Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña de malspam distribuyendo malware Balkandoor y BalkanRAT, dirigida a profesionales y áreas contables en los Balcanes.El CSIRT Financiero ha identificado una campaña de correo electrónico malicioso que se encuentra distribuyendo malware de tipo Backdoor y RAT, esta campaña busca tener el control de los equipos víctimas tanto por línea de comandos como por interfaz gráfica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-distribuyendo-malware-balkandoor-y-balkanrat-dirigida-a-profesionales-y-areas-contables-en-los-balcaneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado una campaña de correo electrónico malicioso que se encuentra distribuyendo malware de tipo Backdoor y RAT, esta campaña busca tener el control de los equipos víctimas tanto por línea de comandos como por interfaz gráfica.
Nueva campaña del grupo APT28.Desde el CSIRT Financiero se ha identificado nueva campaña del grupo APT28, esta vez su objetivo principal son los dispositivos IoT que no han sido actualizados y/o los dispositivos que tengan credenciales por defecto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-apt28http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado nueva campaña del grupo APT28, esta vez su objetivo principal son los dispositivos IoT que no han sido actualizados y/o los dispositivos que tengan credenciales por defecto.
Nuevo Ransomware Nemty podría expandirse por medio del protocolo RDPA partir de diferentes fuentes de información, el CSIRT Financiero ha identificado una nueva amenaza relacionada con Ransomware, la cual busca infectar a los equipos víctima a partir de conexiones RDP previamente comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-nemty-podria-expandirse-por-medio-del-protocolo-rdphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A partir de diferentes fuentes de información, el CSIRT Financiero ha identificado una nueva amenaza relacionada con Ransomware, la cual busca infectar a los equipos víctima a partir de conexiones RDP previamente comprometidas.
Vulnerabilidades descubiertas en las SSL VPN de Fortinet y Pulse SecureDesde el CSIRT Financiero, se ha identificado un inusual comportamiento de escaneos de dispositivos que tienen implementados servicios SSL VPN de los fabricantes Fortinet y Pulse Secure con el objetivo de explotar vulnerabilidades no parcheadas. El equipo de CSIRT Financiero considera de interés la notificación debido a la magnitud de entidades financieras que hacen uso de este tipo de tecnología.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-descubiertas-en-las-ssl-vpn-de-fortinet-y-pulse-securehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero, se ha identificado un inusual comportamiento de escaneos de dispositivos que tienen implementados servicios SSL VPN de los fabricantes Fortinet y Pulse Secure con el objetivo de explotar vulnerabilidades no parcheadas. El equipo de CSIRT Financiero considera de interés la notificación debido a la magnitud de entidades financieras que hacen uso de este tipo de tecnología.
Campaña de phishing distribuye Troyano de acceso remoto QuasarCSIRT Financiero en la búsqueda de posibles amenazas a identificado una nueva campaña de phishing relacionada con Quasar RAT, el cual se está distribuyendo a través de correo electrónico con el asunto “curriculum” y se hace pasar por un buscador de trabajo en el que adjunta un archivo Word protegido con una contraseña básica “123” con el fin de engañar personas y robar datos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-distribuye-troyano-de-acceso-remoto-quasarhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CSIRT Financiero en la búsqueda de posibles amenazas a identificado una nueva campaña de phishing relacionada con Quasar RAT, el cual se está distribuyendo a través de correo electrónico con el asunto “curriculum” y se hace pasar por un buscador de trabajo en el que adjunta un archivo Word protegido con una contraseña básica “123” con el fin de engañar personas y robar datos.
Actividad de nuevos indicadores de compromiso asociados al grupo TA505.Se han identificado posibles amenazas relacionadas al grupo TA505, mediante análisis de amenazas el CSIRT Financiero ha verificado una nueva actividad reciente y que estos indicadores de amenaza podrían afectar entidades de la región ya que estos indicadores podrían abrir brechas de seguridad y comprometer o exponer la integridad, confidencialidad o disponibilidad de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-nuevos-indicadores-de-compromiso-asociados-al-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado posibles amenazas relacionadas al grupo TA505, mediante análisis de amenazas el CSIRT Financiero ha verificado una nueva actividad reciente y que estos indicadores de amenaza podrían afectar entidades de la región ya que estos indicadores podrían abrir brechas de seguridad y comprometer o exponer la integridad, confidencialidad o disponibilidad de la información.
Nuevos indicadores de compromiso relacionados con el malware Adwind RAT.Desde el CSIRT Financiero se han encontrado nuevos indicadores de compromiso relacionados con el malware llamado Adwind, este malware está siendo distribuido en campañas de malspam contra usuarios del sector con el fin de robar sus datos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-malware-adwind-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han encontrado nuevos indicadores de compromiso relacionados con el malware llamado Adwind, este malware está siendo distribuido en campañas de malspam contra usuarios del sector con el fin de robar sus datos.
Nuevas campañas atribuidas a grupo TA505El grupo APT TA505 previamente analizado por el equipo de Cyber Threat Intelligence del CSIRT Financiero el cual se identifican ocho nuevas campañas en las que se han creado nuevas variantes de sus herramientas, una nueva versión ServHelper y una DLL del descargador FlawedAmmyy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-atribuidas-a-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo APT TA505 previamente analizado por el equipo de Cyber Threat Intelligence del CSIRT Financiero el cual se identifican ocho nuevas campañas en las que se han creado nuevas variantes de sus herramientas, una nueva versión ServHelper y una DLL del descargador FlawedAmmyy.
Campaña mundial contra entidades gubernamentales y financieras con los RAT Orcus y Revenge.Detectadas campañas de distribución de malware, en el que se envían correos a las víctimas para qué descarguen herramientas de acceso remoto con el fin de que se instalen en el equipo víctima y así tomar el control de manera remota para obtener información como datos sensibles y obtener beneficios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-mundial-contra-entidades-gubernamentales-y-financieras-con-los-rat-orcus-y-revengehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Detectadas campañas de distribución de malware, en el que se envían correos a las víctimas para qué descarguen herramientas de acceso remoto con el fin de que se instalen en el equipo víctima y así tomar el control de manera remota para obtener información como datos sensibles y obtener beneficios.
Campaña de phishing apodada "Heatstroke”, que busca capturar credenciales de usuarios en internet.Campaña de correo malicioso llamada golpe de calor “Heatstroke” que combina diferentes técnicas para engañar a usuarios de internet con el fin de robar información de sus credenciales y posiblemente para ser aprovechadas en actividades fraudulentas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-apodada-heatstroke201d-que-busca-capturar-credenciales-de-usuarios-en-internethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña de correo malicioso llamada golpe de calor “Heatstroke” que combina diferentes técnicas para engañar a usuarios de internet con el fin de robar información de sus credenciales y posiblemente para ser aprovechadas en actividades fraudulentas.
Nuevos indicadores de compromiso relacionados a TrickbotDesde el CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el troyano bancario TrickBot, este troyano busca capturar las credenciales bancarias del usuario víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-a-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el troyano bancario TrickBot, este troyano busca capturar las credenciales bancarias del usuario víctima.
Nuevo RAT BRATA dirigido a AndroidMalware de tipo RAT que se ha propagado en la región brasilera, el cual está dirigido a dispositivos Android con fines de extracción de información y control remoto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-brata-dirigido-a-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Malware de tipo RAT que se ha propagado en la región brasilera, el cual está dirigido a dispositivos Android con fines de extracción de información y control remoto.
Nueva campaña del malware QakbotInvestigadores especializados han generado una nueva advertencia respecto al malware Qakbot. Este tiene la capacidad de propagarse como un gusano, infectando a los usuarios y realizando las funciones de un troyano. Se considera que el malware es distribuido por un grupo organizado de cibercrimen, sin embargo, no se ha logrado atribuir este hecho a ningún grupo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-malware-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores especializados han generado una nueva advertencia respecto al malware Qakbot. Este tiene la capacidad de propagarse como un gusano, infectando a los usuarios y realizando las funciones de un troyano. Se considera que el malware es distribuido por un grupo organizado de cibercrimen, sin embargo, no se ha logrado atribuir este hecho a ningún grupo.
Ransomware Lilocked (Lilu) infecta servidores linuxNuevo Ransomware llamado Lilocked (Lilu), que entro en actividad desde el mes de julio de 2019 y que afecta servidores Linux enfocado en archivos con extensión HTML, PHP, JS e imágenes con cualquier tipo de extensión, este Ransomware cifra solo archivos almacenados que no tienen que ver con el sistema operativo de la máquina.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-lilocked-lilu-infecta-servidores-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo Ransomware llamado Lilocked (Lilu), que entro en actividad desde el mes de julio de 2019 y que afecta servidores Linux enfocado en archivos con extensión HTML, PHP, JS e imágenes con cualquier tipo de extensión, este Ransomware cifra solo archivos almacenados que no tienen que ver con el sistema operativo de la máquina.
Nueva Campaña de Malspam que distribuye troyano Ursnif/Gozi.Se ha identificado campaña de propagación de correos con anuncios engañosos, con la finalidad de que el usuario haga clic en un documento de office con macros o url de descarga de malware. Una vez instalado el malware es aprovechado por ciberdelincuentes para el robo de datos y credenciales personales de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-que-distribuye-troyano-ursnif-gozihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado campaña de propagación de correos con anuncios engañosos, con la finalidad de que el usuario haga clic en un documento de office con macros o url de descarga de malware. Una vez instalado el malware es aprovechado por ciberdelincuentes para el robo de datos y credenciales personales de los usuarios.
Malware Joker, nueva infección de Spyware dirigida a dispositivos AndroidNuevo malware llamado Joker y categorizado como spyware, que se había filtrado a la tienda oficial de Google Play, alojado en 24 aplicaciones y que tiene como objetivo el robo de mensajes SMS, información de contacto y datos del dispositivo. Joker va más allá al intentar generar ganancias para su operador a través de actividad publicitaria fraudulenta.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-joker-nueva-infeccion-de-spyware-dirigida-a-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo malware llamado Joker y categorizado como spyware, que se había filtrado a la tienda oficial de Google Play, alojado en 24 aplicaciones y que tiene como objetivo el robo de mensajes SMS, información de contacto y datos del dispositivo. Joker va más allá al intentar generar ganancias para su operador a través de actividad publicitaria fraudulenta.
Nuevos indicadores de compromiso asociados al grupo APT TA505Se ha observado una nueva actividad del grupo APT TA505 que involucra campañas dirigidas a diferentes países durante las últimas semanas, en la que se identifican nuevos indicadores de compromiso que son utilizados para infección de malware a usuarios, robo de información y control remoto de máquinas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-grupo-apt-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha observado una nueva actividad del grupo APT TA505 que involucra campañas dirigidas a diferentes países durante las últimas semanas, en la que se identifican nuevos indicadores de compromiso que son utilizados para infección de malware a usuarios, robo de información y control remoto de máquinas.
Análisis técnico malware Quasar RATEl CSIRT Financiero por medio de sus fuentes de información identificó un malware que se ha distribuido a través de phishing y maneja herramientas de acceso remoto legitimas de código abierto, las cuales son modificadas para realizar acciones criminales. Al ser herramientas aparentemente legítimas les permite evadir los controles de seguridad y así poder capturar información confidencial de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-malware-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero por medio de sus fuentes de información identificó un malware que se ha distribuido a través de phishing y maneja herramientas de acceso remoto legitimas de código abierto, las cuales son modificadas para realizar acciones criminales. Al ser herramientas aparentemente legítimas les permite evadir los controles de seguridad y así poder capturar información confidencial de los usuarios.
Se identifican amenazas que podrían afectar usuarios de la plataforma SWIFTEl CSIRT Financiero ha identificado una nueva actividad de Malware dirigido a los usuarios de la plataforma SWIFT. Esta nueva actividad se distribuye por medio de spam y busca afectar de manera directa a los usuarios de la plataforma, una vez el equipo es infectado, automáticamente busca establecer conexiones con dominios maliciosos que contienen variedad de troyanos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifican-amenazas-que-podrian-afectar-usuarios-de-la-plataforma-swifthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado una nueva actividad de Malware dirigido a los usuarios de la plataforma SWIFT. Esta nueva actividad se distribuye por medio de spam y busca afectar de manera directa a los usuarios de la plataforma, una vez el equipo es infectado, automáticamente busca establecer conexiones con dominios maliciosos que contienen variedad de troyanos.
Nuevas tácticas del grupo APT FIN6En el análisis de amenazas del CSIRT Financiero se ha logrado identificar una campaña reciente del grupo de APT FIN6, quién ha cambiado sus tácticas y se ha orientado a la infección de sitios web de comercio electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-tacticas-del-grupo-apt-fin6http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el análisis de amenazas del CSIRT Financiero se ha logrado identificar una campaña reciente del grupo de APT FIN6, quién ha cambiado sus tácticas y se ha orientado a la infección de sitios web de comercio electrónico.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}