Falsas tarjetas de regalo de Amazon distribuyen al troyano Dridex.En el monitorio realizado por el Csirt Financiero a fuentes abiertas de información, se ha identificado que ciberdelincuentes están realizando una campaña de malspam con temática que hace alusión a supuestas tarjetas de navidad de Amazon para distribuir a Dridex, un troyano bancario modular con capacidades de captura y exfiltración de información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/falsas-tarjetas-de-regalo-de-amazon-distribuyen-al-troyano-dridexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitorio realizado por el Csirt Financiero a fuentes abiertas de información, se ha identificado que ciberdelincuentes están realizando una campaña de malspam con temática que hace alusión a supuestas tarjetas de navidad de Amazon para distribuir a Dridex, un troyano bancario modular con capacidades de captura y exfiltración de información sensible.
Vulnerabilidad sobre productos ZyxelEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una vulnerabilidad de riesgo critico en algunos de los productos de Zyxel.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-sobre-productos-zyxelhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una vulnerabilidad de riesgo critico en algunos de los productos de Zyxel.
Vulnerabilidad encontrada en Parallels Remote Application Server (RAS)En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar una vulnerabilidad sobre Parallels Remote Application Server (RAS), a la cual se le ha asignado el CVE-2020-35710.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-encontrada-en-parallels-remote-application-server-rashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar una vulnerabilidad sobre Parallels Remote Application Server (RAS), a la cual se le ha asignado el CVE-2020-35710.
Solarwinds Orion, omisión de autenticación de la API, permite ejecución remota de comandosEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero evidenció una nueva vulnerabilidad en los productos de SolarWinds Orion. Debido a los diferentes eventos ocasionados a los productos de SolarWinds, se ha evidenciado que la API de SolarWinds Orion presenta una vulnerabilidad en la omisión de autenticación, lo que permite la ejecución remota de comandos. La API de SolarWinds Orion, se usa para interactuar con los productos de SolarWinds Orion Platform. El fallo de seguridad permite que la autenticación se pueda omitir al incluir parámetros específicos en la Request.PathInfo en una parte de una solicitud URL, lo que otorgaría la ejecución de comandos de API no autenticados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/solarwinds-orion-omision-de-autenticacion-de-la-api-permite-ejecucion-remota-de-comandoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero evidenció una nueva vulnerabilidad en los productos de SolarWinds Orion. Debido a los diferentes eventos ocasionados a los productos de SolarWinds, se ha evidenciado que la API de SolarWinds Orion presenta una vulnerabilidad en la omisión de autenticación, lo que permite la ejecución remota de comandos. La API de SolarWinds Orion, se usa para interactuar con los productos de SolarWinds Orion Platform. El fallo de seguridad permite que la autenticación se pueda omitir al incluir parámetros específicos en la Request.PathInfo en una parte de una solicitud URL, lo que otorgaría la ejecución de comandos de API no autenticados.
Indicadores de compromiso asociados a EmotetEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.
Macro que descarga malware desde GithubEn el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/macro-que-descarga-malware-desde-githubhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.
Nueva campaña del malware Casbaneiro apunta a MéxicoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-malware-casbaneiro-apunta-a-mexicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.
Ataque DDOS a dispositivos CitrixEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una alerta de la compañía Citrix que advierte sobre ataques DDoS contra sus productos Citrix ADC y Citrix Gateway. Los ciberdelincuentes realizan estos ataques que pueden afectar el rendimiento de la red Citrix ADC DTLS, lo que podría provocar el agotamiento del ancho de banda de salida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-ddos-a-dispositivos-citrixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una alerta de la compañía Citrix que advierte sobre ataques DDoS contra sus productos Citrix ADC y Citrix Gateway. Los ciberdelincuentes realizan estos ataques que pueden afectar el rendimiento de la red Citrix ADC DTLS, lo que podría provocar el agotamiento del ancho de banda de salida.
Nuevo Skimmer web apunta a múltiples plataformas de comercio electrónicoEn el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un nuevo Skimmer de tarjetas multiplataforma capaz de afectar a Shopify, BigCommerce y otras plataformas de comercio electrónico. Hasta el momento, los investigadores han encontrado este skimmer en una docena de páginas de pago en línea compatibles con los sistemas de gestión alojados en las plataformas previamente mencionadas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-skimmer-web-apunta-a-multiples-plataformas-de-comercio-electronicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un nuevo Skimmer de tarjetas multiplataforma capaz de afectar a Shopify, BigCommerce y otras plataformas de comercio electrónico. Hasta el momento, los investigadores han encontrado este skimmer en una docena de páginas de pago en línea compatibles con los sistemas de gestión alojados en las plataformas previamente mencionadas.
Nuevo gusano Golang lanza Xrig Miner a servidoresEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-gusano-golang-lanza-xrig-miner-a-servidoreshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.
Nuevos indicadores de compromiso asociados a EmotetEn el monitoreo a fuentes abiertas de información, se ha evidenciado la reactivación del troyano bancario Emotet en las últimas semanas, por tal razón el equipo del Csirt Financiero ha encontrado nuevos indicadores de compromiso asociados a este troyano. Emotet tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-emotet-10http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, se ha evidenciado la reactivación del troyano bancario Emotet en las últimas semanas, por tal razón el equipo del Csirt Financiero ha encontrado nuevos indicadores de compromiso asociados a este troyano. Emotet tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows.
Fin del ciclo de vida para Adobe Flash PlayerFlash Player anuncia su inminente salida del mercado de soporte tecnológico a partir del 1 de enero de 2021. Los constantes riesgos y explotación de vulnerabilidades de día cero como las presentadas desde el 2017 son algunas de las razones de su retiro. Los ciberdelincuentes han aprovechado varias vulnerabilidades inherentes al paquete de software para instalar malware, ejecutar código arbitrario remotamente y tomar control de los equipos afectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/fin-del-ciclo-de-vida-para-adobe-flash-playerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Flash Player anuncia su inminente salida del mercado de soporte tecnológico a partir del 1 de enero de 2021. Los constantes riesgos y explotación de vulnerabilidades de día cero como las presentadas desde el 2017 son algunas de las razones de su retiro. Los ciberdelincuentes han aprovechado varias vulnerabilidades inherentes al paquete de software para instalar malware, ejecutar código arbitrario remotamente y tomar control de los equipos afectados.
Microsoft confirma que ciberdelincuentes accedieron a sus códigos fuentesEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se observó un comunicado de Microsoft donde confirma que ante el incidente causado por el backdoor Sunburst en la plataforma SolarWinds Orion, ciberdelincuentes lograron acceder a los códigos fuentes de sus productos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/microsoft-confirma-que-ciberdelincuentes-accedieron-a-sus-codigos-fuenteshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se observó un comunicado de Microsoft donde confirma que ante el incidente causado por el backdoor Sunburst en la plataforma SolarWinds Orion, ciberdelincuentes lograron acceder a los códigos fuentes de sus productos.
Evolución del Ransomware en el 2020En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evolucion-del-ransomware-en-el-2020http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la evolución de los grupos cibercriminales que utilizan y distribuyen ransomware, desarrollando nuevas técnicas y tácticas para su distribución y extorsión a grandes corporaciones alrededor del mundo.
Vulnerabilidad en SEO panel 4.8.0En el constante monitoreo a fuentes abiertas realizado por parte del equipo del Csirt, se ha evidenciado una vulnerabilidad en el panel de control SEO 4.8.0 (Search Engine Optimization), esta herramienta de libre acceso es útil para administrar la optimización de motores de búsqueda de sus sitios web mediante el rastreo al proceso SEO de estos portales web para su mejor posicionamiento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-seo-panel-4-8.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas realizado por parte del equipo del Csirt, se ha evidenciado una vulnerabilidad en el panel de control SEO 4.8.0 (Search Engine Optimization), esta herramienta de libre acceso es útil para administrar la optimización de motores de búsqueda de sus sitios web mediante el rastreo al proceso SEO de estos portales web para su mejor posicionamiento.
Campaña de suplantación a Paypal para capturar credenciales de accesoEn el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-a-paypal-para-capturar-credenciales-de-accesohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.
Nueva actividad del grupo FIN7 utilizando JSSLoaderEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado nueva actividad del grupo APT FIN7, también conocido como grupo Carbanak el cual ha sido el encargado de realizar distintas campañas para la distribución de malware desde el año 2014. El grupo está enfocado principalmente en la ejecución de acciones cibercriminales motivado financieramente en contra diversas organizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-fin7-utilizando-jssloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado nueva actividad del grupo APT FIN7, también conocido como grupo Carbanak el cual ha sido el encargado de realizar distintas campañas para la distribución de malware desde el año 2014. El grupo está enfocado principalmente en la ejecución de acciones cibercriminales motivado financieramente en contra diversas organizaciones.
Nueva campaña de phishing descarga QratEn el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-descarga-qrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.
Última técnica utilizada para distribuir LokiBot.En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ultima-tecnica-utilizada-para-distribuir-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.
Nuevo troyano bancario que afecta dispositivos AndroidEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-que-afecta-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado un nuevo troyano bancario que afecta a dispositivos móviles con sistema operativo Android. Este troyano se visualizó con actividad maliciosa a partir del 7 de enero del año en curso y no parece pertenecer a ninguna de las familias malware conocidas como Anubis o Cerberus.