Scripts para detección de vulnerabilidades de Microsoft Exchange ServerEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado tres (3) script de seguridad que ha liberado Microsoft para identificar los indicadores de compromiso relacionados a las vulnerabilidades de Microsoft Exchange Server publicadas el 02 de marzo del presente año.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/scripts-para-deteccion-de-vulnerabilidades-de-microsoft-exchange-serverhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado tres (3) script de seguridad que ha liberado Microsoft para identificar los indicadores de compromiso relacionados a las vulnerabilidades de Microsoft Exchange Server publicadas el 02 de marzo del presente año.
Grupo detrás de REvil Ransomware ofrece nuevos servicios de extorsiónEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado que los operadores de REvil ransomware están ofreciendo en foros clandestinos nuevas técnicas de extorsión para presionar aún más a las víctimas para el pago del rescate exigido por la información comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-detras-de-revil-ransomware-ofrece-nuevos-servicios-de-extorsionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado que los operadores de REvil ransomware están ofreciendo en foros clandestinos nuevas técnicas de extorsión para presionar aún más a las víctimas para el pago del rescate exigido por la información comprometida.
Campaña de phishing que suplanta a Microsoft con falso servicio de Google reCAPTCHAEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha observado una campaña de suplantación dirigida a líderes empresariales y altos ejecutivos de organizaciones de diferentes sectores, con especial actividad en el sector bancario y servicios de TI.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-que-suplanta-a-microsoft-con-falso-servicio-de-google-recaptchahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha observado una campaña de suplantación dirigida a líderes empresariales y altos ejecutivos de organizaciones de diferentes sectores, con especial actividad en el sector bancario y servicios de TI.
Posible ataque de Ransomware a Banco Inmobiliario de MéxicoEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva publicación asociada al grupo que controla el ransomware REvil. En esta publicación afirman que tienen en su poder alrededor de 250GB de información relacionada con el banco Inmobiliario Mexicano.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/posible-ataque-de-ransomware-a-banco-inmobiliario-de-mexicohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva publicación asociada al grupo que controla el ransomware REvil. En esta publicación afirman que tienen en su poder alrededor de 250GB de información relacionada con el banco Inmobiliario Mexicano.
Nuevo Dropper Clast82 que descarga AlienBot BankerEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo dropper denominado Clast82, el cual es alojado en diversas aplicaciones desarrolladas para sistema operativo Android, distribuidas a través de Google Play Store. Una vez se realiza la descarga e instalación de la aplicación comprometida, se establece conexión con un repositorio de GitHub desde donde se realiza la descarga de AlienBot y MRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-dropper-clast82-que-descarga-alienbot-bankerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo dropper denominado Clast82, el cual es alojado en diversas aplicaciones desarrolladas para sistema operativo Android, distribuidas a través de Google Play Store. Una vez se realiza la descarga e instalación de la aplicación comprometida, se establece conexión con un repositorio de GitHub desde donde se realiza la descarga de AlienBot y MRAT.
Actualizaciones de seguridad mensuales de Microsoft del mes de marzo.En el monitoreo a fuentes abiertas de información el equipo de Csirt Financiero, ha identificado las nuevas actualizaciones de Microsoft para el mes de marzo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-de-seguridad-mensuales-de-microsoft-del-mes-de-marzohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información el equipo de Csirt Financiero, ha identificado las nuevas actualizaciones de Microsoft para el mes de marzo.
Grupo ciberdelincuencial FIN8 regresa con una nueva versión de BadHatch POSEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad por parte del grupo de ciberdelincuentes identificado como Fin8. Este grupo del cual se conoce actividad maliciosa desde el año 2016 y con motivación financiera es conocido por ejecutar diversas campañas para distribuir principalmente el backdoor PUNCHBUGGY y el malware PUNCHTRACK ambos dirigidos a comprometer sistemas POS (point of sale).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-ciberdelincuencial-fin8-regresa-con-una-nueva-version-de-badhatch-poshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad por parte del grupo de ciberdelincuentes identificado como Fin8. Este grupo del cual se conoce actividad maliciosa desde el año 2016 y con motivación financiera es conocido por ejecutar diversas campañas para distribuir principalmente el backdoor PUNCHBUGGY y el malware PUNCHTRACK ambos dirigidos a comprometer sistemas POS (point of sale).
Parches de seguridad para vulnerabilidades en Creative Cloud y Adobe Connect.En el monitoreo realizado por el equipo del Csirt Financiero, se han identificado ocho vulnerabilidades críticas en Adobe Creative Cloud Desktop, Framemaker y Connect.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/parches-de-seguridad-para-vulnerabilidades-en-creative-cloud-y-adobe-connecthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se han identificado ocho vulnerabilidades críticas en Adobe Creative Cloud Desktop, Framemaker y Connect.
Vulnerabilidades críticas en productos de BIG-IP y BIG-IQEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado siete vulnerabilidades presentes en dispositivos BIG-IP y BIG-IQ, cuatro de estas son vulnerabilidades críticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-criticas-en-productos-de-big-ip-y-big-iqhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado siete vulnerabilidades presentes en dispositivos BIG-IP y BIG-IQ, cuatro de estas son vulnerabilidades críticas.
Ransomware DearCry, ataca servidores Microsoft ExchangeEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware de nombre DearCry, Microsoft le da el nombre de Win32/DoejoCrypt.A, el cual está atacando a servidores de Microsoft Exchange que no cuentan con las ultimas actualizaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-dearcry-ataca-servidores-microsoft-exchangehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware de nombre DearCry, Microsoft le da el nombre de Win32/DoejoCrypt.A, el cual está atacando a servidores de Microsoft Exchange que no cuentan con las ultimas actualizaciones.
NimzaLoader nuevo Malware, desarrollado en NIMEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, ha identificado un nuevo malware denominado NimzaLoader desarrollado en el lenguaje de programación NIM, capaz de ejecutar comandos en sistemas operativos Windows, Linux y MacOs, para posteriormente generar la descargar de otra familia de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nimzaloader-nuevo-malware-desarrollado-en-nimhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero, ha identificado un nuevo malware denominado NimzaLoader desarrollado en el lenguaje de programación NIM, capaz de ejecutar comandos en sistemas operativos Windows, Linux y MacOs, para posteriormente generar la descargar de otra familia de malware.
Nueva campaña del troyano NanoCore RATEn el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva campaña asociada al troyano Nancrat mejor conocido como NanoCore RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-nanocore-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva campaña asociada al troyano Nancrat mejor conocido como NanoCore RAT.
Nueva campaña e indicadores de compromiso asociados a Remcos RATEsta investigación que afecta directamente al sector financiero en Colombia se logró gracias al reporte realizado por parte de uno de los asociados, el cual describe la campaña de distribución de la amenaza Remcos RAT junto con nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-e-indicadores-de-compromiso-asociados-a-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Esta investigación que afecta directamente al sector financiero en Colombia se logró gracias al reporte realizado por parte de uno de los asociados, el cual describe la campaña de distribución de la amenaza Remcos RAT junto con nuevos indicadores de compromiso.
Nueva técnica de grupos Magecart que almacena datos exfiltrados en archivos .jpgEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de nuevas técnicas ejecutadas por grupos de Magecart que permiten almacenar datos de tarjetas de crédito exfiltrados desde sitios de comercio electrónico desarrollados con Magento 2.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-tecnica-de-grupos-magecart-que-almacena-datos-exfiltrados-en-archivos.jpghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de nuevas técnicas ejecutadas por grupos de Magecart que permiten almacenar datos de tarjetas de crédito exfiltrados desde sitios de comercio electrónico desarrollados con Magento 2.
Ransomware Avaddon en América Latina, crece el número de víctimasEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nuevas actividades del ransomware Avaddon, en el que han cambiado un poco su modo operativo, pasaron de generar campañas masivas a generar ataques dirigidos, en los que generaron una cepa más elaborada para hacer caer en la trampa a sus víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-avaddon-en-america-latina-crece-el-numero-de-victimashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nuevas actividades del ransomware Avaddon, en el que han cambiado un poco su modo operativo, pasaron de generar campañas masivas a generar ataques dirigidos, en los que generaron una cepa más elaborada para hacer caer en la trampa a sus víctimas.
Nueva actividad maliciosa de Ransomware PysaEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas campañas del Ransomware Pysa dirigidas al sector de la educación en Estados Unidos y Reino Unido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-ransomware-pysahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas campañas del Ransomware Pysa dirigidas al sector de la educación en Estados Unidos y Reino Unido.
Indicadores de compromiso asociados a OnionCrypterEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso relacionados a OnionCrypter. Esta herramienta es utilizada por ciberdelincuentes para cifrar el código malicioso en repetidas ocasiones, en un esfuerzo por dificultar la detección por parte de los analistas y las herramientas antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-onioncrypterhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso relacionados a OnionCrypter. Esta herramienta es utilizada por ciberdelincuentes para cifrar el código malicioso en repetidas ocasiones, en un esfuerzo por dificultar la detección por parte de los analistas y las herramientas antimalware.
Ataque universal Cross-Site Scripting en buscador DuckDuckGoEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la vulnerabilidad uXSS (universal cross-site scripting) en el buscador DuckDuckGo, este ataque es conocido por inyectar código arbitrario JavaScript en páginas web para explotar vulnerabilidades del lado del cliente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-universal-cross-site-scripting-en-buscador-duckduckgohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la vulnerabilidad uXSS (universal cross-site scripting) en el buscador DuckDuckGo, este ataque es conocido por inyectar código arbitrario JavaScript en páginas web para explotar vulnerabilidades del lado del cliente.
Nuevos ataques de suplantación de identidad Office 365En el monitoreo realizado por el Csirt Financiero, se han evidenciado nuevas campañas de malware dirigidas a ejecutivos de empresas de seguros y servicios financieros. Mediante la implementación de técnicas de phishing, los ciberdelincuentes buscan recolectar credenciales de Microsoft 365 y lanzar ataque (BEC). Un BEC (Business Email Compromise) es un tipo de ataque generalmente dirigido a altos directivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ataques-de-suplantacion-de-identidad-office-365http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se han evidenciado nuevas campañas de malware dirigidas a ejecutivos de empresas de seguros y servicios financieros. Mediante la implementación de técnicas de phishing, los ciberdelincuentes buscan recolectar credenciales de Microsoft 365 y lanzar ataque (BEC). Un BEC (Business Email Compromise) es un tipo de ataque generalmente dirigido a altos directivos.
Malware XcodeSpy descarga backdoor en MacOsEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado la aparición de un malware denominado XcodeSpy, el cual consiste en la entrega de una puerta trasera conocida como EggShell que compromete principalmente a usuarios MacOs. De Xcode se sabe que es un entorno de desarrollo integrado (IDE) para aplicaciones y sistemas de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-xcodespy-descarga-backdoor-en-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado la aparición de un malware denominado XcodeSpy, el cual consiste en la entrega de una puerta trasera conocida como EggShell que compromete principalmente a usuarios MacOs. De Xcode se sabe que es un entorno de desarrollo integrado (IDE) para aplicaciones y sistemas de información.