Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Distribución y estrategias del nuevo tipo de amenaza troyano proxy en MacOsMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano proxy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/distribucion-y-estrategias-del-nuevo-tipo-de-amenaza-troyano-proxy-en-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano proxy.
Documento de Windows falso propaga malwareCampaña de correo distribuyendo malware AverMaria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/documento-de-windows-falso-propaga-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Documento de Windows falso propaga malware AveMariaCampaña de correo distribuyendo malware AverMaria.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/documento-de-windows-falso-propaga-malware-avemariahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Domino Backdoor - Un vistazo a la amenaza que une a ex miembros de Conti y FIN7La seguridad informática es una preocupación constante en la actualidad debido a los continuos avances tecnológicos y la creciente amenaza de ciberataques. En este sentido, recientemente se ha identificado que x-miembros del grupo ransomware Conti se han asociado con el grupo FIN7 para distribuir una nueva puerta trasera denominada Domino, en ataques dirigidos a redes corporativa. Este malware tiene dos componentes, un backdoor y un loader, que trabajan en conjunto para inyectar el stealer Nemesis Project.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/domino-backdoor-un-vistazo-a-la-amenaza-que-une-a-ex-miembros-de-conti-y-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad informática es una preocupación constante en la actualidad debido a los continuos avances tecnológicos y la creciente amenaza de ciberataques. En este sentido, recientemente se ha identificado que x-miembros del grupo ransomware Conti se han asociado con el grupo FIN7 para distribuir una nueva puerta trasera denominada Domino, en ataques dirigidos a redes corporativa. Este malware tiene dos componentes, un backdoor y un loader, que trabajan en conjunto para inyectar el stealer Nemesis Project.
DonutLoader facilita carga reflectiva y ejecución fileless de amenazas en memoria.El equipo de analistas del Csirt Financiero ha identificado a DonutLoader, una herramienta utilizada por cibercriminales para facilitar la ejecución de código malicioso directamente en memoria, sin dejar rastros en disco.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/donutloader-facilita-carga-reflectiva-y-ejecucion-fileless-de-amenazas-en-memoriahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado a DonutLoader, una herramienta utilizada por cibercriminales para facilitar la ejecución de código malicioso directamente en memoria, sin dejar rastros en disco.
DoppelPaymer ransomwareDoppelPaymer es un troyano de tipo ransomware, tiene la función capturar y cifrar los archivos en el equipo del usuario, además, amenaza con exponer y/o vender la información en sitios de la darkweb si no realiza el pago del rescate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/doppelpaymer-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
DoppelPaymer es un troyano de tipo ransomware, tiene la función capturar y cifrar los archivos en el equipo del usuario, además, amenaza con exponer y/o vender la información en sitios de la darkweb si no realiza el pago del rescate.
Dos vulnerabilidades en GhostscriptGhostscript es un intérprete para archivos PostScript y PDF, consiste en una capa de interpretación de PostScript y una biblioteca de gráficos. Estas vulnerabilidades encontradas podrían eludir restricciones del sistema de archivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dos-vulnerabilidades-en-ghostscripthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ghostscript es un intérprete para archivos PostScript y PDF, consiste en una capa de interpretación de PostScript y una biblioteca de gráficos. Estas vulnerabilidades encontradas podrían eludir restricciones del sistema de archivos.
DoubleFinger y GreetingGhoul: nuevos loader de malware que amenazan la seguridad de las criptomonedasLa captura ilegal de criptomonedas ha sido una práctica común entre los cibercriminales durante años, , y una de las últimas incorporaciones a este fenómeno es el loader DoubleFinger. Este cargador utiliza varias etapas y se implementa en el equipo de la víctima cuando esta abre un archivo adjunto malicioso en un correo electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/doublefinger-y-greetingghoul-nuevos-loader-de-malware-que-amenazan-la-seguridad-de-las-criptomonedashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La captura ilegal de criptomonedas ha sido una práctica común entre los cibercriminales durante años, , y una de las últimas incorporaciones a este fenómeno es el loader DoubleFinger. Este cargador utiliza varias etapas y se implementa en el equipo de la víctima cuando esta abre un archivo adjunto malicioso en un correo electrónico.
DSA-4420-1 thunderbird - actualización de seguridadLas vulnerabilidades en Thunderbird pueden conllevar a ejecución de código maligno e incluso a la denegación de servicio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dsa-4420-1-thunderbird-actualizacion-de-seguridadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack, backdoor utilizado por grupos APTDtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado que el grupo APT denominado Lazarus patrocinados por el estado de Corea del Norte, continúan desplegando campañas maliciosas en varios países, donde en esta ocasión se observaron varios ataques a una corporación de Energía Nuclear de India.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/dtrack-backdoor-utilizado-por-grupos-apthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dtrack es una puerta trasera (backdoor), con la cual se puede realizar inyección de diferentes amenazas entre los que se encuentra malware de tipo ransomware, herramientas de control remoto entre otras, donde se ha identificado que el grupo APT denominado Lazarus patrocinados por el estado de Corea del Norte, continúan desplegando campañas maliciosas en varios países, donde en esta ocasión se observaron varios ataques a una corporación de Energía Nuclear de India.
DuplexSpy RAT Permite Vigilancia Total y Control Remoto Encubierto en Equipos con WindowsDurante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad asociada a la distribución de DuplexSpy RAT, un troyano de acceso remoto para Windows que permite el control completo de los equipos comprometidos y presenta mecanismos de evasión frente a herramientas de seguridad. Este software malicioso, desarrollado en C#, cuenta con una interfaz gráfica limpia, opciones personalizables y funciones avanzadas que facilitan su adopción por parte de cibercriminales con conocimientos técnicos limitados. Aunque fue publicado con fines educativos en GitHub, su arquitectura modular y sus capacidades ofensivas lo convierten en una herramienta atractiva para actividades de ciberespionaje y control remoto no autorizado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/duplexspy-rat-permite-vigilancia-total-y-control-remoto-encubierto-en-equipos-con-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continuo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva actividad asociada a la distribución de DuplexSpy RAT, un troyano de acceso remoto para Windows que permite el control completo de los equipos comprometidos y presenta mecanismos de evasión frente a herramientas de seguridad. Este software malicioso, desarrollado en C#, cuenta con una interfaz gráfica limpia, opciones personalizables y funciones avanzadas que facilitan su adopción por parte de cibercriminales con conocimientos técnicos limitados. Aunque fue publicado con fines educativos en GitHub, su arquitectura modular y sus capacidades ofensivas lo convierten en una herramienta atractiva para actividades de ciberespionaje y control remoto no autorizado.
Ejecución de código remoto en cajeros automáticos con versiones de Opteva 4.xSe detecta amenaza global que podría impactar sobre el sector financiero. Diebold Nixdorf, empresa especializada con el suministro de cajeros automáticos a nivel mundial, informa sobre una amenaza, la cual podría terminar en ejecución remota de código malicioso en terminales Opteva v4.x, con el objetivo principal de robo de dinero a los ATM de las entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ejecucion-de-codigo-remoto-en-cajeros-automaticos-con-versiones-de-opteva-4.xhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta amenaza global que podría impactar sobre el sector financiero. Diebold Nixdorf, empresa especializada con el suministro de cajeros automáticos a nivel mundial, informa sobre una amenaza, la cual podría terminar en ejecución remota de código malicioso en terminales Opteva v4.x, con el objetivo principal de robo de dinero a los ATM de las entidades financieras.
Ejecución de múltiples códigos arbitrarios en múltiples productos de CiscoSe han reportado múltiples vulnerabilidades en productos de Cisco, que podrían ser explotados por atacantes y comprometer a un sistema vulnerable.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ejecucion-de-multiples-codigos-arbitrarios-en-multiples-productos-de-ciscohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El actor de amenaza CoralRaider distribuye RotBot y Xclient Stealer en sus campañas maliciosas.Durante el monitoreo realizado por el equipo del Csirt Financiero en búsqueda de nuevas amenazas o campañas maliciosas que puedan generar impactos en el sector financiero y la infraestructura de los asociados, se observó un nuevo actor de amenazas (APT) identificado como “CoralRaider” con motivaciones financieras, que utiliza un loader conocido como RotBot para distribuir e infectar el sistema con la carga útil de XClient Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-actor-de-amenaza-coralraider-distribuye-rotbot-y-xclient-stealer-en-sus-campanas-maliciosashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo realizado por el equipo del Csirt Financiero en búsqueda de nuevas amenazas o campañas maliciosas que puedan generar impactos en el sector financiero y la infraestructura de los asociados, se observó un nuevo actor de amenazas (APT) identificado como “CoralRaider” con motivaciones financieras, que utiliza un loader conocido como RotBot para distribuir e infectar el sistema con la carga útil de XClient Stealer.
El actor de amenazas Zinc despliega un backdoor en su operación denominado ZetaNileLos grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-actor-de-amenazas-zinc-despliega-un-backdoor-en-su-operacion-denominado-zetanilehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los grupos de cibersoldados que operan actividades de estado-nación, son bastante activos en la naturaleza como es el caso de Zinc, quienes han perpetrado ataques cibernéticos sofisticados y destructivos desde 2009; el éxito de sus misiones es incursionar herramientas personalizadas como troyanos de acceso remoto (RAT), en ese orden de ideas se ha visto en el ciberespacio una creciente ola de campañas de ingeniería social atribuida a este grupo, en la que utilizan versiones modificadas de software de libre acceso para comprometer los equipos.
El ataque de Ransomware obligó a la ciudad de Greenville a cerrar la mayoría de sus servidoresEl ataque de paralizo las operaciones informáticas en la ciudad de Greenville en Carolina del sur. El ataque obligo a la desconexión de la mayoría de los servidores que se alojan en la ciudad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ataque-de-ransomware-obligo-a-la-ciudad-de-greenville-a-cerrar-la-mayoria-de-sus-servidoreshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ataque de paralizo las operaciones informáticas en la ciudad de Greenville en Carolina del sur. El ataque obligo a la desconexión de la mayoría de los servidores que se alojan en la ciudad.
El auge del troyano TOITOIN y su cadena de infección sofisticada que afecta a entidades en América LatinaEn el mundo en constante cambio de las amenazas cibernéticas, ha surgido recientemente una nueva y sofisticada campaña de ataque dirigido en la región de América Latina (LATAM). Esta campaña utiliza un troyano de múltiples etapas llamado TOITOIN, con módulos diseñados específicamente en cada etapa para llevar a cabo actividades maliciosas. Este troyano se destaca por su técnica única de descifrado XOR, que utiliza para decodificar su archivo de configuración y recopilar información crucial del sistema y datos relacionados con los navegadores instalados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-auge-del-troyano-toitoin-y-su-cadena-de-infeccion-sofisticada-que-afecta-a-entidades-en-america-latinahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el mundo en constante cambio de las amenazas cibernéticas, ha surgido recientemente una nueva y sofisticada campaña de ataque dirigido en la región de América Latina (LATAM). Esta campaña utiliza un troyano de múltiples etapas llamado TOITOIN, con módulos diseñados específicamente en cada etapa para llevar a cabo actividades maliciosas. Este troyano se destaca por su técnica única de descifrado XOR, que utiliza para decodificar su archivo de configuración y recopilar información crucial del sistema y datos relacionados con los navegadores instalados.
El Bootkit UEFI denominado BlackLotus toma protagonismo en el panorama de amenazasLa orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-bootkit-uefi-denominado-blacklotus-toma-protagonismo-en-el-panorama-de-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La orquestación de ataques cibernéticos se vuelve más sofisticado con herramientas como el bootkit de arranque UEFI conocido como BlackLotus, que omite la característica de seguridad de la plataforma UEFI Secure Boot. Los bootkits UEFI son amenazas muy poderosas que pueden controlar todo el proceso de arranque del sistema operativo y deshabilitar varios mecanismos de seguridad.
El cargador Bumblebee está siendo empleado para impactar a los servicios de Active DirectoryRecientemente, se evidenciaron ataques cibernéticos en los cuales se involucró a Bumblebee Loader y como a través de este los ciberdelincuentes lograron comprometer la red de las organizaciones, este cargador lo utilizaron posteriormente a la explotación con la finalidad de escalar privilegios, a su vez, realizar el reconocimiento del sistema y generar la exfiltración de credenciales de acceso, con estas últimas mencionadas, los ciberdelincuentes lograron acceder de manera arbitraria al Active Directory (AD) acto seguido, con los datos recopilados realizaron actividades maliciosas sobre la red objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-cargador-bumblebee-esta-siendo-empleado-para-impactar-a-los-servicios-de-active-directoryhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se evidenciaron ataques cibernéticos en los cuales se involucró a Bumblebee Loader y como a través de este los ciberdelincuentes lograron comprometer la red de las organizaciones, este cargador lo utilizaron posteriormente a la explotación con la finalidad de escalar privilegios, a su vez, realizar el reconocimiento del sistema y generar la exfiltración de credenciales de acceso, con estas últimas mencionadas, los ciberdelincuentes lograron acceder de manera arbitraria al Active Directory (AD) acto seguido, con los datos recopilados realizaron actividades maliciosas sobre la red objetivo.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}