Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevas amenazas relacionadas con Ransomware RyukSe identificaron nuevos indicadores de amenazas relacionados con el Ransomware Ryuk, se tiene conocimiento de que este malware se distribuía como una infección primaria a través de archivos adjuntos de correo electrónico malicioso y conexiones de RDP insuficientemente protegidas, en el segundo trimestre de 2019 afectó empresas y organizaciones a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-ryuk-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificaron nuevos indicadores de amenazas relacionados con el Ransomware Ryuk, se tiene conocimiento de que este malware se distribuía como una infección primaria a través de archivos adjuntos de correo electrónico malicioso y conexiones de RDP insuficientemente protegidas, en el segundo trimestre de 2019 afectó empresas y organizaciones a nivel mundial.
Se descubre nueva actividad de Malware TrickbotSe ha identificado una nueva campaña de correos electrónicos distribuyendo Trickbot, dentro de los correos enviados, además de la información con la que intentan engañar al usuario, adjuntan un archivo por lo general de office. Si el usuario llega a descargar el archivo y abrirlo en su máquina, será infectado a través de macros y/o código JavaScript. Esta campaña fue creada con el fin de capturar los datos personales de los usuarios afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-descubre-nueva-actividad-de-malware-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva campaña de correos electrónicos distribuyendo Trickbot, dentro de los correos enviados, además de la información con la que intentan engañar al usuario, adjuntan un archivo por lo general de office. Si el usuario llega a descargar el archivo y abrirlo en su máquina, será infectado a través de macros y/o código JavaScript. Esta campaña fue creada con el fin de capturar los datos personales de los usuarios afectados.
Nuevas campañas de Malware EmotetSe han identificado nuevas campañas de spam distribuyendo malware Emotet. Este malware ha puesto su mira tanto en objetivos particulares como en empresas y entidades gubernamentales, todos ellos provenientes de diferentes países como Alemania, Reino Unido, Polonia, Italia y EE. UU.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-de-malware-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se han identificado nuevas campañas de spam distribuyendo malware Emotet. Este malware ha puesto su mira tanto en objetivos particulares como en empresas y entidades gubernamentales, todos ellos provenientes de diferentes países como Alemania, Reino Unido, Polonia, Italia y EE. UU.
Nuevo ransomware Kvag busca afectar a los usuarios de internetPor medio de diversas fuentes, el CSIRT Financiero obtiene información de un nuevo malware de tipo Ransomware llamado Kvag, el cual amenaza la región y en general a los usuarios de internet; se distribuye por medio de correos electrónicos con archivos adjuntos que camuflan el Ransomware, así como también por medio de la ejecución de activadores de software o actualizaciones falsas de software.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-kvag-busca-afectar-a-los-usuarios-de-internethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de diversas fuentes, el CSIRT Financiero obtiene información de un nuevo malware de tipo Ransomware llamado Kvag, el cual amenaza la región y en general a los usuarios de internet; se distribuye por medio de correos electrónicos con archivos adjuntos que camuflan el Ransomware, así como también por medio de la ejecución de activadores de software o actualizaciones falsas de software.
Campaña de Malspam distribuye nueva variante del troyano Ursnif/Gozi.Desde el CSIRT Financiero se detecta una nueva campaña de malspam, la cual distribuye un troyano bancario llamado Ursnif. Como en la mayoría de campañas, los ciberdelincuentes usan técnicas de engaño para lograr que los usuarios descarguen la carga útil del malware y así poder infectar al usuario víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-distribuye-nueva-variante-del-troyano-ursnif-gozihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una nueva campaña de malspam, la cual distribuye un troyano bancario llamado Ursnif. Como en la mayoría de campañas, los ciberdelincuentes usan técnicas de engaño para lograr que los usuarios descarguen la carga útil del malware y así poder infectar al usuario víctima.
Más de medio millón de equipos infectados por la botnet de criptomonedas Smominru.La botnet llamada Smominru lleva activa aproximadamente desde Mayo del 2017, desde entonces ha comprometido a más de medio millón de equipos enfocado a dos objetivos, el primero se basa en la capturara de información de acceso a plataformas usadas por el usuario y la segunda en convertir al dispositivo infectado en un bot más para poder hacer más grande su red de minería de criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mas-de-medio-millon-de-equipos-infectados-por-la-botnet-de-criptomonedas-smominruhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La botnet llamada Smominru lleva activa aproximadamente desde Mayo del 2017, desde entonces ha comprometido a más de medio millón de equipos enfocado a dos objetivos, el primero se basa en la capturara de información de acceso a plataformas usadas por el usuario y la segunda en convertir al dispositivo infectado en un bot más para poder hacer más grande su red de minería de criptomonedas.
Análisis Avanzado de la amenaza EmotetEmotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-avanzado-de-la-amenaza-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Emotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.
Nueva actividad de grupo de amenazas pandaDesde el CSIRT Financiero se ha observado actividad del grupo de amenazas panda el cual se identifica por ser el primer grupo en lanzar ataques con exploits embebidos en documentos adjuntos en correos electrónicos, con el fin de engañar a los usuarios y obtener información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-grupo-de-amenazas-pandahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha observado actividad del grupo de amenazas panda el cual se identifica por ser el primer grupo en lanzar ataques con exploits embebidos en documentos adjuntos en correos electrónicos, con el fin de engañar a los usuarios y obtener información confidencial.
Nueva campaña de phishing distribuye el troyano AstarothInvestigadores de seguridad han detectado y analizado una nueva campaña de phishing la cual se encarga de propagar el troyano bancario de nombre Astaroth; el CSIRT Financiero ha creado una lista de indicadores de compromiso basados en este troyano con el fin de que las entidades asociadas puedan aplicar estos IoC y así minimizar el riesgo de que ocurra un incidente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-distribuye-el-troyano-astarothhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de seguridad han detectado y analizado una nueva campaña de phishing la cual se encarga de propagar el troyano bancario de nombre Astaroth; el CSIRT Financiero ha creado una lista de indicadores de compromiso basados en este troyano con el fin de que las entidades asociadas puedan aplicar estos IoC y así minimizar el riesgo de que ocurra un incidente.
Nuevos indicadores asociados al grupo de amenazas FIN7FIN7 es un grupo de amenazas el cual ha registrado múltiples campañas dirigidas a sectores minoristas, restauración y hotelería a través de la suplantación de identidad con el fin de capturar datos de activos financieros de compañías (como tarjetas débitos) para generar transferencias bancarias a cuentas en el extranjero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-asociados-al-grupo-de-amenazas-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
FIN7 es un grupo de amenazas el cual ha registrado múltiples campañas dirigidas a sectores minoristas, restauración y hotelería a través de la suplantación de identidad con el fin de capturar datos de activos financieros de compañías (como tarjetas débitos) para generar transferencias bancarias a cuentas en el extranjero.
Análisis de malware CerberusCerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-cerberushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.
Nuevo malware ATMDTRACK apunta a cajeros automáticos en un país de Asia.Investigadores de seguridad han detectado un nuevo malware denominado ATMDtrack, esta nueva amenaza se relaciona con los actores detrás del grupo Lazarus dedicados a infectar cajeros automáticos con malware para obtener beneficios monetarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-atmdtrack-apunta-a-cajeros-automaticos-en-un-pais-de-asiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de seguridad han detectado un nuevo malware denominado ATMDtrack, esta nueva amenaza se relaciona con los actores detrás del grupo Lazarus dedicados a infectar cajeros automáticos con malware para obtener beneficios monetarios.
Nuevos indicadores de compromiso relacionados con un troyano bancario que utiliza las técnicas de un malware de tipo "Hosts Modifier".Gracias a fuentes externas del CSIRT Financiero, se identificó la presencia de un troyano el cual busca afectar a usuarios de entidades bancarias, se tiene conocimiento que en Latinoamérica hay entidades afectadas, viéndose comprometidos datos de usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-un-troyano-bancario-que-utiliza-las-tecnicas-de-un-malware-de-tipo-hosts-modifierhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a fuentes externas del CSIRT Financiero, se identificó la presencia de un troyano el cual busca afectar a usuarios de entidades bancarias, se tiene conocimiento que en Latinoamérica hay entidades afectadas, viéndose comprometidos datos de usuarios.
Indicadores de compromiso relacionados al grupo MageCartMageCart es un seudónimo para varios grupos de cibercrimen dedicados a realizar actividades de carding y captura de credenciales bancarias, actualmente se considera un enemigo público para la industria del comercio ya que maneja vectores de ataque enfocados a dominios web que alojan plataformas de pago; además se evidencia que están en constante exploración hacía nuevas técnicas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-grupo-magecarthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
MageCart es un seudónimo para varios grupos de cibercrimen dedicados a realizar actividades de carding y captura de credenciales bancarias, actualmente se considera un enemigo público para la industria del comercio ya que maneja vectores de ataque enfocados a dominios web que alojan plataformas de pago; además se evidencia que están en constante exploración hacía nuevas técnicas.
Nuevos indicadores de compromiso asociados a EmotetEl CSIRT Financiero ha identificado nuevas campañas de malspam asociados al malware bancario Emotet, las cuales están dirigidas a diferentes objetivos internacionales; la finalidad de estas campañas es instalar un malware tipo dropper para lograr ejecutar la carga útil de Emotet dentro del dispositivo infectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado nuevas campañas de malspam asociados al malware bancario Emotet, las cuales están dirigidas a diferentes objetivos internacionales; la finalidad de estas campañas es instalar un malware tipo dropper para lograr ejecutar la carga útil de Emotet dentro del dispositivo infectado.
Análisis Ransonware REvil/Sodinokivi, asociado a GandCrabEl CSIRT Financiero ha realizado análisis a la amenaza identificada como REvil Ransomware. Esta fue observada por primera vez a mediados de abril de 2019, ha sido distribuida mediante malspam, y utiliza técnicas para explotar vulnerabilidades como las de Oracle weblogic y ataques mediante protocolo RDP. Se tiene conocimiento que tiene motivaciones financieras ya que es atribuida al grupo de ciberdelincuentes Gold Southfield.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-ransonware-revil-sodinokivi-asociado-a-gandcrabhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha realizado análisis a la amenaza identificada como REvil Ransomware. Esta fue observada por primera vez a mediados de abril de 2019, ha sido distribuida mediante malspam, y utiliza técnicas para explotar vulnerabilidades como las de Oracle weblogic y ataques mediante protocolo RDP. Se tiene conocimiento que tiene motivaciones financieras ya que es atribuida al grupo de ciberdelincuentes Gold Southfield.
Nuevos indicadores de compromiso asociados a Trickbot y EmotetTrickbot y Emotet son troyanos de tipo bancario, cada uno cuenta con características diferentes, pero cuentan con la misma funcionalidad, la captura de datos de los usuarios que sean infectados con esta amenaza. Desde el CSIRT Financiero se ha identificado una nueva campaña la cual distribuye de los dos troyanos, con el objetivo de obtener la mayor cantidad de datos y así generar un beneficio económico a costas de los usuarios poco precavidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbot-y-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Trickbot y Emotet son troyanos de tipo bancario, cada uno cuenta con características diferentes, pero cuentan con la misma funcionalidad, la captura de datos de los usuarios que sean infectados con esta amenaza. Desde el CSIRT Financiero se ha identificado una nueva campaña la cual distribuye de los dos troyanos, con el objetivo de obtener la mayor cantidad de datos y así generar un beneficio económico a costas de los usuarios poco precavidos.
WhiteShadow, descargador de Malware utilizado en campañas de spamEl CSIRT Financiero en la verificación y búsqueda de amenazas ha identificado a WhiteShadow, un descargador de malware que se ha propagado mediante campañas de spam, esta amenaza utiliza servicios de Microsoft SQL para propagar su malware en otros equipos que sean vulnerables, investigadores han identificado la distribución de troyanos como agente tesla, AZORult, Nanocore, njRat, orion logger, Remcos, formbook RAT, descargadores y cepas de keylogger. Aun se desconoce la atribución de esta amenaza y se cree que la motivación es financiera.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/whiteshadow-descargador-de-malware-utilizado-en-campanas-de-spam-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero en la verificación y búsqueda de amenazas ha identificado a WhiteShadow, un descargador de malware que se ha propagado mediante campañas de spam, esta amenaza utiliza servicios de Microsoft SQL para propagar su malware en otros equipos que sean vulnerables, investigadores han identificado la distribución de troyanos como agente tesla, AZORult, Nanocore, njRat, orion logger, Remcos, formbook RAT, descargadores y cepas de keylogger. Aun se desconoce la atribución de esta amenaza y se cree que la motivación es financiera.
Campaña de Phishing que distribuye LokibotSe ha identificado una campaña de phishing la cual distribuye el malware lokibot. El fin de esta campaña es poder infectar usuarios, para que sean inmersos en la botnet, además, poder extraer datos que podrían afectar las finanzas del usuario involucrado. Se tiene conocimiento que la distribución de esta campaña se centra en el envío de correos con archivos adjuntos de tipo RAR o ejecutables que al momento de ser abiertos por el usuario inicia el proceso de infección del equipo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-que-distribuye-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de phishing la cual distribuye el malware lokibot. El fin de esta campaña es poder infectar usuarios, para que sean inmersos en la botnet, además, poder extraer datos que podrían afectar las finanzas del usuario involucrado. Se tiene conocimiento que la distribución de esta campaña se centra en el envío de correos con archivos adjuntos de tipo RAR o ejecutables que al momento de ser abiertos por el usuario inicia el proceso de infección del equipo.
Nueva vulnerabilidad en tarjeta SIM, nombrada “WiBattack”Desde el CSIRT Financiero se identifica una nueva vulnulnerabilidad en las tarjetas SIM la cual es similar a Simjacker, que permite a atacantes rastrear los dispositivos de los usuarios ingresando de forma no autorizada a las aplicaciones del navegador de Internet inalambrico en donde se ejecutan las tarjetas SIM. Si un atacante lograra explotar la vulnerabilidad podría tomar el control de un dispositivo móvil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-en-tarjeta-sim-nombrada-201cwibattack201dhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se identifica una nueva vulnulnerabilidad en las tarjetas SIM la cual es similar a Simjacker, que permite a atacantes rastrear los dispositivos de los usuarios ingresando de forma no autorizada a las aplicaciones del navegador de Internet inalambrico en donde se ejecutan las tarjetas SIM. Si un atacante lograra explotar la vulnerabilidad podría tomar el control de un dispositivo móvil.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}