Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Operación Magalenha: Amenaza brasileña dirigida a instituciones financieras portuguesasUn actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/operacion-magalenha-amenaza-brasilena-dirigida-a-instituciones-financieras-portuguesashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.
Operadores de Emotet implementan nuevas tácticas en la cadena de infecciónRecientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/operadores-de-emotet-implementan-nuevas-tacticas-en-la-cadena-de-infeccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.
Oracle publica parches de seguridad para contrarrestar 297 vulnerabilidades.Oracle lanzó 297 actualizaciones con parches para corregir vulnerabilidades de sus productos en las cuales algunas son críticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/oracle-publica-parches-de-seguridad-para-contrarrestar-297-vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Orca, el nuevo ransomware procedente de la familia de ZeppelinUna de las nuevas amenazas conocidas esta semana por el equipo de analistas del Csirt Financiero ha sido identificada como Orca, una amenaza de tipo ransomware y proveniente de la familia del ransomware Zeppelin debido a sus capacidades y funciones similares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/orca-el-nuevo-ransomware-procedente-de-la-familia-de-zeppelinhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una de las nuevas amenazas conocidas esta semana por el equipo de analistas del Csirt Financiero ha sido identificada como Orca, una amenaza de tipo ransomware y proveniente de la familia del ransomware Zeppelin debido a sus capacidades y funciones similares.
Organización colombiana afectada por Ransomware LockBit 2.0En el monitoreo continuo de fuentes abiertas de información y en la búsqueda de actividad maliciosa que pueda impactar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero, ha identificado un ciberataque del ransomware LockBit 2.0 a una caja de compensación colombiana.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/organizacion-colombiana-afectada-por-ransomware-lockbit-2.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo de fuentes abiertas de información y en la búsqueda de actividad maliciosa que pueda impactar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero, ha identificado un ciberataque del ransomware LockBit 2.0 a una caja de compensación colombiana.
OriginLogger, un nuevo keylogger que es considerado el sucesor de Agent TeslaOriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/originlogger-un-nuevo-keylogger-que-es-considerado-el-sucesor-de-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
OriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.
Oscorp, nuevo malware que exfiltra credenciales en AndroidEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/oscorp-nuevo-malware-que-exfiltra-credenciales-en-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.
P2PInfect: nuevo gusano Peer-to-Peer que amenaza instancias de Redis en entornos de nubeRecientemente se identificó un nuevo gusano peer-to-peer (P2P) denominado P2PInfect. Este gusano, escrito en el lenguaje de programación Rust, es altamente escalable y compatible con la nube. P2PInfect se dirige a instancias de Redis, una popular aplicación de base de datos de código abierto ampliamente utilizada en entornos de nube, con presencia en sistemas operativos Linux y Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/p2pinfect-nuevo-gusano-peer-to-peer-que-amenaza-instancias-de-redis-en-entornos-de-nubehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó un nuevo gusano peer-to-peer (P2P) denominado P2PInfect. Este gusano, escrito en el lenguaje de programación Rust, es altamente escalable y compatible con la nube. P2PInfect se dirige a instancias de Redis, una popular aplicación de base de datos de código abierto ampliamente utilizada en entornos de nube, con presencia en sistemas operativos Linux y Windows.
Panel de control denominado TeslaGun es utilizado por el grupo TA505El grupo TA505 se encuentra activo desde 2014, desde entonces se ha enfocado en sectores minoristas y principalmente el financiero. En la mayoría de sus actividades maliciosas emplean un backdoor (puerta trasera) llamado ServHelper, el cual han estado actualizando con nuevas funcionalidades desde 2019, no obstante, recientemente se detectó que están usando un panel de control denominado TeslaGun para administrar la puerta trasera, que actúa como servidor de comando y control.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/panel-de-control-denominado-teslagun-es-utilizado-por-el-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo TA505 se encuentra activo desde 2014, desde entonces se ha enfocado en sectores minoristas y principalmente el financiero. En la mayoría de sus actividades maliciosas emplean un backdoor (puerta trasera) llamado ServHelper, el cual han estado actualizando con nuevas funcionalidades desde 2019, no obstante, recientemente se detectó que están usando un panel de control denominado TeslaGun para administrar la puerta trasera, que actúa como servidor de comando y control.
Panorama cibernético en el marco del conflicto Irán–IsraelDurante el monitoreo continuo realizado por los analistas del Csirt Financiero, se detectó un incremento notable en las actividades cibernéticas relacionadas con el conflicto entre Irán e Israel. Esta confrontación ha estado marcada por la participación de diversos grupos APT y colectivos hacktivistas con posturas políticas definidas, cuyas acciones se han orientado a operaciones de sabotaje, vigilancia digital y afectación de servicios estratégicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/panorama-cibernetico-en-el-marco-del-conflicto-iran2013israelhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continuo realizado por los analistas del Csirt Financiero, se detectó un incremento notable en las actividades cibernéticas relacionadas con el conflicto entre Irán e Israel. Esta confrontación ha estado marcada por la participación de diversos grupos APT y colectivos hacktivistas con posturas políticas definidas, cuyas acciones se han orientado a operaciones de sabotaje, vigilancia digital y afectación de servicios estratégicos.
Paquetes maliciosos agregados a NPM para distribuir NjRATEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/paquetes-maliciosos-agregados-a-npm-para-distribuir-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.
Parches de seguridad para vulnerabilidades en Creative Cloud y Adobe Connect.En el monitoreo realizado por el equipo del Csirt Financiero, se han identificado ocho vulnerabilidades críticas en Adobe Creative Cloud Desktop, Framemaker y Connect.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/parches-de-seguridad-para-vulnerabilidades-en-creative-cloud-y-adobe-connecthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se han identificado ocho vulnerabilidades críticas en Adobe Creative Cloud Desktop, Framemaker y Connect.
PetitPotam, falla en la retransmisión NTLM en dominios Microsoft WindowsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un fallo de seguridad en sistemas Microsoft denominado PetitPotam que permite a un ciberdelincuente acceder de manera no legítima a Controladores de dominio (Domain Controller - DC) y servidores remotos Microsoft a través de ataques de retransmisión en el protocolo de autenticación New Technology LAN Manager (NTLM).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/petitpotam-falla-en-la-retransmision-ntlm-en-dominios-microsoft-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un fallo de seguridad en sistemas Microsoft denominado PetitPotam que permite a un ciberdelincuente acceder de manera no legítima a Controladores de dominio (Domain Controller - DC) y servidores remotos Microsoft a través de ataques de retransmisión en el protocolo de autenticación New Technology LAN Manager (NTLM).
PhantomCard: nuevo troyano NFC impacta banca en BrasilDurante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phantomcard-nuevo-troyano-nfc-impacta-banca-en-brasilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo del Csirt Financiero, el equipo de analistas detectó PhantomCard, un nuevo troyano para Android basado en tecnología NFC, dirigido principalmente a clientes bancarios en Brasil, pero con potencial de expansión global.
Phishing dirigido a Latinoamérica asociado a malware BandloadEl CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-dirigido-a-latinoamerica-asociado-a-malware-bandloadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.
Phishing dirigido a robar datos de tarjetas de crédito asociadas a una plataforma de pagoDesde el CSIRT Financiero se detecta una campaña de Phishing la cual tiene como objetivo el robo de datos de tarjetas asociadas a cuentas PayPal.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-dirigido-a-robar-datos-de-tarjetas-de-credito-asociadas-a-una-plataforma-de-pagohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Phishing gubernamental govco.co, tiene relación con un dominio malicioso que busca afectar al sector bancario.Desde el CSIRT Financiero se analizo la ultima alerta reportada por el CSIRT del Gobierno de Colombia y dentro de sus indicadores de compromiso se pudo evidenciar una relación con un dominio malicioso que busca realizar ataques de phishing dirigido a la comunidad bancaria de Colombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-gubernamental-govco-co-tiene-relacion-con-un-dominio-malicioso-que-busca-afectar-al-sector-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se analizo la ultima alerta reportada por el CSIRT del Gobierno de Colombia y dentro de sus indicadores de compromiso se pudo evidenciar una relación con un dominio malicioso que busca realizar ataques de phishing dirigido a la comunidad bancaria de Colombia.
Pipka el nuevo Skimmer de JavaScriptEl CSIRT Financiero ha identificado un nuevo Skimmer de JavaScript de nombre Pipka, el cual está orientado a la captura de datos ingresados en formularios de las web de comercio electrónico que sean infectadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/pipka-el-nuevo-skimmer-de-javascripthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado un nuevo Skimmer de JavaScript de nombre Pipka, el cual está orientado a la captura de datos ingresados en formularios de las web de comercio electrónico que sean infectadas.
Piratas informáticos abusan de los correos electrónicos firmados digitalmente para lanzar el malware JasperLoaderCampañas de spam con correos electrónicos firmados que intentan infectar victimas con JasperLoader y en última instancia, con troyano bancario Gootkit.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/piratas-informaticos-abusan-de-los-correos-electronicos-firmados-digitalmente-para-lanzar-el-malware-jasperloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campañas de spam con correos electrónicos firmados que intentan infectar victimas con JasperLoader y en última instancia, con troyano bancario Gootkit.
Plataformas CMS afectadas por Botnet KashmirblackEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/plataformas-cms-afectadas-por-botnet-kashmirblackhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}