Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Emerge un nuevo RAT denominado HiatusÚltimamente la proliferación de amenazas es recurrente en el ciberespacio por lo que es común que emerjan nuevas familias de malware, en particular, se ha identificado un nuevo troyano de acceso remoto denominado Hiatus que recopila información de los sistemas infectados y la envía a un servidor de comando y control.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-rat-denominado-hiatushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Últimamente la proliferación de amenazas es recurrente en el ciberespacio por lo que es común que emerjan nuevas familias de malware, en particular, se ha identificado un nuevo troyano de acceso remoto denominado Hiatus que recopila información de los sistemas infectados y la envía a un servidor de comando y control.
Emerge un nuevo ransomware denominado SirattackerEmerge una nueva variante de ransomware en el panorama de amenazas denominado Sirattacker derivada del builder del grupo Chaos, esta fue detectada por primera vez en febrero de 2023 y afecta sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-ransomware-denominado-sirattackerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emerge una nueva variante de ransomware en el panorama de amenazas denominado Sirattacker derivada del builder del grupo Chaos, esta fue detectada por primera vez en febrero de 2023 y afecta sistemas operativos Windows.
Emerge un nuevo ransomware con funcionalidades de clipper denominado BlackSnakeEl ransomware es una amenaza cada vez más sofisticada y peligrosa, y los actores de amenazas están siempre buscando nuevas formas de extorsionar a las víctimas. Una nueva variante llamada BlackSnake ha sido descubierta recientemente, y entre sus capacidades puede realizar operaciones de clipper dirigidas a usuarios de criptomonedas, cabe mencionar que esta amenaza se ha creado en función de la fuente del ransomware Chaos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-ransomware-con-funcionalidades-de-clipper-denominado-blacksnakehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware es una amenaza cada vez más sofisticada y peligrosa, y los actores de amenazas están siempre buscando nuevas formas de extorsionar a las víctimas. Una nueva variante llamada BlackSnake ha sido descubierta recientemente, y entre sus capacidades puede realizar operaciones de clipper dirigidas a usuarios de criptomonedas, cabe mencionar que esta amenaza se ha creado en función de la fuente del ransomware Chaos.
Emerge un nuevo backdoor denominado Xdr33 basado en HiveEl panorama de amenazas continúa en aumento, en esta ocasión se detectó una nueva variante del kit de ataque CIA Hive en el ciberespacio, la cual se fue denominada Xdr33; es un backdoor dirigido a sistemas Linux, con notorias capacidades con las que buscan afectar a sus víctimas mediante la explotación de vulnerabilidades relacionadas con dispositivos F5.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-backdoor-denominado-xdr33-basado-en-hivehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas continúa en aumento, en esta ocasión se detectó una nueva variante del kit de ataque CIA Hive en el ciberespacio, la cual se fue denominada Xdr33; es un backdoor dirigido a sistemas Linux, con notorias capacidades con las que buscan afectar a sus víctimas mediante la explotación de vulnerabilidades relacionadas con dispositivos F5.
Emerge otra familia de ransomware basada en Chaos denominada SkullLockerSkullLocker es una nueva amenaza en el panorama actual, identificada como una nueva variante de la familia de ransomware Chaos, su objetivo principal es cifrar los archivos en equipos infectados y exigir el pago por la llave de descifrado. Asimismo, puede afectar a varias ubicaciones y extensiones de archivo, con más de 300 extensiones diferentes que incluyen archivos de texto, imágenes, audio, video y varios formatos de documentos y bases de datos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-otra-familia-de-ransomware-basada-en-chaos-denominada-skulllocker-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SkullLocker es una nueva amenaza en el panorama actual, identificada como una nueva variante de la familia de ransomware Chaos, su objetivo principal es cifrar los archivos en equipos infectados y exigir el pago por la llave de descifrado. Asimismo, puede afectar a varias ubicaciones y extensiones de archivo, con más de 300 extensiones diferentes que incluyen archivos de texto, imágenes, audio, video y varios formatos de documentos y bases de datos.
Emerge nueva familia de ransomware denominada CryptNetRecientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-nueva-familia-de-ransomware-denominada-cryptnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente investigadores cibernéticos identificaron una nueva variante de malware denominada CryptNet, amenaza de tipo ransomware que es ofrecido como servicio (as-a-service) a través de foros clandestinos de la Deep y Dark web; CryptNet se encuentra desarrollado bajo el lenguaje de programación .NET y emplea el algoritmo de cifrado AES en modo CBC (algoritmo que utiliza un cifrador por bloques para proveer seguridad a la información) y RSA de 2048 bits.
Emerge la nueva botnet llamada Medusa en el panorama de amenazasLa botnet Mirai se ha actualizado para descargar y propagar una nueva botnet llamada Medusa, afectando dispositivos de red vulnerables que ejecuten Linux para de este modo comprometerlos y llevar a cabo acciones maliciosas como ataques DDoS y descarga de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-la-nueva-botnet-llamada-medusa-en-el-panorama-de-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La botnet Mirai se ha actualizado para descargar y propagar una nueva botnet llamada Medusa, afectando dispositivos de red vulnerables que ejecuten Linux para de este modo comprometerlos y llevar a cabo acciones maliciosas como ataques DDoS y descarga de malware.
Emerge Crywiper un wiper disfrazado de ransomwareEn la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-crywiper-un-wiper-disfrazado-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza encontramos distintas variantes de troyanos, una de estas conocidas como wiper (programa malicioso que destruye datos sin posibilidad de recuperarlos), en ese orden de ideas recientemente apareció en el panorama de amenazas CryWiper, el cual se enmascara como un ransomware para exigir un pago por la llave de descifrado, en cuyo caso es imposible dado que no cifra si no destruye.
Elevación de privilegios en Apache HTTP Server 2.4Un error no controlado al intentar acceder fuera de los límites de un array, permitiría a un atacante local elevar privilegios y ejecutar código con permisos de administrador en el servidor HTTP Apache.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/elevacion-de-privilegios-en-apache-http-server-2.4http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un error no controlado al intentar acceder fuera de los límites de un array, permitiría a un atacante local elevar privilegios y ejecutar código con permisos de administrador en el servidor HTTP Apache.
El troyano Xloader distribuido en foros populares de la Deep y Dark webXloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-xloader-distribuido-en-foros-populares-de-la-deep-y-dark-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Xloader es un troyano conocido por sus altas capacidades de capturar información confidencial de equipos con sistemas operativos Microsoft Windows y Mac Os, donde el código de este troyano se encuentra basado en otro troyano muy popular como lo es FormBook.
El troyano URSA está de vueltaRecientemente, se identificó una nueva campaña en la cual estaba implicada una nueva versión del troyano URSA luego de dos años desde su publicación oficial, en estas nuevas actividades se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-ursa-esta-de-vueltahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se identificó una nueva campaña en la cual estaba implicada una nueva versión del troyano URSA luego de dos años desde su publicación oficial, en estas nuevas actividades se ha observado que impacta a los usuarios por medio de un cargador sofisticado. Sus funciones principales son la recopilación de credenciales de acceso alojadas en los navegadores web y en programas utilizados para los servicios de FTP (Protocolo de transferencia de archivos); por otro lado, también suele realizar la superposición de un sitio web falso asociado a la entidad financiera de sus víctimas.
El troyano Qbot es distribuido a través de archivos de Microsoft OneNoteQbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-qbot-es-distribuido-a-traves-de-archivos-de-microsoft-onenotehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Qbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.
El troyano de acceso remoto XWorm se distribuye activamente en la naturalezaEn la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-xworm-se-distribuye-activamente-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la Darknet son ofertados de forma continua herramientas maliciosas o en su defecto actualizaciones de las mismas con nuevas capacidades; específicamente en foros clandestinos de la Deep y Dark web, en ése orden de ideas a mediados de este año se identificó la versión 2.2 del troyano de acceso remoto XWorm, ofrecida bajo el proyecto denominado Evilcoder; desde entonces se ha visto distribuyéndose activamente en la naturaleza, estos actores de amenaza lo describen como un sofisticado RAT con ransomware y capacidades de ataque hVNC (hidden virtual network computing, por sus siglas inglés).
El troyano de acceso remoto Xworm se aprovecha de vulnerabilidades expuestasDescubierta campaña de phishing en la Darknet que distribuye el malware XWorm mediante documentos falsos de Microsoft Word. Los objetivos son empresas y clínicas en Alemania, pero también podría afectar a países de América Latina. Los atacantes aprovechan la vulnerabilidad de Follina para insertar un script de PowerShell ofuscado y propagar la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-xworm-se-aprovecha-de-vulnerabilidades-expuestashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Descubierta campaña de phishing en la Darknet que distribuye el malware XWorm mediante documentos falsos de Microsoft Word. Los objetivos son empresas y clínicas en Alemania, pero también podría afectar a países de América Latina. Los atacantes aprovechan la vulnerabilidad de Follina para insertar un script de PowerShell ofuscado y propagar la infección.
El troyano de acceso remoto AgentTesla se distribuye mediante archivos de panel de control (CPL)A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar la infraestructura tecnológica de los asociados, se identificó recientemente una actividad relacionada con AgentTesla RAT junto con archivos de panel de control (CPL) adjuntos a mensajes de correos electrónicos tipo phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-de-acceso-remoto-agenttesla-se-distribuye-mediante-archivos-de-panel-de-control-cplhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del CSIRT Financiero en busca de nuevas amenazas o campañas maliciosas que puedan impactar la infraestructura tecnológica de los asociados, se identificó recientemente una actividad relacionada con AgentTesla RAT junto con archivos de panel de control (CPL) adjuntos a mensajes de correos electrónicos tipo phishing.
El troyano bancario Medusa surge con nuevas capacidadesA través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un aumento en la actividad del troyano bancario Medusa. Este troyano, identificado por primera vez en 2020, expandió su alcance rápidamente, afectando a varias instituciones financieras en América del Norte y Europa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-medusa-surge-con-nuevas-capacidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un aumento en la actividad del troyano bancario Medusa. Este troyano, identificado por primera vez en 2020, expandió su alcance rápidamente, afectando a varias instituciones financieras en América del Norte y Europa.
El troyano bancario IcedID alojado en sitios phishingEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-icedid-alojado-en-sitios-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.
El troyano bancario Dridex apunta a usuarios del sistema operativo MacOSDridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-dridex-apunta-a-usuarios-del-sistema-operativo-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.
El troyano bancario Ares resurge con nuevas TTPAunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-bancario-ares-resurge-con-nuevas-ttphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano bancario Ares no es una nueva amenaza en el ciberespacio, ha resurgido con nuevas técnicas, tácticas y procedimientos compiladas en su segunda versión lanzada a mediados del mes de agosto; su aparición en el panorama de amenazas radica de febrero de 2021 desde entonces los ciberdelincuentes lo han empleado para apuntar al sector financiero, asimismo se ha rastreado que esta nueva versión está siendo desplegada en México hacia entidades financieras.
El skimmer Magecart denominado Mr. SNIFFALos kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-skimmer-magecart-denominado-mr-sniffahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}