Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Malware bancario Lokibot versión 005El equipo del Csirt Financiero ha identificado el envío masivo de mensajes de correo electrónico encargados de distribuir al troyano bancario Lokibot, que tiene como objetivo capturar información alojada en los navegadores de internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-bancario-lokibot-version-005http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado el envío masivo de mensajes de correo electrónico encargados de distribuir al troyano bancario Lokibot, que tiene como objetivo capturar información alojada en los navegadores de internet.
Malware bancario Grandoreiro de superposición remotaEl equipo Csirt financiero ha identificado un nuevo troyano denominado Grandoreiro que amenaza al sector bancario en Brasil, también se ha visto que sus últimos ataques fueron dirigidos a la banca española; su metodología hace uso de las técnicas de superposición remota, lo cual facilita a los ciberdelincuentes el proceso de engaño al usuario para realizar transferencias no autorizadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-bancario-grandoreiro-de-superposicion-remotahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo Csirt financiero ha identificado un nuevo troyano denominado Grandoreiro que amenaza al sector bancario en Brasil, también se ha visto que sus últimos ataques fueron dirigidos a la banca española; su metodología hace uso de las técnicas de superposición remota, lo cual facilita a los ciberdelincuentes el proceso de engaño al usuario para realizar transferencias no autorizadas.
Malware bancario distribuido por Play StoreMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó varios troyanos bancarios propagándose desde la play store.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-bancario-distribuido-por-play-storehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó varios troyanos bancarios propagándose desde la play store.
Malware ATM Winpot3Winpot es un malware diseñado para sacar todo el dinero del cajero automático en entidades específicas, utilizando la técnica de jackpotting, donde los ciberdelincuentes deben tener acceso físico a los puertos USB o unidad de CD e inyectar el malware en el ATM y mediante un teclado forzar al cajero a expulsar todo el dinero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-atm-winpot3http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Winpot es un malware diseñado para sacar todo el dinero del cajero automático en entidades específicas, utilizando la técnica de jackpotting, donde los ciberdelincuentes deben tener acceso físico a los puertos USB o unidad de CD e inyectar el malware en el ATM y mediante un teclado forzar al cajero a expulsar todo el dinero.
Malware asociado al grupo LazarusDesde el CSIRT Financiero se ha identificado malware que se propaga a través de un fichero Excel con macros incrustadas, su distribución se realiza a través de redes sociales como Messenger y Telegram; este malware es atribuido al grupo “Lazarus” (Grupo anónimo de ciberdelincuentes).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-asociado-al-grupo-lazarushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado malware que se propaga a través de un fichero Excel con macros incrustadas, su distribución se realiza a través de redes sociales como Messenger y Telegram; este malware es atribuido al grupo “Lazarus” (Grupo anónimo de ciberdelincuentes).
Malware Anchor_DNS afecta Distribuciones Linux y Sistemas WindowsEn el monitoreo que realiza el Csirt Financiero a nuevas amenazas y vectores de ataque, ha identificado un nuevo troyano denominado Anchor_DNS, el cual tiene como objetivo comprometer distribuciones Linux y sistemas Windows con que tenga comunicación y establecer comunicación con el servidor de comando y control (C2) por medio del protocolo DNS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-anchor_dns-afecta-distribuciones-linux-y-sistemas-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el Csirt Financiero a nuevas amenazas y vectores de ataque, ha identificado un nuevo troyano denominado Anchor_DNS, el cual tiene como objetivo comprometer distribuciones Linux y sistemas Windows con que tenga comunicación y establecer comunicación con el servidor de comando y control (C2) por medio del protocolo DNS.
Malware Adrozek afecta miles de equipos al díaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-adrozek-afecta-miles-de-equipos-al-diahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.
Nueva actividad relacionada con NumandoMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC del troyano bancario Numando.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC del troyano bancario Numando.
Malnet AESDDoS malwareDesde CSIRT Financiero se detecta amenaza global que podría impactar sobre el sector financiero. Un malware de red de bots de Linux AESDDoS capturado por honeypots de la empresa de seguridad de Trend Micro fue verificado, el cual aprovecha vulnerabilidades en las API de Docker que se ejecuten en host de contenedor, para establecer comandos relacionados con el contenedor Daemon con permisos de root.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malnet-aesddos-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se detecta amenaza global que podría impactar sobre el sector financiero. Un malware de red de bots de Linux AESDDoS capturado por honeypots de la empresa de seguridad de Trend Micro fue verificado, el cual aprovecha vulnerabilidades en las API de Docker que se ejecuten en host de contenedor, para establecer comandos relacionados con el contenedor Daemon con permisos de root.
Mallox: ransomware dirigido a servidores MS-SQLEl ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mallox-ransomware-dirigido-a-servidores-ms-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware Mallox ha surgido como una amenaza cibernética significativa en el panorama de la seguridad informática y se ha utilizado para atacar servidores MS-SQL que han sido administrados incorrectamente o que cuenten con vulnerabilidades no parchadas, poniendo en peligro la integridad de los datos y la operatividad de las organizaciones afectadas.
MALLOCKER, ransomware para Dispositivos AndroidEn el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha registrado un ransomware llamado MalLocker.B que afecta dispositivos Android y se muestra en la pantalla del usuario como un aviso de la Policía (local) con la exigencia del pago de una aparente multa; esto lo logra utilizando las notificaciones de “Llamada entrante” y del botón “Inicio”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mallocker-ransomware-para-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo de fuentes abiertas, el equipo del Csirt financiero ha registrado un ransomware llamado MalLocker.B que afecta dispositivos Android y se muestra en la pantalla del usuario como un aviso de la Policía (local) con la exigencia del pago de una aparente multa; esto lo logra utilizando las notificaciones de “Llamada entrante” y del botón “Inicio”.
MalasLocker: Ransomware enfocado en servidores ZimbraUna nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malaslocker-ransomware-enfocado-en-servidores-zimbrahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.
Makop Ransomware: Un peligroso actor de amenazas en constante evoluciónEn el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/makop-ransomware-un-peligroso-actor-de-amenazas-en-constante-evolucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.
MakeFrame; último skimmer de Magecart Group 7El equipo Csirt financiero ha detectado una nueva amenaza dirigida aparentemente por el grupo Magecart, se le atribuye la creación de una novedosa metodología de exfiltración de datos sensibles de usuarios mediante formularios incrustados en sitios web que, si bien son legítimos, han sido seleccionados para comprometerlos. Por ejemplo, compra de un producto online que la empresa comprometida ofrece, sustraen información de los clientes como datos de tarjetas de crédito, lugar de residencia y correo electrónico, entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/makeframe-ultimo-skimmer-de-magecart-group-7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo Csirt financiero ha detectado una nueva amenaza dirigida aparentemente por el grupo Magecart, se le atribuye la creación de una novedosa metodología de exfiltración de datos sensibles de usuarios mediante formularios incrustados en sitios web que, si bien son legítimos, han sido seleccionados para comprometerlos. Por ejemplo, compra de un producto online que la empresa comprometida ofrece, sustraen información de los clientes como datos de tarjetas de crédito, lugar de residencia y correo electrónico, entre otros.
Maggie el nuevo backdoor dirigido a servidores Microsoft Server SQLEn el ejercicio de monitorear constantemente las nuevas amenazas descubiertas en la naturaleza, se ha rastreado un nuevo backdoor denominado Maggie, el cual se ha estado distribuyendo a nivel global y ha comprometido exitosamente servidores MSSQL (Microsoft SQL) de diferentes organizaciones; esta amenaza brinda a los ciberdelincuentes capacidades notorias como la ejecución remota de comandos y la posibilidad de realizar movimientos laterales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/maggie-el-nuevo-backdoor-dirigido-a-servidores-microsoft-server-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio de monitorear constantemente las nuevas amenazas descubiertas en la naturaleza, se ha rastreado un nuevo backdoor denominado Maggie, el cual se ha estado distribuyendo a nivel global y ha comprometido exitosamente servidores MSSQL (Microsoft SQL) de diferentes organizaciones; esta amenaza brinda a los ciberdelincuentes capacidades notorias como la ejecución remota de comandos y la posibilidad de realizar movimientos laterales.
Magento múltiples vulnerabilidades recientemente corregidas.El equipo de respuesta a incidentes cibernéticos financieros (CSIRT), en la búsqueda de nuevas amenazas y alertas frente a otros equipos de respuesta a incidentes a nivel internacional realiza verificación de nuevas vulnerabilidades en la plataforma de comercio electrónico de Magento que requieren parches.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/magento-multiples-vulnerabilidades-recientemente-corregidashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de respuesta a incidentes cibernéticos financieros (CSIRT), en la búsqueda de nuevas amenazas y alertas frente a otros equipos de respuesta a incidentes a nivel internacional realiza verificación de nuevas vulnerabilidades en la plataforma de comercio electrónico de Magento que requieren parches.
Macro que descarga malware desde GithubEn el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/macro-que-descarga-malware-desde-githubhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.
Lumma Stealer descarga SectopRAT a través de instaladores falsosDurante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa que involucra la propagación de Lumma Stealer, el cual posteriormente descarga e instala SectopRAT, también conocido como Arechclient2. Esta cadena de infección se inicia cuando los usuarios descargan software alterado que contiene instaladores manipulados, generalmente comprimidos en archivos .zip que incluyen el ejecutable malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lumma-stealer-descarga-sectoprat-a-traves-de-instaladores-falsoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad maliciosa que involucra la propagación de Lumma Stealer, el cual posteriormente descarga e instala SectopRAT, también conocido como Arechclient2. Esta cadena de infección se inicia cuando los usuarios descargan software alterado que contiene instaladores manipulados, generalmente comprimidos en archivos .zip que incluyen el ejecutable malicioso.
Luca Stealer: el infostealer en auge que acecha en el panorama de amenazas cibernéticasEl panorama de amenazas cibernéticas está experimentando una nueva oleada de preocupación debido a la creciente presencia de Luca Stealer, un malware diseñado para capturar información confidencial y datos personales. Los actores de amenaza detrás de esta campaña están aprovechando el entusiasmo generado por los lanzamientos de nuevos productos para llevar a cabo sus planes maliciosos. El reciente descubrimiento de un sitio web de phishing, disfrazado como la plataforma legítima de Microsoft Crypto Wallet, distribuyendo malware disfrazado de aplicaciones genuinas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/luca-stealer-el-infostealer-en-auge-que-acecha-en-el-panorama-de-amenazas-ciberneticashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas cibernéticas está experimentando una nueva oleada de preocupación debido a la creciente presencia de Luca Stealer, un malware diseñado para capturar información confidencial y datos personales. Los actores de amenaza detrás de esta campaña están aprovechando el entusiasmo generado por los lanzamientos de nuevos productos para llevar a cabo sus planes maliciosos. El reciente descubrimiento de un sitio web de phishing, disfrazado como la plataforma legítima de Microsoft Crypto Wallet, distribuyendo malware disfrazado de aplicaciones genuinas.
Los troyanos bancarios Sharkbot y Vultur distribuyen droppers en Google Play StoreEl equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/los-troyanos-bancarios-sharkbot-y-vultur-distribuyen-droppers-en-google-play-storehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}