Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Un nuevo stealer denominado Mitsu es distribuido por medio de sitios phishingLos actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-denominado-mitsu-es-distribuido-por-medio-de-sitios-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.
Un nuevo stealer en la naturaleza denominado TyphonLas técnicas de ingeniería social generalmente son usadas por los ciberdelincuentes para persuadir al usuario a realizar acciones inintencionadas que podrán afectar la seguridad de su información, lo que les permite llevar a cabo su objetivo principal el cual es obtener ganancias económicas; en esta ocasión se observó una campaña que distribuye un archivo embebido con una URL que redirecciona a un sitio web de tipo phishing y paralelamente genera la descarga de un malware de tipo stealer denominado Typhon.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-stealer-en-la-naturaleza-denominado-typhonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las técnicas de ingeniería social generalmente son usadas por los ciberdelincuentes para persuadir al usuario a realizar acciones inintencionadas que podrán afectar la seguridad de su información, lo que les permite llevar a cabo su objetivo principal el cual es obtener ganancias económicas; en esta ocasión se observó una campaña que distribuye un archivo embebido con una URL que redirecciona a un sitio web de tipo phishing y paralelamente genera la descarga de un malware de tipo stealer denominado Typhon.
Un nuevo troyano bancario denominado Zanubis visto en campañas dirigidas a bancos de LatinoaméricaLos actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-troyano-bancario-denominado-zanubis-visto-en-campanas-dirigidas-a-bancos-de-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los actores de amenaza no cesan de generar nuevas familias de malware en la naturaleza, recientemente se rastreó una campaña dirigida al sector financiero de Perú; este ataque fue perpetuado con un nuevo troyano bancario nombrado Zanubis por su clave de descifrado, por otra parte se descubrió que se basa en la explotación de funciones de accesibilidad automatizada del sistema, no obstante continúa en constante desarrollo ya que las muestras vistas en dicha campaña no parecen ser versiones finales, asimismo es evidente que los ciberdelincuentes crearán nuevas campañas hacia bancos de Latinoamérica.
Un nuevo wiper denominado Azov aparece en la naturalezaLos ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/un-nuevo-wiper-denominado-azov-aparece-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberataques se han reproducido de manera exponencial durante los últimos meses de ahí que surjan nuevas amenazas en la naturaleza, justamente recientemente se descubrió un destructivo wiper denominado Azov que se distribuye activamente a nivel global; la campaña en curso ha logrado impactar distintas organizaciones cifrando y eliminando su información, no obstante, la criticidad de ser infectado con Azov es que los actores de amenaza no asociaron ningún medio de comunicación.
Una nueva versión del troyano bancario Sova demuestra su constante evoluciónEn la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/una-nueva-version-del-troyano-bancario-sova-demuestra-su-constante-evolucionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).
Una ruta específica en el navegador genera un error de pantalla azul en Windows 10En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/una-ruta-especifica-en-el-navegador-genera-un-error-de-pantalla-azul-en-windows-10http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, encontró un error en el sistema operativo Windows 10, que es causado a través de una ruta especifica en el navegador o haciendo uso de comandos de Windows. Este error aún no ha sido solucionado por Microsoft, se ha evidenciado que sigue presente en Windows 10 versión 1709 y posteriores. Lo que puede causar un ataque de denegación de servicio en un equipo, cuando se logra ejecutar la ruta, situación que se presenta incluso sin tener privilegio de administrador sobre el equipo. Al intentar abrir la siguiente ruta “\\.\globalroot\device\condrv\kernelconnect”, aun sin tener privilegio de administrador, Windows 10 se bloquea, causando un error de pantalla azul. Cabe resaltar que dicha prueba fue ejecutada por el equipo del Csirt Financiero para validar dicho proceso de bloqueo.
UNC2891 y el uso encubierto de Raspberry Pi para comprometer cajeros automáticos (ATM)Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el grupo de ciberdelincuencia identificado como UNC2891 (también conocido como LightBasin) donde aplican una nueva variante de ataque a la infraestructura bancaria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/unc2891-y-el-uso-encubierto-de-raspberry-pi-para-comprometer-cajeros-automaticos-atmhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa relacionada con el grupo de ciberdelincuencia identificado como UNC2891 (también conocido como LightBasin) donde aplican una nueva variante de ataque a la infraestructura bancaria.
Underground Team Ransomware: una nueva amenaza cibernéticaA medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/underground-team-ransomware-una-nueva-amenaza-ciberneticahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto. En este contexto, se ha descubierto una nueva cepa de ransomware llamada "Underground team ransomware", que presenta características distintivas en su nota de rescate y en sus métodos de ataque.
Unidades de procesamiento gráfico de Intel permiten la filtración de informaciónLas unidades de procesamiento gráfico (GPU) de Intel pueden ser vulnerables ya que se puede generar una filtración de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/unidades-de-procesamiento-grafico-de-intel-permiten-la-filtracion-de-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
UNIZA: La nueva amenaza de ransomware que cifra archivos sin agregar extensiónLa ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uniza-la-nueva-amenaza-de-ransomware-que-cifra-archivos-sin-agregar-extensionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La ciberseguridad es un tema cada vez más importante en la era digital, y desafortunadamente, el mundo de los ataques cibernéticos está en constante evolución. Recientemente, se ha descubierto una nueva variante de ransomware llamada UNIZA, que cifra archivos en las equipos de las víctimas para después exigir un pago de rescate en Bitcoin, a cambio de proporcionar la clave de descifrado.
URL maliciosa que captura credenciales de Office 365Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/url-maliciosa-que-captura-credenciales-de-office-365http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.
USN-3928-1: Vulnerabilidad de DovecotNuevas vulnerabilidades en Dovecot servidor de correo basado en IMAP y POP3 podría permitir que un atacante logre un desbordamiento de búfer y se puede usar para elevar a la raíz.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/usn-3928-1-vulnerabilidad-de-dovecothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevas vulnerabilidades en Dovecot servidor de correo basado en IMAP y POP3 podría permitir que un atacante logre un desbordamiento de búfer y se puede usar para elevar a la raíz.
Uso de Clickfix y Havoc Demon para la distribución de malwareDurante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado una nueva campaña de distribución de malware que emplea la técnica de ingeniería social ClickFix y el marco de C2 de código abierto Havoc Demon.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-clickfix-y-havoc-demon-para-la-distribucion-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha detectado una nueva campaña de distribución de malware que emplea la técnica de ingeniería social ClickFix y el marco de C2 de código abierto Havoc Demon.
Uso de Runspace en PowerShell para lanzar a REVIL ransomwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-runspace-en-powershell-para-lanzar-a-revil-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.
Uso de Sim Swapping y Telegram para exfiltrar datos de dispositivos móvilesEl equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/uso-de-sim-swapping-y-telegram-para-exfiltrar-datos-de-dispositivos-movileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha evidenciado una creciente tendencia en el uso de la técnica Sim Swapping, utilizada con el fin de comprometer los dispositivos móviles iOS o Android. Como elemento diferenciador de este modus operandi, se ha comprobado el uso de los mensajes SMS que envía la aplicación de Telegram para tomar el control de los dispositivos móviles, la cual puede afectar directamente a clientes de entidades financieras.
Utilización de Bulletproof hostings por parte de grupos de MagecartEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/utilizacion-de-bulletproof-hostings-por-parte-de-grupos-de-magecarthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.
Utilización de script de AHK para la distribución de RATEn el monitoreo a fuentes abiertas de información, el Csirt Financiero identifica una campaña de distribución de varias familias de troyanos de acceso remoto (RAT) a través de scripts compilados en AutoHotkey (AHK).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/utilizacion-de-script-de-ahk-para-la-distribucion-de-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero identifica una campaña de distribución de varias familias de troyanos de acceso remoto (RAT) a través de scripts compilados en AutoHotkey (AHK).
Utilizan atributos de CSS para realizar campaña de phishing.El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/utilizan-atributos-de-css-para-realizar-campana-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.
Valak 2.0 exfiltrador de informaciónMediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el descargador del malware Valak versión 2.0. En esta nueva versión, implementa características diseñadas para evadir los parámetros de seguridad circundantes en el sistema a comprometer. Se enfoca hacia perfiles como administradores de dominio, intentando exfiltrar la mayor cantidad de información sensible y causar un mayor impacto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/valak-2-0-exfiltrador-de-informacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el descargador del malware Valak versión 2.0. En esta nueva versión, implementa características diseñadas para evadir los parámetros de seguridad circundantes en el sistema a comprometer. Se enfoca hacia perfiles como administradores de dominio, intentando exfiltrar la mayor cantidad de información sensible y causar un mayor impacto.
Variante actualizada de ransomware Phobos/FairEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-actualizada-de-ransomware-phobos-fairhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}