Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Aparece en la naturaleza un nuevo RAT dirigido al kernel Linux denominado ShikitegaEl creciente número de amenazas que se ven en la naturaleza sigue siendo una constante durante los últimos meses, en este sentido se ha descubierto una nueva familia de malware denominada Shikitega la cual ha sido categorizada como un troyano de acceso remoto; esta amenaza se dirige a equipos y dispositivos que ejecutan sistemas Linux, entre estos están incluidos los que hacen parte de la categoría IoT, a su vez su operación se divide en varias etapas que ejecutan distintas cargas útiles, explotan algunas vulnerabilidades, implantan un minero y usan Mettle.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aparece-en-la-naturaleza-un-nuevo-rat-dirigido-al-kernel-linux-denominado-shikitegahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El creciente número de amenazas que se ven en la naturaleza sigue siendo una constante durante los últimos meses, en este sentido se ha descubierto una nueva familia de malware denominada Shikitega la cual ha sido categorizada como un troyano de acceso remoto; esta amenaza se dirige a equipos y dispositivos que ejecutan sistemas Linux, entre estos están incluidos los que hacen parte de la categoría IoT, a su vez su operación se divide en varias etapas que ejecutan distintas cargas útiles, explotan algunas vulnerabilidades, implantan un minero y usan Mettle.
Aplicaciones Android para seguimiento del COVID-19 que descargan malwareEl equipo del Csirt Financiero ha identificado varias aplicaciones para dispositivos con sistema operativo Android que realizan el seguimiento de los casos positivos para COVID-19, sin embargo, después de la instalación, descargan código malicioso con la capacidad de capturar información sensible del usuario y, en algunos casos, descargar malware adicional en el dispositivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aplicaciones-android-para-seguimiento-del-covid-19-que-descargan-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado varias aplicaciones para dispositivos con sistema operativo Android que realizan el seguimiento de los casos positivos para COVID-19, sin embargo, después de la instalación, descargan código malicioso con la capacidad de capturar información sensible del usuario y, en algunos casos, descargar malware adicional en el dispositivo.
Aplicaciones troyanizadas en Google Play propagan el spyware JokerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aplicaciones-troyanizadas-en-google-play-propagan-el-spyware-jokerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del spyware móvil Joker, dirigida a equipos Android y caracterizada por su enfoque en fraudes por suscripción.
ApolloRAT una amenaza en crecimiento compilada con NuiktaEl panorama de amenazas en la actualidad se encuentra en constante evolución ya que los actores de amenazas desarrollan nuevas familias de malware con capacidades útiles para los ciberdelincuentes que las emplean para perpetrar ataques sobre infraestructuras críticas; asimismo, la venta de malware es un negocio encontrado en diferentes foros de la Deep y Dark Web, en ese orden de ideas, se ha observado un nuevo troyano de acceso remoto denominado ApolloRAT que es ofrecido por $15 dólares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apollorat-una-amenaza-en-crecimiento-compilada-con-nuiktahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas en la actualidad se encuentra en constante evolución ya que los actores de amenazas desarrollan nuevas familias de malware con capacidades útiles para los ciberdelincuentes que las emplean para perpetrar ataques sobre infraestructuras críticas; asimismo, la venta de malware es un negocio encontrado en diferentes foros de la Deep y Dark Web, en ese orden de ideas, se ha observado un nuevo troyano de acceso remoto denominado ApolloRAT que es ofrecido por $15 dólares.
AppleProcessHub: un stealer dirigido a equipo macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nuevo stealer denominado AppleProcessHub dirigido a usuarios de macOS, descubierto como una biblioteca dinámica maliciosa llamada libsystd.dylib, diseñada para capturar información sensible del equipo, incluyendo contraseñas almacenadas en el llavero (Keychain de macOS), historiales de terminal (bash y zsh), configuraciones de SSH y GitHub, así como otros datos confidenciales del usuario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/appleprocesshub-un-stealer-dirigido-a-equipo-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nuevo stealer denominado AppleProcessHub dirigido a usuarios de macOS, descubierto como una biblioteca dinámica maliciosa llamada libsystd.dylib, diseñada para capturar información sensible del equipo, incluyendo contraseñas almacenadas en el llavero (Keychain de macOS), historiales de terminal (bash y zsh), configuraciones de SSH y GitHub, así como otros datos confidenciales del usuario.
APT Blacktech utiliza diferentes herramientas de malwareEl equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blacktech-utiliza-diferentes-herramientas-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que el grupo APT BlackTech o Palmerworm ha tenido actividad reciente que permite observar importantes capacidades para generar afectación en el sistema operativo Windows y en el kernel de Linux.
APT Blind Eagle dirige sus ataques a ColombiaEn el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blind-eagle-dirige-sus-ataques-a-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.
APT Elephant Beetle busca afectar a servidores de aplicaciones JavaEl equipo del Csirt Financiero ha identificado actividad maliciosa del APT denominado Elephant Beetle, el cual es un grupo cibercriminal que busca al realizar la explotación de vulnerabilidades no corregidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-elephant-beetle-busca-afectar-a-servidores-de-aplicaciones-javahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado actividad maliciosa del APT denominado Elephant Beetle, el cual es un grupo cibercriminal que busca al realizar la explotación de vulnerabilidades no corregidas.
APT Evilnum regresa con nuevas campañas de PyvilEn el monitoreo a fuente abiertas de información el equipo de Csirt financiero identificó nuevas campañas del grupo APT Evilnum, para distribuir el troyano Pyvil RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-evilnum-regresa-con-nuevas-campanas-de-pyvilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuente abiertas de información el equipo de Csirt financiero identificó nuevas campañas del grupo APT Evilnum, para distribuir el troyano Pyvil RAT.
APT FIN7 desarrolla nuevas herramientas como artefactos para implementarlos en sus ataquesA través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información para la detección de posibles amenazas que afectan al sector y a la infraestructura tecnológica de nuestros asociados, el equipo de analistas del Csirt Financiero ha observado nueva actividad del grupo de ciberdelincuentes denominado FIN7 también conocidos como Carbanak.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-fin7-desarrolla-nuevas-herramientas-como-artefactos-para-implementarlos-en-sus-ataqueshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información para la detección de posibles amenazas que afectan al sector y a la infraestructura tecnológica de nuestros asociados, el equipo de analistas del Csirt Financiero ha observado nueva actividad del grupo de ciberdelincuentes denominado FIN7 también conocidos como Carbanak.
APT Metador implementa nuevos backdoors para sus campañas maliciosas.En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-metador-implementa-nuevos-backdoors-para-sus-campanas-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.
APT TA551 distribuye Qakbot (Qbot)En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que el grupo TA551 conocido como Shathak, ha venido distribuyendo el malware Qakbot (Qbot) en lo que lleva del año.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-ta551-distribuye-qakbot-qbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que el grupo TA551 conocido como Shathak, ha venido distribuyendo el malware Qakbot (Qbot) en lo que lleva del año.
APT41 reutiliza Google Calendar como canal C2 en nueva actividad TOUGHPROGRESSDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT41 (también conocido como HOODOO), en la cual se distribuye la amenaza TOUGHPROGRESS. Esta amenaza destaca por su canal de comunicación poco convencional, utiliza Google Calendar como mecanismo de comando y control (C2), lo que le permite camuflar el tráfico malicioso dentro de un servicio legítimo de nube.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt41-reutiliza-google-calendar-como-canal-c2-en-nueva-actividad-toughprogresshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT41 (también conocido como HOODOO), en la cual se distribuye la amenaza TOUGHPROGRESS. Esta amenaza destaca por su canal de comunicación poco convencional, utiliza Google Calendar como mecanismo de comando y control (C2), lo que le permite camuflar el tráfico malicioso dentro de un servicio legítimo de nube.
APT41 utiliza la herramienta Speculoos para explotar vulnerabilidad en redes Citrix.El equipo del Csirt Financiero identificó que el grupo cibercriminal APT41 ha realizado una campaña de ataque con el backdoor conocido como Speculoos a varias entidades de América y Europa explotando varias vulnerabilidades de productos Citrix.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt41-utiliza-la-herramienta-speculoos-para-explotar-vulnerabilidad-en-redes-citrixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó que el grupo cibercriminal APT41 ha realizado una campaña de ataque con el backdoor conocido como Speculoos a varias entidades de América y Europa explotando varias vulnerabilidades de productos Citrix.
Arbitrium-RAT, nuevo troyano multiplataformaEn el monitoreo realizado a fuentes abierta de información, el equipo de Csirt Financiero ha identificado un nuevo troyano denominado Arbitrium-RAT, malware multiplataforma de acceso remoto para controlar dispositivos Android, equipos Windows y Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/arbitrium-rat-nuevo-troyano-multiplataformahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abierta de información, el equipo de Csirt Financiero ha identificado un nuevo troyano denominado Arbitrium-RAT, malware multiplataforma de acceso remoto para controlar dispositivos Android, equipos Windows y Linux.
Archivo Excel lanzado para obtener acceso remoto a computadoresEl ataque utiliza AutoHotKey (código abierto para la creación de macros, scripts y automatización de tareas) en conjunto de código malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivo-excel-lanzado-para-obtener-acceso-remoto-a-computadoreshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Archivos con código ofuscado que descargan troyanos bancariosEn el continuo monitoreo realizado por el Csirt Financiero se evidencian nuevos indicadores de compromiso, asociados a la distribución de múltiples troyanos bancarios a través de archivos adjuntos con código maliciosos Visual Basic Script en mensajes de correo electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-con-codigo-ofuscado-que-descargan-troyanos-bancarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero se evidencian nuevos indicadores de compromiso, asociados a la distribución de múltiples troyanos bancarios a través de archivos adjuntos con código maliciosos Visual Basic Script en mensajes de correo electrónico.
Archivos con extensión JNLP utilizados para la descarga de malwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una nueva técnica utilizada por los ciberdelincuentes que busca eludir las defensas iniciales de las organizaciones, esto mediante el uso de archivos JNLP.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-con-extension-jnlp-utilizados-para-la-descarga-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una nueva técnica utilizada por los ciberdelincuentes que busca eludir las defensas iniciales de las organizaciones, esto mediante el uso de archivos JNLP.
Archivos SVG implementan malwareMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la que ciberdelincuentes utilizan archivos SVG con la finalidad de distribuir malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-svg-implementan-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la que ciberdelincuentes utilizan archivos SVG con la finalidad de distribuir malware.
Archivos UUE distribuyen Remcos RATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la cual distribuyen Remcos RAT mediante archivos UUE.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-uue-distribuyen-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la cual distribuyen Remcos RAT mediante archivos UUE.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}