Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
OriginLogger, un nuevo keylogger que es considerado el sucesor de Agent TeslaOriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/originlogger-un-nuevo-keylogger-que-es-considerado-el-sucesor-de-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
OriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.
Oscorp, nuevo malware que exfiltra credenciales en AndroidEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/oscorp-nuevo-malware-que-exfiltra-credenciales-en-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.
P2PInfect: nuevo gusano Peer-to-Peer que amenaza instancias de Redis en entornos de nubeRecientemente se identificó un nuevo gusano peer-to-peer (P2P) denominado P2PInfect. Este gusano, escrito en el lenguaje de programación Rust, es altamente escalable y compatible con la nube. P2PInfect se dirige a instancias de Redis, una popular aplicación de base de datos de código abierto ampliamente utilizada en entornos de nube, con presencia en sistemas operativos Linux y Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/p2pinfect-nuevo-gusano-peer-to-peer-que-amenaza-instancias-de-redis-en-entornos-de-nubehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó un nuevo gusano peer-to-peer (P2P) denominado P2PInfect. Este gusano, escrito en el lenguaje de programación Rust, es altamente escalable y compatible con la nube. P2PInfect se dirige a instancias de Redis, una popular aplicación de base de datos de código abierto ampliamente utilizada en entornos de nube, con presencia en sistemas operativos Linux y Windows.
Panel de control denominado TeslaGun es utilizado por el grupo TA505El grupo TA505 se encuentra activo desde 2014, desde entonces se ha enfocado en sectores minoristas y principalmente el financiero. En la mayoría de sus actividades maliciosas emplean un backdoor (puerta trasera) llamado ServHelper, el cual han estado actualizando con nuevas funcionalidades desde 2019, no obstante, recientemente se detectó que están usando un panel de control denominado TeslaGun para administrar la puerta trasera, que actúa como servidor de comando y control.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/panel-de-control-denominado-teslagun-es-utilizado-por-el-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo TA505 se encuentra activo desde 2014, desde entonces se ha enfocado en sectores minoristas y principalmente el financiero. En la mayoría de sus actividades maliciosas emplean un backdoor (puerta trasera) llamado ServHelper, el cual han estado actualizando con nuevas funcionalidades desde 2019, no obstante, recientemente se detectó que están usando un panel de control denominado TeslaGun para administrar la puerta trasera, que actúa como servidor de comando y control.
Panorama cibernético en el marco del conflicto Irán–IsraelDurante el monitoreo continuo realizado por los analistas del Csirt Financiero, se detectó un incremento notable en las actividades cibernéticas relacionadas con el conflicto entre Irán e Israel. Esta confrontación ha estado marcada por la participación de diversos grupos APT y colectivos hacktivistas con posturas políticas definidas, cuyas acciones se han orientado a operaciones de sabotaje, vigilancia digital y afectación de servicios estratégicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/panorama-cibernetico-en-el-marco-del-conflicto-iran2013israelhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continuo realizado por los analistas del Csirt Financiero, se detectó un incremento notable en las actividades cibernéticas relacionadas con el conflicto entre Irán e Israel. Esta confrontación ha estado marcada por la participación de diversos grupos APT y colectivos hacktivistas con posturas políticas definidas, cuyas acciones se han orientado a operaciones de sabotaje, vigilancia digital y afectación de servicios estratégicos.
Paquetes maliciosos agregados a NPM para distribuir NjRATEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/paquetes-maliciosos-agregados-a-npm-para-distribuir-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.
Parches de seguridad para vulnerabilidades en Creative Cloud y Adobe Connect.En el monitoreo realizado por el equipo del Csirt Financiero, se han identificado ocho vulnerabilidades críticas en Adobe Creative Cloud Desktop, Framemaker y Connect.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/parches-de-seguridad-para-vulnerabilidades-en-creative-cloud-y-adobe-connecthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se han identificado ocho vulnerabilidades críticas en Adobe Creative Cloud Desktop, Framemaker y Connect.
PetitPotam, falla en la retransmisión NTLM en dominios Microsoft WindowsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un fallo de seguridad en sistemas Microsoft denominado PetitPotam que permite a un ciberdelincuente acceder de manera no legítima a Controladores de dominio (Domain Controller - DC) y servidores remotos Microsoft a través de ataques de retransmisión en el protocolo de autenticación New Technology LAN Manager (NTLM).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/petitpotam-falla-en-la-retransmision-ntlm-en-dominios-microsoft-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un fallo de seguridad en sistemas Microsoft denominado PetitPotam que permite a un ciberdelincuente acceder de manera no legítima a Controladores de dominio (Domain Controller - DC) y servidores remotos Microsoft a través de ataques de retransmisión en el protocolo de autenticación New Technology LAN Manager (NTLM).
PhantomCard: nuevo troyano NFC impacta banca en BrasilDurante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phantomcard-nuevo-troyano-nfc-impacta-banca-en-brasilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.
Phishing dirigido a Latinoamérica asociado a malware BandloadEl CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-dirigido-a-latinoamerica-asociado-a-malware-bandloadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.
Phishing dirigido a robar datos de tarjetas de crédito asociadas a una plataforma de pagoDesde el CSIRT Financiero se detecta una campaña de Phishing la cual tiene como objetivo el robo de datos de tarjetas asociadas a cuentas PayPal.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-dirigido-a-robar-datos-de-tarjetas-de-credito-asociadas-a-una-plataforma-de-pagohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Phishing gubernamental govco.co, tiene relación con un dominio malicioso que busca afectar al sector bancario.Desde el CSIRT Financiero se analizo la ultima alerta reportada por el CSIRT del Gobierno de Colombia y dentro de sus indicadores de compromiso se pudo evidenciar una relación con un dominio malicioso que busca realizar ataques de phishing dirigido a la comunidad bancaria de Colombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-gubernamental-govco-co-tiene-relacion-con-un-dominio-malicioso-que-busca-afectar-al-sector-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se analizo la ultima alerta reportada por el CSIRT del Gobierno de Colombia y dentro de sus indicadores de compromiso se pudo evidenciar una relación con un dominio malicioso que busca realizar ataques de phishing dirigido a la comunidad bancaria de Colombia.
Pipka el nuevo Skimmer de JavaScriptEl CSIRT Financiero ha identificado un nuevo Skimmer de JavaScript de nombre Pipka, el cual está orientado a la captura de datos ingresados en formularios de las web de comercio electrónico que sean infectadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/pipka-el-nuevo-skimmer-de-javascripthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado un nuevo Skimmer de JavaScript de nombre Pipka, el cual está orientado a la captura de datos ingresados en formularios de las web de comercio electrónico que sean infectadas.
Piratas informáticos abusan de los correos electrónicos firmados digitalmente para lanzar el malware JasperLoaderCampañas de spam con correos electrónicos firmados que intentan infectar victimas con JasperLoader y en última instancia, con troyano bancario Gootkit.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/piratas-informaticos-abusan-de-los-correos-electronicos-firmados-digitalmente-para-lanzar-el-malware-jasperloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campañas de spam con correos electrónicos firmados que intentan infectar victimas con JasperLoader y en última instancia, con troyano bancario Gootkit.
Plataformas CMS afectadas por Botnet KashmirblackEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/plataformas-cms-afectadas-por-botnet-kashmirblackhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.
Play ransomware ahora funciona como Ransomware as a Service (RaaS).El equipo del Csirt Financiero realizó un monitoreo mediante diversas fuentes de información, donde se observó que los actores de amenaza están comercializando el ransomware Play, también conocido como PlayCrypt, en foros clandestinos de la Deep y Dark web bajo el modelo de Ransomware as a Service (RaaS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/play-ransomware-ahora-funciona-como-ransomware-as-a-service-raas-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero realizó un monitoreo mediante diversas fuentes de información, donde se observó que los actores de amenaza están comercializando el ransomware Play, también conocido como PlayCrypt, en foros clandestinos de la Deep y Dark web bajo el modelo de Ransomware as a Service (RaaS).
PlugX un RAT Loader que prevalece en el tiempoEl ciberespacio es un ecosistema lleno de amenazas que ponen en riesgo los activos de una organización o de las personas debido a los constantes ataques cibernéticos orquestados por los ciberdelincuentes, dentro de ese flujo de acción suelen emplear herramientas modulares para controlar remotamente los equipos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/plugx-un-rat-loader-que-prevalece-en-el-tiempohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ciberespacio es un ecosistema lleno de amenazas que ponen en riesgo los activos de una organización o de las personas debido a los constantes ataques cibernéticos orquestados por los ciberdelincuentes, dentro de ese flujo de acción suelen emplear herramientas modulares para controlar remotamente los equipos infectados.
Posible ataque de Ransomware a Banco Inmobiliario de MéxicoEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva publicación asociada al grupo que controla el ransomware REvil. En esta publicación afirman que tienen en su poder alrededor de 250GB de información relacionada con el banco Inmobiliario Mexicano.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/posible-ataque-de-ransomware-a-banco-inmobiliario-de-mexicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva publicación asociada al grupo que controla el ransomware REvil. En esta publicación afirman que tienen en su poder alrededor de 250GB de información relacionada con el banco Inmobiliario Mexicano.
Posible Ataque Fabricante ATM KioscosEl Csirt Financiero ha evidenciado un aparente ataque dirigido al productor colombiano de cajeros automáticos kioscos, en el cual se han visto comprometida información posiblemente sensible de la entidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/posible-ataque-fabricante-atm-kioscoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha evidenciado un aparente ataque dirigido al productor colombiano de cajeros automáticos kioscos, en el cual se han visto comprometida información posiblemente sensible de la entidad.
Posible ciberataque a entidad gubernamental ColombianaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha obtenido información relacionada al ataque cibernético a la infraestructura tecnológica de la entidad gubernamental DANE (Departamento Administrativo Nacional de Estadística).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/posible-ciberataque-a-entidad-gubernamental-colombianahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha obtenido información relacionada al ataque cibernético a la infraestructura tecnológica de la entidad gubernamental DANE (Departamento Administrativo Nacional de Estadística).
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}