Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Malware GootkitDesde el CSIRT Financiero se detecta una nueva variante del malware Gootkit el cual está dirigido a entidades financieras a nivel mundial. Gootkit es un malware de tipo troyano el cual infecta dispositivos con sistema operativo Windows. Los dispositivos infectados pasan a ser parte de una botnet, con objetivo de realizar actividades maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-gootkithttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una nueva variante del malware Gootkit el cual está dirigido a entidades financieras a nivel mundial. Gootkit es un malware de tipo troyano el cual infecta dispositivos con sistema operativo Windows. Los dispositivos infectados pasan a ser parte de una botnet, con objetivo de realizar actividades maliciosas.
Malware GozNymSe ha detectado actividad del malware GozNym, el cual se cataloga como un troyano financiero que apunta al robo de credenciales de usuario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-goznymhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Malware Grandoreiro actualizado con latenbot-C2Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el malware Grandoreiro y el cual se ha documentado en comunicados anteriores. Esta vez, se reinventa e incluye en su suite de herramientas, el módulo botnet Latenbot optimizando la comunicación con el servidor de comando y control (C2).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-grandoreiro-actualizado-con-latenbot-c2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis que involucra el malware Grandoreiro y el cual se ha documentado en comunicados anteriores. Esta vez, se reinventa e incluye en su suite de herramientas, el módulo botnet Latenbot optimizando la comunicación con el servidor de comando y control (C2).
Malware Guildma: Campaña de Malspam dirigida a usuarios financieros y de servicios en líneaDesde el CSIRT Financiero se ha identificado una nueva campaña de Malspam dirigido a usuarios de entidades financieras y de servicios en línea a través del Malware Guildma. Afectando principalmente a Brasil, pero desde el mes de mayo de 2019, se ha empezado expandir por el área de Latinoamérica y del mundo, afectando aproximadamente a 130 bancos y 75 servicios en línea.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-guildma-campana-de-malspam-dirigida-a-usuarios-financieros-y-de-servicios-en-linea-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña de Malspam dirigido a usuarios de entidades financieras y de servicios en línea a través del Malware Guildma. Afectando principalmente a Brasil, pero desde el mes de mayo de 2019, se ha empezado expandir por el área de Latinoamérica y del mundo, afectando aproximadamente a 130 bancos y 75 servicios en línea.
Malware Haken afecta aplicaciones de Google PlayInvestigadores han detectado un malware en aplicaciones legítimas distribuidas en Google Play Store que han denominado Haken, el cual fue desarrollado para capturar y extraer datos confidenciales de los usuarios y registrarlos en sitios web de servicios premium.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-haken-afecta-aplicaciones-de-google-playhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores han detectado un malware en aplicaciones legítimas distribuidas en Google Play Store que han denominado Haken, el cual fue desarrollado para capturar y extraer datos confidenciales de los usuarios y registrarlos en sitios web de servicios premium.
Malware Joker embebido en aplicación de lectura de archivos pdfEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado al troyano Joker embebido en la aplicación denominada Easy PDF Reader (hxxps://play[.]google.com/store/apps/details?id=com.pdfreader[.]for[.]easy). El malware es responsable de usar las aplicaciones alojadas en Google como canal para propagarse, afectando dispositivos móviles con sistema operativo Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-joker-embebido-en-aplicacion-de-lectura-de-archivos-pdfhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado al troyano Joker embebido en la aplicación denominada Easy PDF Reader (hxxps://play[.]google.com/store/apps/details?id=com.pdfreader[.]for[.]easy). El malware es responsable de usar las aplicaciones alojadas en Google como canal para propagarse, afectando dispositivos móviles con sistema operativo Android.
Malware Joker, nueva infección de Spyware dirigida a dispositivos AndroidNuevo malware llamado Joker y categorizado como spyware, que se había filtrado a la tienda oficial de Google Play, alojado en 24 aplicaciones y que tiene como objetivo el robo de mensajes SMS, información de contacto y datos del dispositivo. Joker va más allá al intentar generar ganancias para su operador a través de actividad publicitaria fraudulenta.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-joker-nueva-infeccion-de-spyware-dirigida-a-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nuevo malware llamado Joker y categorizado como spyware, que se había filtrado a la tienda oficial de Google Play, alojado en 24 aplicaciones y que tiene como objetivo el robo de mensajes SMS, información de contacto y datos del dispositivo. Joker va más allá al intentar generar ganancias para su operador a través de actividad publicitaria fraudulenta.
Malware LemonDuck explota vulnerabilidad de SMBEl malware de minería de criptomonedas LemonDuck está explotando la vulnerabilidad de SMB conocida como EternalBlue para comprometer sistemas, después de obtener acceso inicial mediante ataques de fuerza bruta.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-lemonduck-explota-vulnerabilidad-de-smbhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El malware de minería de criptomonedas LemonDuck está explotando la vulnerabilidad de SMB conocida como EternalBlue para comprometer sistemas, después de obtener acceso inicial mediante ataques de fuerza bruta.
Malware loup extrae dinero de atm-ncrEn el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-loup-extrae-dinero-de-atm-ncrhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.
Malware Lucifer apunta a Distribuciones LINUXEn el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-lucifer-apunta-a-distribuciones-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.
Malware Monokle para dispositivos AndroidDesde el CSIRT Financiero se detecta Monokle, troyano de acceso remoto, el cual apunta a los teléfonos móvil desde el año 2016, aunque no va dirigido a un sector en específico se puede catalogar como una amenaza para el sector financiero por sus capacidades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-monokle-para-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta Monokle, troyano de acceso remoto, el cual apunta a los teléfonos móvil desde el año 2016, aunque no va dirigido a un sector en específico se puede catalogar como una amenaza para el sector financiero por sus capacidades.
Malware PandaPanda es un malware derivado de Zeus Trojan Horse, ya que emplea técnicas que dificultan su detecciónhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-pandahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Malware POS “Alina” exfiltra información a través del protocolo DNS.En el monitoreo realizado por el equipo del Csirt Financiero ha identificado que el malware Alina, estaría utilizando el servicio de DNS para extraer la información de las tarjetas de crédito capturadas en los puntos de venta de las entidades de comercio comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-pos-201calina201d-exfiltra-informacion-a-traves-del-protocolo-dnshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero ha identificado que el malware Alina, estaría utilizando el servicio de DNS para extraer la información de las tarjetas de crédito capturadas en los puntos de venta de las entidades de comercio comprometidas.
Malware Predator the ThiefActualizaciones del malware Predator the Thief.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-predator-the-thiefhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Malware Predator the ThiefActualizaciones del malware Predator the Thief.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-predator-the-thief-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Malware programado en Go apunta a sistemas operativos Windows y MacOSMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un malware llamado JaskaGO.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-programado-en-go-apunta-a-sistemas-operativos-windows-y-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un malware llamado JaskaGO.
Malware Rocinante tiene como objetivo clientes de instituciones financierasRocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-rocinante-tiene-como-objetivo-clientes-de-instituciones-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Malware Sarwent con enfoque en RDPA través del monitoreo de fuentes abiertas disponibles en la red, el equipo del Csirt Financiero ha evidenciado el análisis relacionado con el malware de puerta trasera Sarwent; se apoya en el protocolo de escritorio remoto (RDP) para acceder de forma no autorizada al sistema y exfiltrar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-sarwent-con-enfoque-en-rdphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo de fuentes abiertas disponibles en la red, el equipo del Csirt Financiero ha evidenciado el análisis relacionado con el malware de puerta trasera Sarwent; se apoya en el protocolo de escritorio remoto (RDP) para acceder de forma no autorizada al sistema y exfiltrar información confidencial.
Malware se distribuye mediante PoC falsaEl equipo de analistas del Csirt Financiero ha identificado un exploit de prueba de concepto (PoC) para la vulnerabilidad LDAPNightmare (CVE-2024-49113). Esta vulnerabilidad, corregida por Microsoft en diciembre de 2024, afecta al protocolo LDAP, permitiendo a los atacantes ejecutar ataques de denegación de servicio (DoS). El malware se distribuye a través de un repositorio malicioso que imita ser una bifurcación legítima de un proyecto confiable. Su principal objetivo es desplegar scripts maliciosos, exfiltrar información sensible y descargar malware adicional, utilizando servicios como Pastebin y un servidor FTP externo. Esta amenaza representa un riesgo considerable, especialmente para profesionales de seguridad y desarrolladores que confían en herramientas PoC legítimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-se-distribuye-mediante-poc-falsahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado un exploit de prueba de concepto (PoC) para la vulnerabilidad LDAPNightmare (CVE-2024-49113). Esta vulnerabilidad, corregida por Microsoft en diciembre de 2024, afecta al protocolo LDAP, permitiendo a los atacantes ejecutar ataques de denegación de servicio (DoS). El malware se distribuye a través de un repositorio malicioso que imita ser una bifurcación legítima de un proyecto confiable. Su principal objetivo es desplegar scripts maliciosos, exfiltrar información sensible y descargar malware adicional, utilizando servicios como Pastebin y un servidor FTP externo. Esta amenaza representa un riesgo considerable, especialmente para profesionales de seguridad y desarrolladores que confían en herramientas PoC legítimas.
Malware Skynet, nueva amenaza orientada a manipular modelos de inteligencia artificialDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó un nuevo malware denominado Skynet, cuyo comportamiento revela una táctica inusual orientada a la manipulación de modelos de inteligencia artificial (IA).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-skynet-nueva-amenaza-orientada-a-manipular-modelos-de-inteligencia-artificialhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó un nuevo malware denominado Skynet, cuyo comportamiento revela una táctica inusual orientada a la manipulación de modelos de inteligencia artificial (IA).
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}