Indicadores de compromiso asociados a EventbotDesde el Csirt Financiero se ha identificado una amenaza dirigida al sector financiero identificada como Eventbot, este troyano tiene como objetivo la captura de datos confidenciales a través de la suplantación de aplicaciones móviles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-eventbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una amenaza dirigida al sector financiero identificada como Eventbot, este troyano tiene como objetivo la captura de datos confidenciales a través de la suplantación de aplicaciones móviles.
Alerta de servicios expuestosDesde el Csirt Financiero se ha realizado un análisis de los servicios más utilizados para proveer acceso remoto a los empleados de las entidades y así continuar laborando de forma remota frente a la situación de cuarentena que se está presentando por el COVID-19.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-de-servicios-expuestoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha realizado un análisis de los servicios más utilizados para proveer acceso remoto a los empleados de las entidades y así continuar laborando de forma remota frente a la situación de cuarentena que se está presentando por el COVID-19.
Campaña de Watering-hole dirigida a usuarios de iPhoneWatering hole es un ataque cibernético que aprovecha sitios web para implantar un programa capaz de buscar vulnerabilidades que se puedan explotar, en esta ocasión se implanto LightSpy para espiar dispositivos iOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-watering-hole-dirigida-a-usuarios-de-iphonehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Watering hole es un ataque cibernético que aprovecha sitios web para implantar un programa capaz de buscar vulnerabilidades que se puedan explotar, en esta ocasión se implanto LightSpy para espiar dispositivos iOS.
Vulnerabilidad Zero Day en plataforma ZOOM.El equipo del Csirt Financiero ha identificado una vulnerabilidad Zero Day en la plataforma de videoconferencias ZOOM, la cual es aprovechada por los ciberdelincuentes para ejecutar código malicioso en sistemas operativos Windows y exfiltrar información de los participantes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-zero-day-en-plataforma-zoomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una vulnerabilidad Zero Day en la plataforma de videoconferencias ZOOM, la cual es aprovechada por los ciberdelincuentes para ejecutar código malicioso en sistemas operativos Windows y exfiltrar información de los participantes.
Filtración del código fuente del ransomware DharmaEl equipo del Csirt Financiero en el monitoreo que realiza a los distintos tipos de códigos maliciosos que pueden afectar al sector financiero, ha detectado la filtración y comercialización del código fuente del ransomware Dharma. La venta se ha puesto en marcha desde dos foros al parecer rusos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/filtracion-del-codigo-fuente-del-ransomware-dharmahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero en el monitoreo que realiza a los distintos tipos de códigos maliciosos que pueden afectar al sector financiero, ha detectado la filtración y comercialización del código fuente del ransomware Dharma. La venta se ha puesto en marcha desde dos foros al parecer rusos.
Campaña de FIN7 para infección a equipos con USBEl equipo del Csirt Financiero ha identificado un nuevo método de distribución de malware utilizado por el grupo APT FIN7 que tiene como objetivo enviar por correo postal dispositivos USB infectados a empresas, utilizando ingeniería social con el fin de obtener acceso a los equipos corporativos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-fin7-para-infeccion-a-equipos-con-usbhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un nuevo método de distribución de malware utilizado por el grupo APT FIN7 que tiene como objetivo enviar por correo postal dispositivos USB infectados a empresas, utilizando ingeniería social con el fin de obtener acceso a los equipos corporativos.
Campañas de correos maliciosos asociados al troyano bancario Zeus SphinxAprovechando la pandemia del COVID-19 se sigue distribuyendo malware, la actividad consistió en el envío de mensajes de correo electrónico con documentos adjuntos que al ejecutar macros abren paso a la descarga del troyano bancario Zeus Sphinx.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campanas-de-correos-maliciosos-asociados-al-troyano-bancario-zeus-sphinxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aprovechando la pandemia del COVID-19 se sigue distribuyendo malware, la actividad consistió en el envío de mensajes de correo electrónico con documentos adjuntos que al ejecutar macros abren paso a la descarga del troyano bancario Zeus Sphinx.
Fallas de seguridad de la plataforma ZOOMEl equipo del Csirt Financiero ha identificado dos fallos de seguridad en Zoom, plataforma de videollamadas, estos fallos permiten a los ciberdelincuentes tomar control de las computadoras Mac, incluyendo cámara web, micrófono y acceso root en el equipo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/fallas-de-seguridad-de-la-plataforma-zoomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado dos fallos de seguridad en Zoom, plataforma de videollamadas, estos fallos permiten a los ciberdelincuentes tomar control de las computadoras Mac, incluyendo cámara web, micrófono y acceso root en el equipo.
Campaña de phishing dirigida a empleados con VPNEl equipo del Csirt Financiero ha identificado una campaña de phishing realizada mediante el envío masivo de mensajes de correo electrónico con enlaces fraudulentos para engañar a usuarios de VPN empresariales y a las personas que están trabajando desde su casa que han recurrido a las VPN para garantizar la privacidad y anonimato de sus empleados en Internet.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-dirigida-a-empleados-con-vpnhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña de phishing realizada mediante el envío masivo de mensajes de correo electrónico con enlaces fraudulentos para engañar a usuarios de VPN empresariales y a las personas que están trabajando desde su casa que han recurrido a las VPN para garantizar la privacidad y anonimato de sus empleados en Internet.
Análisis de malware troyano JavaliEl equipo del Csirt Financiero ha identificado una campaña para la distribución del troyano Javali que aun continua activa y está dirigida a los países de habla española y portuguesa enfocada principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-troyano-javalihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una campaña para la distribución del troyano Javali que aun continua activa y está dirigida a los países de habla española y portuguesa enfocada principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.
Botnet DDG utiliza servidores Linux para minar CriptomonedasEl equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-ddg-utiliza-servidores-linux-para-minar-criptomonedashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva amenaza que afecta a distribuciones Linux, se trata de la botnet DDG, la cual accede a los equipos mediante unos servicios utilizando fuerza bruta en contraseñas débiles.
Ciberdelincuentes distribuyen múltiples cargas útilesLos ciberdelincuentes siguen manteniéndose activos distribuyendo diversas cargas útiles de malware, se conoció actividad que involucró varios troyanoshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberdelincuentes-distribuyen-multiples-cargas-utileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Servicios expuestos en ColombiaEl Csirt Financiero se encuentra monitoreando diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando un alto crecimiento del teletrabajo y el uso de las herramientas para su funcionamiento.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/servicios-expuestos-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero se encuentra monitoreando diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, evidenciando un alto crecimiento del teletrabajo y el uso de las herramientas para su funcionamiento.
Indicadores de compromiso relacionados con GuLoader, descargador de Netwire RATEl equipo del Csirt Financiero identificó una nueva cadena de infección de Netwire RAT, su distribución se realiza a través del envío de mensajes de correo electrónico de tipo spam. El encargado de la instalación de la RAT es el descargador Guloader, principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-con-guloader-descargador-de-netwire-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una nueva cadena de infección de Netwire RAT, su distribución se realiza a través del envío de mensajes de correo electrónico de tipo spam. El encargado de la instalación de la RAT es el descargador Guloader, principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.
Aplicaciones Android para seguimiento del COVID-19 que descargan malwareEl equipo del Csirt Financiero ha identificado varias aplicaciones para dispositivos con sistema operativo Android que realizan el seguimiento de los casos positivos para COVID-19, sin embargo, después de la instalación, descargan código malicioso con la capacidad de capturar información sensible del usuario y, en algunos casos, descargar malware adicional en el dispositivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aplicaciones-android-para-seguimiento-del-covid-19-que-descargan-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado varias aplicaciones para dispositivos con sistema operativo Android que realizan el seguimiento de los casos positivos para COVID-19, sin embargo, después de la instalación, descargan código malicioso con la capacidad de capturar información sensible del usuario y, en algunos casos, descargar malware adicional en el dispositivo.
Nueva versión del troyano IcedIDEl equipo del Csirt Financiero ha identificado una nueva versión de IcedID troyano tipo bancario que, desde su descubrimiento en 2017, ha afectado a numerosas entidades financieras de Estados Unidos, Reino Unido y Canadá. Su característica principal es la inyección web, realizando funciones de redirección si la víctima accede a alguno de los sitios web infectados por este malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-version-del-troyano-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una nueva versión de IcedID troyano tipo bancario que, desde su descubrimiento en 2017, ha afectado a numerosas entidades financieras de Estados Unidos, Reino Unido y Canadá. Su característica principal es la inyección web, realizando funciones de redirección si la víctima accede a alguno de los sitios web infectados por este malware.
Nuevos indicadores de compromiso asociados a TA505 y SilenceEl equipo del Csirt Financiero han identificado nuevos indicadores de compromiso asociados al grupo ciberdelincuente TA505, el cual se caracteriza por realizar ataques al sector financiero a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ta505-y-silencehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero han identificado nuevos indicadores de compromiso asociados al grupo ciberdelincuente TA505, el cual se caracteriza por realizar ataques al sector financiero a nivel mundial.
Instalador malicioso de aplicación ZOOMEl equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/instalador-malicioso-de-aplicacion-zoomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.
Botnet Vollgar busca minar mediante MS-SQLEl equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/botnet-vollgar-busca-minar-mediante-ms-sqlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado una red de bots de criptominería que ha estado operando desde hace dos años aproximadamente sin ser detectada, apuntando a servidores de base de datos MS-SQL para realizar criptojacking y exfiltrar datos sensibles del servidor comprometido.
Análisis de malware EvilnumDesde el Csirt Financiero se ha identificado una nueva campaña dirigida a instituciones financieras en la se distribuye el malware bancario denominado Evilnum, puerta trasera (backdoor) orientada a capturar información, históricamente había sido utilizado en ataques dirigidos a instituciones financieras, Fintech y mercados de capitales, utilizando la suplantación de identidad como vector inicial para la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-malware-evilnumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva campaña dirigida a instituciones financieras en la se distribuye el malware bancario denominado Evilnum, puerta trasera (backdoor) orientada a capturar información, históricamente había sido utilizado en ataques dirigidos a instituciones financieras, Fintech y mercados de capitales, utilizando la suplantación de identidad como vector inicial para la infección.