Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
La evolución de Quasar RAT: nuevas técnicas de infecciónLa evolución de Quasar RAT: nuevas técnicas de infecciónhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-evolucion-de-quasar-rat-nuevas-tecnicas-de-infeccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La nueva amenaza a redes empresariales, ransomware SnakeDesde el Csirt Financiero se identificó un nuevo ransomware de nombre Snake, cuenta con un sistema de ofuscación avanzado en comparación a otras variantes de ransomware, su método de infección y organizaciones a las que va dirigido es por el momento desconocido, no descartando al sector financiero entre ellas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-nueva-amenaza-a-redes-empresariales-ransomware-snakehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se identificó un nuevo ransomware de nombre Snake, cuenta con un sistema de ofuscación avanzado en comparación a otras variantes de ransomware, su método de infección y organizaciones a las que va dirigido es por el momento desconocido, no descartando al sector financiero entre ellas.
La Nueva Botnet Echobot que afecta aplicaciones Oracle WebLogic y VMware SD-WanLa nueva Botnet "Echobot" agrego 26 Exploits nuevos que buscan no solo atacar a dispositivos IoT sin ultimas actualizaciones, sino tambien tiene como objetivo atacar Aplicaciones como Oracle WebLogic y VMware SD-Wan .http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/la-nueva-botnet-echobot-que-afecta-aplicaciones-oracle-weblogic-y-vmware-sd-wanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La nueva Botnet "Echobot" agrego 26 Exploits nuevos que buscan no solo atacar a dispositivos IoT sin ultimas actualizaciones, sino tambien tiene como objetivo atacar Aplicaciones como Oracle WebLogic y VMware SD-Wan .
Lampion, troyano bancarioLampión es el nombre del troyano bancario que fue conocido recientemente, según la investigación realizada se puede considerar una versión mejorada del Trojan-Banker.Win32.ChePro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lampion-troyano-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lampión es el nombre del troyano bancario que fue conocido recientemente, según la investigación realizada se puede considerar una versión mejorada del Trojan-Banker.Win32.ChePro.
Lanzamiento de actualizaciones del equipo de ChromeLa actualización corrige dos vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lanzamiento-de-actualizaciones-del-equipo-de-chromehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Latrodectus: el malware en evolución y sus métodos de propagaciónA través de un monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado nueva actividad vinculada a Latrodectus, Este loader conocido por su capacidad para la distribución de diversos tipos de malware, incluidos ransomware, troyanos bancarios y keyloggers. Latrodectus, considerado el sucesor de IcedID, tiene de serie la capacidad de distribuir cargas útiles adicionales, como QakBot y DarkGate. Artefactos recientes revelan un énfasis en la enumeración y ejecución, así como técnicas de autodestrucción para eliminar archivos en ejecución.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/latrodectus-el-malware-en-evolucion-y-sus-metodos-de-propagacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado nueva actividad vinculada a Latrodectus, Este loader conocido por su capacidad para la distribución de diversos tipos de malware, incluidos ransomware, troyanos bancarios y keyloggers. Latrodectus, considerado el sucesor de IcedID, tiene de serie la capacidad de distribuir cargas útiles adicionales, como QakBot y DarkGate. Artefactos recientes revelan un énfasis en la enumeración y ejecución, así como técnicas de autodestrucción para eliminar archivos en ejecución.
Lazarus (APT) emplea un nuevo backdoor denominado ForestTiger en su operaciónLazarus es un grupo de ciberdelincuentes con bastante trayectoria en el ciberespacio, puesto que este APT cuenta con un arsenal de herramientas para perpetrar ataques cibernéticos a gran escala asociados a ciberespionaje y ciberguerra; en el ejercicio de realizar seguimiento a sus actividades se ha relacionado una campaña distribuida a través técnicas de ingeniería social como spearphishing, dentro de la cual envían una aplicación maliciosa, además de utilizar un nuevo backdoor denominado ForestTiger para realizar movimientos laterales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lazarus-apt-emplea-un-nuevo-backdoor-denominado-foresttiger-en-su-operacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lazarus es un grupo de ciberdelincuentes con bastante trayectoria en el ciberespacio, puesto que este APT cuenta con un arsenal de herramientas para perpetrar ataques cibernéticos a gran escala asociados a ciberespionaje y ciberguerra; en el ejercicio de realizar seguimiento a sus actividades se ha relacionado una campaña distribuida a través técnicas de ingeniería social como spearphishing, dentro de la cual envían una aplicación maliciosa, además de utilizar un nuevo backdoor denominado ForestTiger para realizar movimientos laterales.
Lazarus APT utiliza método para ocultar malware en imágenesEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un método de distribución de malware por parte del grupo cibercriminal norcoreano Lazarus, también conocido como Hidden Cobra. Este grupo APT ha estado activo desde el año 2009 y desde entonces se ha centrado en realizar ataques cibernéticos principalmente a organizaciones de los sectores financiero, energético, tecnológico y de gobierno en distintas regiones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lazarus-apt-utiliza-metodo-para-ocultar-malware-en-imageneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un método de distribución de malware por parte del grupo cibercriminal norcoreano Lazarus, también conocido como Hidden Cobra. Este grupo APT ha estado activo desde el año 2009 y desde entonces se ha centrado en realizar ataques cibernéticos principalmente a organizaciones de los sectores financiero, energético, tecnológico y de gobierno en distintas regiones.
Lazarus Group utiliza variante del troyano trickbot para infectar usuarios.El CSIRT Financiero identificó que el grupo cibercriminal Lazarus, conocido también como APT38, se encuentra utilizando una variante del troyano trickbot de nombre “Anchor”, utilizada contra objetivos que generan ganancias económicas, hasta el momento se desconoce el vector de la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lazarus-group-utiliza-variante-del-troyano-trickbot-para-infectar-usuarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero identificó que el grupo cibercriminal Lazarus, conocido también como APT38, se encuentra utilizando una variante del troyano trickbot de nombre “Anchor”, utilizada contra objetivos que generan ganancias económicas, hasta el momento se desconoce el vector de la infección.
Leak de cuentas VPN del proveedor de servicios FortinetEn el monitoreo continuo a fuentes abiertas de información, en búsqueda de vulnerabilidades que puedan afectar a la infraestructura tecnológica de los asociados, el equipo del Csirt financiero ha identificado una filtración de más de 22 mil direcciones IP relacionadas al proveedor de soluciones de seguridad de red Fortinethttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/leak-de-cuentas-vpn-del-proveedor-de-servicios-fortinethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información, en búsqueda de vulnerabilidades que puedan afectar a la infraestructura tecnológica de los asociados, el equipo del Csirt financiero ha identificado una filtración de más de 22 mil direcciones IP relacionadas al proveedor de soluciones de seguridad de red Fortinet
Legion: la nueva herramienta de ataque que captura credenciales y ejecuta código maliciosoLa aparición de Legion como una nueva herramienta de ataque basada en Python, ha puesto en alerta a la comunidad de ciberseguridad debido a su capacidad para explotar diversas vulnerabilidades en servicios en línea. Este hacktool se comercializa en Telegram, como una forma efectiva de obtener credenciales y contraseñas para servicios de correo electrónico, servidores de nube, sistemas de administración de servidores, bases de datos y plataformas de pago como PayPal y Stripe.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/legion-la-nueva-herramienta-de-ataque-que-captura-credenciales-y-ejecuta-codigo-maliciosohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La aparición de Legion como una nueva herramienta de ataque basada en Python, ha puesto en alerta a la comunidad de ciberseguridad debido a su capacidad para explotar diversas vulnerabilidades en servicios en línea. Este hacktool se comercializa en Telegram, como una forma efectiva de obtener credenciales y contraseñas para servicios de correo electrónico, servidores de nube, sistemas de administración de servidores, bases de datos y plataformas de pago como PayPal y Stripe.
LegionLoader: el downloader que abusa de instaladores falsos y servicios en la nubeLegionLoader es un downloader escrito en C/C++ que fue identificado por primera vez en 2019. También es conocido por otros nombres, como Satacom y RobotDropper, y es rastreado como CurlyGate por la firma de ciberseguridad Mandiant. Este loader ha sido utilizado para distribuir diversas amenazas, incluyendo extensiones maliciosas para navegadores como Chrome, las cuales son capaces de alterar contenidos en correos electrónicos y monitorear la actividad de navegación. Entre estas extensiones, destaca CursedChrome, diseñada para convertir navegadores comprometidos en proxies HTTP, permitiendo a los ciberdelincuentes navegar de manera autenticada como las víctimas en múltiples plataformas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/legionloader-el-downloader-que-abusa-de-instaladores-falsos-y-servicios-en-la-nubehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
LegionLoader es un downloader escrito en C/C++ que fue identificado por primera vez en 2019. También es conocido por otros nombres, como Satacom y RobotDropper, y es rastreado como CurlyGate por la firma de ciberseguridad Mandiant. Este loader ha sido utilizado para distribuir diversas amenazas, incluyendo extensiones maliciosas para navegadores como Chrome, las cuales son capaces de alterar contenidos en correos electrónicos y monitorear la actividad de navegación. Entre estas extensiones, destaca CursedChrome, diseñada para convertir navegadores comprometidos en proxies HTTP, permitiendo a los ciberdelincuentes navegar de manera autenticada como las víctimas en múltiples plataformas.
Letscall: nuevo kit de herramientas de VishingEl Vishing, ha experimentado un aumento en popularidad en los últimos años, lo que ha llevado a una disminución de la confianza en las llamadas de números desconocidos. Este fenómeno ha llevado a que las personas sean cautelosas al recibir llamadas de supuestos empleados bancarios, ya que existe una alta posibilidad de que sean estafadores. En este contexto, ha surgido un grupo de aplicaciones maliciosas llamado "Letscall" que se dirige principalmente a personas en Corea del Sur, pero que podría expandirse a otros países. Este grupo de amenazas utiliza un framework completo que proporciona instrucciones y herramientas para operar los dispositivos afectados y comunicarse con las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/letscall-nuevo-kit-de-herramientas-de-vishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Vishing, ha experimentado un aumento en popularidad en los últimos años, lo que ha llevado a una disminución de la confianza en las llamadas de números desconocidos. Este fenómeno ha llevado a que las personas sean cautelosas al recibir llamadas de supuestos empleados bancarios, ya que existe una alta posibilidad de que sean estafadores. En este contexto, ha surgido un grupo de aplicaciones maliciosas llamado "Letscall" que se dirige principalmente a personas en Corea del Sur, pero que podría expandirse a otros países. Este grupo de amenazas utiliza un framework completo que proporciona instrucciones y herramientas para operar los dispositivos afectados y comunicarse con las víctimas.
Loader Hadooken ataca Oracle WeblogicMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que distribuye el loader llamado Hadooken.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/loader-hadooken-ataca-oracle-weblogichttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que distribuye el loader llamado Hadooken.
Loader Powgoop es atribuido al grupo APT MuddywaterEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una relación entre el grupo APT MuddyWater y la utilización del loader denominado PowGoop, el cuál había sido notificado por distribuir y ejecutar una variante de ransomware Thanos. Puede que este grupo APT sea el responsable de distribuir esta variante de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/loader-powgoop-es-atribuido-al-grupo-apt-muddywaterhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una relación entre el grupo APT MuddyWater y la utilización del loader denominado PowGoop, el cuál había sido notificado por distribuir y ejecutar una variante de ransomware Thanos. Puede que este grupo APT sea el responsable de distribuir esta variante de ransomware.
Loader WailingCrab utiliza el protocolo MQTT como servidor de comando y controlMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un loader llamado WailingCrab.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/loader-wailingcrab-utiliza-el-protocolo-mqtt-como-servidor-de-comando-y-controlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un loader llamado WailingCrab.
LockBit 3.0: utiliza la técnica de inyección EWM para propagar el ransomwareEn la actualidad, el mundo digital enfrenta constantemente nuevas amenazas de malware que buscan infiltrarse en sistemas y comprometer la seguridad de la información. Recientemente, se ha detectado una nueva variante del ransomware LockBit que utiliza una técnica de infección conocida como EWM (Exploit Windows Memory). Esta técnica ha sido utilizada previamente por otras familias de malware como Gapz y PowerLoader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lockbit-3-0-utiliza-la-tecnica-de-inyeccion-ewm-para-propagar-el-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la actualidad, el mundo digital enfrenta constantemente nuevas amenazas de malware que buscan infiltrarse en sistemas y comprometer la seguridad de la información. Recientemente, se ha detectado una nueva variante del ransomware LockBit que utiliza una técnica de infección conocida como EWM (Exploit Windows Memory). Esta técnica ha sido utilizada previamente por otras familias de malware como Gapz y PowerLoader.
Loda RAT utiliza los enlaces de cancelación de suscripción.Campaña de correo electrónico distribuyendo malware categorizado como RAT, a través de los enlaces de cancelación de suscripción.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/loda-rat-utiliza-los-enlaces-de-cancelacion-de-suscripcionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
LodaRat apunta a dispositivos Android y lanza una nueva versión para WindowsLos ciberdelincuentes detrás del troyano conocido como LodaRAT han desplegado campaña con dos enfoques, el primero es la afectación hacía Windows con la nueva versión del malware 1.1.8 y el segundo es la distribución de la aplicación Loda4Android para ampliar su infección hacía Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lodarat-apunta-a-dispositivos-android-y-lanza-una-nueva-version-para-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes detrás del troyano conocido como LodaRAT han desplegado campaña con dos enfoques, el primero es la afectación hacía Windows con la nueva versión del malware 1.1.8 y el segundo es la distribución de la aplicación Loda4Android para ampliar su infección hacía Android.
LodaRAT implementa diversas variantes de malwareRecientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lodarat-implementa-diversas-variantes-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una nueva variante de LodaRAT que también es conocido por otro nombre como Nymeria; en sus nuevas actividades se ha observado que se implementa junto con otros malware conocidos como RedLine Stealer y Neshta. LodaRAT está desarrollado en AutoIT y es capaz de recopilar y exfiltrar la información alojada en las infraestructuras informáticas comprometidas.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}