Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
APT Blind Eagle dirige sus ataques a ColombiaEn el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-blind-eagle-dirige-sus-ataques-a-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha identificado una constante campaña de phishing dirigida a entidades gubernamentales, empresas financieras, bancarias, de seguros y el sector salud en Colombia. La campaña se centra en la distribución de mensajes de correo electrónicos con documentos adjuntos con nombres como “Aviso de emergencia de detección de coronavirus” o “Aviso de procedimiento penal”, aprovechando el momento de pandemia para engañar e instar a las personas y persuadirlas para descargar, abrir o ejecutar un archivo y habilitar macros maliciosas, ocasionando la instalación de troyanos de acceso remoto (RAT) en el equipo cómputo.
Vulnerabilidad en Cajero AutomáticoEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una vulnerabilidad presente en los cajeros automáticos (ATM), para explotar la vulnerabilidad se requiere acceso físico al cajero e interceptar y modificar las comunicaciones del cajero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-cajero-automaticohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una vulnerabilidad presente en los cajeros automáticos (ATM), para explotar la vulnerabilidad se requiere acceso físico al cajero e interceptar y modificar las comunicaciones del cajero.
Actualización en la Distribución de IcedIDEn el monitoreo realizado por Csirt Financiero se ha identificado una actualización en los métodos de phishing empleados por los autores de IcedID, utilizando cuentas de correo comerciales previamente comprometidas, las cuales hacen parte de los clientes de los objetivos de los cibercriminales, esto con el fin de crear confiabilidad, dado que el cliente y la víctima ya tienen una relación comercial establecida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-en-la-distribucion-de-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por Csirt Financiero se ha identificado una actualización en los métodos de phishing empleados por los autores de IcedID, utilizando cuentas de correo comerciales previamente comprometidas, las cuales hacen parte de los clientes de los objetivos de los cibercriminales, esto con el fin de crear confiabilidad, dado que el cliente y la víctima ya tienen una relación comercial establecida.
Botnet Fritzfrog afecta servidores SSHEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-fritzfrog-afecta-servidores-sshhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza denominada Fritzfrog, se trata de una botnet punto a punto (P2P) que ejecuta malware escrito en Golang, se ejecuta en la memoria del equipo comprometido para evitar ser detectado por los sistemas antimalware. Su principal objetivo es acceder a servidores Secure Shell (SSH) a nivel mundial.
Vulnerabilidad de Memoria Compartida de IBM DB2En el monitoreo realizado por el Csirt Financiero se ha constatado la publicación de la vulnerabilidad (CVE-2020-4414) de seguridad en IBM DB2. Esta vulnerabilidad permite a un ciberdelincuente local obtener información sensible o generar una denegación de servicios mediante solicitudes específicas provocando uso inadecuado de la memoria compartida, afectando equipos con distribuciones Linux y sistemas operativos Unix y Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-memoria-compartida-de-ibm-db2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha constatado la publicación de la vulnerabilidad (CVE-2020-4414) de seguridad en IBM DB2. Esta vulnerabilidad permite a un ciberdelincuente local obtener información sensible o generar una denegación de servicios mediante solicitudes específicas provocando uso inadecuado de la memoria compartida, afectando equipos con distribuciones Linux y sistemas operativos Unix y Windows.
Hidden Cobra y el RAT BlindingcanEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hidden-cobra-y-el-rat-blindingcanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva amenaza relacionada con malware de tipo Troyano de Acceso Remoto (RAT) denominado BLINDINGCAN, la cual está asociada al grupo APT Hidden Cobra.
Venta de infostealer Purplewave en la DarkwebEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/venta-de-infostealer-purplewave-en-la-darkwebhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.
Malware loup extrae dinero de atm-ncrEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-loup-extrae-dinero-de-atm-ncrhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.
Malware XCSSET afecta equipos y dispositivos AppleEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuenteshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-xcsset-afecta-equipos-y-dispositivos-applehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuentes
Cactuspete APT Actualiza puerta trasera BisonalEn el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cactuspete-apt-actualiza-puerta-trasera-bisonalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se identificó nueva actividad del grupo cibercriminal Cactuspete APT, conocido públicamente desde el 2013 como un grupo de ciber espionaje de habla china que utiliza técnicas de nivel medio como mensajes de spearphishing con archivos adjuntos para llevar a cabo sus campañas.
Banco de Centroamérica fue Atacado por SodinokibiEn el monitoreo realizado por el Csirt Financiero, se ha identificado un ataque realizado contra CiBanco, entidad financiera de México aparentemente por el grupo Sodinokibi, REvil o Solin, quienes han revelado información del ataque públicamente y amenazan con difundir dos entregas adicionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/banco-de-centroamerica-fue-atacado-por-sodinokibihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado un ataque realizado contra CiBanco, entidad financiera de México aparentemente por el grupo Sodinokibi, REvil o Solin, quienes han revelado información del ataque públicamente y amenazan con difundir dos entregas adicionales.
Variante del malware bancario Mekotio utiliza base de datos SQL como C2En el monitoreo efectuado por el Csirt Financiero se identificaron nuevas características en una de las variantes de Mekotio. Este tipo de malware es un troyano bancario dirigido principalmente a países latinoamericanos entre los que se encuentran Brasil, Chile, México, Perú y Colombia, aunque también ha realizado afectaciones en Portugal y España.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-malware-bancario-mekotio-utiliza-base-de-datos-sql-como-c2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo efectuado por el Csirt Financiero se identificaron nuevas características en una de las variantes de Mekotio. Este tipo de malware es un troyano bancario dirigido principalmente a países latinoamericanos entre los que se encuentran Brasil, Chile, México, Perú y Colombia, aunque también ha realizado afectaciones en Portugal y España.
Malware basado en ScriptsEn el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva tendencia de ciberataques, en los cuales se está utilizando malware basado en scripts que aprovechan funciones como la secuencia de comandos, el instrumental de administración de Windows (WMI) y PowerShell, comprometiendo los registros de sistemas operativos Windows sin el uso de archivo, lo que a su vez dificulta su rastreo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-basado-en-scriptshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado una nueva tendencia de ciberataques, en los cuales se está utilizando malware basado en scripts que aprovechan funciones como la secuencia de comandos, el instrumental de administración de Windows (WMI) y PowerShell, comprometiendo los registros de sistemas operativos Windows sin el uso de archivo, lo que a su vez dificulta su rastreo.
Nuevo Grupo de ciberdelincuentes llamado RedCurlEn el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-grupo-de-ciberdelincuentes-llamado-redcurlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se identificó un nuevo grupo de habla rusa centrado en el espionaje corporativo. El grupo se dirige a empresas en todo el mundo y su objetivo principal es la captura y exfiltración de documentos con secretos comerciales y datos confidenciales de los empleados.
Nueva variante de FTCode RansomwareEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-ftcode-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.
Aumento de actividad cibercriminal de Agent TeslaEl equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemiahttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aumento-de-actividad-cibercriminal-de-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia
Vulnerabilidades en dispositivos con procesador SnapdragonEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado la identificación de cientos de vulnerabilidades a nivel de código de procesador Snapdragon SoC arquitectura Hexagon Procesador de Señal Digital (DSP) de la empresa Qualcomm. Estas vulnerabilidades afectan a los dispositivos móviles distribuidos por Google, Samsung, LG, Xiaomi, OnePlus, entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-dispositivos-con-procesador-snapdragonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado la identificación de cientos de vulnerabilidades a nivel de código de procesador Snapdragon SoC arquitectura Hexagon Procesador de Señal Digital (DSP) de la empresa Qualcomm. Estas vulnerabilidades afectan a los dispositivos móviles distribuidos por Google, Samsung, LG, Xiaomi, OnePlus, entre otros.
Nuevo RAT de la familia Carbanak llamado Gosh para LinuxDesde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-de-la-familia-carbanak-llamado-gosh-para-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.
Campañas BEC contra ejecutivos financieros a través de Office 365Desde el mes de marzo del presente año, se han evidenciado nuevas campañas de Business Email Compromise (BEC) que hacen uso de técnicas de spearphishing en cuentas de Office 365 dirigidas a altos directivos en más de 1.000 empresas en todo el mundo. Las campañas más recientes se encuentran dirigidas a puestos Senior en Estados Unidos y Canadá.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campanas-bec-contra-ejecutivos-financieros-a-traves-de-office-365http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el mes de marzo del presente año, se han evidenciado nuevas campañas de Business Email Compromise (BEC) que hacen uso de técnicas de spearphishing en cuentas de Office 365 dirigidas a altos directivos en más de 1.000 empresas en todo el mundo. Las campañas más recientes se encuentran dirigidas a puestos Senior en Estados Unidos y Canadá.
Indicadores de compromiso asociados al grupo APT TA505El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo TA505, este grupo utiliza diferentes tipos de malware que le permiten obtener acceso remoto, aceptar comandos de un servidor de comando y control (C2), extraer información de los equipos y redes comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-grupo-apt-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo TA505, este grupo utiliza diferentes tipos de malware que le permiten obtener acceso remoto, aceptar comandos de un servidor de comando y control (C2), extraer información de los equipos y redes comprometidos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}