empresarialeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de recopilación de credenciales atribuida al grupo Storm-1575 mediante el uso del kit de phishing Tycoon2FA.
Troyanos bancarios propagándose a través de Google Cloud run a nivel globalEl equipo del Csirt Financiero ha detectado nuevas campañas de troyanos bancarios que se dirigen a usuarios en América Latina y Europa a través de Google Cloud Run. Se trata de una gran variedad de troyanos bancarios en los que se resalta Astaroth, Mekotio y Ousaban.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyanos-bancarios-propagandose-a-traves-de-google-cloud-run-a-nivel-globalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha detectado nuevas campañas de troyanos bancarios que se dirigen a usuarios en América Latina y Europa a través de Google Cloud Run. Se trata de una gran variedad de troyanos bancarios en los que se resalta Astaroth, Mekotio y Ousaban.
Troyanos bancarios móviles de Android, implementan nuevas técnicas para evadir las detecciones antimalware de la Play StoreEn el monitoreo realizado a fuentes abiertas para la identificación de amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de las entidades y usuarios en Colombia, el equipo de analistas del Csirt Financiero ha observado 4 troyanos catalogados como bancarios, los cuales se encuentran dirigidos a dispositivos con sistema operativo Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyanos-bancarios-moviles-de-android-implementan-nuevas-tecnicas-para-evadir-las-detecciones-antimalware-de-la-play-storehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas para la identificación de amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de las entidades y usuarios en Colombia, el equipo de analistas del Csirt Financiero ha observado 4 troyanos catalogados como bancarios, los cuales se encuentran dirigidos a dispositivos con sistema operativo Android.
Troyanos bancarios Flubot y Medusa buscan afectar a usuarios de Europa y Estados UnidosEn el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que puedan afectar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada a los troyanos bancarios Flubot y Medusa, en esta campaña tienen como objetivo comprometer dispositivos con sistema operativo Android en países de Norte América y Europa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyanos-bancarios-flubot-y-medusa-buscan-afectar-a-usuarios-de-europa-y-estados-unidoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que puedan afectar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado actividad maliciosa relacionada a los troyanos bancarios Flubot y Medusa, en esta campaña tienen como objetivo comprometer dispositivos con sistema operativo Android en países de Norte América y Europa.
Troyanos bancarios distribuidos a través del servicio Google Cloud RunMediante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas campañas o actividades maliciosas que puedan afectar la infraestructura de los asociados, se ha observado un aumento de actividades maliciosas a través de correos electrónicos, donde los ciberdelincuentes buscan infectar a sus víctimas con troyanos bancarios como Astaroth (también conocido como Guildma), Mekotio y Ousaban, dirigidos a objetivos en Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyanos-bancarios-distribuidos-a-traves-del-servicio-google-cloud-runhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo del Csirt Financiero en busca de nuevas campañas o actividades maliciosas que puedan afectar la infraestructura de los asociados, se ha observado un aumento de actividades maliciosas a través de correos electrónicos, donde los ciberdelincuentes buscan infectar a sus víctimas con troyanos bancarios como Astaroth (también conocido como Guildma), Mekotio y Ousaban, dirigidos a objetivos en Latinoamérica.
Troyano XLoader afecta a sistemas Windows y MacEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente del troyano XLoader, anteriormente conocido como Formbook. Este troyano ha evolucionado para convertirse en un malware multiplataforma que afecta a sistemas operativos Windows y MacOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-xloader-afecta-a-sistemas-windows-y-machttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad reciente del troyano XLoader, anteriormente conocido como Formbook. Este troyano ha evolucionado para convertirse en un malware multiplataforma que afecta a sistemas operativos Windows y MacOS.
Troyano Wellmess, experto en exfiltración de informaciónEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha detectado actividad del troyano WellMess, este ha sido utilizado por diferentes grupos de ciberdelincuentes desde el año 2018. Fue escrito en lenguaje Go y es compatible con .NET, se distribuye en sistemas operativos Windows de 32 y 64 bits.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-wellmess-experto-en-exfiltracion-de-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha detectado actividad del troyano WellMess, este ha sido utilizado por diferentes grupos de ciberdelincuentes desde el año 2018. Fue escrito en lenguaje Go y es compatible con .NET, se distribuye en sistemas operativos Windows de 32 y 64 bits.
Troyano Ursnif se distribuye a través de una nueva campaña de Malspam.Desde el CSIRT Financiero se ha detectado una nueva campaña de Malspam que distribuye el Troyano Ursnif, buscando obtener la información financiera de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-ursnif-se-distribuye-a-traves-de-una-nueva-campana-de-malspamhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado una nueva campaña de Malspam que distribuye el Troyano Ursnif, buscando obtener la información financiera de las víctimas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}