Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
La nueva amenaza a redes empresariales, ransomware SnakeDesde el Csirt Financiero se identificó un nuevo ransomware de nombre Snake, cuenta con un sistema de ofuscación avanzado en comparación a otras variantes de ransomware, su método de infección y organizaciones a las que va dirigido es por el momento desconocido, no descartando al sector financiero entre ellas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-nueva-amenaza-a-redes-empresariales-ransomware-snakehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se identificó un nuevo ransomware de nombre Snake, cuenta con un sistema de ofuscación avanzado en comparación a otras variantes de ransomware, su método de infección y organizaciones a las que va dirigido es por el momento desconocido, no descartando al sector financiero entre ellas.
Nueva actualización sobre el infostealer "Predator the Thief".El equipo del Csirt Financiero ha identificado una actualización en las capacidades del malware Predator the Thief permitiéndole: evadir la detección de los motores anti-malware, mejorar la técnica para evitar la depuración del código fuente y la comunicación cifrada con sus servidores C2.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actualizacion-sobre-el-infostealer-predator-the-thiefhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una actualización en las capacidades del malware Predator the Thief permitiéndole: evadir la detección de los motores anti-malware, mejorar la técnica para evitar la depuración del código fuente y la comunicación cifrada con sus servidores C2.
Nuevos indicadores de compromiso asociados al Troyano Lokibot.Dentro de la constante actividad de investigación que realiza el equipo del Csirt Financiero, se han detectado nuevos IOC asociados al troyano bancario Lokibot, malware distribuido vía spear-phishing [robo de información específica de organizaciones precisamente seleccionadas].http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de la constante actividad de investigación que realiza el equipo del Csirt Financiero, se han detectado nuevos IOC asociados al troyano bancario Lokibot, malware distribuido vía spear-phishing [robo de información específica de organizaciones precisamente seleccionadas].
Comercio de tarjetas de crédito en el mercado negroEl equipo del Csirt financiero realiza seguimiento al comercio de las tarjetas de crédito en la Darknet. Se ha observado una disminución de los precios de las tarjetas en las diferentes tiendas del mercado negro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/comercio-de-tarjetas-de-credito-en-el-mercado-negrohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero realiza seguimiento al comercio de las tarjetas de crédito en la Darknet. Se ha observado una disminución de los precios de las tarjetas en las diferentes tiendas del mercado negro.
Nuevos indicadores de compromiso asociados a TrickbotEl equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el troyano bancario Trickbot, el cual captura datos asociados a credenciales de inicio de sesión alojados en el navegador.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbot-2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el troyano bancario Trickbot, el cual captura datos asociados a credenciales de inicio de sesión alojados en el navegador.
Nuevos indicadores de compromiso asociados al troyano Azorult.En el constante monitoreo de amenazas cibernéticas, el Csirt Financiero identifica nuevos indicadores de compromiso relacionados al troyano de tipo infostealer [Ladrón de información] conocido como Azorult, este es un malware que permite la exfiltración de información de credenciales, tarjetas de pago y datos sensibles de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-azorulthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo de amenazas cibernéticas, el Csirt Financiero identifica nuevos indicadores de compromiso relacionados al troyano de tipo infostealer [Ladrón de información] conocido como Azorult, este es un malware que permite la exfiltración de información de credenciales, tarjetas de pago y datos sensibles de los usuarios.
Nuevos indicadores de compromiso asociados a IcedIDPor medio del monitoreo constante que realiza el Csirt Financiero, identifica nuevos indicadores de compromiso asociados con IcedID, el cual tiene capacidades para expandirse a través de la red, monitorear la actividad del navegador web mediante la configuración de un proxy local para crear un túnel de tráfico. Entre los objetivos de IceID se encuentran entidades financieras, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web-mail.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio del monitoreo constante que realiza el Csirt Financiero, identifica nuevos indicadores de compromiso asociados con IcedID, el cual tiene capacidades para expandirse a través de la red, monitorear la actividad del navegador web mediante la configuración de un proxy local para crear un túnel de tráfico. Entre los objetivos de IceID se encuentran entidades financieras, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web-mail.
Nuevos indicadores de compromiso asociados al Ransomware MazePor medio del monitoreo constante que realiza el Csirt Financiero, identifica nuevos IOC asociados al Ransomware “Maze”, malware utilizado para cifrar información sensible y posteriormente solicitar un rescate por el descifrado de esta.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-ransomware-mazehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio del monitoreo constante que realiza el Csirt Financiero, identifica nuevos IOC asociados al Ransomware “Maze”, malware utilizado para cifrar información sensible y posteriormente solicitar un rescate por el descifrado de esta.
Clop Ransomware ha sido actualizadoRansomware Clop utilizado por grupos de ciberdelincuentes como TA505, han mejorado y actualizado sus capacidades en cuanto a técnicas y tácticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/clop-ransomware-ha-sido-actualizadohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lampion, troyano bancarioLampión es el nombre del troyano bancario que fue conocido recientemente, según la investigación realizada se puede considerar una versión mejorada del Trojan-Banker.Win32.ChePro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lampion-troyano-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lampión es el nombre del troyano bancario que fue conocido recientemente, según la investigación realizada se puede considerar una versión mejorada del Trojan-Banker.Win32.ChePro.
Nuevos indicadores de compromiso asociados a Predator The ThiefDesde el CSIRT Financiero se ha identificado un ataque que utiliza el malware de tipo infostealer denominado predator the thief, el objetivo principal es la exfiltración de información en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-predator-the-thiefhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado un ataque que utiliza el malware de tipo infostealer denominado predator the thief, el objetivo principal es la exfiltración de información en los equipos comprometidos.
Emotet cambia la estructura de registro en el C2Por medio de fuentes de información, el CSIRT Financiero ha identificado alteraciones en el cliente del troyano Emotet. Este cambio está asociado a la forma como se registra el cliente ante el servidor de comando y control [C2]. Para consultar los indicadores de compromiso asociados a esta variante comuníquese con el CSIRT Financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-cambia-la-estructura-de-registro-en-el-c2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información, el CSIRT Financiero ha identificado alteraciones en el cliente del troyano Emotet. Este cambio está asociado a la forma como se registra el cliente ante el servidor de comando y control [C2]. Para consultar los indicadores de compromiso asociados a esta variante comuníquese con el CSIRT Financiero.
Nuevos indicadores de compromiso asociados a TrickbotEl troyano trickbot ha sido constantemente utilizado por ciberdelincuentes que tienen como objetivo el sector bancario como su fuente de recursos. Por medio de fuentes de información, se ha identificado una campaña de distribución de este malware y se evidencia la modificación de las técnicas y tácticas usadas para su distribución, en esta oportunidad se evidenció el uso de una aparente imagen (en formato png), sin embargo, se trata de un archivo ejecutable con el código malicioso del troyano bancario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbot-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano trickbot ha sido constantemente utilizado por ciberdelincuentes que tienen como objetivo el sector bancario como su fuente de recursos. Por medio de fuentes de información, se ha identificado una campaña de distribución de este malware y se evidencia la modificación de las técnicas y tácticas usadas para su distribución, en esta oportunidad se evidenció el uso de una aparente imagen (en formato png), sin embargo, se trata de un archivo ejecutable con el código malicioso del troyano bancario.
Nueva herramienta loader denominada "Bioload", asociada al grupo FIN7Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-loader-denominada-bioload-asociada-al-grupo-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.
Nuevas vulnerabilidades halladas en SQLite han sido denominadas como [Magellan 2.0]Magellan 2.0 es un paquete de vulnerabilidades encontradas en SQLite [librería de software libre escrita en lenguaje C], las cuales podrían permitir a un atacante ejecutar código de manera remota sobre los equipos de los usuarios de internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-halladas-en-sqlite-han-sido-denominadas-como-magellan-2-0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Magellan 2.0 es un paquete de vulnerabilidades encontradas en SQLite [librería de software libre escrita en lenguaje C], las cuales podrían permitir a un atacante ejecutar código de manera remota sobre los equipos de los usuarios de internet.
Nuevos indicadores de compromiso asociados a TrickbotDesde el CSIRT Financiero se evidencian nuevos indicadores de compromiso asociados a Trickbot, teniendo en cuenta sus actualizaciones para aumentar capacidades tanto de captura como de evasión, este tipo de troyano bancario tiene por objetivo la exfiltración de credenciales asociadas a portales transaccionales para cometer diferentes clases de fraude, como utilización de credenciales hasta la venta de estos en la Dark web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se evidencian nuevos indicadores de compromiso asociados a Trickbot, teniendo en cuenta sus actualizaciones para aumentar capacidades tanto de captura como de evasión, este tipo de troyano bancario tiene por objetivo la exfiltración de credenciales asociadas a portales transaccionales para cometer diferentes clases de fraude, como utilización de credenciales hasta la venta de estos en la Dark web.
Nuevos indicadores de compromiso asociados a LokibotEl CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-lokibot-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.
Indicadores de compromiso asociados al troyano bancario IcedIDEl CSIRT Financiero ha identificado diferentes URL activas que permiten la descarga de IcedID, un troyano bancario que ha venido generando campañas desde el año 2017, el objetivo de este malware son los bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web mail.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-troyano-bancario-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado diferentes URL activas que permiten la descarga de IcedID, un troyano bancario que ha venido generando campañas desde el año 2017, el objetivo de este malware son los bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web mail.
Nuevos indicadores de compromiso asociados a GoziDesde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Gozi/Ursnif, el cual busca capturar credenciales de usuario de sitios web para realizar transacciones bancarias a través de campañas de malspam acompañados de técnicas de ingeniería social que hacen creer a los usuarios que se encuentran ante un correo auténtico de alguna entidad u organización.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-gozihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Gozi/Ursnif, el cual busca capturar credenciales de usuario de sitios web para realizar transacciones bancarias a través de campañas de malspam acompañados de técnicas de ingeniería social que hacen creer a los usuarios que se encuentran ante un correo auténtico de alguna entidad u organización.
Kit de exploits Spelevo para distribuir Ursnif y Qbot.Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/kit-de-exploits-spelevo-para-distribuir-ursnif-y-qbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}