Nueva variante ransomware Phobos denominada FaustEl equipo Csirt Financiero informa sobre una nueva variante de ransomware Phobos denominada Faust, esta amenaza está afectando a diferentes organizaciones en todo el mundo. Faust cifra los archivos de las víctimas agregando la extensión “.faust”http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-ransomware-phobos-denominada-fausthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo Csirt Financiero informa sobre una nueva variante de ransomware Phobos denominada Faust, esta amenaza está afectando a diferentes organizaciones en todo el mundo. Faust cifra los archivos de las víctimas agregando la extensión “.faust”
Nuevo Loader desarrollado en GO denominado CherryLoaderEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó una nueva amenaza de tipo loader denominado CherryLoader, basado en el lenguaje de programación Go, para llevar a cabo sus ataques de manera sigilosa. Este loader, suplanta la identidad de la aplicación legítima de toma de notas CherryTree, permitió a los actores de amenaza intercambiar exploits sin tener que recompilar el código, dificultado su detección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-desarrollado-en-go-denominado-cherryloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó una nueva amenaza de tipo loader denominado CherryLoader, basado en el lenguaje de programación Go, para llevar a cabo sus ataques de manera sigilosa. Este loader, suplanta la identidad de la aplicación legítima de toma de notas CherryTree, permitió a los actores de amenaza intercambiar exploits sin tener que recompilar el código, dificultado su detección.
Nueva actividad maliciosa de RedLine stealerRedLine Stealer representa una amenaza de captura y extracción de información confidencial y financiera de sistemas comprometidos. Esto abarca desde credenciales de inicio de sesión hasta datos bancarios y detalles de billeteras de criptomonedas, entre otros datos sensibles. Este malware facilita a los ciberdelincuentes la obtención de acceso remoto y el control total sobre el sistema infectado. Una vez que se instala en un sistema, RedLine Stealer es capaz de recopilar información confidencial y enviarla a un servidor bajo el control de los atacantes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-redline-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
RedLine Stealer representa una amenaza de captura y extracción de información confidencial y financiera de sistemas comprometidos. Esto abarca desde credenciales de inicio de sesión hasta datos bancarios y detalles de billeteras de criptomonedas, entre otros datos sensibles. Este malware facilita a los ciberdelincuentes la obtención de acceso remoto y el control total sobre el sistema infectado. Una vez que se instala en un sistema, RedLine Stealer es capaz de recopilar información confidencial y enviarla a un servidor bajo el control de los atacantes.
Troyano novedoso dirigido a dispositivos AndroidMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano llamado xHelper.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-novedoso-dirigido-a-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano llamado xHelper.
Nuevo Kit de herramienta denominado FBotEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo kit de herramientas (toolkit) basado en Python denominado FBot, el cual a sido desarrollado para afectar a servidores web, servicios en la nube o plataformas como AWS, Office365, PayPal, Sendgrid y Twilio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-kit-de-herramienta-denominado-fbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo kit de herramientas (toolkit) basado en Python denominado FBot, el cual a sido desarrollado para afectar a servidores web, servicios en la nube o plataformas como AWS, Office365, PayPal, Sendgrid y Twilio.
Nuevo troyano de acceso remoto denominado Silver RAT v1.0Nuevo troyano de acceso remoto denominado Silver RAT v1.0http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-de-acceso-remoto-denominado-silver-rat-v1.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo exploit denominado MultiLoginEl equipo del Csirt Financiero observó un nuevo exploit que se basa en un punto final de Google OAuth llamado “MultiLogin” el cual está siendo implementado en varias familias de malware como Lumma Infostealer, Rhadamanthys, Risepro, Meduza, Stealc Stealer y recientemente White Snake para obtener ID y tokens de inicio de sesión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-exploit-denominado-multiloginhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero observó un nuevo exploit que se basa en un punto final de Google OAuth llamado “MultiLogin” el cual está siendo implementado en varias familias de malware como Lumma Infostealer, Rhadamanthys, Risepro, Meduza, Stealc Stealer y recientemente White Snake para obtener ID y tokens de inicio de sesión.
Nuevo Loader denominado JinxLoader para entregar diferentes cargas útilesEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo malware de tipo loader denominado JinxLoader, desarrollado en Go, siendo distribuido mediante ataques de phishing para entregar cargas útiles como Formbook y XLoader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-loader-denominado-jinxloader-para-entregar-diferentes-cargas-utileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó un nuevo malware de tipo loader denominado JinxLoader, desarrollado en Go, siendo distribuido mediante ataques de phishing para entregar cargas útiles como Formbook y XLoader.
Nuevo Stealer denominado Pure LogsEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó una nueva actividad maliciosa denominada Pure Logs Stealer, desarrollado por un individuo que se hace llamar PureCoder, es comercializado en foros de piratería a finales de octubre de 2022, para capturar información confidencial de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-pure-logshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó una nueva actividad maliciosa denominada Pure Logs Stealer, desarrollado por un individuo que se hace llamar PureCoder, es comercializado en foros de piratería a finales de octubre de 2022, para capturar información confidencial de los usuarios.
Nuevo Backdoor para dispositivos Android denominado XamaliciousEl equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó una nueva actividad para dispositivos Android denominada Xamalicious, este backdoor tiene la capacidad de utiliza tácticas de ingeniería social para obtener privilegios de accesibilidad y generar comunicación con un servidor de comando y control y descargar una carga útil de segunda etapa. Esta carga útil se inyecta dinámicamente como una DLL de ensamblaje, permitiendo tomar el control total del dispositivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-backdoor-para-dispositivos-android-denominado-xamalicioushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, mediante actividades de monitoreo en diversas fuentes de información, observó una nueva actividad para dispositivos Android denominada Xamalicious, este backdoor tiene la capacidad de utiliza tácticas de ingeniería social para obtener privilegios de accesibilidad y generar comunicación con un servidor de comando y control y descargar una carga útil de segunda etapa. Esta carga útil se inyecta dinámicamente como una DLL de ensamblaje, permitiendo tomar el control total del dispositivo.
Regreso del troyano bancario CarbanakMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó el regreso del troyano bancario llamado Carbanak.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/regreso-del-troyano-bancario-carbanakhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó el regreso del troyano bancario llamado Carbanak.
Agent tesla y sus nuevas actividades maliciosasRecientemente, el equipo del Csirt Financiero ha identificado un aumento en actividades maliciosas vinculadas al troyano de acceso remoto denominado Agent Tesla. Este RAT, basado en .NET y en funcionamiento desde 2014, ha adoptado tácticas de propagación a través de correos electrónicos que entregan archivos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/agent-tesla-y-sus-nuevas-actividades-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, el equipo del Csirt Financiero ha identificado un aumento en actividades maliciosas vinculadas al troyano de acceso remoto denominado Agent Tesla. Este RAT, basado en .NET y en funcionamiento desde 2014, ha adoptado tácticas de propagación a través de correos electrónicos que entregan archivos maliciosos.
Nueva actividad maliciosa aprovecha vulnerabilidades en Outlook para ejecutar código maliciosoEn el monitoreo realizado por el Csirt Financiero se observó nueva actividad maliciosa en la que los actores de amenaza aprovechan vulnerabilidades conocidas de Microsoft para ejecución remota de código (RCE) en Outlook.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-aprovecha-vulnerabilidades-en-outlook-para-ejecutar-codigo-maliciosohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se observó nueva actividad maliciosa en la que los actores de amenaza aprovechan vulnerabilidades conocidas de Microsoft para ejecución remota de código (RCE) en Outlook.
Nueva actividad Maliciosa del Loader PikaBot siendo distribuida por publicidad engañosa a través de motores de búsquedaA través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad maliciosas del loader PikaBot, donde está siendo distribuido a través de campaña de publicidad maliciosa del software AnyDeskhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-loader-pikabot-siendo-distribuida-por-publicidad-enganosa-a-traves-de-motores-de-busquedahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva actividad maliciosas del loader PikaBot, donde está siendo distribuido a través de campaña de publicidad maliciosa del software AnyDesk
Resurgimiento de Qakbot: nueva campaña de phishingQakBot, también conocido como Qbot, ha representado una amenaza persistente debido a su capacidad para la captura de datos, propagación y su presencia duradera en sistemas infectados. Inicialmente conocido como un troyano bancario en 2007, y con el tiempo ha evolucionado convirtiéndose en una botnet y diversificando sus ataques para incluir cargas útiles adicionales como ransomware. Su alcance no se limita únicamente a actividades bancarias, ya que también actúa como una puerta trasera facilitando la instalación de distintos tipos de amenaza. Esto permite a los ciberdelincuentes llevar a cabo acciones como acceso remoto no autorizado, distribución de spam o incluso ataques de denegación de servicio DDoS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/resurgimiento-de-qakbot-nueva-campana-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
QakBot, también conocido como Qbot, ha representado una amenaza persistente debido a su capacidad para la captura de datos, propagación y su presencia duradera en sistemas infectados. Inicialmente conocido como un troyano bancario en 2007, y con el tiempo ha evolucionado convirtiéndose en una botnet y diversificando sus ataques para incluir cargas útiles adicionales como ransomware. Su alcance no se limita únicamente a actividades bancarias, ya que también actúa como una puerta trasera facilitando la instalación de distintos tipos de amenaza. Esto permite a los ciberdelincuentes llevar a cabo acciones como acceso remoto no autorizado, distribución de spam o incluso ataques de denegación de servicio DDoS.
RAT Amadey adquirido en foros de la Deep y Dark web.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano de acceso remoto llamado Amadey capaz de instalar otras familias de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rat-amadey-adquirido-en-foros-de-la-deep-y-dark-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano de acceso remoto llamado Amadey capaz de instalar otras familias de malware.
Nuevo stealer denominado EditbotEl equipo del Csirt Financiero, a través de monitoreo a diferentes fuentes de información, observó una nueva actividad maliciosa dirigida a usuarios de redes sociales, conocida como Editbot Stealer, con objetivos de evadir la detección, descargar cargas útiles adicionales y ganar persistencia en el sistema de la víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-stealer-denominado-editbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero, a través de monitoreo a diferentes fuentes de información, observó una nueva actividad maliciosa dirigida a usuarios de redes sociales, conocida como Editbot Stealer, con objetivos de evadir la detección, descargar cargas útiles adicionales y ganar persistencia en el sistema de la víctima.
Nueva campaña maliciosa suplanta entidades financieras para distribuir el RAT SpyNoteA través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva campaña maliciosa de tipo phishing dirigida a usuarios de destacadas entidades financieras en Chile.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-suplanta-entidades-financieras-para-distribuir-el-rat-spynotehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo realizado por el equipo de analistas del Csirt Financiero se observó una nueva campaña maliciosa de tipo phishing dirigida a usuarios de destacadas entidades financieras en Chile.
Nueva campaña del grupo Lazarus llamada Operación BlacksmithMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña llamada Operación Blacksmith.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-lazarus-llamada-operacion-blacksmithhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña llamada Operación Blacksmith.