Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
APT Evilnum regresa con nuevas campañas de PyvilEn el monitoreo a fuente abiertas de información el equipo de Csirt financiero identificó nuevas campañas del grupo APT Evilnum, para distribuir el troyano Pyvil RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-evilnum-regresa-con-nuevas-campanas-de-pyvilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuente abiertas de información el equipo de Csirt financiero identificó nuevas campañas del grupo APT Evilnum, para distribuir el troyano Pyvil RAT.
APT FIN7 desarrolla nuevas herramientas como artefactos para implementarlos en sus ataquesA través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información para la detección de posibles amenazas que afectan al sector y a la infraestructura tecnológica de nuestros asociados, el equipo de analistas del Csirt Financiero ha observado nueva actividad del grupo de ciberdelincuentes denominado FIN7 también conocidos como Carbanak.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-fin7-desarrolla-nuevas-herramientas-como-artefactos-para-implementarlos-en-sus-ataqueshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información para la detección de posibles amenazas que afectan al sector y a la infraestructura tecnológica de nuestros asociados, el equipo de analistas del Csirt Financiero ha observado nueva actividad del grupo de ciberdelincuentes denominado FIN7 también conocidos como Carbanak.
APT Metador implementa nuevos backdoors para sus campañas maliciosas.En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-metador-implementa-nuevos-backdoors-para-sus-campanas-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt financiero, se identificó unos nuevos backdoor llamados metaMain y Mafalda, los cuales están siendo implementados por el APT Metador, amenaza avanzada que se enfoca principalmente en telecomunicaciones, ISPs y proveedores de servicios de internet.
APT TA551 distribuye Qakbot (Qbot)En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que el grupo TA551 conocido como Shathak, ha venido distribuyendo el malware Qakbot (Qbot) en lo que lleva del año.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-ta551-distribuye-qakbot-qbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que el grupo TA551 conocido como Shathak, ha venido distribuyendo el malware Qakbot (Qbot) en lo que lleva del año.
APT41 reutiliza Google Calendar como canal C2 en nueva actividad TOUGHPROGRESSDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT41 (también conocido como HOODOO), en la cual se distribuye la amenaza TOUGHPROGRESS. Esta amenaza destaca por su canal de comunicación poco convencional, utiliza Google Calendar como mecanismo de comando y control (C2), lo que le permite camuflar el tráfico malicioso dentro de un servicio legítimo de nube.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt41-reutiliza-google-calendar-como-canal-c2-en-nueva-actividad-toughprogresshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad atribuida al grupo APT41 (también conocido como HOODOO), en la cual se distribuye la amenaza TOUGHPROGRESS. Esta amenaza destaca por su canal de comunicación poco convencional, utiliza Google Calendar como mecanismo de comando y control (C2), lo que le permite camuflar el tráfico malicioso dentro de un servicio legítimo de nube.
APT41 utiliza la herramienta Speculoos para explotar vulnerabilidad en redes Citrix.El equipo del Csirt Financiero identificó que el grupo cibercriminal APT41 ha realizado una campaña de ataque con el backdoor conocido como Speculoos a varias entidades de América y Europa explotando varias vulnerabilidades de productos Citrix.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt41-utiliza-la-herramienta-speculoos-para-explotar-vulnerabilidad-en-redes-citrixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó que el grupo cibercriminal APT41 ha realizado una campaña de ataque con el backdoor conocido como Speculoos a varias entidades de América y Europa explotando varias vulnerabilidades de productos Citrix.
Arbitrium-RAT, nuevo troyano multiplataformaEn el monitoreo realizado a fuentes abierta de información, el equipo de Csirt Financiero ha identificado un nuevo troyano denominado Arbitrium-RAT, malware multiplataforma de acceso remoto para controlar dispositivos Android, equipos Windows y Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/arbitrium-rat-nuevo-troyano-multiplataformahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abierta de información, el equipo de Csirt Financiero ha identificado un nuevo troyano denominado Arbitrium-RAT, malware multiplataforma de acceso remoto para controlar dispositivos Android, equipos Windows y Linux.
Archivo Excel lanzado para obtener acceso remoto a computadoresEl ataque utiliza AutoHotKey (código abierto para la creación de macros, scripts y automatización de tareas) en conjunto de código malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivo-excel-lanzado-para-obtener-acceso-remoto-a-computadoreshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Archivos con código ofuscado que descargan troyanos bancariosEn el continuo monitoreo realizado por el Csirt Financiero se evidencian nuevos indicadores de compromiso, asociados a la distribución de múltiples troyanos bancarios a través de archivos adjuntos con código maliciosos Visual Basic Script en mensajes de correo electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-con-codigo-ofuscado-que-descargan-troyanos-bancarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero se evidencian nuevos indicadores de compromiso, asociados a la distribución de múltiples troyanos bancarios a través de archivos adjuntos con código maliciosos Visual Basic Script en mensajes de correo electrónico.
Archivos con extensión JNLP utilizados para la descarga de malwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una nueva técnica utilizada por los ciberdelincuentes que busca eludir las defensas iniciales de las organizaciones, esto mediante el uso de archivos JNLP.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-con-extension-jnlp-utilizados-para-la-descarga-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt financiero ha observado una nueva técnica utilizada por los ciberdelincuentes que busca eludir las defensas iniciales de las organizaciones, esto mediante el uso de archivos JNLP.
Archivos SVG implementan malwareMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la que ciberdelincuentes utilizan archivos SVG con la finalidad de distribuir malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-svg-implementan-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña en la que ciberdelincuentes utilizan archivos SVG con la finalidad de distribuir malware.
Archivos UUE distribuyen Remcos RATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la cual distribuyen Remcos RAT mediante archivos UUE.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/archivos-uue-distribuyen-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la cual distribuyen Remcos RAT mediante archivos UUE.
Asylum Ambuscade: un actor de amenazas que combina cibercrimen y ciberespionajeUn actor de amenazas conocido como Asylum Ambuscade ha estado operando en el ámbito del cibercrimen y el ciberespionaje desde principios de 2020. Este grupo se ha enfocado en atacar a clientes bancarios, comerciantes de criptomonedas y entidades gubernamentales en América del Norte, Europa y Asia Central. Asylum Ambuscade fue inicialmente identificado como una campaña de phishing patrocinada por un estado-nación, dirigida a entidades gubernativas europeas con el objetivo de extraer información confidencial y credenciales de correo electrónico de portales de gobierno.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/asylum-ambuscade-un-actor-de-amenazas-que-combina-cibercrimen-y-ciberespionajehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor de amenazas conocido como Asylum Ambuscade ha estado operando en el ámbito del cibercrimen y el ciberespionaje desde principios de 2020. Este grupo se ha enfocado en atacar a clientes bancarios, comerciantes de criptomonedas y entidades gubernamentales en América del Norte, Europa y Asia Central. Asylum Ambuscade fue inicialmente identificado como una campaña de phishing patrocinada por un estado-nación, dirigida a entidades gubernativas europeas con el objetivo de extraer información confidencial y credenciales de correo electrónico de portales de gobierno.
AsyncRAT realiza ciberataques de spearphishing en ColombiaGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Async RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/asyncrat-realiza-ciberataques-de-spearphishing-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Async RAT.
Atacantes maliciosos explotan el controlador de protocolo URI "search-ms" para distribuir cargas maliciosasSe ha descubierto una técnica de ataque novedosa que utiliza el controlador de protocolo URI "search-ms" para dirigir a los usuarios a sitios web comprometidos mediante JavaScript alojado en la página o archivos adjuntos HTML.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/atacantes-maliciosos-explotan-el-controlador-de-protocolo-uri-search-ms-para-distribuir-cargas-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha descubierto una técnica de ataque novedosa que utiliza el controlador de protocolo URI "search-ms" para dirigir a los usuarios a sitios web comprometidos mediante JavaScript alojado en la página o archivos adjuntos HTML.
Ataque cibernético afecta a la entidad RapipagoLos ataques cibernéticos relacionados con ransomware continúan siendo parte del panorama que está sufriendo Latinoamérica durante las últimas semanas, esta vez la entidad objetivo fue la empresa Gire Soluciones, ligados como los titulares de la red de cobranza Rapipago, quienes fueron impactados por una variante del ransomware Play o Playcrypt.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-cibernetico-afecta-a-la-entidad-rapipagohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ataques cibernéticos relacionados con ransomware continúan siendo parte del panorama que está sufriendo Latinoamérica durante las últimas semanas, esta vez la entidad objetivo fue la empresa Gire Soluciones, ligados como los titulares de la red de cobranza Rapipago, quienes fueron impactados por una variante del ransomware Play o Playcrypt.
Ataque DDOS a dispositivos CitrixEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una alerta de la compañía Citrix que advierte sobre ataques DDoS contra sus productos Citrix ADC y Citrix Gateway. Los ciberdelincuentes realizan estos ataques que pueden afectar el rendimiento de la red Citrix ADC DTLS, lo que podría provocar el agotamiento del ancho de banda de salida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-ddos-a-dispositivos-citrixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una alerta de la compañía Citrix que advierte sobre ataques DDoS contra sus productos Citrix ADC y Citrix Gateway. Los ciberdelincuentes realizan estos ataques que pueden afectar el rendimiento de la red Citrix ADC DTLS, lo que podría provocar el agotamiento del ancho de banda de salida.
Ataque DDOS dirigido a usuarios de CloudFlare a través de la botnet MantisUn nuevo ataque por parte de la botnet Mantis ha sido identificado, este se dirigió a clientes de Cloudflare y tiene como objetivo generar afectación a la infraestructura tecnológica y los servicios de esta entidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-ddos-dirigido-a-usuarios-de-cloudflare-a-traves-de-la-botnet-mantishttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un nuevo ataque por parte de la botnet Mantis ha sido identificado, este se dirigió a clientes de Cloudflare y tiene como objetivo generar afectación a la infraestructura tecnológica y los servicios de esta entidad.
Ataque de DDoS mediante BotnetAtaque de DDoS mediante Botnet en Electrum toma 152,000 hosts bajo su controlhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-de-ddos-mediante-botnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ataque de phishing alojado en Google Firebase.En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado campañas para distribuir a través de correo electrónico técnicas de phishing hacia usuarios de Microsoft Office, con el fin de exfiltrar información confidencial. La temática para esta campaña consiste en el falso detalle de pago de transferencia electrónica de fondos con un asunto denominado "AVISO DE TRANSFERENCIA DE PAGO DE FACTURA" o "TRANSFER OF PAYMENT NOTICE FO R INVOICE".http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-de-phishing-alojado-en-google-firebasehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado campañas para distribuir a través de correo electrónico técnicas de phishing hacia usuarios de Microsoft Office, con el fin de exfiltrar información confidencial. La temática para esta campaña consiste en el falso detalle de pago de transferencia electrónica de fondos con un asunto denominado "AVISO DE TRANSFERENCIA DE PAGO DE FACTURA" o "TRANSFER OF PAYMENT NOTICE FO R INVOICE".
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}