Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña activa distribuye Android/BankBot-YNRK.El equipo de analistas del Csirt Financiero ha identificado una campaña activa de distribución de Android/BankBot-YNRK, un troyano bancario dirigido al compromiso de dispositivos Android, esta amenaza está orientada a la recolección de credenciales financieras, el control remoto del sistema y la ejecución de operaciones fraudulentas mediante el abuso de servicios de accesibilidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-android-bankbot-ynrkhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa de distribución de Android/BankBot-YNRK, un troyano bancario dirigido al compromiso de dispositivos Android, esta amenaza está orientada a la recolección de credenciales financieras, el control remoto del sistema y la ejecución de operaciones fraudulentas mediante el abuso de servicios de accesibilidad.
Campaña activa distribuye remcosRAT mediante phishingEl equipo del Csirt Financiero ha identificado una campaña activa en la que ciberdelincuentes están distribuyendo el troyano de acceso remoto RemcosRAT a través de correos electrónicos maliciosos que incluyen archivos Office con macros embebidas, así como páginas web comprometidas que implementan técnicas de HTML Smuggling.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-remcosrat-mediante-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña activa en la que ciberdelincuentes están distribuyendo el troyano de acceso remoto RemcosRAT a través de correos electrónicos maliciosos que incluyen archivos Office con macros embebidas, así como páginas web comprometidas que implementan técnicas de HTML Smuggling.
Campaña activa distribuye RustyStealerEl equipo de analistas del Csirt Financiero ha identificado y dado seguimiento a una campaña activa de distribución de RustyStealer, una amenaza de tipo infostealer desarrollada en lenguaje Rust y orientada a la toma masiva de credenciales e información sensible desde equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-activa-distribuye-rustystealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado y dado seguimiento a una campaña activa de distribución de RustyStealer, una amenaza de tipo infostealer desarrollada en lenguaje Rust y orientada a la toma masiva de credenciales e información sensible desde equipos comprometidos.
Campaña AggahCampaña aprovecha varios servicios legítimos C&C con el objetivo final de instalar RevengeRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-aggahhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña asociada a ZuoRAT una amenaza dirigida a enrutadoresDurante los últimos días se ha observado una campaña relacionada con un malware sigiloso que va dirigido a explotar vulnerabilidades de diferentes marcas de enrutadores, este tiene la capacidad de controlar los dispositivos enlazados a su red con sistemas operativos Windows, MacOS y Linux; con base a lo anterior la infraestructura tecnológica de los asociados podría verse impactada por este troyano de acceso remoto denominado ZuoRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-asociada-a-zuorat-una-amenaza-dirigida-a-enrutadoreshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos días se ha observado una campaña relacionada con un malware sigiloso que va dirigido a explotar vulnerabilidades de diferentes marcas de enrutadores, este tiene la capacidad de controlar los dispositivos enlazados a su red con sistemas operativos Windows, MacOS y Linux; con base a lo anterior la infraestructura tecnológica de los asociados podría verse impactada por este troyano de acceso remoto denominado ZuoRAT.
Campaña basada en ClickFix entrega Amatera Stealer y NetSupport RATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza el vector de acceso ClickFix para distribuir la amenaza Amatera Stealer y, en una fase posterior, el módulo de control remoto NetSupport RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-basada-en-clickfix-entrega-amatera-stealer-y-netsupport-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que utiliza el vector de acceso ClickFix para distribuir la amenaza Amatera Stealer y, en una fase posterior, el módulo de control remoto NetSupport RAT.
Campaña de amenazas cibernéticas podrían explotar vulnerabilidad en WordPress.El CSIRT Financiero ha identificado a través de sus fuentes de información una nueva campaña de amenazas cibernéticas enfocadas a la explotación de vulnerabilidades de plugins usados por el famoso CMS WordPress. Estas amenazas tienen como objetivo redirigir a las víctimas a sitios web controlados por los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-amenazas-ciberneticas-podrian-explotar-vulnerabilidad-en-wordpresshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado a través de sus fuentes de información una nueva campaña de amenazas cibernéticas enfocadas a la explotación de vulnerabilidades de plugins usados por el famoso CMS WordPress. Estas amenazas tienen como objetivo redirigir a las víctimas a sitios web controlados por los ciberdelincuentes.
Campaña de AsyncRAT dirigida a empleados de entidad financieraEl Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-asyncrat-dirigida-a-empleados-de-entidad-financierahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.
Campaña de AsyncRat enfocada en ColombiaGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución de AsyncRAT. La fase de distribución no difiere de otros analizados anteriormente por el Csirt, puesto que los ciberdelincuentes detrás de estas campañas siguen usando mensajes de correo electrónico suplantando entidades con técnicas de phishing, en las que comunican supuestas transacciones bancarias, que pueden ser descargadas desde un repositorio de nube pública como Dropbox.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-asyncrat-enfocada-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución de AsyncRAT. La fase de distribución no difiere de otros analizados anteriormente por el Csirt, puesto que los ciberdelincuentes detrás de estas campañas siguen usando mensajes de correo electrónico suplantando entidades con técnicas de phishing, en las que comunican supuestas transacciones bancarias, que pueden ser descargadas desde un repositorio de nube pública como Dropbox.
Campaña de ataques a servidores Linux SSH expuestosRecientemente, se ha identificado una campaña de ataque en la que se instaló el bot Tsunami DDoS en servidores Linux SSH administrados incorrectamente. Este ataque también involucró otros códigos maliciosos como ShellBot, XMRig Coin Miner y Log Cleaner. Los ataques dirigidos a servidores Linux SSH mal administrados suelen resultar en la instalación de bots DDoS o malware de minería de monedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ataques-a-servidores-linux-ssh-expuestoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una campaña de ataque en la que se instaló el bot Tsunami DDoS en servidores Linux SSH administrados incorrectamente. Este ataque también involucró otros códigos maliciosos como ShellBot, XMRig Coin Miner y Log Cleaner. Los ataques dirigidos a servidores Linux SSH mal administrados suelen resultar en la instalación de bots DDoS o malware de minería de monedas.
Campaña de Bloody Wolf distribuye NetSupport RAT mediante archivos JARDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-bloody-wolf-distribuye-netsupport-rat-mediante-archivos-jarhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña atribuida al grupo APT Bloody Wolf, la cual se ha extendido por varios países de Asia Central.
Campaña de ciberataque "Horabot" amenaza a usuarios de habla hispana en América LatinaUna campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ciberataque-horabot-amenaza-a-usuarios-de-habla-hispana-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.
Campaña de Ciberespionage Dukong utiliza temas de COVID 19 para comprometer Dispositivos Android.El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-ciberespionage-dukong-utiliza-temas-de-covid-19-para-comprometer-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.
Campaña de correo electrónico LokibotSe detecta una campaña de correo electrónico distribuyendo lokibot a través de un archivo .xls, Lokibot es un troyano bancario especialmente diseñado para Windows y Android; en Windows cuenta con capacidades tales como robo de contraseñas en diferentes navegadores, carteras de criptomonedas, servidores FTP, clientes de correo electrónico, herramientas de tipo TI como Putty y en Android podría simular ser la pantalla de una app bancaria, WhatsApp, Skype y Outlook, mostrando notificaciones falsas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-correo-electronico-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta una campaña de correo electrónico distribuyendo lokibot a través de un archivo .xls, Lokibot es un troyano bancario especialmente diseñado para Windows y Android; en Windows cuenta con capacidades tales como robo de contraseñas en diferentes navegadores, carteras de criptomonedas, servidores FTP, clientes de correo electrónico, herramientas de tipo TI como Putty y en Android podría simular ser la pantalla de una app bancaria, WhatsApp, Skype y Outlook, mostrando notificaciones falsas.
Campaña de correo electrónico no deseado que distribuye malware para explotar vulnerabilidades de Microsoft OfficeSe identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-correo-electronico-no-deseado-que-distribuye-malware-para-explotar-vulnerabilidades-de-microsoft-officehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.
Campaña de correo electrónico que distribuye el malware Lokibot.Campaña de correo que distribuye el malware Lokibot a través de un archivo adjunto .docxhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-correo-electronico-que-distribuye-el-malware-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña de correo en donde se distribuía el Malware FormbookCampaña de Malware a través de correo correo electrónico que intenta engañar al usuario para hacerlo creer que es un correo legítimo de la compañía Hillconmining (registros de recursos DNS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-correo-en-donde-se-distribuia-el-malware-formbookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña de Malware a través de correo correo electrónico que intenta engañar al usuario para hacerlo creer que es un correo legítimo de la compañía Hillconmining (registros de recursos DNS).
Campaña de distribución de Bazar Loader que emplea a Anchor_DNSEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado nueva actividad del backdoor Bazar Loader, el cual utiliza al módulo de Trickbot denominado Anchor_DNS para facilitar la intrusión a una red comprometida. Ambos backdoors son asociados al grupo detrás del troyano Trickbot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-bazar-loader-que-emplea-a-anchor_dnshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado nueva actividad del backdoor Bazar Loader, el cual utiliza al módulo de Trickbot denominado Anchor_DNS para facilitar la intrusión a una red comprometida. Ambos backdoors son asociados al grupo detrás del troyano Trickbot.
Campaña de distribución de DeerStealer mediante archivos .LNK y LOLBinsDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de DeerStealer, un stealer cuya funcionalidad principal consiste en capturar información sensible almacenada en los equipos de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-deerstealer-mediante-archivos-lnk-y-lolbinshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de distribución de DeerStealer, un stealer cuya funcionalidad principal consiste en capturar información sensible almacenada en los equipos de las víctimas.
Campaña de distribución de diferentes familias de troyanosEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de distribución de malware mediante documentos ofimáticos, la cual es empleada por ciberdelincuentes para entregar los troyanos: Agent tesla, Dridex y Formbook.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-diferentes-familias-de-troyanoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de distribución de malware mediante documentos ofimáticos, la cual es empleada por ciberdelincuentes para entregar los troyanos: Agent tesla, Dridex y Formbook.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}