Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Venta de Acceso a cuentas bancarias de Entidades FinancierasEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha localizado publicación relacionada aparentemente con la venta de credenciales que posibilitarían el acceso a 5.000 cuentas bancarias por parte del cibercriminal que realice la transacción.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/venta-de-acceso-a-cuentas-bancarias-de-entidades-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha localizado publicación relacionada aparentemente con la venta de credenciales que posibilitarían el acceso a 5.000 cuentas bancarias por parte del cibercriminal que realice la transacción.
Grupo APT Cryptomimic tiene como objetivo Organizaciones FinancierasEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el actuar del grupo APT CryptoMimic, también conocido como: Dangerous Password, CageyChameleon, Leery Turtle o CryptoCore, el cual fue identificado por primera vez en abril de 2018; tiene como objetivo entidades financieras y organizaciones internacionales que cuenten con activos en criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-cryptomimic-tiene-como-objetivo-organizaciones-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el actuar del grupo APT CryptoMimic, también conocido como: Dangerous Password, CageyChameleon, Leery Turtle o CryptoCore, el cual fue identificado por primera vez en abril de 2018; tiene como objetivo entidades financieras y organizaciones internacionales que cuenten con activos en criptomonedas.
Grupo APT TA2552 utiliza phishing para leer Información Confidencial de Office 365En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-ta2552-utiliza-phishing-para-leer-informacion-confidencial-de-office-365http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una técnica de phishing utilizada por el grupo APT TA2552 para abusar del estándar de autorización OAuth de Microsoft Office 365.
Variante del Ransomware STOP DJVU denominada KolzEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-ransomware-stop-djvu-denominada-kolzhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una variante del ransomware STOP Djvu denominado Kolz que puede llegar a comprometer archivos con información confidencial en equipos con sistema operativo Windows y MacOS. El accionar criminal de esta amenaza cibernética fue evidenciado en el año 2016 y hasta la fecha ha causado un gran impacto como su semejantes netwalker y sodinokibi; de la familia de STOP DJVU se conoce la distribución de al menos 160 variantes durante el mes de septiembre del año 2020.
Nuevas variantes de Loda RATEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-variantes-de-loda-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado nueva variante de LodaRAT. Considerado como troyano de acceso remoto RAT escrito en AutoIT que fue descubierto en el año 2016; como método de distribución los ciberdelincuentes utilizan técnicas de phishing para el envío de mensajes de correo electrónico con archivos .rev que contienen el binario del malware.
Nuevos Indicadores de Compromiso Asociados Al Troyano Bancario QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-bancario-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.
Campañas de Phishing con temática de Actualización de Versión WindowsEl equipo del Csirt Financiero ha evidenciado, a través del monitoreo de fuentes abiertas, nuevas campañas de phishing dirigidas a empleados de distintas entidades, donde se ofrece la actualización del sistema operativo Windows 7 a Windows 10, como en su oportunidad lo hizo Microsoft por el fin del ciclo vital de Windows 7 (enero 14 del 2020), cuando Microsoft instaba a actualizar cualquier equipo o dispositivo a Windows 10.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campanas-de-phishing-con-tematica-de-actualizacion-de-version-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado, a través del monitoreo de fuentes abiertas, nuevas campañas de phishing dirigidas a empleados de distintas entidades, donde se ofrece la actualización del sistema operativo Windows 7 a Windows 10, como en su oportunidad lo hizo Microsoft por el fin del ciclo vital de Windows 7 (enero 14 del 2020), cuando Microsoft instaba a actualizar cualquier equipo o dispositivo a Windows 10.
Ransomware Agelocker dirige sus ataques a Nas de QnapEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-agelocker-dirige-sus-ataques-a-nas-de-qnaphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado una amenaza activa desde finales de julio de 2020, se denomina AgeLocker y está dirigido a sistemas operativos Mac y distribuciones Linux.
Skimmer Gstaticapi, exfiltra detalles de Pago ElectrónicoEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-gstaticapi-exfiltra-detalles-de-pago-electronicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.
Nuevos indicadores de Compromiso de EmotetEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-de-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad cibercriminal del troyano bancario Emotet, referenciado y analizado desde el 2014. Se trata de un troyano modular enfocado a la captura y exfiltración de información financiera. Adicionalmente, cuenta con la capacidad de dropper, con la cual podría realizar la descarga y ejecución de malware adicional en el equipo infectado.
Vulnerabilidades en Chrome exponen a usuariosEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-chrome-exponen-a-usuarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas vulnerabilidades en el navegador Google Chrome relacionadas con la escasa validación de políticas de seguridad de las extensiones de este.
Ransomware Mount Locker exige rescates millonariosEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-mount-locker-exige-rescates-millonarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.
Ciberdelincuentes emplean tarjetas Sim y Anydesk para exfiltrar credenciales de cuentas bancariasEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas técnicas de exfiltración, empleadas recientemente por los ciberdelincuentes para sustraer de forma fraudulenta los recursos de las cuentas bancarias comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-emplean-tarjetas-sim-y-anydesk-para-exfiltrar-credenciales-de-cuentas-bancariashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevas técnicas de exfiltración, empleadas recientemente por los ciberdelincuentes para sustraer de forma fraudulenta los recursos de las cuentas bancarias comprometidas.
Uso de Sim Swapping y Telegram para exfiltrar datos de dispositivos móvilesEl equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-sim-swapping-y-telegram-para-exfiltrar-datos-de-dispositivos-movileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.
Troyano Bancario Alien incrementa su actividad maliciosaEn el monitoreo realizado por el Csirt Financiero, se ha identificado actividad maliciosa por parte del troyano bancario Alien, el cual tiene afectación sobre dispositivos con sistema operativo Android. Este malware se distribuye principalmente por medio de aplicaciones falsas o modificadas que son alojadas en sitios web no oficiales. Reutiliza código fuente de versiones anteriores del troyano bancario Cerberus y emplea técnicas mediante las cuales logra evadir herramientas de la detección de malware como Google Play Protect.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-alien-incrementa-su-actividad-maliciosahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado actividad maliciosa por parte del troyano bancario Alien, el cual tiene afectación sobre dispositivos con sistema operativo Android. Este malware se distribuye principalmente por medio de aplicaciones falsas o modificadas que son alojadas en sitios web no oficiales. Reutiliza código fuente de versiones anteriores del troyano bancario Cerberus y emplea técnicas mediante las cuales logra evadir herramientas de la detección de malware como Google Play Protect.
Grupo Oldgremlin distribuye Ransomware TinyPoshEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso de las campañas de ransomware ejecutadas por el grupo ruso OldGremlin.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-oldgremlin-distribuye-ransomware-tinyposhhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado nuevos indicadores de compromiso de las campañas de ransomware ejecutadas por el grupo ruso OldGremlin.
Indicadores de Compromiso Asociados al Troyano Bancario URSA/MISPADUEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevos indicadores de compromiso (IOC) relacionados al troyano bancario URSA también conocido como Mispadu. Este troyano se distribuye a través de mensajes de correo electrónico tipo malspam en archivos adjuntos comprimidos .zip.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-troyano-bancario-ursa-mispaduhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nuevos indicadores de compromiso (IOC) relacionados al troyano bancario URSA también conocido como Mispadu. Este troyano se distribuye a través de mensajes de correo electrónico tipo malspam en archivos adjuntos comprimidos .zip.
Emotet Implementa Técnicas para secuestrar Hilos de Correo ElectrónicoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-implementa-tecnicas-para-secuestrar-hilos-de-correo-electronicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.
Imagen Firmware UEFI contiene componentes con MalwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/imagen-firmware-uefi-contiene-componentes-con-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.
Actividad de EventbotEn el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-eventbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado actividad maliciosa relacionada con EventBot, troyano e infostealer de banca móvil que tiene como objetivo a los dispositivos con Sistema Operativo Android. Su actividad data de marzo del 2020 y se conoce que está dirigido a más de 200 aplicaciones financieras diferentes, como bancos, servicios de transferencia de dinero y carteras de dinero encriptadas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}