Nuevos indicadores de compromiso asociados al troyano DridexEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados a actividad cibercriminal por parte del troyano bancario Dridex. Este malware tiene capacidades para exfiltrar credenciales e información bancaria de equipos con sistemas operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-dridex-5http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados a actividad cibercriminal por parte del troyano bancario Dridex. Este malware tiene capacidades para exfiltrar credenciales e información bancaria de equipos con sistemas operativo Windows.
Malware CopperStealer que captura credencialesEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware, denominado CopperStealer con capacidades de captura de credenciales, enfocado en los navegadores más populares (Chrome, Edge, Firefox, Yandex, Opera).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-copperstealer-que-captura-credencialeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware, denominado CopperStealer con capacidades de captura de credenciales, enfocado en los navegadores más populares (Chrome, Edge, Firefox, Yandex, Opera).
Múltiples vulnerabilidades en librería XSTREAM de JavaEn el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado vulnerabilidades en XStream, reconocida librería de Java para serializar objetos a XML y viceversa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-en-libreria-xstream-de-javahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado vulnerabilidades en XStream, reconocida librería de Java para serializar objetos a XML y viceversa.
Nueva técnica empleada en el Rootkit Purple Fox para propagarse como gusanoEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva funcionalidad implementada en la herramienta Purple Fox. Esta herramienta lleva operativa desde el año 2018, en donde se distribuía por medio de campañas que empleaban técnicas de phishing y la carga útil en un archivo .MSI. Sin embargo, ahora se está distribuyendo mediante la identificación y explotación de servicios SMB, los cuales vulneran y entregan la carga útil del RootKit.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-tecnica-empleada-en-el-rootkit-purple-fox-para-propagarse-como-gusanohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva funcionalidad implementada en la herramienta Purple Fox. Esta herramienta lleva operativa desde el año 2018, en donde se distribuía por medio de campañas que empleaban técnicas de phishing y la carga útil en un archivo .MSI. Sin embargo, ahora se está distribuyendo mediante la identificación y explotación de servicios SMB, los cuales vulneran y entregan la carga útil del RootKit.
Campaña de phishing para la distribución de Quasar RATGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Quasar RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-para-la-distribucion-de-quasar-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Quasar RAT.
Advertencia sobre ataques de fuerza bruta contra dispositivos QNAPEn el monitoreo realizado en fuentes abiertas de información, el equipo del Csirt Financiero ha visualizado una advertencia realizada por la compañía QNAP sobre múltiples ataques realizados en contra de dispositivos NAS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/advertencia-sobre-ataques-de-fuerza-bruta-contra-dispositivos-qnaphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado en fuentes abiertas de información, el equipo del Csirt Financiero ha visualizado una advertencia realizada por la compañía QNAP sobre múltiples ataques realizados en contra de dispositivos NAS.
Vulnerabilidades encontradas en VMware vRealize OperationsEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado dos nuevas vulnerabilidades que afectan a VMware vRealize Operations, un gestor de operaciones de TI impulsada por inteligencia artificial para entornos privados, híbridos y de múltiples nubes, disponible como solución local o como (Software como un Servicio) SaaS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-encontradas-en-vmware-vrealize-operationshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado dos nuevas vulnerabilidades que afectan a VMware vRealize Operations, un gestor de operaciones de TI impulsada por inteligencia artificial para entornos privados, híbridos y de múltiples nubes, disponible como solución local o como (Software como un Servicio) SaaS.
Ransomware Hades dirigido a grandes compañíasEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware denominado Hades dirigido a sistemas operativos Windows, que está afectando a grandes empresas multinacionales en diversos países de norte américa y Europa, hechos que representan una potencial amenaza de expansión hacia países en Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-hades-dirigido-a-grandes-companiashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware denominado Hades dirigido a sistemas operativos Windows, que está afectando a grandes empresas multinacionales en diversos países de norte américa y Europa, hechos que representan una potencial amenaza de expansión hacia países en Latinoamérica.
Nuevo skimmer web afecta sitios de e-commerceEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado accionar delictivo por parte del Skimmer web denominado Angrybeaver que afecta a sitios web de comercio electrónico. Por la facilidad con que el código del skimmer fue analizado y por el modo en que se desarrolló, se tiene la hipótesis de que se trata de un nuevo tipo de amenaza cibernética distinto a los usualmente empleados por grupos de Magecart.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-skimmer-web-afecta-sitios-de-e-commercehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado accionar delictivo por parte del Skimmer web denominado Angrybeaver que afecta a sitios web de comercio electrónico. Por la facilidad con que el código del skimmer fue analizado y por el modo en que se desarrolló, se tiene la hipótesis de que se trata de un nuevo tipo de amenaza cibernética distinto a los usualmente empleados por grupos de Magecart.
Vulnerabilidad crítica en VMware Carbon Black Cloud WorkloadEn el monitoreo a fuentes abiertas de información, se ha identificado una vulnerabilidad de omisión de seguridad sobre dispositivos VMware Carbon Black Cloud Workload, identificada con el CVE-2021-21982, la cual cuenta con una calificación de 9.1 de severidad en la escala CVSSv3.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-critica-en-vmware-carbon-black-cloud-workloadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, se ha identificado una vulnerabilidad de omisión de seguridad sobre dispositivos VMware Carbon Black Cloud Workload, identificada con el CVE-2021-21982, la cual cuenta con una calificación de 9.1 de severidad en la escala CVSSv3.
BITS, servicio legítimo de Windows es usado para establecer persistencia de malwareEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado el uso del servicio BITS por parte de ciberdelincuentes para generar la descarga y carga útil de familias de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bits-servicio-legitimo-de-windows-es-usado-para-establecer-persistencia-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado el uso del servicio BITS por parte de ciberdelincuentes para generar la descarga y carga útil de familias de malware.
Nueva actividad de ransomware AvaddonEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso de la continua actividad del ransomware Avaddon el cual está catalogado como un Ransomware as a Service (RaaS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-de-ransomware-avaddonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso de la continua actividad del ransomware Avaddon el cual está catalogado como un Ransomware as a Service (RaaS).
Variante actualizada de ransomware Phobos/FairEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-actualizada-de-ransomware-phobos-fairhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.
Backdoor More_Eggs se propaga mediante Spear-PhishingEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado el resurgimiento de un backdoor llamado More_Eggs, su desarrollo atribuido al grupo ciberciminal Golden Chickens y ha sido ampliamente usado por los grupos FIN6, Cobalt Group y Evilnum, en anteriores campañas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-more_eggs-se-propaga-mediante-spear-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado el resurgimiento de un backdoor llamado More_Eggs, su desarrollo atribuido al grupo ciberciminal Golden Chickens y ha sido ampliamente usado por los grupos FIN6, Cobalt Group y Evilnum, en anteriores campañas.
Herramienta EtterSilent utilizada para diseñar maldocEn el monitoreo realizado por el equipo del Csirt Financiero, se ha observado la existencia de una nueva herramienta encargada de diseñar y generar archivos maliciosos para propagar diferentes familias de malware como por ejemplo Bazar Loader y TrickBot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/herramienta-ettersilent-utilizada-para-disenar-maldochttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, se ha observado la existencia de una nueva herramienta encargada de diseñar y generar archivos maliciosos para propagar diferentes familias de malware como por ejemplo Bazar Loader y TrickBot.
Actividad maliciosa por parte del troyano bancario JaneleiroMediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-maliciosa-por-parte-del-troyano-bancario-janeleirohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.
Múltiples vulnerabilidades en SD-WAN y Routers CiscoEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se han identificado las siguientes vulnerabilidades a los productos de CISCO, principalmente a la plataforma SD-WAN y a modelos de Routers que están próximos a terminar su vida útil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/multiples-vulnerabilidades-en-sd-wan-y-routers-ciscohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se han identificado las siguientes vulnerabilidades a los productos de CISCO, principalmente a la plataforma SD-WAN y a modelos de Routers que están próximos a terminar su vida útil.
Filtración de información sensible de tarjetas de crédito de SwarmshopEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado una gran filtración de información confidencial y sensible de la tienda de tarjetas de crédito Swarmshop en foros clandestinos. Swarmshop es un mercado de tarjetas de crédito de la darknet que ha estado activo desde el año 2019.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/filtracion-de-informacion-sensible-de-tarjetas-de-credito-de-swarmshophttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado una gran filtración de información confidencial y sensible de la tienda de tarjetas de crédito Swarmshop en foros clandestinos. Swarmshop es un mercado de tarjetas de crédito de la darknet que ha estado activo desde el año 2019.
Revil ejecuta modo seguro de Windows para cifrar archivosEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/revil-ejecuta-modo-seguro-de-windows-para-cifrar-archivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.
Actividad reciente identificada por parte del Backdoor Vyveva atribuido al grupo LazarusEn el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-identificada-por-parte-del-backdoor-vyveva-atribuido-al-grupo-lazarushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.