Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Copybara: actualización de los troyanos bancarios modernos.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevas campañas dirigidas a dispositivos móviles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copybara-actualizacion-de-los-troyanos-bancarios-modernoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevas campañas dirigidas a dispositivos móviles.
CoreWarrior ataca equipos WindowsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado CoreWarrior enfocado a afectar sistemas Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/corewarrior-ataca-equipos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado CoreWarrior enfocado a afectar sistemas Windows.
Correos dirigidos aprovechan CVE-2017-11882 para distribuir múltiples amenazasDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing que utiliza un loader no identificado como eje de la infección y como plataforma para desplegar distintas amenazas según el objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/correos-dirigidos-aprovechan-cve-2017-11882-para-distribuir-multiples-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de phishing que utiliza un loader no identificado como eje de la infección y como plataforma para desplegar distintas amenazas según el objetivo.
CostaRicto APT distribuye malware a entidades financieras y de entretenimientoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/costaricto-apt-distribuye-malware-a-entidades-financieras-y-de-entretenimientohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.
Crackers comprometieron la cuenta del empleado de Microsoft para obtener acceso al correo electrónico de los clientes.Comprometen credenciales de un empleado de Microsoft que brindaba soporte técnico para así obtener acceso a diferentes cuentas de correo de usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crackers-comprometieron-la-cuenta-del-empleado-de-microsoft-para-obtener-acceso-al-correo-electronico-de-los-clienteshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Crecen las estafas por parte de aplicaciones de préstamos denominadas SpyLoan.El equipo de analistas del Csirt Financiero ha identificado un aumento en la proliferación de aplicaciones de préstamos monetarios conocidas como SpyLoan, clasificadas como programas potencialmente no deseados (PUP). Estas aplicaciones afectan la privacidad de los usuarios a nivel global y representan una amenaza significativa para la seguridad financiera y personal.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crecen-las-estafas-por-parte-de-aplicaciones-de-prestamos-denominadas-spyloanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado un aumento en la proliferación de aplicaciones de préstamos monetarios conocidas como SpyLoan, clasificadas como programas potencialmente no deseados (PUP). Estas aplicaciones afectan la privacidad de los usuarios a nivel global y representan una amenaza significativa para la seguridad financiera y personal.
Creciente ciberamenaza del ransomware Maze sobre América LatinaEn marzo de 2019 que se identificó por primera vez el ransomware Maze, este se ha situado como una de las ciberamenazas más relevantes dentro de la categoría de ransomware. Desde principios del 2020 su actividad ha sido muy prolífica y se ha combinado con un nuevo modelo de extorsión, un tipo de modus operandi que se ha extendido entre los grupos cibercriminales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/creciente-ciberamenaza-del-ransomware-maze-sobre-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En marzo de 2019 que se identificó por primera vez el ransomware Maze, este se ha situado como una de las ciberamenazas más relevantes dentro de la categoría de ransomware. Desde principios del 2020 su actividad ha sido muy prolífica y se ha combinado con un nuevo modelo de extorsión, un tipo de modus operandi que se ha extendido entre los grupos cibercriminales.
Creciente tendencia del ransomware como servicio en la deep webEl equipo de analistas del Csirt Financiero, en el constante monitoreo del panorama cibercriminal desde fuentes abiertas y deep web, ha identificado el Malware-as-a-Service (MaaS) como una tendencia cada vez más extendida entre los ciberdelincuentes. Estos han conseguido monetizar toda actividad ilícita realizada y transformarla en una modalidad de servicio al alcance de todos los ciberdelincuentes como lo es el Ransomware-as-a-Service (RaaS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/creciente-tendencia-del-ransomware-como-servicio-en-la-deep-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero, en el constante monitoreo del panorama cibercriminal desde fuentes abiertas y deep web, ha identificado el Malware-as-a-Service (MaaS) como una tendencia cada vez más extendida entre los ciberdelincuentes. Estos han conseguido monetizar toda actividad ilícita realizada y transformarla en una modalidad de servicio al alcance de todos los ciberdelincuentes como lo es el Ransomware-as-a-Service (RaaS).
Credenciales de Zoom comercializados en sitios clandestinos.Desde el Csirt Financiero se evidencia que múltiples credenciales de usuario de la aplicación ZOOM están siendo comercializados en foros clandestinos, los ciberdelincuentes han infectado ejecutables legítimos alojados en sitios alternos al original con el fin de infectar equipos; todos estos ataques son motivados debido a que ZOOM es una de las aplicaciones más utilizadas por las organizaciones para hacer videoconferencias y tratar temas confidenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/credenciales-de-zoom-comercializados-en-sitios-clandestinoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se evidencia que múltiples credenciales de usuario de la aplicación ZOOM están siendo comercializados en foros clandestinos, los ciberdelincuentes han infectado ejecutables legítimos alojados en sitios alternos al original con el fin de infectar equipos; todos estos ataques son motivados debido a que ZOOM es una de las aplicaciones más utilizadas por las organizaciones para hacer videoconferencias y tratar temas confidenciales.
Criptominero Lemon Duck con cargas útiles de CriptojackingEn el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/criptominero-lemon-duck-con-cargas-utiles-de-criptojackinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se evidenció el criptominero Lemon Duck, considerado como uno de los más avanzados ya que los operadores mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Lemon Duck es un minero sin archivos, es decir, se aloja en la memoria sin dejar rastro de su presencia en el sistema de archivos.
CrossLock: El nuevo ransomware que utiliza técnicas avanzadas de cifrado y evasiónEn la actualidad, los ataques de ransomware son una de las amenazas más temidas por las organizaciones y los usuarios individuales en todo el mundo. Estos ataques cibernéticos se caracterizan por la encriptación de archivos y la exigencia de un rescate para su recuperación. En este contexto, ha surgido un nuevo ransomware escrito en lenguaje Go denominado CrossLock, que utiliza la técnica de doble extorsión para aumentar la probabilidad de pago por parte de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crosslock-el-nuevo-ransomware-que-utiliza-tecnicas-avanzadas-de-cifrado-y-evasionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actualidad, los ataques de ransomware son una de las amenazas más temidas por las organizaciones y los usuarios individuales en todo el mundo. Estos ataques cibernéticos se caracterizan por la encriptación de archivos y la exigencia de un rescate para su recuperación. En este contexto, ha surgido un nuevo ransomware escrito en lenguaje Go denominado CrossLock, que utiliza la técnica de doble extorsión para aumentar la probabilidad de pago por parte de las víctimas.
Crutch, nuevo backdoor asociado a TurlaEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crutch-nuevo-backdoor-asociado-a-turlahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.
Crysis y Venus convergen para realizar ataques RDPRecientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/crysis-y-venus-convergen-para-realizar-ataques-rdphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha confirmado una nueva tendencia, los atacantes del ransomware Crysis están utilizando conjuntamente otro tipo de ransomware llamado Venus en sus ataques. Ambos se dirigen principalmente a servicios de escritorio remoto expuestos externamente.
Cuatro amenazas potenciales de ransomware en América LatinaEn el monitoreo a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado cuatro (4) amenazas potenciales asociadas a grupos de ciberdelincuentes con sus respectivas familias de ransomware, las cuales están afectando a algunos países de América Latina y que podrían llegar a generar impacto en Colombia.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/cuatro-amenazas-potenciales-de-ransomware-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en la búsqueda de nuevas amenazas o vulnerabilidades que puedan llegar a afectar la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado cuatro (4) amenazas potenciales asociadas a grupos de ciberdelincuentes con sus respectivas familias de ransomware, las cuales están afectando a algunos países de América Latina y que podrían llegar a generar impacto en Colombia.
Dagon Locker evoluciona y cambia su nombre a Dagon RansomwareSe conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dagon-locker-evoluciona-y-cambia-su-nombre-a-dagon-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se conoce que Dagon Ransomware es una variante de Mount Locker ransomware, sin embargo, ha sido capacitado con nuevas herramientas que lo hacen más efectivo en la ejecución de sus actividades maliciosas dentro de las infraestructuras comprometidas; durante su proceso de cifrado manipula los archivos y les agrega la extensión .dagoned, con el objetivo de inhabilitar el acceso a estos por parte de sus víctimas, posteriormente genera una nota de rescate denominada README_TO_DECRYPT.html donde se incluyen las instrucciones que conllevan a recuperar la información comprometida por los cibercriminales a través de esta amenaza.
Danabot: la evolución de un troyano bancarioEl Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el troyano bancario DanaBot, planteando serios riesgos para la seguridad financiera. Los ciberdelincuentes han adoptado métodos innovadores para distribuir esta amenaza, que está activa desde 2014 y se ofrece como un servicio conocido como Malware as a Service (MaaS), escrito en Delphi.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/danabot-la-evolucion-de-un-troyano-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha identificado una nueva actividad maliciosa asociada con el troyano bancario DanaBot, planteando serios riesgos para la seguridad financiera. Los ciberdelincuentes han adoptado métodos innovadores para distribuir esta amenaza, que está activa desde 2014 y se ofrece como un servicio conocido como Malware as a Service (MaaS), escrito en Delphi.
DanaBot Troyano Bancario que agrego un componente de Ransomware.Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/danabot-troyano-bancario-que-agrego-un-componente-de-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una campaña distribuida a través del correo electrónico mediante la técnica de phishing, con enlaces de redirección a un dropper de JavaScript o PowerShell, Adicionalmente el troyano contiene múltiples capacidades como el robo de credenciales, inyección de sitios web, control remoto de máquinas y ejecución de comando desde servidores C&C.
Dark Caracal APT emplea una nueva versión del spyware Bandook en objetivos de América LatinaEl grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dark-caracal-apt-emplea-una-nueva-version-del-spyware-bandook-en-objetivos-de-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.
DarkComet RAT vuelve a circular disfrazado como ejecutable legítimoDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto DarkComet RAT oculto dentro de una supuesta herramienta vinculada a Bitcoin.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/darkcomet-rat-vuelve-a-circular-disfrazado-como-ejecutable-legitimohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del troyano de acceso remoto DarkComet RAT oculto dentro de una supuesta herramienta vinculada a Bitcoin.
Darkgate: el ascenso del troyano de acceso remoto y sus tácticas evolutivasEl equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa relacionada con el troyano DarkGate. Desarrollado en Borland Delphi, este malware se ha comercializado como servicio en foros de Deep y Dark Web en ruso desde 2018. DarkGate es un troyano de acceso remoto (RAT) que ofrece diversas funcionalidades, como inyección de procesos, descarga y ejecución de archivos, exfiltración de datos, comandos shell y keylogging.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/darkgate-el-ascenso-del-troyano-de-acceso-remoto-y-sus-tacticas-evolutivashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa relacionada con el troyano DarkGate. Desarrollado en Borland Delphi, este malware se ha comercializado como servicio en foros de Deep y Dark Web en ruso desde 2018. DarkGate es un troyano de acceso remoto (RAT) que ofrece diversas funcionalidades, como inyección de procesos, descarga y ejecución de archivos, exfiltración de datos, comandos shell y keylogging.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}