Saint Bot, nuevo Downloader utilizado para descargar y ejecutar malwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/saint-bot-nuevo-downloader-utilizado-para-descargar-y-ejecutar-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.
Vulnerabilidad de RCE en navegadores Chrome, Chromium y Microsoft EdgeEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha observado la publicación de una vulnerabilidad, que permite la ejecución de código remoto (RCE) a través de los navegadores Chrome, Chromium y Microsoft Edge.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-rce-en-navegadores-chrome-chromium-y-microsoft-edgehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha observado la publicación de una vulnerabilidad, que permite la ejecución de código remoto (RCE) a través de los navegadores Chrome, Chromium y Microsoft Edge.
Nueva campaña que distribuye a Remcos RATLa fase de distribución no difiere de otros analizados anteriormente por el Csirt, ya que los ciberdelincuentes detrás de estas campañas siguen usando correos electrónicos suplantando entidades para enviar supuestas notificaciones judiciales, que pueden ser descargadas desde otro repositorio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-que-distribuye-a-remcos-rat-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La fase de distribución no difiere de otros analizados anteriormente por el Csirt, ya que los ciberdelincuentes detrás de estas campañas siguen usando correos electrónicos suplantando entidades para enviar supuestas notificaciones judiciales, que pueden ser descargadas desde otro repositorio.
Nueva campaña distribuye troyano de acceso remoto NjRATGracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-troyano-de-acceso-remoto-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.
BRata evoluciona y emplea nuevamente servicios de Google PlayEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/brata-evoluciona-y-emplea-nuevamente-servicios-de-google-playhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.
Campaña de AsyncRat enfocada en ColombiaGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución de AsyncRAT. La fase de distribución no difiere de otros analizados anteriormente por el Csirt, puesto que los ciberdelincuentes detrás de estas campañas siguen usando mensajes de correo electrónico suplantando entidades con técnicas de phishing, en las que comunican supuestas transacciones bancarias, que pueden ser descargadas desde un repositorio de nube pública como Dropbox.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-asyncrat-enfocada-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución de AsyncRAT. La fase de distribución no difiere de otros analizados anteriormente por el Csirt, puesto que los ciberdelincuentes detrás de estas campañas siguen usando mensajes de correo electrónico suplantando entidades con técnicas de phishing, en las que comunican supuestas transacciones bancarias, que pueden ser descargadas desde un repositorio de nube pública como Dropbox.
Nueva actividad del ransomware DarksideEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del ransomware Darkside, de acuerdo con una reciente investigación sus últimos ataques han sido dirigidos a países en Latinoamérica como lo son Chile y Brasil, por lo anterior no se descarta que esta amenaza pueda generar ataques cibernéticos dirigidos a más países en América latina.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-darksidehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del ransomware Darkside, de acuerdo con una reciente investigación sus últimos ataques han sido dirigidos a países en Latinoamérica como lo son Chile y Brasil, por lo anterior no se descarta que esta amenaza pueda generar ataques cibernéticos dirigidos a más países en América latina.
Vulnerabilidad en IBM Spectrum Protect permite ataques DOSEn el monitoreo continúo realizado por el equipo del Csirt financiero, se ha logrado identificar una vulnerabilidad denominada CVE-2021-20491 que afecta al producto IBM Spectrum Protect en donde se puede producir un ataque de denegación de servicio en el servidor afectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-en-ibm-spectrum-protect-permite-ataques-doshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continúo realizado por el equipo del Csirt financiero, se ha logrado identificar una vulnerabilidad denominada CVE-2021-20491 que afecta al producto IBM Spectrum Protect en donde se puede producir un ataque de denegación de servicio en el servidor afectado.
Vulnerabilidades en el kernel de Linux afectan distribuciones UbuntuEn el monitoreo continúo realizado por el equipo del Csirt financiero, se identificaron las siguientes vulnerabilidades denominadas: CVE-2021-3492 y CVE-2021-3493, las cuales afectan a las versiones del kernel de Linux 4.4.0 hasta la versión 5.8.0, presentes en distribuciones como Ubuntu, que hasta la fecha ha sido quien ha notificado estas vulnerabilidades a la comunidad y está siendo investigado por otras distribuciones para determinar si presentan afectación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-el-kernel-de-linux-afectan-distribuciones-ubuntuhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continúo realizado por el equipo del Csirt financiero, se identificaron las siguientes vulnerabilidades denominadas: CVE-2021-3492 y CVE-2021-3493, las cuales afectan a las versiones del kernel de Linux 4.4.0 hasta la versión 5.8.0, presentes en distribuciones como Ubuntu, que hasta la fecha ha sido quien ha notificado estas vulnerabilidades a la comunidad y está siendo investigado por otras distribuciones para determinar si presentan afectación.
BazarCall, nueva campaña de BazarLoaderEn el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva campaña de infección del backdoor BazarLoader, el cual ha sido reconocido como parte de las herramientas utilizadas por los ciberdelincuentes detrás del troyano bancario Trickbot. Este backdoor se ha observado desde principios del año 2020 y es utilizado para exfiltrar información confidencial, controlar el sistema mediante comandos y entregar malware a través de sus servidores de comando y control (C2).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bazarcall-nueva-campana-de-bazarloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado una nueva campaña de infección del backdoor BazarLoader, el cual ha sido reconocido como parte de las herramientas utilizadas por los ciberdelincuentes detrás del troyano bancario Trickbot. Este backdoor se ha observado desde principios del año 2020 y es utilizado para exfiltrar información confidencial, controlar el sistema mediante comandos y entregar malware a través de sus servidores de comando y control (C2).
Nuevos vectores de distribución utilizados por Ryuk ransomwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso de dos nuevas técnicas en el vector de distribución por parte de los ciberdelincuentes que utilizan Ryuk ransomware, las cuales han implementado en sus ciberataques.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-vectores-de-distribucion-utilizados-por-ryuk-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso de dos nuevas técnicas en el vector de distribución por parte de los ciberdelincuentes que utilizan Ryuk ransomware, las cuales han implementado en sus ciberataques.
Variante del ataque Rowhammer / smashEn el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado una variante del ataque conocido como Rowhammer, este ataque consiste en la explotación de una vulnerabilidad física en las memorias RAM del equipo objetivo con el fin de tener acceso a los datos almacenados en memoria y así obtener permisos dentro del equipo comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-del-ataque-rowhammer-smashhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado una variante del ataque conocido como Rowhammer, este ataque consiste en la explotación de una vulnerabilidad física en las memorias RAM del equipo objetivo con el fin de tener acceso a los datos almacenados en memoria y así obtener permisos dentro del equipo comprometido.
Vulnerabilidad VMware NSX-T data centerEn el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado la siguiente vulnerabilidad CVE-2021-21981 en la plataforma VMware NSX-T Data center en su versión 3.1.1, la cual cuenta con una clasificación de 7.5 de severidad en la escala de CVSSv3.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-vmware-nsx-t-data-centerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero se ha identificado la siguiente vulnerabilidad CVE-2021-21981 en la plataforma VMware NSX-T Data center en su versión 3.1.1, la cual cuenta con una clasificación de 7.5 de severidad en la escala de CVSSv3.
Campaña de Dridex a través de QuickbooksEn el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero, se ha identificado una campaña que distribuye a Dridex a través de Quickbooks, el cual, en campañas previas ha sido objetivo predilecto de los ciberdelincuentes para expandir al troyano bancario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-dridex-a-traves-de-quickbookshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero, se ha identificado una campaña que distribuye a Dridex a través de Quickbooks, el cual, en campañas previas ha sido objetivo predilecto de los ciberdelincuentes para expandir al troyano bancario.
Lazarus APT utiliza método para ocultar malware en imágenesEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un método de distribución de malware por parte del grupo cibercriminal norcoreano Lazarus, también conocido como Hidden Cobra. Este grupo APT ha estado activo desde el año 2009 y desde entonces se ha centrado en realizar ataques cibernéticos principalmente a organizaciones de los sectores financiero, energético, tecnológico y de gobierno en distintas regiones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lazarus-apt-utiliza-metodo-para-ocultar-malware-en-imageneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un método de distribución de malware por parte del grupo cibercriminal norcoreano Lazarus, también conocido como Hidden Cobra. Este grupo APT ha estado activo desde el año 2009 y desde entonces se ha centrado en realizar ataques cibernéticos principalmente a organizaciones de los sectores financiero, energético, tecnológico y de gobierno en distintas regiones.
Nueva campaña de NjRAT exfiltra información confidencialGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado NjRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-njrat-exfiltra-informacion-confidencialhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado NjRAT.
Vulnerabilidad zero day en Pulse Connect SecureEn el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una vulnerabilidad zero day identificada con el CVE-2021-22893, la cual cuenta con la calificación más alta en la escala de severidad CVSSv3: 10/10. Esta vulnerabilidad afecta dispositivos VPN SSL Pulse Connect Secure.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-zero-day-en-pulse-connect-securehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una vulnerabilidad zero day identificada con el CVE-2021-22893, la cual cuenta con la calificación más alta en la escala de severidad CVSSv3: 10/10. Esta vulnerabilidad afecta dispositivos VPN SSL Pulse Connect Secure.
Puerta trasera HabitsRAT ataca a distribuciones Windows y LinuxEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/puerta-trasera-habitsrat-ataca-a-distribuciones-windows-y-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo Troyano de Acceso Remoto con capacidades de backdoor desarrollado en Go, el cual se dirige a infraestructura tecnológica con sistema operativo Windows y distribuciones Linux. En principio se observó una versión del malware orientada a Windows que fue detectada por primera vez en los ataques presentados en marzo a los servidores de Microsoft Exchange. Posterior a esto, se encontró otra versión dirigida a Windows, así como la versión propia para comprometer infraestructura tecnológica soportada en distribuciones Linux.
AsyncRAT realiza ciberataques de spearphishing en ColombiaGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Async RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/asyncrat-realiza-ciberataques-de-spearphishing-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Async RAT.
BitRAT XMRIG realiza ciberataques de spearphishing en ColombiaGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado BitRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/bitrat-xmrig-realiza-ciberataques-de-spearphishing-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado BitRAT.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}