Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevas campañas maliciosas distribuyen dropper y kits de phishingEn una reciente investigación, se identificó varias campañas maliciosas las cuales distribuían un dropper y un módulo de phishing denominados CopperStealth y CopperPhishing respectivamente, estos han sido vinculados al grupo de ciberdelincuentes Water Orthrus debido a poseen similitudes con otra familia de malware llamada CopperStealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-maliciosas-distribuyen-dropper-y-kits-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En una reciente investigación, se identificó varias campañas maliciosas las cuales distribuían un dropper y un módulo de phishing denominados CopperStealth y CopperPhishing respectivamente, estos han sido vinculados al grupo de ciberdelincuentes Water Orthrus debido a poseen similitudes con otra familia de malware llamada CopperStealer.
Nuevas campañas maliciosas por parte del grupo APT TA442(APT28)El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva actividad maliciosa de tipo phishing a más de 10.000 correos electrónicos por parte del grupo TA442(APT28), donde se ha estado aprovechando vulnerabilidades parcheadas para llevar a cabo campañas de gran volumen dirigidas a objetivos en Europa y América del Norte.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-maliciosas-por-parte-del-grupo-apt-ta442-apt28http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva actividad maliciosa de tipo phishing a más de 10.000 correos electrónicos por parte del grupo TA442(APT28), donde se ha estado aprovechando vulnerabilidades parcheadas para llevar a cabo campañas de gran volumen dirigidas a objetivos en Europa y América del Norte.
Nuevas capacidades del Stealer Typhon.En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-capacidades-del-stealer-typhonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo del ciberespacio es muy común ver la evolución y nuevas capacidades que implementan los actores de amenaza en sus herramientas de malware, por lo cual el equipo de analistas del Csirt Financiero realizo un monitoreo en el cual encontró recientes actividades y actualizaciones de Typhon Stealer, el cual fue descubierto y reportado a principios de agosto del 2022.
Nuevas capacidades identificadas en BumblebeeBumblebee es un backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, en esta nueva variante presenta alta similitud con BookWorm.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-capacidades-identificadas-en-bumblebeehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bumblebee es un backdoor que desde su creación ha adquirido mucha popularidad entre los ciberdelincuentes debido a sus amplias capacidades, en esta nueva variante presenta alta similitud con BookWorm.
Nuevas capacidades identificadas en XLoaderEl equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se ha observado nueva actividad del troyano XLoader, el cual afecta a equipos con sistemas operativos Windows y Mac y tiene la función principal de exfiltrar información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-capacidades-identificadas-en-xloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se ha observado nueva actividad del troyano XLoader, el cual afecta a equipos con sistemas operativos Windows y Mac y tiene la función principal de exfiltrar información.
NUEVAS ESTRATEGIAS AVANZADAS DE RANSOMHOUSELa organización conocida como RansomHouse ha estado operativa desde finales del año 2021, centrándose en afectar a diversas organizaciones a nivel mundial. Este grupo destaca por emplear tácticas avanzadas, aprovechando vulnerabilidades no parcheadas en las infraestructuras tecnológicas de sus objetivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-estrategias-avanzadas-de-ransomhousehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La organización conocida como RansomHouse ha estado operativa desde finales del año 2021, centrándose en afectar a diversas organizaciones a nivel mundial. Este grupo destaca por emplear tácticas avanzadas, aprovechando vulnerabilidades no parcheadas en las infraestructuras tecnológicas de sus objetivos.
Nuevas funcionalidades de Ebrium stealer.Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-de-ebrium-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Erbium es una amenaza tipo stealer que se encarga de capturar información, se distribuye como Malware-as-a-Service (MaaS). Esta amenaza se vende en foros de la red social de Telegram a un valor de $ 38.847 pesos colombianos.
Nuevas funcionalidades del troyano de banca móvil WrobaEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funcionalidades-del-troyano-de-banca-movil-wrobahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.
Nuevas funciones de Xillen Stealer fortalecen su evasión y alcanceDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la amenaza Xillen Stealer en sus versiones cuatro y cinco, caracterizada por una expansión de sus capacidades de recolección y por la integración de funciones orientadas a evadir controles basados en inteligencia artificial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-funciones-de-xillen-stealer-fortalecen-su-evasion-y-alcancehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada a la amenaza Xillen Stealer en sus versiones cuatro y cinco, caracterizada por una expansión de sus capacidades de recolección y por la integración de funciones orientadas a evadir controles basados en inteligencia artificial.
Nuevas puertas traseras atribuidas a APT37 contra sistemas WindowsEl equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-puertas-traseras-atribuidas-a-apt37-contra-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa atribuida a APT37, también conocido como ScarCruft, Ruby Sleet o Velvet Chollima. En esta operación, el grupo ha desplegado varias puertas traseras, entre ellas Rustonotto, una variante ligera escrita en Rust; Chinotto, un backdoor en PowerShell documentado desde 2019; y FadeStealer, una plataforma de vigilancia con amplias capacidades de espionaje.
Nuevas tácticas de Lumma StealerA través del monitoreo constante realizado por el equipo del Csirt Financiero, se observó una nueva actividad relacionado con el malware Lumma Stealer, una amenaza diseñada para la exfiltración de información sensible de los equipos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tacticas-de-lumma-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo constante realizado por el equipo del Csirt Financiero, se observó una nueva actividad relacionado con el malware Lumma Stealer, una amenaza diseñada para la exfiltración de información sensible de los equipos infectados.
Nuevas tácticas del grupo APT FIN6En el análisis de amenazas del CSIRT Financiero se ha logrado identificar una campaña reciente del grupo de APT FIN6, quién ha cambiado sus tácticas y se ha orientado a la infección de sitios web de comercio electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tacticas-del-grupo-apt-fin6http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el análisis de amenazas del CSIRT Financiero se ha logrado identificar una campaña reciente del grupo de APT FIN6, quién ha cambiado sus tácticas y se ha orientado a la infección de sitios web de comercio electrónico.
Nuevas técnicas asociadas a GuLoaderRecientemente, un e|quipo de investigadores identificó nuevas técnicas de evasión asociadas a GuLoader, también conocido como CloudEyE, donde utiliza un cargador desarrollado en código Shell de forma polimórfica (Que tiene o puede tener varias formas) con el objetivo de eludir a las herramientas de seguridad instaladas en las infraestructuras informáticas comprometidas como la detección de ser ejecutado en entornos virtualizados para finalizar sus procesos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-asociadas-a-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, un e|quipo de investigadores identificó nuevas técnicas de evasión asociadas a GuLoader, también conocido como CloudEyE, donde utiliza un cargador desarrollado en código Shell de forma polimórfica (Que tiene o puede tener varias formas) con el objetivo de eludir a las herramientas de seguridad instaladas en las infraestructuras informáticas comprometidas como la detección de ser ejecutado en entornos virtualizados para finalizar sus procesos maliciosos.
Nuevas técnicas avanzadas empleadas por HijackLoaderEl equipo de Csirt Financiero, mediante el monitoreo constante de amenazas, ha observado las últimas actualizaciones del malware HijackLoader, que ahora incluye módulos diseñados para mejorar su evasión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-avanzadas-empleadas-por-hijackloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero, mediante el monitoreo constante de amenazas, ha observado las últimas actualizaciones del malware HijackLoader, que ahora incluye módulos diseñados para mejorar su evasión.
NUEVAS TÉCNICAS DE DISTRIBUCIÓN DEL RANSOMWARE EBYTEDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución del ransomware EByte, una variante basada en el lenguaje de programación “Go” que implementa mecanismos de cifrado y persistencia en equipos comprometidos, empleando el algoritmo ChaCha20 para cifrar archivos y ECIES para la transmisión segura de claves, dificultando la recuperación de la información afectada mediante métodos convencionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-de-distribucion-del-ransomware-ebytehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han identificado nuevas técnicas de distribución del ransomware EByte, una variante basada en el lenguaje de programación “Go” que implementa mecanismos de cifrado y persistencia en equipos comprometidos, empleando el algoritmo ChaCha20 para cifrar archivos y ECIES para la transmisión segura de claves, dificultando la recuperación de la información afectada mediante métodos convencionales.
Nuevas técnicas de evasión de LatrodectusMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas, se identificó nueva actividad del loader llamado Lactrodectus, el cual emplea técnicas avanzadas de ocultación y autoeliminación que permite dificultar su análisis.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-de-evasion-de-latrodectushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas, se identificó nueva actividad del loader llamado Lactrodectus, el cual emplea técnicas avanzadas de ocultación y autoeliminación que permite dificultar su análisis.
Nuevas técnicas maliciosas de MetaStealer: en campañas de publicidadEl equipo de analistas del Csirt ha identificado nuevas campañas de publicidad maliciosa relacionadas con MetaStealer, un stealer conocido que ha experimentado evolución desde su aparición en 2022. A diferencia de sus métodos de propagación anteriores, que involucraban principalmente correos no deseados y cuentas de YouTube comprometidas, la técnica actual implica anuncios maliciosos que redirigen a usuarios a sitios fraudulentos para descargar MetaStealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-maliciosas-de-metastealer-en-campanas-de-publicidadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt ha identificado nuevas campañas de publicidad maliciosa relacionadas con MetaStealer, un stealer conocido que ha experimentado evolución desde su aparición en 2022. A diferencia de sus métodos de propagación anteriores, que involucraban principalmente correos no deseados y cuentas de YouTube comprometidas, la técnica actual implica anuncios maliciosos que redirigen a usuarios a sitios fraudulentos para descargar MetaStealer.
Nuevas técnicas y herramientas utilizadas por el ransomware BlackCatEs importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tecnicas-y-herramientas-utilizadas-por-el-ransomware-blackcathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es importante resaltar este tipo de nuevas actualizaciones donde los ciberdelincuentes implementan nuevas tácticas, técnicas y procedimientos de estas amenazas para hacerlas cada vez más ofensivas en sus nuevos ataques y con estas nuevas actualizaciones se observan nuevos indicadores de compromiso (IOC) relacionados a BlackCat.
Nuevas TTP asociadas al troyano de acceso remoto NJRATUno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-ttp-asociadas-al-troyano-de-acceso-remoto-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.
Nuevas TTP relacionadas con el troyano bancario IcedIDLa constante evolución de las diferentes amenazas existentes en el ciberespacio que hacen parte de la incesante ciberguerra es el origen de esta nueva campaña que distribuye enlaces de phishing a través de Google Cloud y Google Firebase que llegan vía correo electrónico para entregar una nueva variante del troyano bancario IcedID que incluye nuevas tácticas y técnicas de detección y respuesta.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-ttp-relacionadas-con-el-troyano-bancario-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La constante evolución de las diferentes amenazas existentes en el ciberespacio que hacen parte de la incesante ciberguerra es el origen de esta nueva campaña que distribuye enlaces de phishing a través de Google Cloud y Google Firebase que llegan vía correo electrónico para entregar una nueva variante del troyano bancario IcedID que incluye nuevas tácticas y técnicas de detección y respuesta.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}