Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña de Phishing la cual se distribuye en URL’s legitimas y falsasDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-la-cual-se-distribuye-en-urls-legitimas-y-falsashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Campaña de phishing multitemática utiliza archivos HTML y bots de Telegram para la captura de credencialesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing multitemática orientada a la captura de credenciales mediante archivos HTML adjuntos en correos electrónicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-multitematica-utiliza-archivos-html-y-bots-de-telegram-para-la-captura-de-credencialeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing multitemática orientada a la captura de credenciales mediante archivos HTML adjuntos en correos electrónicos.
Campaña de phishing para capturar credenciales de plataforma WebexEl equipo del Csirt Financiero ha identificado un ataque de phishing a través de mensajes de correo electrónico relacionado como señuelo una vulnerabilidad crítica “falsa” de Cisco, para que los usuarios de la plataforma de videoconferencias WebEx ingresen sus credenciales en formularios fraudulentos y de esta forma los ciberdelincuentes obtienen las credenciales de las videoconferencias capturando información y documentación sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-para-capturar-credenciales-de-plataforma-webexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un ataque de phishing a través de mensajes de correo electrónico relacionado como señuelo una vulnerabilidad crítica “falsa” de Cisco, para que los usuarios de la plataforma de videoconferencias WebEx ingresen sus credenciales en formularios fraudulentos y de esta forma los ciberdelincuentes obtienen las credenciales de las videoconferencias capturando información y documentación sensible.
Campaña de phishing para la distribución de Quasar RATGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Quasar RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-para-la-distribucion-de-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Quasar RAT.
Campaña de Phishing que distribuye LokibotSe ha identificado una campaña de phishing la cual distribuye el malware lokibot. El fin de esta campaña es poder infectar usuarios, para que sean inmersos en la botnet, además, poder extraer datos que podrían afectar las finanzas del usuario involucrado. Se tiene conocimiento que la distribución de esta campaña se centra en el envío de correos con archivos adjuntos de tipo RAR o ejecutables que al momento de ser abiertos por el usuario inicia el proceso de infección del equipo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-que-distribuye-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de phishing la cual distribuye el malware lokibot. El fin de esta campaña es poder infectar usuarios, para que sean inmersos en la botnet, además, poder extraer datos que podrían afectar las finanzas del usuario involucrado. Se tiene conocimiento que la distribución de esta campaña se centra en el envío de correos con archivos adjuntos de tipo RAR o ejecutables que al momento de ser abiertos por el usuario inicia el proceso de infección del equipo.
Campaña de phishing que suplanta a Microsoft con falso servicio de Google reCAPTCHAEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha observado una campaña de suplantación dirigida a líderes empresariales y altos ejecutivos de organizaciones de diferentes sectores, con especial actividad en el sector bancario y servicios de TI.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-que-suplanta-a-microsoft-con-falso-servicio-de-google-recaptchahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha observado una campaña de suplantación dirigida a líderes empresariales y altos ejecutivos de organizaciones de diferentes sectores, con especial actividad en el sector bancario y servicios de TI.
Campaña de phishing que utiliza las herramientas Imtheboss y MircbootEn el monitoreo realizado a fuentes abiertas de información el equipo del Csirt Financiero ha identificado una campaña de phishing dirigida a múltiples organizaciones en todo el mundo y usuarios que utilicen Office 365 para capturar y exfiltrar las credenciales de acceso a esta plataforma.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-que-utiliza-las-herramientas-imtheboss-y-mircboothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información el equipo del Csirt Financiero ha identificado una campaña de phishing dirigida a múltiples organizaciones en todo el mundo y usuarios que utilicen Office 365 para capturar y exfiltrar las credenciales de acceso a esta plataforma.
Campaña de phishing refleja páginas legítimas de organizaciones para exfiltrar credenciales de accesoRecientemente se ha detectado una campaña masiva de phishing que tiene como objetivo la captura y exfiltración de credenciales de acceso a cuentas de correos corporativas, esto se realiza a través la generación de sitios web que suplantan a portales de organizaciones legítimas, esta actividad se encuentra dirigida a cuentas de correo de Google.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-refleja-paginas-legitimas-de-organizaciones-para-exfiltrar-credenciales-de-accesohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha detectado una campaña masiva de phishing que tiene como objetivo la captura y exfiltración de credenciales de acceso a cuentas de correos corporativas, esto se realiza a través la generación de sitios web que suplantan a portales de organizaciones legítimas, esta actividad se encuentra dirigida a cuentas de correo de Google.
Campaña de phishing selectivo contra ejecutivos financieros con uso malicioso de NetBirdDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing selectivo dirigida a ejecutivos, específicamente directores financieros (CFO) y otros altos cargos relacionadoshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-selectivo-contra-ejecutivos-financieros-con-uso-malicioso-de-netbirdhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing selectivo dirigida a ejecutivos, específicamente directores financieros (CFO) y otros altos cargos relacionados
Campaña de phishing suplanta servicios legítimos de MicrosoftEn el monitoreo continuo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo método de captura de datos empleado por ciberdelincuentes en una campaña de phishing suplantando a plataformas legitimas de Microsoft.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-suplanta-servicios-legitimos-de-microsofthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo método de captura de datos empleado por ciberdelincuentes en una campaña de phishing suplantando a plataformas legitimas de Microsoft.
Campaña de phishing suplanta a la aplicación de servicio al cliente de entidad financiera en IndiaA través del monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una campaña de phishing que descarga una aplicación que suplanta el servicio al cliente de una entidad financiera en India; esta APP captura y reenvía los mensajes de texto hacia los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-suplanta-a-la-aplicacion-de-servicio-al-cliente-de-entidad-financiera-en-indiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una campaña de phishing que descarga una aplicación que suplanta el servicio al cliente de una entidad financiera en India; esta APP captura y reenvía los mensajes de texto hacia los ciberdelincuentes.
Campaña de phishing usa mensaje de migración de OutlookEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña de phishing, la cual usa el mensaje de migración de Microsoft Outlook, para la recolección y exfiltración de credenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-usa-mensaje-de-migracion-de-outlookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña de phishing, la cual usa el mensaje de migración de Microsoft Outlook, para la recolección y exfiltración de credenciales.
Campaña de phishing utiliza archivos SVG para distribuir Amatera Stealer y PureMinerDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing dirigida contra usuarios en Ucrania que emplea archivos SVG maliciosos como vector de ataque.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-utiliza-archivos-svg-para-distribuir-amatera-stealer-y-pureminerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing dirigida contra usuarios en Ucrania que emplea archivos SVG maliciosos como vector de ataque.
Campaña de phishing utiliza falsos mensajes de Microsoft TeamsEn el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-utiliza-falsos-mensajes-de-microsoft-teamshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.
Campaña de secuestro de DNSCampaña de secuestro de DNS llamada “Tortuga marina” dirigida a organizaciones de seguridad nacional del Medio Oriente y África del norte.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-secuestro-de-dnshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña de secuestro de tráfico DNS en enrutadores D-Link, Secutech, TOTOLINKSe ha evidenciado una campaña de secuestro DNS dirigidos a varios tipos de enrutadores, la campaña inició con un primer ataque a finales de 2018, el segundo realizado a principios de febrero y el tercer y último ataque el 26 de marzo de 2019.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-secuestro-de-trafico-dns-en-enrutadores-d-link-secutech-totolinkhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha evidenciado una campaña de secuestro DNS dirigidos a varios tipos de enrutadores, la campaña inició con un primer ataque a finales de 2018, el segundo realizado a principios de febrero y el tercer y último ataque el 26 de marzo de 2019.
Campaña de Silver Fox explota controladores legítimos para desplegar ValleyRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-silver-fox-explota-controladores-legitimos-para-desplegar-valleyrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña en curso atribuida al grupo Silver Fox APT, caracterizada por el abuso de controladores legítimos para desactivar mecanismos de seguridad en sistemas Windows. Los ciberdelincuentes aprovecharon un controlador firmado por Microsoft (amsdk.sys de WatchDog Antimalware), el cual no estaba incluido en las listas públicas de controladores vulnerables ni en la de Microsoft ni en bases comunitarias como LOLDrivers.
Campaña de Spam distribuyendo Tender Quotation2Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-spam-distribuyendo-tender-quotation2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.
Campaña de Spam distribuyendo malwareDesde del CSIRT Financiero se detecta una campaña de Spam la cual distribuye el troyano Kryptik tipo RAT (Troyano con capacidades de instalar herramientas de acceso remoto en el sistema infectado, realizando estas actividades sin ser detectado, logrando ejecutar malware adicional o componentes maliciosos) a través de un documento de Microsoft Word.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-tipo-rat-se-distribuye-mediante-campana-de-spamhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde del CSIRT Financiero se detecta una campaña de Spam la cual distribuye el troyano Kryptik tipo RAT (Troyano con capacidades de instalar herramientas de acceso remoto en el sistema infectado, realizando estas actividades sin ser detectado, logrando ejecutar malware adicional o componentes maliciosos) a través de un documento de Microsoft Word.
Campaña de spearphishing con cambios en la distribución de AsyncRATEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de distribución del troyano de acceso remoto denominado AsyncRAT con una modificación en su cadena de infección. Cabe recordar que este RAT (Troyano de Acceso Remoto) ha estado presente en constantes campañas en contra del sector financiero colombiano.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-spearphishing-con-cambios-en-la-distribucion-de-asyncrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de distribución del troyano de acceso remoto denominado AsyncRAT con una modificación en su cadena de infección. Cabe recordar que este RAT (Troyano de Acceso Remoto) ha estado presente en constantes campañas en contra del sector financiero colombiano.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}