Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Skimmer en plataforma MagentoDesde el CSIRT Financiero se detecta robo de datos de tarjetas de crédito y/o débito a través de Skimmer alojado en una plataforma de Magento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-en-plataforma-magentohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Skimmer Gstaticapi, exfiltra detalles de Pago ElectrónicoEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-gstaticapi-exfiltra-detalles-de-pago-electronicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un nuevo skimmer denominado gstaticapi, el cual ha sido diseñado para exfiltrar procesos de pagos electronico.
Skimmer inyectado en sitios web falsosTeniendo en cuenta el incremento comercial en este mes de diciembre; el CSIRT Financiero recomienda extremar las medidas de seguridad al realizar compras por internet, verificando que la url del sitio coincide con la web del sitio visitado y que su dirección empieza por https, de la misma forma revisar de manera periódica los estados de cuenta de las tarjetas de crédito, con el fin de identificar cargos por compras fraudulentas. Teniendo en cuenta lo anteriormente mencionado, el CSIRT Financiero se ha identificado un Skimmer [obtención de información de tarjetas de crédito o débito utilizado en el momento de la transacción, con la finalidad de reproducir o clonar las tarjetas], presente en sitios web de compras, el cual podría comprometer los datos de los usuarios en compras realizadas en línea.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-inyectado-en-sitios-web-falsoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Teniendo en cuenta el incremento comercial en este mes de diciembre; el CSIRT Financiero recomienda extremar las medidas de seguridad al realizar compras por internet, verificando que la url del sitio coincide con la web del sitio visitado y que su dirección empieza por https, de la misma forma revisar de manera periódica los estados de cuenta de las tarjetas de crédito, con el fin de identificar cargos por compras fraudulentas. Teniendo en cuenta lo anteriormente mencionado, el CSIRT Financiero se ha identificado un Skimmer [obtención de información de tarjetas de crédito o débito utilizado en el momento de la transacción, con la finalidad de reproducir o clonar las tarjetas], presente en sitios web de compras, el cual podría comprometer los datos de los usuarios en compras realizadas en línea.
Skimmer MobileInter apunta a dispositivos móvilesEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo skimmer web orientando a dispositivos móviles denominado MobileInter. Este skimmer ha sido identificado en marzo de 2021 pero se ha comprobado que es una versión modificada del skimmer Inter, visto por primera vez en el 2018.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-mobileinter-apunta-a-dispositivos-movileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo skimmer web orientando a dispositivos móviles denominado MobileInter. Este skimmer ha sido identificado en marzo de 2021 pero se ha comprobado que es una versión modificada del skimmer Inter, visto por primera vez en el 2018.
Skimmer Web Exfiltra Datos a través de TelegramEn el monitoreo realizado por el Csirt Financiero se ha identificado un nuevo Skimmer web que implementa técnicas modernas para evitar la detección de sus acciones. Entre las capacidades que utilizan, se pueden encontrar desde tiendas de comercio electrónico hasta archivos JavaScript, dominios y direcciones IP maliciosas. El objetivo es posteriormente realizar la exfiltración de datos financieros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmer-web-exfiltra-datos-a-traves-de-telegramhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado un nuevo Skimmer web que implementa técnicas modernas para evitar la detección de sus acciones. Entre las capacidades que utilizan, se pueden encontrar desde tiendas de comercio electrónico hasta archivos JavaScript, dominios y direcciones IP maliciosas. El objetivo es posteriormente realizar la exfiltración de datos financieros.
Skimmers encontrados en sitio web que ofrecen el servicio de PaaSDesde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al grupo de ciberdelincuentes MageCart, los cuales han comprometido varios sitios web alojados bajo el servicio PaaS [Plataforma como Servicio] a través de Skimmers [obtención de información de tarjetas de crédito o débito utilizado en el momento de la transacción, con la finalidad de reproducir o clonar las tarjetas].http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmers-encontrados-en-sitio-web-que-ofrecen-el-servicio-de-paashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al grupo de ciberdelincuentes MageCart, los cuales han comprometido varios sitios web alojados bajo el servicio PaaS [Plataforma como Servicio] a través de Skimmers [obtención de información de tarjetas de crédito o débito utilizado en el momento de la transacción, con la finalidad de reproducir o clonar las tarjetas].
Skimmers web ocultos en metadatos de imágenesEn la constante búsqueda de información realiza por el equipo del Csirt Financiero sobre amenazas que puedan afectar al sector, se ha identificado una técnica utilizada para extraer datos de tarjetas bancarias utilizadas en sitios de comercio electrónico a través de códigos maliciosos denominados web skimming.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimmers-web-ocultos-en-metadatos-de-imageneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la constante búsqueda de información realiza por el equipo del Csirt Financiero sobre amenazas que puedan afectar al sector, se ha identificado una técnica utilizada para extraer datos de tarjetas bancarias utilizadas en sitios de comercio electrónico a través de códigos maliciosos denominados web skimming.
Skimming usado en ataques de HomoglyphEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado un kit de skimming que usa ataques de homoglyph y mensajes de phishing para la realizar la infección de equipos. La amenaza consiste en registrar dominios IDN de entidades reconocidas, sustituyendo algún carácter de la URL de tal modo que a simple vista no se evidencie el cambio y pueda pasar desapercibido para el usuario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skimming-usado-en-ataques-de-homoglyphhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado un kit de skimming que usa ataques de homoglyph y mensajes de phishing para la realizar la infección de equipos. La amenaza consiste en registrar dominios IDN de entidades reconocidas, sustituyendo algún carácter de la URL de tal modo que a simple vista no se evidencie el cambio y pueda pasar desapercibido para el usuario.
Skuld: El Infostealer Emergente que Desafía la Seguridad DigitalUn nuevo infostealer llamado Skuld basado en lenguaje de programación Golang que compromete sistemas Windows, ha surgido como una amenaza significativa en Europa, el sudeste asiático y EE. UU. Este malware tiene como objetivo capturar información confidencial de sus víctimas, incluyendo datos almacenados en aplicaciones como Discord y navegadores web, así como información del sistema y archivos en las carpetas de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/skuld-el-infostealer-emergente-que-desafia-la-seguridad-digitalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un nuevo infostealer llamado Skuld basado en lenguaje de programación Golang que compromete sistemas Windows, ha surgido como una amenaza significativa en Europa, el sudeste asiático y EE. UU. Este malware tiene como objetivo capturar información confidencial de sus víctimas, incluyendo datos almacenados en aplicaciones como Discord y navegadores web, así como información del sistema y archivos en las carpetas de las víctimas.
Slothfulmedia, troyano de acceso remoto.En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un malware denominado SlothfulMedia, el cual tiene características de Dropper , encargado de desplegar dos archivos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/slothfulmedia-troyano-de-acceso-remotohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado un malware denominado SlothfulMedia, el cual tiene características de Dropper , encargado de desplegar dos archivos maliciosos.
SMAUG, Ransomware como Servicio (RaaS)Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de ransomware como servicio (RaaS) en los foros clandestinos de la deep web. El malware conocido como Smaug es un servicio diseñado para aquellos ciberdelincuentes principiantes que desean ingresar al mundo cibercriminal.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/smaug-ransomware-como-servicio-raashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de ransomware como servicio (RaaS) en los foros clandestinos de la deep web. El malware conocido como Smaug es un servicio diseñado para aquellos ciberdelincuentes principiantes que desean ingresar al mundo cibercriminal.
SmokeLoader distribuye un nuevo malware de escaneo de Wi-Fi denominado Whiffy ReconMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad relacionada con SmokeLoader, en esta campaña se observó que esta relacionado con el uso de un nuevo software malicioso de escaneo de Wi-Fi denominado Whiffy Recon.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/smokeloader-distribuye-un-nuevo-malware-de-escaneo-de-wi-fi-denominado-whiffy-reconhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad relacionada con SmokeLoader, en esta campaña se observó que esta relacionado con el uso de un nuevo software malicioso de escaneo de Wi-Fi denominado Whiffy Recon.
SnakeKeylogger se difunde mediante correos phishingMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que difunde el setaler llamado SnakeKeylogger.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/snakekeylogger-se-difunde-mediante-correos-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que difunde el setaler llamado SnakeKeylogger.
SocGholish distribuye AsyncRAT y BOINCMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que distribuye el troyano AsyncRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/socgholish-distribuye-asyncrat-y-boinchttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que distribuye el troyano AsyncRAT.
Sodinokibi la nueva variante de los Ransomware Sodin o REvil.Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero y causar daños en su entidad, se trata del troyano catalogado como ransomware Sodinokibi, también conocido como Sodin o REvil. El ransomware utiliza una vulnerabilidad antigua de día cero de Windows para elevarse a sí mismo con el objetivo final de administrar el acceso en los dispositivos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/sodinokibi-la-nueva-variante-de-los-ransomware-sodin-o-revilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una amenaza la cual podría impactar sobre el sector financiero y causar daños en su entidad, se trata del troyano catalogado como ransomware Sodinokibi, también conocido como Sodin o REvil. El ransomware utiliza una vulnerabilidad antigua de día cero de Windows para elevarse a sí mismo con el objetivo final de administrar el acceso en los dispositivos infectados.
Software PyCharm troyanizado y distribuido a través de ADSA través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero observó una nueva campaña de Anuncios Dinámicos de Búsqueda(ADS); una campaña que se basa en la inyección de código en sitios web con la finalidad de promover versiones alteradas del Entorno de desarrollo integrado (IDE) para desarrolladores en lenguaje Python denominado PyCharm.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/software-pycharm-troyanizado-y-distribuido-a-traves-de-adshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero observó una nueva campaña de Anuncios Dinámicos de Búsqueda(ADS); una campaña que se basa en la inyección de código en sitios web con la finalidad de promover versiones alteradas del Entorno de desarrollo integrado (IDE) para desarrolladores en lenguaje Python denominado PyCharm.
Solarwinds Orion, omisión de autenticación de la API, permite ejecución remota de comandosEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero evidenció una nueva vulnerabilidad en los productos de SolarWinds Orion. Debido a los diferentes eventos ocasionados a los productos de SolarWinds, se ha evidenciado que la API de SolarWinds Orion presenta una vulnerabilidad en la omisión de autenticación, lo que permite la ejecución remota de comandos. La API de SolarWinds Orion, se usa para interactuar con los productos de SolarWinds Orion Platform. El fallo de seguridad permite que la autenticación se pueda omitir al incluir parámetros específicos en la Request.PathInfo en una parte de una solicitud URL, lo que otorgaría la ejecución de comandos de API no autenticados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/solarwinds-orion-omision-de-autenticacion-de-la-api-permite-ejecucion-remota-de-comandoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero evidenció una nueva vulnerabilidad en los productos de SolarWinds Orion. Debido a los diferentes eventos ocasionados a los productos de SolarWinds, se ha evidenciado que la API de SolarWinds Orion presenta una vulnerabilidad en la omisión de autenticación, lo que permite la ejecución remota de comandos. La API de SolarWinds Orion, se usa para interactuar con los productos de SolarWinds Orion Platform. El fallo de seguridad permite que la autenticación se pueda omitir al incluir parámetros específicos en la Request.PathInfo en una parte de una solicitud URL, lo que otorgaría la ejecución de comandos de API no autenticados.
Soluciones de Microsoft frente a ataque contra SolarwindsEl equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar nuevas soluciones ejecutadas por Microsoft para hacerle frente a los recientes ataques contra las aplicaciones de SolarWinds; para ello Microsoft han decidido poner en cuarentena las versiones de SolarWinds Orion Platform que sospechan contienen el malware Solorigate (SUNBURST).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/soluciones-de-microsoft-frente-a-ataque-contra-solarwindshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar nuevas soluciones ejecutadas por Microsoft para hacerle frente a los recientes ataques contra las aplicaciones de SolarWinds; para ello Microsoft han decidido poner en cuarentena las versiones de SolarWinds Orion Platform que sospechan contienen el malware Solorigate (SUNBURST).
SonicWall identifica un ciberataque en sus sistemas internosEn el monitoreo a fuentes de información, el equipo de Csirt financiero encontró que la firma de seguridad SonicWall, fue víctima de un ciberataque coordinado en sus sistemas internos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/sonicwall-identifica-un-ciberataque-en-sus-sistemas-internoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes de información, el equipo de Csirt financiero encontró que la firma de seguridad SonicWall, fue víctima de un ciberataque coordinado en sus sistemas internos.
SOUMNIBOT TROYANO BANCARIO MOVIL QUE ATACA A USUARIOS ANDROIDA través de actividades de monitoreo en busca de nuevas amenazas o actividades maliciosas, el equipo del Csirt Financiero observó un nuevo troyano bancario llamado SoumniBot está poniendo en riesgo a los usuarios de Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/soumnibot-troyano-bancario-movil-que-ataca-a-usuarios-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo en busca de nuevas amenazas o actividades maliciosas, el equipo del Csirt Financiero observó un nuevo troyano bancario llamado SoumniBot está poniendo en riesgo a los usuarios de Android.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}