Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad Maliciosa del Loader PikaBot siendo distribuida por publicidad engañosa a través de motores de búsquedaA través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad maliciosas del loader PikaBot, donde está siendo distribuido a través de campaña de publicidad maliciosa del software AnyDeskhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-loader-pikabot-siendo-distribuida-por-publicidad-enganosa-a-traves-de-motores-de-busquedahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad maliciosas del loader PikaBot, donde está siendo distribuido a través de campaña de publicidad maliciosa del software AnyDesk
Resurgimiento de Qakbot: nueva campaña de phishingQakBot, también conocido como Qbot, ha representado una amenaza persistente debido a su capacidad para la captura de datos, propagación y su presencia duradera en sistemas infectados. Inicialmente conocido como un troyano bancario en 2007, y con el tiempo ha evolucionado convirtiéndose en una botnet y diversificando sus ataques para incluir cargas útiles adicionales como ransomware. Su alcance no se limita únicamente a actividades bancarias, ya que también actúa como una puerta trasera facilitando la instalación de distintos tipos de amenaza. Esto permite a los ciberdelincuentes llevar a cabo acciones como acceso remoto no autorizado, distribución de spam o incluso ataques de denegación de servicio DDoS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/resurgimiento-de-qakbot-nueva-campana-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
QakBot, también conocido como Qbot, ha representado una amenaza persistente debido a su capacidad para la captura de datos, propagación y su presencia duradera en sistemas infectados. Inicialmente conocido como un troyano bancario en 2007, y con el tiempo ha evolucionado convirtiéndose en una botnet y diversificando sus ataques para incluir cargas útiles adicionales como ransomware. Su alcance no se limita únicamente a actividades bancarias, ya que también actúa como una puerta trasera facilitando la instalación de distintos tipos de amenaza. Esto permite a los ciberdelincuentes llevar a cabo acciones como acceso remoto no autorizado, distribución de spam o incluso ataques de denegación de servicio DDoS.
RAT Amadey adquirido en foros de la Deep y Dark web.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano de acceso remoto llamado Amadey capaz de instalar otras familias de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-amadey-adquirido-en-foros-de-la-deep-y-dark-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano de acceso remoto llamado Amadey capaz de instalar otras familias de malware.
Nuevo stealer denominado EditbotEl equipo del Csirt Financiero, a través de monitoreo a diferentes fuentes de información, observó una nueva actividad maliciosa dirigida a usuarios de redes sociales, conocida como Editbot Stealer, con objetivos de evadir la detección, descargar cargas útiles adicionales y ganar persistencia en el sistema de la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-editbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, a través de monitoreo a diferentes fuentes de información, observó una nueva actividad maliciosa dirigida a usuarios de redes sociales, conocida como Editbot Stealer, con objetivos de evadir la detección, descargar cargas útiles adicionales y ganar persistencia en el sistema de la víctima.
Nueva campaña maliciosa suplanta entidades financieras para distribuir el RAT SpyNoteA través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva campaña maliciosa de tipo phishing dirigida a usuarios de destacadas entidades financieras en Chile.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-suplanta-entidades-financieras-para-distribuir-el-rat-spynotehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva campaña maliciosa de tipo phishing dirigida a usuarios de destacadas entidades financieras en Chile.
Nueva campaña del grupo Lazarus llamada Operación BlacksmithMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña llamada Operación Blacksmith.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-lazarus-llamada-operacion-blacksmithhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña llamada Operación Blacksmith.
Nueva actividad maliciosa del loader conocido como GuLoaderEl equipo del Csirt Financiero, a través de monitoreo a diferentes fuentes de información, observó una nueva actividad maliciosa relaciona con el loader denominado GuLoader, también conocido como CloudEyE, el cual ha estado en constante desarrollo y ha experimentado cambios en su cadena de infección, dificultando su análisis y detección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-loader-conocido-como-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, a través de monitoreo a diferentes fuentes de información, observó una nueva actividad maliciosa relaciona con el loader denominado GuLoader, también conocido como CloudEyE, el cual ha estado en constante desarrollo y ha experimentado cambios en su cadena de infección, dificultando su análisis y detección.
Nueva variante de la botnet P2PInfect dirigida a dispositivos MISP y IOTEl equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva variante en julio del 2023, una botnet multiplataforma denominada "P2Pinfect", desarrollado en Rust y compilada para arquitecturas de microprocesadores (MISP), para afectar a enrutadores y dispositivos IOT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-la-botnet-p2pinfect-dirigida-a-dispositivos-misp-y-iothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva variante en julio del 2023, una botnet multiplataforma denominada "P2Pinfect", desarrollado en Rust y compilada para arquitecturas de microprocesadores (MISP), para afectar a enrutadores y dispositivos IOT.
Actividad maliciosa identificada del troyano QakbotLos troyanos bancarios representan una grave amenaza para la ciberseguridad en el sector financiero, ya que buscan capturar información sensible, especialmente relacionada con credenciales bancarias, billeteras y criptomonedas. El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, destacado por su presencia y versatilidad en actividades maliciosas, incluso siendo utilizado como botnet en otras campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-identificada-del-troyano-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los troyanos bancarios representan una grave amenaza para la ciberseguridad en el sector financiero, ya que buscan capturar información sensible, especialmente relacionada con credenciales bancarias, billeteras y criptomonedas. El equipo de analistas del Csirt Financiero ha detectado nuevos indicadores de compromiso asociados al troyano bancario Qakbot, destacado por su presencia y versatilidad en actividades maliciosas, incluso siendo utilizado como botnet en otras campañas.
Nueva amenaza denominada Agent RacoonEl equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva amenaza dirigiéndose a organizaciones en Medio Oriente, África y Estados Unidos. Este grupo de amenazas, denominado CL-STA-0002, ha utilizado herramientas que incluyen una nueva puerta trasera (Backdoor) llamada "Agent Racoon", un módulo DLL llamado "Ntospy" para capturar credenciales de usuario, y una versión personalizada de Mimikatz denominada "Mimilite".http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-agent-racoonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva amenaza dirigiéndose a organizaciones en Medio Oriente, África y Estados Unidos. Este grupo de amenazas, denominado CL-STA-0002, ha utilizado herramientas que incluyen una nueva puerta trasera (Backdoor) llamada "Agent Racoon", un módulo DLL llamado "Ntospy" para capturar credenciales de usuario, y una versión personalizada de Mimikatz denominada "Mimilite".
Nuevas campañas maliciosas del ransomware Cactus explotando vulnerabilidadesEl equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva campaña maliciosa por parte del grupo del ransomware Cactus quienes han estado explotando vulnerabilidades de una plataforma de inteligencia empresarial y análisis en la nube, explotando las vulnerabilidades (CVE-2023-41266, CVE-2023-41265 y CVE-2023-48365), para obtener acceso a las redes corporativas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-maliciosas-del-ransomware-cactus-explotando-vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva campaña maliciosa por parte del grupo del ransomware Cactus quienes han estado explotando vulnerabilidades de una plataforma de inteligencia empresarial y análisis en la nube, explotando las vulnerabilidades (CVE-2023-41266, CVE-2023-41265 y CVE-2023-48365), para obtener acceso a las redes corporativas.
Nuevas amenazas conocidas como Persian RAT, Persian Loader y Persian SecurityEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un sitio web denominado "Persian Remote World". Este sitio ofrece, bajo un modelo de suscripción, varias herramientas maliciosas, entre las que se encuentran un troyano de acceso remoto (RAT) denominado "Persian RAT", un cifrador llamado "Persian Security" y un loader conocido como "Persian Loader".http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-amenazas-conocidas-como-persian-rat-persian-loader-y-persian-securityhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un sitio web denominado "Persian Remote World". Este sitio ofrece, bajo un modelo de suscripción, varias herramientas maliciosas, entre las que se encuentran un troyano de acceso remoto (RAT) denominado "Persian RAT", un cifrador llamado "Persian Security" y un loader conocido como "Persian Loader".
Descargador ParaSiteSnatcher instala extensiones en los navegadores para filtrar datos financierosMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo descargador llamado ParaSiteSnatcher que descarga extensiones maliciosas para navegadores web basados en Chromium.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/descargador-parasitesnatcher-instala-extensiones-en-los-navegadores-para-filtrar-datos-financieroshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo descargador llamado ParaSiteSnatcher que descarga extensiones maliciosas para navegadores web basados en Chromium.
Loader WailingCrab utiliza el protocolo MQTT como servidor de comando y controlMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un loader llamado WailingCrab.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/loader-wailingcrab-utiliza-el-protocolo-mqtt-como-servidor-de-comando-y-controlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un loader llamado WailingCrab.
Nueva actividad maliciosa del troyano SystemBC es utilizado por diversos grupos APT de RansomwareRecientemente, el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, identifico nuevas actividades maliciosas de diferentes grupos APT dedicados a la distribución de ransomware, donde están implementando el troyano denominado SystemBC, ya que es un malware multifuncional que se adapta a las necesitades de los ciberdelincuentes como un Proxi, Bot, Backdoor, RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-systembc-es-utilizado-por-diversos-grupos-apt-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, identifico nuevas actividades maliciosas de diferentes grupos APT dedicados a la distribución de ransomware, donde están implementando el troyano denominado SystemBC, ya que es un malware multifuncional que se adapta a las necesitades de los ciberdelincuentes como un Proxi, Bot, Backdoor, RAT.
Vulnerabilidad utilizada para distribuir variante del ransomware CerberRecientemente, el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva variante de la familia del ransomware Cerber denominada C3RB3R.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-utilizada-para-distribuir-variante-del-ransomware-cerberhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizadas a diferentes fuentes de información, observó una nueva variante de la familia del ransomware Cerber denominada C3RB3R.
Nueva amenaza para dispositivos Android de tipo dropper denominado SecuriDropperEl equipo del Csirt Financiero realizó un monitoreo a través de diversas fuentes de información, donde se observó la apareción de un nuevo dropper bajo la modalidad de Dropper-as-a-service (Daas) dirigido específicamente a dispositivos Android. SecuriDropper se destaca por su capacidad para eludir las recientes restricciones de seguridad implementadas por Google en Android 13 y su capacidad de entregar software malicioso adicional.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-para-dispositivos-android-de-tipo-dropper-denominado-securidropperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero realizó un monitoreo a través de diversas fuentes de información, donde se observó la apareción de un nuevo dropper bajo la modalidad de Dropper-as-a-service (Daas) dirigido específicamente a dispositivos Android. SecuriDropper se destaca por su capacidad para eludir las recientes restricciones de seguridad implementadas por Google en Android 13 y su capacidad de entregar software malicioso adicional.
Actores de amenaza se encuentran distribuyendo el ransomware Phobos mediante RDP.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ransomware llamado Phobos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-se-encuentran-distribuyendo-el-ransomware-phobos-mediante-rdphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ransomware llamado Phobos.
Nueva actividad del ransomware HelloKittyDe acuerdo con la búsqueda de información en fuentes abiertas, se ha observado una nueva actividad por parte de la amenaza conocida como HelloKitty ransomware, los ciberdelincuentes detrás de esta familia se encuentran realizando actualización de sus tácticas y técnicas con la finalidad de comprometer diversas empresas a nivel global.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-hellokittyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
De acuerdo con la búsqueda de información en fuentes abiertas, se ha observado una nueva actividad por parte de la amenaza conocida como HelloKitty ransomware, los ciberdelincuentes detrás de esta familia se encuentran realizando actualización de sus tácticas y técnicas con la finalidad de comprometer diversas empresas a nivel global.
Ransomware Akira extiende su arsenal en América LatinaAkira es un ransomware que fue identificado en abril de este año y se ha destacado por afectar a múltiples países, entre estos se ha observado que se encuentra activo en América Latina. Los sectores que más suele impactar son los servicios financieros, educación, bienes raíces, manufacturero y consultoría. Por lo tanto, es importante entender las capacidades y funcionalidades de esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-akira-extiende-su-arsenal-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Akira es un ransomware que fue identificado en abril de este año y se ha destacado por afectar a múltiples países, entre estos se ha observado que se encuentra activo en América Latina. Los sectores que más suele impactar son los servicios financieros, educación, bienes raíces, manufacturero y consultoría. Por lo tanto, es importante entender las capacidades y funcionalidades de esta amenaza.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}