Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
QakBot continúa evolucionando sus capacidades de afectaciónQakBot (también conocido como QBot) es un troyano bancario que ha estado activo desde hace varios años y se enfoca en capturar información bancaria de los usuarios. Recientemente, se ha detectado una nueva variante del malware que continúa evolucionando y mutando, lo que dificulta su detección y eliminación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/qakbot-continua-evolucionando-sus-capacidades-de-afectacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
QakBot (también conocido como QBot) es un troyano bancario que ha estado activo desde hace varios años y se enfoca en capturar información bancaria de los usuarios. Recientemente, se ha detectado una nueva variante del malware que continúa evolucionando y mutando, lo que dificulta su detección y eliminación.
PyXie, una RAT escrita en PythonEl CSIRT Financiero ha identificado una RAT (Troyano de acceso remoto), que ha sido escrito en Python llamado por investigadores como “PyXie” y está dirigida al sector industria, se ha visto este malware en conjunto con el malware Cobalt strike y un malware descargador similar al Shifu, en análisis realizados se ha verificado que este intenta realizar entrega de ransomware a usuarios infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/pyxie-una-rat-escrita-en-pythonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero ha identificado una RAT (Troyano de acceso remoto), que ha sido escrito en Python llamado por investigadores como “PyXie” y está dirigida al sector industria, se ha visto este malware en conjunto con el malware Cobalt strike y un malware descargador similar al Shifu, en análisis realizados se ha verificado que este intenta realizar entrega de ransomware a usuarios infectados.
PyVil Rat, Nuevo Malware del Grupo EvilnumEn el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano de acceso remoto (RAT) distribuido por el grupo cibercriminal Evilnum. Este troyano es denominado PyVil RAT y se ha distribuido a través de mensajes de correo tipo phishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/pyvil-rat-nuevo-malware-del-grupo-evilnumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano de acceso remoto (RAT) distribuido por el grupo cibercriminal Evilnum. Este troyano es denominado PyVil RAT y se ha distribuido a través de mensajes de correo tipo phishing.
PureCrypter, nuevo cargador que distribuye familias de malwareA través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo cargador (Loader) denominado PureCrypter, el cual está siendo utilizado por ciberdelincuentes para distribuir troyanos de acceso remoto (RAT, por sus siglas en ingles) y stealers.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/purecrypter-nuevo-cargador-que-distribuye-familias-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo cargador (Loader) denominado PureCrypter, el cual está siendo utilizado por ciberdelincuentes para distribuir troyanos de acceso remoto (RAT, por sus siglas en ingles) y stealers.
PupkinStealer, nueva amenaza identificadaDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero se ha identificado una nueva campaña de distribución de PupkinStealer, un software malicioso desarrollado en C# con el framework .NET, orientado a la captura de información sensible en equipos comprometidos. Esta amenaza se caracteriza por su enfoque directo y su capacidad para operar de manera discreta, facilitando la exfiltración de datos a través de la API de bots de Telegram.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/pupkinstealer-nueva-amenaza-identificadahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero se ha identificado una nueva campaña de distribución de PupkinStealer, un software malicioso desarrollado en C# con el framework .NET, orientado a la captura de información sensible en equipos comprometidos. Esta amenaza se caracteriza por su enfoque directo y su capacidad para operar de manera discreta, facilitando la exfiltración de datos a través de la API de bots de Telegram.
PUMAKIT: una nueva amenaza dirigida a Sistemas LinuxDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza dirigida a sistemas Linux, conocida como PUMAKIT. Este rootkit emplea técnicas avanzadas para ocultar su presencia y garantizar su presencia en los sistemas comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/pumakit-una-nueva-amenaza-dirigida-a-sistemas-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva amenaza dirigida a sistemas Linux, conocida como PUMAKIT. Este rootkit emplea técnicas avanzadas para ocultar su presencia y garantizar su presencia en los sistemas comprometidos.
Puerta trasera WARMCOOKIE incorpora nuevas capacidadesEl equipo de analistas del Csirt Financiero ha identificado una campaña activa que utiliza la puerta trasera conocida como WARMCOOKIE, la cual ha incorporado nuevas funciones que permiten ejecutar archivos, bibliotecas y comandos en los equipos comprometidos mediante herramientas legítimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-warmcookie-incorpora-nuevas-capacidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que utiliza la puerta trasera conocida como WARMCOOKIE, la cual ha incorporado nuevas funciones que permiten ejecutar archivos, bibliotecas y comandos en los equipos comprometidos mediante herramientas legítimas.
Puerta trasera HabitsRAT ataca a distribuciones Windows y LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-habitsrat-ataca-a-distribuciones-windows-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.
Puerta Trasera GTPDOOR: amenaza sigilosa para redes de telecomunicacionesEl equipo del Csirt Financiero, en búsqueda de nuevas actividades maliciosas encontró información sobre la reciente detección de una nueva puerta trasera de Linux denominada GTPDOOR , que se dirige específicamente a los sistemas que admiten la itinerancia de datos móviles en las redes sociales de los operadores de telecomunicaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-gtpdoor-amenaza-sigilosa-para-redes-de-telecomunicacioneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, en búsqueda de nuevas actividades maliciosas encontró información sobre la reciente detección de una nueva puerta trasera de Linux denominada GTPDOOR , que se dirige específicamente a los sistemas que admiten la itinerancia de datos móviles en las redes sociales de los operadores de telecomunicaciones.
Puerta trasera diseñada para sistemas Linux y WindowsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado WogRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-disenada-para-sistemas-linux-y-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado WogRAT.
Puerta trasera difundida por el grupo BianLianMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor difundido gracias a las vulnerabilidades críticas de TeamCity.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-difundida-por-el-grupo-bianlianhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor difundido gracias a las vulnerabilidades críticas de TeamCity.
Publicación de parches para vulnerabilidades en WindowsEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/publicacion-de-parches-para-vulnerabilidades-en-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft Windows.
Prynt Stealer implementa puertas traseras adicionalesEl activo más importante para una organización hoy en día es su información, partiendo de esa perspectiva los ciberdelincuentes tienen como principal objetivo capturar esos registros que representan una potencial recompensa económica; en la naturaleza circulan varias ciberamenazas asociadas a diversas familias de stealer entre ellos el ya conocido Prynt Stealer, respecto a este se ha descubierto que sus desarrolladores implantan puertas traseras (backdoors) en sus constructores, esto con el propósito de exfiltrar una copia de la data capturada de las víctimas obtenida en campañas desplegadas previamente empleando esta familia de malware a través de un canal de Telegram.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/prynt-stealer-implementa-puertas-traseras-adicionaleshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El activo más importante para una organización hoy en día es su información, partiendo de esa perspectiva los ciberdelincuentes tienen como principal objetivo capturar esos registros que representan una potencial recompensa económica; en la naturaleza circulan varias ciberamenazas asociadas a diversas familias de stealer entre ellos el ya conocido Prynt Stealer, respecto a este se ha descubierto que sus desarrolladores implantan puertas traseras (backdoors) en sus constructores, esto con el propósito de exfiltrar una copia de la data capturada de las víctimas obtenida en campañas desplegadas previamente empleando esta familia de malware a través de un canal de Telegram.
Prueba de concepto para explotar vulnerabilidad crítica en WindowsEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el desarrollo de una prueba de concepto (PoC) para explotar la vulnerabilidad CVE-2021-31166 la cual cuenta con una calificación de 9.8 de severidad en la escala CVSSv3, afectando a las versiones 2004/20H2 de los sistemas operativos cliente y servidor de Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/prueba-de-concepto-para-explotar-vulnerabilidad-critica-en-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el desarrollo de una prueba de concepto (PoC) para explotar la vulnerabilidad CVE-2021-31166 la cual cuenta con una calificación de 9.8 de severidad en la escala CVSSv3, afectando a las versiones 2004/20H2 de los sistemas operativos cliente y servidor de Microsoft Windows.
Proxyshell, vulnerabilidades RCE en servidores de Microsoft ExchangeEl equipo de analistas del Csirt Financiero ha observado tres vulnerabilidades en servidores expuestos de Microsoft Exchange que, al unirse, desencadenan la ejecución remota de código (RCE) en los servidores. A la unión de estas vulnerabilidades para este fin se le denominó Proxyshell.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/proxyshell-vulnerabilidades-rce-en-servidores-de-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha observado tres vulnerabilidades en servidores expuestos de Microsoft Exchange que, al unirse, desencadenan la ejecución remota de código (RCE) en los servidores. A la unión de estas vulnerabilidades para este fin se le denominó Proxyshell.
Próximas actualizaciones de seguridad para Adobe Acrobat y Reader.Adobe planea lanzar actualizaciones de seguridad para Adobe Acrobat y Reader para Windows y macOS el martes 9 de abril de 2019.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/proximas-actualizaciones-de-seguridad-para-adobe-acrobat-y-readerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Propagación de múltiples Backdoors a través de red de botsEl CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/propagacion-de-multiples-backdoors-a-traves-de-red-de-botshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.
PromptLock: el supuesto primer ransomware impulsado por inteligencia artificialEl equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/promptlock-el-supuesto-primer-ransomware-impulsado-por-inteligencia-artificialhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a PromptLock, una familia de ransomware catalogada como la primera en utilizar inteligencia artificial dentro de su cadena de ataque, esta amenaza emplea el modelo gpt-oss:20b a través de la API de Ollama para generar dinámicamente scripts en lenguaje Lua, lo que le permite enumerar archivos, exfiltrar información y ejecutar procesos de cifrado en múltiples plataformas.
Proliferan variantes del ransomware Conti en el panorama de amenazasLas variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/proliferan-variantes-del-ransomware-conti-en-el-panorama-de-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Las variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.
Productos de Sonicwall pueden presentar afectaciones por RansomwareEn el monitoreo constante a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado posibles afectaciones a productos del fabricante SonicWall los cuales al encontrarse al final de su vida útil o no contar con los últimos parches de actualización, son objetivo de los ciberdelincuentes para la explotación de vulnerabilidades no corregidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/productos-de-sonicwall-pueden-presentar-afectaciones-por-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo constante a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado posibles afectaciones a productos del fabricante SonicWall los cuales al encontrarse al final de su vida útil o no contar con los últimos parches de actualización, son objetivo de los ciberdelincuentes para la explotación de vulnerabilidades no corregidas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}