Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
BabbleLoader una amenaza con sofisticadas técnicas de evasiónDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificaron nuevos detalles relacionados con BabbleLoader, un loader que se destaca por sus avanzadas capacidades de evasión, dificultando la detección basada en firmas, inteligencia artificial (IA) y análisis de comportamiento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/babbleloader-una-amenaza-con-sofisticadas-tecnicas-de-evasionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificaron nuevos detalles relacionados con BabbleLoader, un loader que se destaca por sus avanzadas capacidades de evasión, dificultando la detección basada en firmas, inteligencia artificial (IA) y análisis de comportamiento.
Backdoor con capacidades para realizar inteligentes capturas de pantallaEs muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-con-capacidades-para-realizar-capturas-inteligentes-de-pantallahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.
Backdoor denominado SessionManager se encuentra afectando a servidores Exchange de MicrosoftA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó recientemente una puerta trasera de nombre SessionManager; implementada por los ciberdelincuentes en servidores Exchange expuestos hacia Internet y que afectan al servicio web Internet Information Services (IIS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-denominado-sessionmanager-se-encuentra-afectando-a-servidores-exchange-de-microsofthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó recientemente una puerta trasera de nombre SessionManager; implementada por los ciberdelincuentes en servidores Exchange expuestos hacia Internet y que afectan al servicio web Internet Information Services (IIS).
Backdoor distribuido mediante sitios web legítimosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una actualización falsa de Google Chrome que conlleva a la instalación de BadSpace.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-distribuido-mediante-sitios-web-legitimoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una actualización falsa de Google Chrome que conlleva a la instalación de BadSpace.
Backdoor Doki infecta contenedores Docker mal configuradosEl equipo del Csirt Financiero ha detectado actividad del backdoor Doki, dirigida a las API de contenedores Docker alijadas en servidores de plataformas de nube como AWS, Azure, Alibaba Cloud entre otros. Estos contenedores funcionan empaquetando o reuniendo varias aplicaciones de software en un solo lugar, facilitando la instalación, configuración y despliegue de los servicios tecnológicos en servidores.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-doki-infecta-contenedores-docker-mal-configuradoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha detectado actividad del backdoor Doki, dirigida a las API de contenedores Docker alijadas en servidores de plataformas de nube como AWS, Azure, Alibaba Cloud entre otros. Estos contenedores funcionan empaquetando o reuniendo varias aplicaciones de software en un solo lugar, facilitando la instalación, configuración y despliegue de los servicios tecnológicos en servidores.
Backdoor Facefish Dirigido A distribuciones LinuxEl Csirt Financiero documenta información del backdoor facefish, este se conoció en febrero de 2021, desde entonces ha sido monitoreado por la ciberactividad que ha generado, la cual va dirigida a la afectación de sistemas con distribuciones Linux, específicamente a CentOS con arquitectura x64.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-facefish-dirigido-a-distribuciones-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero documenta información del backdoor facefish, este se conoció en febrero de 2021, desde entonces ha sido monitoreado por la ciberactividad que ha generado, la cual va dirigida a la afectación de sistemas con distribuciones Linux, específicamente a CentOS con arquitectura x64.
Backdoor Gasket utilizado por Ransomware PysaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado que el grupo detrás del ransomware Pysa, ha estado utilizando por largo tiempo un backdoor denominado Gasket para mantener conexión con una red comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-gasket-utilizado-por-ransomware-pysahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado que el grupo detrás del ransomware Pysa, ha estado utilizando por largo tiempo un backdoor denominado Gasket para mantener conexión con una red comprometida.
Backdoor IISpy afecta servicios ISS en sistemas WindowsEn el monitoreo continuo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un backdoor o puerta trasera denominado IISpy, el cual está diseñado para afectar a servidores que tengan instalado sistemas operativos Windows que cuenten con el servicio de Internet Information Services (IIS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-iispy-afecta-servicios-iss-en-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un backdoor o puerta trasera denominado IISpy, el cual está diseñado para afectar a servidores que tengan instalado sistemas operativos Windows que cuenten con el servicio de Internet Information Services (IIS).
Backdoor Kobalos dirigido a sistemas HPCEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware llamado Kobalos, su nombre radica en su tamaño de tan solo 24 KB para muestras de 32/64 bits, además de ser sigiloso mediante técnicas anti forenses y de ofuscación compleja que dificultan su análisis. Pese a que no se obtuvieron datos puntuales acerca del vector de infección, se evidencia que su explotación y propagación se lleva a cabo gracias a la ausencia de actualizaciones de parches de seguridad en los sistemas operativos y aplicativos utilizados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-kobalos-dirigido-a-sistemas-hpchttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware llamado Kobalos, su nombre radica en su tamaño de tan solo 24 KB para muestras de 32/64 bits, además de ser sigiloso mediante técnicas anti forenses y de ofuscación compleja que dificultan su análisis. Pese a que no se obtuvieron datos puntuales acerca del vector de infección, se evidencia que su explotación y propagación se lleva a cabo gracias a la ausencia de actualizaciones de parches de seguridad en los sistemas operativos y aplicativos utilizados.
Backdoor ModPipe afecta a clientes de Oracle Micros RES 3700 POSEn el monitoreo a fuentes abiertas, el equipo del Csirt financiero ha observado el accionar de un backdoor modular con altas capacidades de afectación sobre el software Oracle Micros RES 3700 POS (Suite integrada de software para restaurantes). Los ciberdelincuentes al comprometer los sistemas pueden recopilar contraseñas de bases de datos, descifrándolas directamente de los valores de registro de Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-modpipe-afecta-a-clientes-de-oracle-micros-res-3700-poshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt financiero ha observado el accionar de un backdoor modular con altas capacidades de afectación sobre el software Oracle Micros RES 3700 POS (Suite integrada de software para restaurantes). Los ciberdelincuentes al comprometer los sistemas pueden recopilar contraseñas de bases de datos, descifrándolas directamente de los valores de registro de Windows.
Backdoor More_Eggs se propaga mediante Spear-PhishingEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado el resurgimiento de un backdoor llamado More_Eggs, su desarrollo atribuido al grupo ciberciminal Golden Chickens y ha sido ampliamente usado por los grupos FIN6, Cobalt Group y Evilnum, en anteriores campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-more_eggs-se-propaga-mediante-spear-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado el resurgimiento de un backdoor llamado More_Eggs, su desarrollo atribuido al grupo ciberciminal Golden Chickens y ha sido ampliamente usado por los grupos FIN6, Cobalt Group y Evilnum, en anteriores campañas.
Backdoor OWAWA busca afectar a servidores de Microsoft ExchangeEn el monitoreo continuo a fuentes abiertas de información y en el monitoreo a potenciales amenazas que puedan tener impacto en la infraestructura tecnología de los asociados, el equipo de analistas del Csirt Financiero ha identificado un Backdoor o puerta trasera denominada OWAWA, el cual está diseñado para afectar a servidores con sistemas operativos Microsoft Windows Server que cuenten con el servicio de IIS (Internet Information Services), con el fin de realizar la captura de credenciales disponibles de los servicios OWA (Outlook Web Access).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-owawa-busca-afectar-a-servidores-de-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en el monitoreo a potenciales amenazas que puedan tener impacto en la infraestructura tecnología de los asociados, el equipo de analistas del Csirt Financiero ha identificado un Backdoor o puerta trasera denominada OWAWA, el cual está diseñado para afectar a servidores con sistemas operativos Microsoft Windows Server que cuenten con el servicio de IIS (Internet Information Services), con el fin de realizar la captura de credenciales disponibles de los servicios OWA (Outlook Web Access).
Backdoor Sunburst afecta cadena de suministro de SolarWinds OrionEn el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una campaña de nombre UNC2452, que afecta a diversas organizaciones públicas y privadas a nivel mundial (Norte américa, Europa, Asia y Medio Oriente), donde los ciberdelincuentes obtuvieron acceso a redes privadas mediante actualizaciones del producto de monitoreo y gestión IT Orion Platform de SolarWinds afectando a la librería SolarWinds.Orion.Core.BusinessLayer.dll.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-sunburst-afecta-cadena-de-suministro-de-solarwinds-orionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una campaña de nombre UNC2452, que afecta a diversas organizaciones públicas y privadas a nivel mundial (Norte américa, Europa, Asia y Medio Oriente), donde los ciberdelincuentes obtuvieron acceso a redes privadas mediante actualizaciones del producto de monitoreo y gestión IT Orion Platform de SolarWinds afectando a la librería SolarWinds.Orion.Core.BusinessLayer.dll.
Badhatch, Malware POS del grupo FIN8, busca robar información de tarjetas de créditoDesde el CSIRT Financiero se ha detectado a Badhatch, un nuevo Malware distribuido por el grupo FIN8, enfocado a atacar sistemas POS (punto de venta), para obtener la información de las tarjetas de crédito. Este Malware comparte características con PowerSniff, pero su diferencia radica en que Badhatch tiene la capacidad de dar al atacante acceso remoto, instalar Backdoors (puertas traseras), escanear redes en busca de víctimas y poder descargar cargas útiles adicionales entre otras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/badhatch-malware-pos-del-grupo-fin8-busca-robar-informacion-de-tarjetas-de-creditohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado a Badhatch, un nuevo Malware distribuido por el grupo FIN8, enfocado a atacar sistemas POS (punto de venta), para obtener la información de las tarjetas de crédito. Este Malware comparte características con PowerSniff, pero su diferencia radica en que Badhatch tiene la capacidad de dar al atacante acceso remoto, instalar Backdoors (puertas traseras), escanear redes en busca de víctimas y poder descargar cargas útiles adicionales entre otras.
BAKA, Nuevo Skimmer WebA través del monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Skimmer web que contiene capacidades avanzadas como su autoeliminación si detecta que se está siendo debugeadohttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/baka-nuevo-skimmer-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo Skimmer web que contiene capacidades avanzadas como su autoeliminación si detecta que se está siendo debugeado
BALDR troyano con capacidades de extracción de credenciales bancarias mediante videojuegosDesde el CSIRT Financiero se ha identificado una nueva actividad de Baldr (troyano especializado en capturar credenciales bancarias de forma no autorizada por medio de videojuegos).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/baldr-troyano-con-capacidades-de-extraccion-de-credenciales-bancarias-mediante-videojuegoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva actividad de Baldr (troyano especializado en capturar credenciales bancarias de forma no autorizada por medio de videojuegos).
Banco de Centroamérica fue Atacado por SodinokibiEn el monitoreo realizado por el Csirt Financiero, se ha identificado un ataque realizado contra CiBanco, entidad financiera de México aparentemente por el grupo Sodinokibi, REvil o Solin, quienes han revelado información del ataque públicamente y amenazan con difundir dos entregas adicionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/banco-de-centroamerica-fue-atacado-por-sodinokibihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado un ataque realizado contra CiBanco, entidad financiera de México aparentemente por el grupo Sodinokibi, REvil o Solin, quienes han revelado información del ataque públicamente y amenazan con difundir dos entregas adicionales.
Bandit Stealer: el nuevo InfoStealer que apunta a navegadores y billeteras de criptomonedasBandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bandit-stealer-el-nuevo-infostealer-que-apunta-a-navegadores-y-billeteras-de-criptomonedashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.
Banshee Stealer: Nuevo Malware Dirigido A MacOS De AppleEl equipo Csirt Financiero ha identificado Banshee Stealer como un nuevo malware diseñado para afectar dispositivos macOS de Apple, codificado en C++ este malware y funciona en arquitecturas x86_64 y ARM64. Banshee Stealer se comercializa en la Deep y Dark Web por un precio elevado, representa una seria amenaza para los usuarios de Mac.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/banshee-stealer-nuevo-malware-dirigido-a-macos-de-applehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo Csirt Financiero ha identificado Banshee Stealer como un nuevo malware diseñado para afectar dispositivos macOS de Apple, codificado en C++ este malware y funciona en arquitecturas x86_64 y ARM64. Banshee Stealer se comercializa en la Deep y Dark Web por un precio elevado, representa una seria amenaza para los usuarios de Mac.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}