Vulnerabilidad de denegación de servicio de IBM Spectrum ControlVulnerabilidad en IBM Spectrum Control/ IBM Storage Productivity, que podría ser explotada para provocar un ataque DoS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-denegacion-de-servicio-de-ibm-spectrum-controlhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Alerta IoCDesde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirectahttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/alerta-iochttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Explotación de la vulnerabilidad de Pulse Secure VPN.Se evidencia que ciberdelincuentes están explotando la vulnerabilidad identificada con CVE-2019-11510 a través del acceso a la red por dispositivos VPN, esto con el fin de capturar credenciales del directorio activo y una vez dentro, obtener información de archivos confidenciales los cuales serían comercializados posteriormente en foros del mercado negro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/explotacion-de-la-vulnerabilidad-de-pulse-secure-vpn-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se evidencia que ciberdelincuentes están explotando la vulnerabilidad identificada con CVE-2019-11510 a través del acceso a la red por dispositivos VPN, esto con el fin de capturar credenciales del directorio activo y una vez dentro, obtener información de archivos confidenciales los cuales serían comercializados posteriormente en foros del mercado negro.
Nueva variante del malware Agent Tesla.Desde el Csirt Financiero se ha identificado una nueva variante del malware Agent Tesla con la implementación de un nuevo módulo que exfiltra contraseñas Wifi de dispositivos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-malware-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva variante del malware Agent Tesla con la implementación de un nuevo módulo que exfiltra contraseñas Wifi de dispositivos infectados.
Grupo APT Gamaredon utiliza panorama de COVID-19 para campañas de phishingEl equipo del Csirt Financiero ha identificado indicadores de compromiso que se asocian al grupo cibercriminal Gamaredon, el cual se especializa en campañas de phishing a entidades gubernamentales en países europeos, en esta oportunidad utilizaron como fachada la emergencia por COVID-19 para enviar mensajes de correo tipo malspam con archivos maliciosos a usuarios de diferentes entidades para comprometer sus equipos y exfiltrar la información sensible.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-apt-gamaredon-utiliza-panorama-de-covid-19-para-campanas-de-phishinghttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso que se asocian al grupo cibercriminal Gamaredon, el cual se especializa en campañas de phishing a entidades gubernamentales en países europeos, en esta oportunidad utilizaron como fachada la emergencia por COVID-19 para enviar mensajes de correo tipo malspam con archivos maliciosos a usuarios de diferentes entidades para comprometer sus equipos y exfiltrar la información sensible.
Amenaza cibernética de Corea del Norte.Desde el Csirt Financiero se ha identificado una nueva campaña originada por Corea del Norte o República Popular Democrática de Corea (RPDC), la cual se destaca por ejecutar actividades maliciosas dirigidas a Estados Unidos y a la comunidad internacional en general, en esta oportunidad ha encauzado sus ataques cibercriminales hacia el sector financiero afectando de forma considerable su estabilidad y confidencialidad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/amenaza-cibernetica-de-corea-del-nortehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha identificado una nueva campaña originada por Corea del Norte o República Popular Democrática de Corea (RPDC), la cual se destaca por ejecutar actividades maliciosas dirigidas a Estados Unidos y a la comunidad internacional en general, en esta oportunidad ha encauzado sus ataques cibercriminales hacia el sector financiero afectando de forma considerable su estabilidad y confidencialidad.
Actualizaciones de seguridad de MicrosoftMicrosoft emite correcciones de software para abordar 6 vulnerabilidades encontradas en productos Microsoft que utilizan la biblioteca Autodesk FBX, pueden permitir a un atacante la ejecución remota de código y la obtención de los mismos derechos del usuario local.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-de-seguridad-de-microsofthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Microsoft emite correcciones de software para abordar 6 vulnerabilidades encontradas en productos Microsoft que utilizan la biblioteca Autodesk FBX, pueden permitir a un atacante la ejecución remota de código y la obtención de los mismos derechos del usuario local.
Indicadores de compromiso relacionados al troyano bancario GINPEl equipo del Csirt Financiero ha identificado indicadores de compromiso relacionados con el troyano bancario GINP el cual se infiltra en dispositivos móviles Android para exfiltrar información de tarjetas de crédito o débito, este troyano se esconde en aplicaciones maliciosas que los ciberdelincuentes cargan en internet para que usuarios desprevenidos los descarguen.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-troyano-bancario-ginphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso relacionados con el troyano bancario GINP el cual se infiltra en dispositivos móviles Android para exfiltrar información de tarjetas de crédito o débito, este troyano se esconde en aplicaciones maliciosas que los ciberdelincuentes cargan en internet para que usuarios desprevenidos los descarguen.
Nuevo troyano bancario que compromete dispositivos AndroidEl equipo del Csirt financiero ha identificado una nueva amenaza que captura la información de banca móvil, se trata del troyano llamado Banker.BR el cual utiliza superposición de aplicaciones en Android para engañar a los usuarios y obtener sus credenciales bancarias. Los ciberdelincuentes envían mensajes SMS que contienen enlaces para redirigir a un usuario victima a una página fraudulenta y solicitar descargar una supuesta actualización para su dispositivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-que-compromete-dispositivos-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha identificado una nueva amenaza que captura la información de banca móvil, se trata del troyano llamado Banker.BR el cual utiliza superposición de aplicaciones en Android para engañar a los usuarios y obtener sus credenciales bancarias. Los ciberdelincuentes envían mensajes SMS que contienen enlaces para redirigir a un usuario victima a una página fraudulenta y solicitar descargar una supuesta actualización para su dispositivo.
Nuevo troyano bancario para dispositivos Android BANKER.BREl equipo del Csirt Financiero recopila y acompaña a IBM X-Force en la fusión del nuevo troyano bancario para Android BANKER.BR, el cual parece estar dirigido a usuarios de países con habla hispana y portuguesa, como España, Portugal y países de América Latina. Este troyano ha sido creado sobre otro malware de tipo SMSstealer más simple, pero se le han añadido funcionalidades típicas de otros troyanos bancarios, como la superposición de ventanas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-para-dispositivos-android-banker.brhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero recopila y acompaña a IBM X-Force en la fusión del nuevo troyano bancario para Android BANKER.BR, el cual parece estar dirigido a usuarios de países con habla hispana y portuguesa, como España, Portugal y países de América Latina. Este troyano ha sido creado sobre otro malware de tipo SMSstealer más simple, pero se le han añadido funcionalidades típicas de otros troyanos bancarios, como la superposición de ventanas.
Indicadores de compromiso relacionados al troyano AnubisEl equipo del Csirt ha identificado varios indicadores de compromiso relacionados con el troyano bancario Anubis el cual busca capturar la información sensible en dispositivos Android. Entre sus capacidades se destaca capturas de pantalla, envío y recepción de mensajes de texto (SMS) y descargar malware adicional si lo desea.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-troyano-anubishttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt ha identificado varios indicadores de compromiso relacionados con el troyano bancario Anubis el cual busca capturar la información sensible en dispositivos Android. Entre sus capacidades se destaca capturas de pantalla, envío y recepción de mensajes de texto (SMS) y descargar malware adicional si lo desea.
Ataque de Phishing para exfiltrar credenciales de SkypeEl equipo del Csirt financiero ha identificado una nueva amenaza de phishing, en donde se informa a los usuarios de Skype acerca de 13 notificaciones que deben revisar, la dirección del remitente es aparentemente valida a primera vista ya que cuenta con un dominio respaldado por Google y además con certificado SSL.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-de-phishing-para-exfiltrar-credenciales-de-skypehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero ha identificado una nueva amenaza de phishing, en donde se informa a los usuarios de Skype acerca de 13 notificaciones que deben revisar, la dirección del remitente es aparentemente valida a primera vista ya que cuenta con un dominio respaldado por Google y además con certificado SSL.
Actualizaciones de seguridad de VMwareDentro de la constante labor investigativa que realiza el equipo del Csirt Financiero se identificaron correcciones de software emitidas por VMware, a vulnerabilidades que afectan servicios brindados a través de sus sistemas operativos ESXi.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizaciones-de-seguridad-de-vmwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro de la constante labor investigativa que realiza el equipo del Csirt Financiero se identificaron correcciones de software emitidas por VMware, a vulnerabilidades que afectan servicios brindados a través de sus sistemas operativos ESXi.
Nuevo malware de puerta trasera BazarBackdoor.El Csirt financiero ha identificado una nueva campaña de phishing encargada de instalar una puerta trasera sigilosa llamada BazarBackdoor, la cual es utilizada por los ciberdelincuentes para comprometer y obtener acceso a redes corporativas, capturando información sensible de los equipos comprometidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-malware-de-puerta-trasera-bazarbackdoorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado una nueva campaña de phishing encargada de instalar una puerta trasera sigilosa llamada BazarBackdoor, la cual es utilizada por los ciberdelincuentes para comprometer y obtener acceso a redes corporativas, capturando información sensible de los equipos comprometidos.
Vulnerabilidad de día cero en firewall empresarial de SOPHOSEl equipo del Csirt financiero identificó que la firma de ciberseguridad Sophos publicó una actualización de seguridad el sábado, buscando corregir una vulnerabilidad de día cero en su producto de firewall empresarial XG.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-dia-cero-en-firewall-empresarial-de-sophoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt financiero identificó que la firma de ciberseguridad Sophos publicó una actualización de seguridad el sábado, buscando corregir una vulnerabilidad de día cero en su producto de firewall empresarial XG.
Grupo “Florentino” usa campañas de phishing utilizando office 365En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/grupo-201cflorentino201d-usa-campanas-de-phishing-utilizando-office-365http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.
Vulnerabilidad de Microsoft Teams permitía ataques por medio de imágenesEl Csirt Financiero ha referenciado una vulnerabilidad en Microsoft Teams donde un archivo .gif enviado a una potencial víctima, permitía al ciberdelincuente descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales. Al ciberdelincuente lograría acceder a la cuenta del usuario o a las cuentas de todo un equipo al mismo tiempo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-microsoft-teams-permitia-ataques-por-medio-de-imageneshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero ha referenciado una vulnerabilidad en Microsoft Teams donde un archivo .gif enviado a una potencial víctima, permitía al ciberdelincuente descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales. Al ciberdelincuente lograría acceder a la cuenta del usuario o a las cuentas de todo un equipo al mismo tiempo.
Indicadores de compromiso asociados a Botnet LeetHozer.El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-botnet-leethozerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso asociados a una nueva botnet llamada LeetHozer que infecta equipos con el fin de realizar ataques DDOS.
Formjacking; inyección de código JavaScript maliciosoEl Csirt financiero ha identificado el aumentado y la popularidad en el mundo cibercriminal de la amenaza conocida como Formjacking. Mediante la inyección de código JavaScript los ciberdelincuentes toman el control de la página del formulario del sitio objetivo para exfiltrar credenciales de tarjetas de crédito y detalles de pago en los sitios web de comercio electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/formjacking-inyeccion-de-codigo-javascript-maliciosohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt financiero ha identificado el aumentado y la popularidad en el mundo cibercriminal de la amenaza conocida como Formjacking. Mediante la inyección de código JavaScript los ciberdelincuentes toman el control de la página del formulario del sitio objetivo para exfiltrar credenciales de tarjetas de crédito y detalles de pago en los sitios web de comercio electrónico.
Nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia.Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-ataques-dirigidos-a-instituciones-financieras-y-de-salud-en-rusiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.