Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Indicadores de compromiso relacionados al ransomware LooCipherLooCipher, trabaja en conjunto con otros tipos de ransomware para realizar ataques dirigidos; su objetivo principal es la de cifrar la información y exigir a los usuarios un pago por la “liberación” de la misma.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-ransomware-loocipherhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
LooCipher, trabaja en conjunto con otros tipos de ransomware para realizar ataques dirigidos; su objetivo principal es la de cifrar la información y exigir a los usuarios un pago por la “liberación” de la misma.
Vulnerabilidad en complementos de WordPressDesde el CSIRT Financiero se han evidenciado dos vulnerabilidades asociadas a los complementos “Elementor y Beaver”, las cuales podrían permitir que un atacante lograra hackear sitios web que se encuentren creados en WordPress.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-complementos-de-wordpresshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han evidenciado dos vulnerabilidades asociadas a los complementos “Elementor y Beaver”, las cuales podrían permitir que un atacante lograra hackear sitios web que se encuentren creados en WordPress.
Botnet Echobot implementa nuevas vulnerabilidades.Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-echobot-implementa-nuevas-vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.
Variante del Ransomware Snatch afecta el modo seguro de WindowsEn investigaciones realizadas por el CSIRT Financiero, se detecta una variante del ransomware Snatch, que consiste en reiniciar equipos Windows en modo seguro, con el objetivo de no ser detectado por los antivirus. Snatch ha generado campañas de ataques dirigidas contra Estados Unidos, Canadá y algunos países europeos en lo corrido del segundo semestre del año en curso, sin descartar que estén comprometidas organizaciones alrededor del mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-ransomware-snatch-afecta-el-modo-seguro-de-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En investigaciones realizadas por el CSIRT Financiero, se detecta una variante del ransomware Snatch, que consiste en reiniciar equipos Windows en modo seguro, con el objetivo de no ser detectado por los antivirus. Snatch ha generado campañas de ataques dirigidas contra Estados Unidos, Canadá y algunos países europeos en lo corrido del segundo semestre del año en curso, sin descartar que estén comprometidas organizaciones alrededor del mundo.
Nuevos indicadores de compromiso asociados al ransomware RyukDesde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a un ataque realizado al Ayuntamiento de Nueva Orleans por el troyano de tipo ransomware Ryuk.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-ransomware-ryukhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a un ataque realizado al Ayuntamiento de Nueva Orleans por el troyano de tipo ransomware Ryuk.
Nuevos indicadores de compromiso asociados al Ransomware ZeppelinEl CSIRT financiero a través de sus investigaciones identifica a “Zeppelin”, nuevo tipo de Ransomware de tipo RaaS [Ransomware como Servicio, por sus siglas en inglés] que permite a los ciberdelincuentes alquilar sus servicios para atacar de manera dirigida a objetivos en específico. Por este motivo, es importante tener presente estos indicadores de compromiso con el fin de que no se vea afectada la infraestructura de nuestros asociados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-ransomware-zeppelinhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT financiero a través de sus investigaciones identifica a “Zeppelin”, nuevo tipo de Ransomware de tipo RaaS [Ransomware como Servicio, por sus siglas en inglés] que permite a los ciberdelincuentes alquilar sus servicios para atacar de manera dirigida a objetivos en específico. Por este motivo, es importante tener presente estos indicadores de compromiso con el fin de que no se vea afectada la infraestructura de nuestros asociados.
Nuevos indicadores de compromiso asociados a EmotetDesde el CSIRT Financiero se ha identificado una campaña de malspam, la cual distribuye el troyano bancario Emotet. Esta campaña tiene en particular, un documento de tipo Microsoft Word con un asunto llamativo alusivo a las festividades navideñas con el fin de engañar a los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una campaña de malspam, la cual distribuye el troyano bancario Emotet. Esta campaña tiene en particular, un documento de tipo Microsoft Word con un asunto llamativo alusivo a las festividades navideñas con el fin de engañar a los usuarios.
Troyano alojado en forma de extensión de Chrome, que extrae información.Desde el CSIRT Financiero se ha identificado un incremento en el uso de extensiones maliciosas en los navegadores web por parte de los ciberdelincuentes. Estas extensiones son diseñadas en su mayoría en código JavaScript y se encuentran alojadas en los markets oficiales de los navegadores web, generando en el usuario confianza para su descarga y posterior infección. En esta ocasión se ha realizado el análisis a un troyano bancario que se distribuye haciéndose pasar por una extensión de Google Chrome.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-alojado-en-forma-de-extension-de-chromehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado un incremento en el uso de extensiones maliciosas en los navegadores web por parte de los ciberdelincuentes. Estas extensiones son diseñadas en su mayoría en código JavaScript y se encuentran alojadas en los markets oficiales de los navegadores web, generando en el usuario confianza para su descarga y posterior infección. En esta ocasión se ha realizado el análisis a un troyano bancario que se distribuye haciéndose pasar por una extensión de Google Chrome.
Indicadores de compromiso asociados a Dacls RATDesde el CSIRT Financiero se ha identificado nueva actividad asociada a Lazarus Group, el cual busca afectar a sistemas operativos Windows y Linux, utilizando un troyano de tipo RAT [Herramienta de Administración Remota, por sus siglas en inglés] el cual se identifica por el nombre de Dacls, buscando tomar control de la máquina comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-dacls-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado nueva actividad asociada a Lazarus Group, el cual busca afectar a sistemas operativos Windows y Linux, utilizando un troyano de tipo RAT [Herramienta de Administración Remota, por sus siglas en inglés] el cual se identifica por el nombre de Dacls, buscando tomar control de la máquina comprometida.
Mozi, la nueva Botnet que utiliza el protocolo DHT.Por medio de investigaciones y continuas revisiones en fuentes de información abiertas, el equipo del CSIRT Financiero ha identificado una nueva botnet denominada Mozi. Esta botnet tiene la capacidad de utilizar el protocolo DHT [Data Hash Tables] para crear sus propias redes P2P [red entre pares], aprovechando claves débiles de telnet sobre equipos Netgear, D-Link y los enrutadores de Huawei.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mozi-la-nueva-botnet-que-utiliza-el-protocolo-dhthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de investigaciones y continuas revisiones en fuentes de información abiertas, el equipo del CSIRT Financiero ha identificado una nueva botnet denominada Mozi. Esta botnet tiene la capacidad de utilizar el protocolo DHT [Data Hash Tables] para crear sus propias redes P2P [red entre pares], aprovechando claves débiles de telnet sobre equipos Netgear, D-Link y los enrutadores de Huawei.
El grupo de amenazas APT FIN8 podría estar relacionado con los ataques dirigidos a estaciones de servicio en Estados UnidosDesde el CSIRT Financiero se ha identificado una campaña de ataques dirigidos a dispensadores de combustible en estaciones de servicio [Estados Unidos], mediante el envío de correos de tipo phishing, los ciberdelincuentes lograron acceder a la red corporativa y posteriormente a través de movimientos laterales comprometieron los dispositivos POS [Punto de Venta, por sus siglas en inglés], obteniendo la información de las tarjetas de crédito de los usuarios que realizaban el pago por estos medios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-grupo-de-amenazas-apt-fin8-podria-estar-relacionado-con-los-ataques-dirigidos-a-estaciones-de-servicio-en-estados-unidoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una campaña de ataques dirigidos a dispensadores de combustible en estaciones de servicio [Estados Unidos], mediante el envío de correos de tipo phishing, los ciberdelincuentes lograron acceder a la red corporativa y posteriormente a través de movimientos laterales comprometieron los dispositivos POS [Punto de Venta, por sus siglas en inglés], obteniendo la información de las tarjetas de crédito de los usuarios que realizaban el pago por estos medios.
Nueva campaña denominada [Legion Loader] busca distribuir múltiples variantes de malware.Desde el CSIRT Financiero se ha identificado una nueva campaña que distribuye un Dropper [Descargador de Malware] el cual adopta el nombre de Legion Loader. Este Dropper busca distribuir 6 tipos de malware diferentes para afectar a los usuarios de internet, dentro de las topologías de malware distribuidas, se ha detectado Predator de Thief, Raccon Stealer y VIDAR.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-denominada-legion-loader-busca-distribuir-multiples-variantes-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña que distribuye un Dropper [Descargador de Malware] el cual adopta el nombre de Legion Loader. Este Dropper busca distribuir 6 tipos de malware diferentes para afectar a los usuarios de internet, dentro de las topologías de malware distribuidas, se ha detectado Predator de Thief, Raccon Stealer y VIDAR.
Emotet busca distribuirse a través de falsa campaña climática.Desde el CSIRT Financiero se ha identificado una nueva campaña de malspam distribuyendo el troyano bancario Emotet en documentos de tipo Microsoft Word con macros maliciosas, con el fin de infectar los equipos de cómputo, esta campaña está enfocada a usuarios con intereses afines al medio ambiente ya que hace una invitación a un evento frente al cambio climático.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emotet-busca-distribuirse-a-traves-de-falsa-campana-climaticahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña de malspam distribuyendo el troyano bancario Emotet en documentos de tipo Microsoft Word con macros maliciosas, con el fin de infectar los equipos de cómputo, esta campaña está enfocada a usuarios con intereses afines al medio ambiente ya que hace una invitación a un evento frente al cambio climático.
Kit de exploits Spelevo para distribuir Ursnif y Qbot.Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/kit-de-exploits-spelevo-para-distribuir-ursnif-y-qbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.
Nuevos indicadores de compromiso asociados a GoziDesde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Gozi/Ursnif, el cual busca capturar credenciales de usuario de sitios web para realizar transacciones bancarias a través de campañas de malspam acompañados de técnicas de ingeniería social que hacen creer a los usuarios que se encuentran ante un correo auténtico de alguna entidad u organización.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-gozihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Gozi/Ursnif, el cual busca capturar credenciales de usuario de sitios web para realizar transacciones bancarias a través de campañas de malspam acompañados de técnicas de ingeniería social que hacen creer a los usuarios que se encuentran ante un correo auténtico de alguna entidad u organización.
Indicadores de compromiso asociados al troyano bancario IcedIDEl CSIRT Financiero ha identificado diferentes URL activas que permiten la descarga de IcedID, un troyano bancario que ha venido generando campañas desde el año 2017, el objetivo de este malware son los bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web mail.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-al-troyano-bancario-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado diferentes URL activas que permiten la descarga de IcedID, un troyano bancario que ha venido generando campañas desde el año 2017, el objetivo de este malware son los bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web mail.
Nuevos indicadores de compromiso asociados a LokibotEl CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-lokibot-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.
Nuevos indicadores de compromiso asociados a TrickbotDesde el CSIRT Financiero se evidencian nuevos indicadores de compromiso asociados a Trickbot, teniendo en cuenta sus actualizaciones para aumentar capacidades tanto de captura como de evasión, este tipo de troyano bancario tiene por objetivo la exfiltración de credenciales asociadas a portales transaccionales para cometer diferentes clases de fraude, como utilización de credenciales hasta la venta de estos en la Dark web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se evidencian nuevos indicadores de compromiso asociados a Trickbot, teniendo en cuenta sus actualizaciones para aumentar capacidades tanto de captura como de evasión, este tipo de troyano bancario tiene por objetivo la exfiltración de credenciales asociadas a portales transaccionales para cometer diferentes clases de fraude, como utilización de credenciales hasta la venta de estos en la Dark web.
Nuevas vulnerabilidades halladas en SQLite han sido denominadas como [Magellan 2.0]Magellan 2.0 es un paquete de vulnerabilidades encontradas en SQLite [librería de software libre escrita en lenguaje C], las cuales podrían permitir a un atacante ejecutar código de manera remota sobre los equipos de los usuarios de internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-vulnerabilidades-halladas-en-sqlite-han-sido-denominadas-como-magellan-2-0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Magellan 2.0 es un paquete de vulnerabilidades encontradas en SQLite [librería de software libre escrita en lenguaje C], las cuales podrían permitir a un atacante ejecutar código de manera remota sobre los equipos de los usuarios de internet.
Nueva herramienta loader denominada "Bioload", asociada al grupo FIN7Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-herramienta-loader-denominada-bioload-asociada-al-grupo-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}