Nueva variante de Wannalocker busca infectar usuarios de entidades bancariasDesde el CSIRT Financiero se ha detectado una nueva variante del Ransomware WannaLocker, con objetivo principal de infectar a los usuarios de la banca movil para robar su información personal, como credenciales y posteriormente iniciar con el proceso de cifrado de los datos del usuario y cobro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-wannalocker-busca-infectar-usuarios-de-entidades-bancariashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado una nueva variante del Ransomware WannaLocker, con objetivo principal de infectar a los usuarios de la banca movil para robar su información personal, como credenciales y posteriormente iniciar con el proceso de cifrado de los datos del usuario y cobro.
Nueva vulnerabilidad de cisco data center network manager busca omitir la autenticación de accesoDesde el CSIRT Financiero se ha detectado nueva vulnerabilidad en el sistema DCNM (Data Center Network Manager) de dispositivos Cisco. Esta nueva vulnerabilidad permite al atacante realizar accesos sin autenticación y ejecución de código arbitrario sin autentificación de administradorhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-vulnerabilidad-de-cisco-data-center-network-manager-busca-omitir-la-autenticacion-de-accesohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado nueva vulnerabilidad en el sistema DCNM (Data Center Network Manager) de dispositivos Cisco. Esta nueva vulnerabilidad permite al atacante realizar accesos sin autenticación y ejecución de código arbitrario sin autentificación de administrador
Detectada nueva campaña que distribuye el kit de exploits SpelevoLos investigadores de Cisco Talos han descubierto una campaña que distribuye un kit de exploits al que han nombrado Spelevo. Este kit se aprovecha de versiones no actualizadas de Internet Explorer y Adobe Flash, concretamente de las vulnerabilidades CVE-2018-8174, CVE-2018-15982 y CVE-2018-4878. Una vez explotadas, se procedería a la instalación de un troyano encargado, principalmente, del robo de credenciales bancarias.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/detectada-nueva-campana-que-distribuye-el-kit-de-exploits-spelevohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los investigadores de Cisco Talos han descubierto una campaña que distribuye un kit de exploits al que han nombrado Spelevo. Este kit se aprovecha de versiones no actualizadas de Internet Explorer y Adobe Flash, concretamente de las vulnerabilidades CVE-2018-8174, CVE-2018-15982 y CVE-2018-4878. Una vez explotadas, se procedería a la instalación de un troyano encargado, principalmente, del robo de credenciales bancarias.
Análisis Técnico de Malware ATM JaDi (JavaDispCash)Desde el CSIRT Financiero se profundiza en el modelado, actuación y variantes del malware ATM JaDi (JavaDispCash), teniendo en cuenta que puede generar impacto significativo al sector en la afectación sobre los cajeros automáticos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-tecnico-de-malware-javadispcashhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se profundiza en el modelado, actuación y variantes del malware ATM JaDi (JavaDispCash), teniendo en cuenta que puede generar impacto significativo al sector en la afectación sobre los cajeros automáticos.
Vulnerabilidad en Outlook explotada por ciberdelincuentesSe detecta una campaña de ataques cibernéticos dirigidos a entidades gubernamentales, los cuales explotan la vulnerabilidad CVE-2017-11774 de Outlook, en donde un atacante podría enviar malware a diferentes usuarios y engañarlos para que estos interactuaran con el documento infectado, y así lograr tener acceso al dispositivo. Además, puede descargar complementos de malware o diferentes troyanos que complementen su objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-outlook-explotada-por-ciberdelincuentes-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se detecta una campaña de ataques cibernéticos dirigidos a entidades gubernamentales, los cuales explotan la vulnerabilidad CVE-2017-11774 de Outlook, en donde un atacante podría enviar malware a diferentes usuarios y engañarlos para que estos interactuaran con el documento infectado, y así lograr tener acceso al dispositivo. Además, puede descargar complementos de malware o diferentes troyanos que complementen su objetivo.
Nueva variante del troyano BianLian permite utilizarse para actividades de robo bancarioDesde el CSIRT Financiero se ha detectado una nueva variante del troyano bancario BianLian, el cual busca afectar a usuarios del sector bancario con sus nuevas herramientas de Socks5 y ScreenRecoder.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bianlian-permite-utilizarse-para-actividades-de-robo-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha detectado una nueva variante del troyano bancario BianLian, el cual busca afectar a usuarios del sector bancario con sus nuevas herramientas de Socks5 y ScreenRecoder.
Nuevos indicadores de compromiso relacionados a TrickbotDesde el CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el troyano bancario TrickBot, este troyano busca capturar las credenciales bancarias del usuario víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-a-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el troyano bancario TrickBot, este troyano busca capturar las credenciales bancarias del usuario víctima.
Más de medio millón de equipos infectados por la botnet de criptomonedas Smominru.La botnet llamada Smominru lleva activa aproximadamente desde Mayo del 2017, desde entonces ha comprometido a más de medio millón de equipos enfocado a dos objetivos, el primero se basa en la capturara de información de acceso a plataformas usadas por el usuario y la segunda en convertir al dispositivo infectado en un bot más para poder hacer más grande su red de minería de criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/mas-de-medio-millon-de-equipos-infectados-por-la-botnet-de-criptomonedas-smominruhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La botnet llamada Smominru lleva activa aproximadamente desde Mayo del 2017, desde entonces ha comprometido a más de medio millón de equipos enfocado a dos objetivos, el primero se basa en la capturara de información de acceso a plataformas usadas por el usuario y la segunda en convertir al dispositivo infectado en un bot más para poder hacer más grande su red de minería de criptomonedas.
Nuevo malware ATMDTRACK apunta a cajeros automáticos en un país de Asia.Investigadores de seguridad han detectado un nuevo malware denominado ATMDtrack, esta nueva amenaza se relaciona con los actores detrás del grupo Lazarus dedicados a infectar cajeros automáticos con malware para obtener beneficios monetarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-atmdtrack-apunta-a-cajeros-automaticos-en-un-pais-de-asiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de seguridad han detectado un nuevo malware denominado ATMDtrack, esta nueva amenaza se relaciona con los actores detrás del grupo Lazarus dedicados a infectar cajeros automáticos con malware para obtener beneficios monetarios.
Análisis de amenaza FrameworkPOSEn la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-amenaza-frameworkposhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.
Nuevos indicadores asociados a la APT FIN6Desde CSIRT Financiero se han identificado nuevas amenazas relacionadas con APT FIN6, este grupo de hackers, ha robado datos de tarjetas de pago y los ha vendido en mercados clandestinos para obtener ganancias, tradicionalmente ha hecho sus intrusiones dirigidas a entornos de puntos de venta; aunque sus técnicas de ataques se han visto constantemente modificadas con el fin de apuntar a sitios de comercio electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-asociados-a-la-apt-fin6http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado nuevas amenazas relacionadas con APT FIN6, este grupo de hackers, ha robado datos de tarjetas de pago y los ha vendido en mercados clandestinos para obtener ganancias, tradicionalmente ha hecho sus intrusiones dirigidas a entornos de puntos de venta; aunque sus técnicas de ataques se han visto constantemente modificadas con el fin de apuntar a sitios de comercio electrónico.
Nuevos indicadores de compromiso del troyano bancario EmotetDesde el CSIRT Financiero se ha evidenciado que durante los últimos meses Emotet ha aumentado su actividad delictiva a través de diferentes campañas de malspam, donde los ciberdelincuentes han aprovechado la taxonomía de este troyano para diseminarlo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-bancario-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha evidenciado que durante los últimos meses Emotet ha aumentado su actividad delictiva a través de diferentes campañas de malspam, donde los ciberdelincuentes han aprovechado la taxonomía de este troyano para diseminarlo.
Vulnerabilidades encontradas en equipos Dell Wyse Thin ClientEn el constante monitoreo que realiza el equipo de Csirt Financiero a fuentes abiertas, se evidencian vulnerabilidades halladas en los equipos Dell Wyse Thin Client, tomando en cuenta que estos son ampliamente usados en servidores centrales en lugar de un disco duro localizado; se vaticina un riesgo de alta criticidad en las entidades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-encontradas-en-equipos-dell-wyse-thin-clienthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo que realiza el equipo de Csirt Financiero a fuentes abiertas, se evidencian vulnerabilidades halladas en los equipos Dell Wyse Thin Client, tomando en cuenta que estos son ampliamente usados en servidores centrales en lugar de un disco duro localizado; se vaticina un riesgo de alta criticidad en las entidades.
Identificados nuevos indicadores de compromiso asociados a EmotetEn el monitoreo realizado por el Csirt Financiero, se ha observado actividad en el mes de diciembre por parte del troyano modular Emotet, enfocado en la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificados-nuevos-indicadores-de-compromiso-asociados-a-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha observado actividad en el mes de diciembre por parte del troyano modular Emotet, enfocado en la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.
Nuevos indicadores de compromiso asociados a QakbotEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-qakbot-2http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.
Grupo Ultrarank apunta a sitios de comercio electrónicoEn el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un grupo cibercriminal conocido como UltraRank, este grupo recientemente ha realizado una docena de campañas dirigidas a sitios de comercio electrónico para exfiltrar los datos de tarjetas crédito y débito haciendo uso de un rastreador JavaScript.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-ultrarank-apunta-a-sitios-de-comercio-electronicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un grupo cibercriminal conocido como UltraRank, este grupo recientemente ha realizado una docena de campañas dirigidas a sitios de comercio electrónico para exfiltrar los datos de tarjetas crédito y débito haciendo uso de un rastreador JavaScript.
Ciberdelincuentes intentan retirar dinero de cuentas chilenasEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una publicación en foros de piratería donde un usuario menciona que tiene acceso a la cuenta de un cliente del banco de Chile.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-intentan-retirar-dinero-de-cuentas-chilenashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una publicación en foros de piratería donde un usuario menciona que tiene acceso a la cuenta de un cliente del banco de Chile.
Venta de acceso a entidad financiera en Chile.En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una publicación que menciona la venta de credenciales que permitiría el acceso por parte de ciberdelincuente a infraestructura tecnológica de una entidad bancaria de Chile para cometer algún delito informático.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/venta-de-acceso-a-entidad-financiera-en-chilehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una publicación que menciona la venta de credenciales que permitiría el acceso por parte de ciberdelincuente a infraestructura tecnológica de una entidad bancaria de Chile para cometer algún delito informático.
Vulnerabilidad de Windows no parchada correctamenteEn el monitoreo que realiza el Csirt Financiero a fuentes abiertas de información, se ha observado la vulnerabilidad identificada como CVE-2020-0986 no fue parchada correctamente por Microsoft. Esta vulnerabilidad fue reportada desde mayo del presente año y Microsoft lanzó un parche de seguridad en el mes de junio. En su momento, dicha vulnerabilidad permitía un escalamiento de privilegios logrado en el momento que el kernel de Windows no pudiera manejar correctamente los objetos en memoria, logrando así ejecutar código malicioso. A pesar de esto, el equipo Project Zero de Google ha informado que el parche no funcionó correctamente sobre la vulnerabilidad y aún expone a los usuarios de Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-windows-no-parchada-correctamentehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el Csirt Financiero a fuentes abiertas de información, se ha observado la vulnerabilidad identificada como CVE-2020-0986 no fue parchada correctamente por Microsoft. Esta vulnerabilidad fue reportada desde mayo del presente año y Microsoft lanzó un parche de seguridad en el mes de junio. En su momento, dicha vulnerabilidad permitía un escalamiento de privilegios logrado en el momento que el kernel de Windows no pudiera manejar correctamente los objetos en memoria, logrando así ejecutar código malicioso. A pesar de esto, el equipo Project Zero de Google ha informado que el parche no funcionó correctamente sobre la vulnerabilidad y aún expone a los usuarios de Windows.
Vulnerabilidades encontradas en DayByDay 2.1.0 CMREn el continuo monitoreo realizado por el equipo de Csirt Financiero, se han logrado evidenciar vulnerabilidades halladas en Daybyday 2.1.0, permitiendo realizar ataques de Cross-Site Scripting (XSS) sobre los sistemas de administración de relación con clientes CRM de DAYBYDAY logrando con esto secuestrar sesiones de navegación, redireccionar al usuario a sitios maliciosos e incluso realizar defacement a los sitios web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-encontradas-en-daybyday-2-1-0-cmrhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el equipo de Csirt Financiero, se han logrado evidenciar vulnerabilidades halladas en Daybyday 2.1.0, permitiendo realizar ataques de Cross-Site Scripting (XSS) sobre los sistemas de administración de relación con clientes CRM de DAYBYDAY logrando con esto secuestrar sesiones de navegación, redireccionar al usuario a sitios maliciosos e incluso realizar defacement a los sitios web.