Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevo mecanismo de distribución de AsyncRAT y Skuld StealerEl equipo del Csirt Financiero observó una reciente campaña que aprovecha una vulnerabilidad en el sistema de invitaciones de Discord para distribuir dos tipos de amenazas; el stealer Skuld y el troyano de acceso remoto AsyncRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-mecanismo-de-distribucion-de-asyncrat-y-skuld-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero observó una reciente campaña que aprovecha una vulnerabilidad en el sistema de invitaciones de Discord para distribuir dos tipos de amenazas; el stealer Skuld y el troyano de acceso remoto AsyncRAT.
Nuevo método de distribución de HellCat y Morpheus RansomwareEl equipo del CSIRT Financiero ha identificado un nuevo método de distribución de los ransomware HellCat y Morpheus, ambos tipos de RaaS (Ransomware-as-a-Service).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-hellcat-y-morpheus-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero ha identificado un nuevo método de distribución de los ransomware HellCat y Morpheus, ambos tipos de RaaS (Ransomware-as-a-Service).
Nuevo método de distribución de malware con backdoor PowershellDurante las labores de monitoreo continuo, el Csirt Financiero ha identificado una campaña maliciosa que combina phishing dirigido a través de Microsoft Teams con una técnica de persistencia basada en el secuestro de TypeLib, para la distribución de un backdoor malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-malware-con-backdoor-powershellhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo, el Csirt Financiero ha identificado una campaña maliciosa que combina phishing dirigido a través de Microsoft Teams con una técnica de persistencia basada en el secuestro de TypeLib, para la distribución de un backdoor malicioso.
Nuevo método de distribución de Quasar RATEl equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución del troyano de acceso remoto (RAT) Quasar RAT. Este malware utiliza un paquete malicioso alojado en el repositorio npm, ampliamente usado en el desarrollo con Node.js, para comprometer equipos y ejecutar diversas actividades maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado un nuevo método de distribución del troyano de acceso remoto (RAT) Quasar RAT. Este malware utiliza un paquete malicioso alojado en el repositorio npm, ampliamente usado en el desarrollo con Node.js, para comprometer equipos y ejecutar diversas actividades maliciosas.
Nuevo método de distribución de Raccoon Stealer y XMRig minerLos actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-distribucion-de-raccoon-stealer-y-xmrig-minerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas han estado utilizando técnicas de distribución de malware a través de software no licenciado desde los primeros días de la piratería. Sin embargo, recientemente se ha observado una tendencia en la cual los atacantes están dirigiendo sus esfuerzos hacia los canales de YouTube pirateados para difundir malware mediante tutoriales en video. Estos videos se presentan como instrucciones para convencer a los usuarios de desactivar sus herramientas de seguridad y ejecutar el malware, el cual viene en un archivo comprimido de pequeño tamaño.
Nuevo método de ejecución de RemcosRATMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, identificó un nuevo método de ejecución del troyano de acceso remoto RemcosRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-ejecucion-de-remcosrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, identificó un nuevo método de ejecución del troyano de acceso remoto RemcosRAT.
Nuevo método de infección del ransomware BlackByteEntre las nuevas actualizaciones y novedades de las amenazas reportadas anteriormente por el Csirt Financiero se ha identificado una nueva actividad maliciosa relacionada con el ransomware BlackByte, donde se evidenció que esta amenaza se está aprovechando de una vulnerabilidad en un controlador legítimo de Windows para evadir soluciones antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-infeccion-del-ransomware-blackbytehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Entre las nuevas actualizaciones y novedades de las amenazas reportadas anteriormente por el Csirt Financiero se ha identificado una nueva actividad maliciosa relacionada con el ransomware BlackByte, donde se evidenció que esta amenaza se está aprovechando de una vulnerabilidad en un controlador legítimo de Windows para evadir soluciones antimalware.
Nuevo método de infección del troyano bancario EmotetEl equipo del Csirt Financiero a través de fuentes de información abierta, identificó un nuevo método de infección del troyano bancario Emotet, este busca aprovechar redes WiFi vulnerables para expandir su infección sobre los equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-de-infeccion-del-troyano-bancario-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de fuentes de información abierta, identificó un nuevo método de infección del troyano bancario Emotet, este busca aprovechar redes WiFi vulnerables para expandir su infección sobre los equipos.
Nuevo método utilizado para distribuir a ObliqueRATEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva forma de distribución del troyano de acceso remoto ObliqueRAT que afecta a equipos con sistema operativo Windows. Desde su detección en el año 2020 los ciberdelincuentes han utilizado el envío de mensajes de correo malspam con documentos de ofimática que contiene macros embebidas maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-metodo-utilizado-para-distribuir-a-obliquerathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva forma de distribución del troyano de acceso remoto ObliqueRAT que afecta a equipos con sistema operativo Windows. Desde su detección en el año 2020 los ciberdelincuentes han utilizado el envío de mensajes de correo malspam con documentos de ofimática que contiene macros embebidas maliciosas.
Nuevo módulo de Emotet para exfiltrar información de correos electrónicosEl equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-modulo-de-emotet-para-exfiltrar-informacion-de-correos-electronicoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.
Nuevo módulo de Trickbot conocido como BazarLoaderEl equipo del Csirt Financiero ha identificado un nuevo módulo de Trickbot denominado BazarLoader; encargado de inyectar código malicioso a través de API a procesos legítimos del sistema operativo como svchost.exe, adicionando persistencia en su ataque. Esta amenaza puede afectar usuarios del sector financiero ya que TrickBot es un troyano especializado en la exfiltración de credenciales bancarias de los navegadores o cualquier tipo de información sensible en los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-modulo-de-trickbot-conocido-como-bazarloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un nuevo módulo de Trickbot denominado BazarLoader; encargado de inyectar código malicioso a través de API a procesos legítimos del sistema operativo como svchost.exe, adicionando persistencia en su ataque. Esta amenaza puede afectar usuarios del sector financiero ya que TrickBot es un troyano especializado en la exfiltración de credenciales bancarias de los navegadores o cualquier tipo de información sensible en los equipos comprometidos.
Nuevo Phishing-as-a-Service denominado EvilProxyRecientemente, investigadores identificaron un nuevo phishing como servicio (Phishing-as-a-Service o PhaaS por sus siglas) denominado EvilProxy o Moloch, el cual fue anunciado en foros clandestinos de la Dark web. Esta amenaza permite a los ciberdelincuentes comprometer a usuarios con MFA (Autenticación de múltiples factores) permitido a mayor escala sin la necesidad de infectar servicios anteriores.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-phishing-as-a-service-denominado-evilproxyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, investigadores identificaron un nuevo phishing como servicio (Phishing-as-a-Service o PhaaS por sus siglas) denominado EvilProxy o Moloch, el cual fue anunciado en foros clandestinos de la Dark web. Esta amenaza permite a los ciberdelincuentes comprometer a usuarios con MFA (Autenticación de múltiples factores) permitido a mayor escala sin la necesidad de infectar servicios anteriores.
Nuevo ransomware como servicio Cicada3301Nuevo grupo de ransomware como servicio (RaaS) denominado Cicada3301 emplea tácticas de doble extorsión: cifra datos y amenaza con filtrar información confidencial para presionar a las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-como-servicio-cicada3301http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo grupo de ransomware como servicio (RaaS) denominado Cicada3301 emplea tácticas de doble extorsión: cifra datos y amenaza con filtrar información confidencial para presionar a las víctimas.
Nuevo ransomware conocido como LMAOLMAO es una nueva familia basada en otra amenaza conocida como Chaos, este es un ransomware que tiene la finalidad de cifrar datos y con esto extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-conocido-como-lmaohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
LMAO es una nueva familia basada en otra amenaza conocida como Chaos, este es un ransomware que tiene la finalidad de cifrar datos y con esto extorsionar a sus víctimas a través de la exigencia de un rescate a cambio de un beneficio económico para posteriormente entregar una clave de descifrado, todo esto lo hace con base en el tipo de información comprometida.
Nuevo ransomware CyberVolkEl equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-cybervolkhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a CyberVolk, un ransomware documentado por primera vez en mayo de 2024 y asociado a campañas ejecutadas por medio de canales en Telegram, empleando proceso de cifrado en doble capa.
Nuevo Ransomware Cyrat suplanta aplicación para infectar equipos WindowsEn el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo ransomware denominado CyRAT, el cuál utiliza el método de cifrado simétrico Fernet para cifrar los archivos de un equipo comprometido. Este ransomware simula ser una aplicación llamada DLL Fixer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-cyrat-suplanta-aplicacion-para-infectar-equipos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado un nuevo ransomware denominado CyRAT, el cuál utiliza el método de cifrado simétrico Fernet para cifrar los archivos de un equipo comprometido. Este ransomware simula ser una aplicación llamada DLL Fixer.
Nuevo ransomware de la familia MedusaLockerMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado Bbuild.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-de-la-familia-medusalockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo ransomware llamado Bbuild.
Nuevo ransomware denominado AgendaEl negocio más prolífico en el ecosistema de amenazas en la actualidad es el aumento constante de nuevas familia de tipo ransomware, de ahí que los actores de amenaza se enfoquen en la creación de nuevas variantes o generen actualizaciones constantes de los que están latentes en el ciberespacio; durante el transcurso de esta semana apareció en la naturaleza, un nuevo ransomware denominado Agenda el cual está siendo distribuido en países de Asia y África con el objetivo de afectar infraestructuras críticas principalmente del sector salud y educación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-agendahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El negocio más prolífico en el ecosistema de amenazas en la actualidad es el aumento constante de nuevas familia de tipo ransomware, de ahí que los actores de amenaza se enfoquen en la creación de nuevas variantes o generen actualizaciones constantes de los que están latentes en el ciberespacio; durante el transcurso de esta semana apareció en la naturaleza, un nuevo ransomware denominado Agenda el cual está siendo distribuido en países de Asia y África con el objetivo de afectar infraestructuras críticas principalmente del sector salud y educación.
Nuevo ransomware denominado AlbabatA través del monitoreo llevado a cabo por el equipo del Csirt Financiero, se ha detectado reciente actividad de una variante de ransomware conocido como Albabat, una amenaza que se identificó por primera vez en noviembre del año 2023.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-albabathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo llevado a cabo por el equipo del Csirt Financiero, se ha detectado reciente actividad de una variante de ransomware conocido como Albabat, una amenaza que se identificó por primera vez en noviembre del año 2023.
Nuevo ransomware denominado Aptlock con técnicas avanzadasDurante un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza de ransomware sofisticada denominada Aptlock. Este ransomware emplea métodos de propagación comunes, tales como correos electrónicos maliciosos con archivos adjuntos o enlaces fraudulentos, explotación de vulnerabilidades en sistemas desactualizados y descargas engañosas desde sitios web comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-aptlock-con-tecnicas-avanzadashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante un monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva amenaza de ransomware sofisticada denominada Aptlock. Este ransomware emplea métodos de propagación comunes, tales como correos electrónicos maliciosos con archivos adjuntos o enlaces fraudulentos, explotación de vulnerabilidades en sistemas desactualizados y descargas engañosas desde sitios web comprometidos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}