Emerge un nuevo troyano bancario para Android denominado BratsRecientemente se descubrió un nuevo troyano bancario para Android denominado Brats, el cual está diseñado para abusar del sistema de transferencia instantánea PIX y ATS (Automatic Transaction System); Este malware se dirige a víctimas en Brasil, donde explota el sistema de pagos PIX y aplicaciones de bancos brasileños.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-un-nuevo-troyano-bancario-para-android-denominado-bratshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se descubrió un nuevo troyano bancario para Android denominado Brats, el cual está diseñado para abusar del sistema de transferencia instantánea PIX y ATS (Automatic Transaction System); Este malware se dirige a víctimas en Brasil, donde explota el sistema de pagos PIX y aplicaciones de bancos brasileños.
Nuevos artefactos del troyano bancario DanabotEl Csirt Financiero realiza el seguimiento al malware de tipo troyano bancario llamado DanaBot que pueda generar impacto en la infraestructura tecnológica de los asociados. El equipo de analistas del Csirt Financiero, ha observado nuevos indicadores de compromiso pertenecientes a este troyano, amenaza que se dirige a equipos con sistema operativo Microsoft Windows tanto estaciones de trabajo (Workstation) como servidores (Server).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-bancario-danabothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El Csirt Financiero realiza el seguimiento al malware de tipo troyano bancario llamado DanaBot que pueda generar impacto en la infraestructura tecnológica de los asociados. El equipo de analistas del Csirt Financiero, ha observado nuevos indicadores de compromiso pertenecientes a este troyano, amenaza que se dirige a equipos con sistema operativo Microsoft Windows tanto estaciones de trabajo (Workstation) como servidores (Server).
Legion: la nueva herramienta de ataque que captura credenciales y ejecuta código maliciosoLa aparición de Legion como una nueva herramienta de ataque basada en Python, ha puesto en alerta a la comunidad de ciberseguridad debido a su capacidad para explotar diversas vulnerabilidades en servicios en línea. Este hacktool se comercializa en Telegram, como una forma efectiva de obtener credenciales y contraseñas para servicios de correo electrónico, servidores de nube, sistemas de administración de servidores, bases de datos y plataformas de pago como PayPal y Stripe.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/legion-la-nueva-herramienta-de-ataque-que-captura-credenciales-y-ejecuta-codigo-maliciosohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La aparición de Legion como una nueva herramienta de ataque basada en Python, ha puesto en alerta a la comunidad de ciberseguridad debido a su capacidad para explotar diversas vulnerabilidades en servicios en línea. Este hacktool se comercializa en Telegram, como una forma efectiva de obtener credenciales y contraseñas para servicios de correo electrónico, servidores de nube, sistemas de administración de servidores, bases de datos y plataformas de pago como PayPal y Stripe.
Nuevo troyano bancario para Android denominado ChameleonA través de un monitoreo realizado a diversas fuentes de información abiertas, se identificó un nuevo troyano bancario denominado Chameleon, el cual es entregado por medio de aplicaciones falsas dirigidas a usuarios de dispositivos móviles de Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-para-android-denominado-chameleonhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo realizado a diversas fuentes de información abiertas, se identificó un nuevo troyano bancario denominado Chameleon, el cual es entregado por medio de aplicaciones falsas dirigidas a usuarios de dispositivos móviles de Android.
Nueva actividad maliciosa del troyano bancario MekotioA través del desarrollo de las actividades de monitoreo adelantadas por los analistas del Csirt Financiero en diferentes fuentes de información, se identificó nueva actividad maliciosa del troyano bancario Mekotio; donde los grupos de ciberdelincuentes están distribuyendo nuevos indicadores de compromiso en los que se observaron distintos ejecutables (EXE).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-troyano-bancario-mekotio-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del desarrollo de las actividades de monitoreo adelantadas por los analistas del Csirt Financiero en diferentes fuentes de información, se identificó nueva actividad maliciosa del troyano bancario Mekotio; donde los grupos de ciberdelincuentes están distribuyendo nuevos indicadores de compromiso en los que se observaron distintos ejecutables (EXE).
RTM Locker: RaaS emergente causa preocupación en el ámbito de ciberseguridadLa seguridad en línea sigue siendo un tema de preocupación constante para empresas y particulares. A medida que las tecnologías avanzan, también lo hacen los métodos de ataque cibernético, y un nuevo grupo cibercriminal ha llamado la atención de los expertos en ciberseguridad. Se trata de "Read The Manual Locker, por sus siglas en inglés" (RTM) Locker, un proveedor privado de ransomware como servicio (RaaS) que ha llevado a cabo ataques oportunistas para generar ganancias ilícitas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/rtm-locker-raas-emergente-causa-preocupacion-en-el-ambito-de-ciberseguridadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad en línea sigue siendo un tema de preocupación constante para empresas y particulares. A medida que las tecnologías avanzan, también lo hacen los métodos de ataque cibernético, y un nuevo grupo cibercriminal ha llamado la atención de los expertos en ciberseguridad. Se trata de "Read The Manual Locker, por sus siglas en inglés" (RTM) Locker, un proveedor privado de ransomware como servicio (RaaS) que ha llevado a cabo ataques oportunistas para generar ganancias ilícitas.
Nueva actividad del ransomware Lockbit distribuido a usuarios de MacOsEl equipo de analistas del Csirt financiero ha llevado a cabo un monitoreo a diversas fuentes de información abiertas en busca de nuevas amenazas y campañas que puedan afectar la infraestructura de los asociados. En el análisis, se identificaron nuevas actividades maliciosas e indicadores de compromiso relacionados con el ransomware LockBit, el cual fue visto por primera vez en septiembre de 2019. LockBit ofrece servicios de Ransomware as a Service (Raas) y sigue presente en el ciberespacio en constante mejora.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-ransomware-lockbit-distribuido-a-usuarios-de-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt financiero ha llevado a cabo un monitoreo a diversas fuentes de información abiertas en busca de nuevas amenazas y campañas que puedan afectar la infraestructura de los asociados. En el análisis, se identificaron nuevas actividades maliciosas e indicadores de compromiso relacionados con el ransomware LockBit, el cual fue visto por primera vez en septiembre de 2019. LockBit ofrece servicios de Ransomware as a Service (Raas) y sigue presente en el ciberespacio en constante mejora.
Nueva actividad del grupo Blind Eagle afectando entidades de LatinoaméricaEl equipo de analistas del Csirt Financiero ha identificado nueva actividad del grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle en el ciberespacio. Se ha observado que están distribuyendo diversas familias de troyanos de acceso remoto RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-blind-eagle-afectando-entidades-de-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nueva actividad del grupo de ciberespionaje APT-C-36, también conocido como Blind Eagle en el ciberespacio. Se ha observado que están distribuyendo diversas familias de troyanos de acceso remoto RAT.
Nueva amenaza denominada DAAM BotnetEn el observatorio de ciberseguridad generado por el equipo de analistas del Csirt Financiero a través de diversas fuentes abiertas de información, se identificó un malware dirigido a dispositivos Android denominado DAAM Botnet con grandes capacidades para la captura de información confidencial, además de contener un módulo de ransomware para sus operaciones maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-amenaza-denominada-daam-botnethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el observatorio de ciberseguridad generado por el equipo de analistas del Csirt Financiero a través de diversas fuentes abiertas de información, se identificó un malware dirigido a dispositivos Android denominado DAAM Botnet con grandes capacidades para la captura de información confidencial, además de contener un módulo de ransomware para sus operaciones maliciosas.
EvilExtractor: herramienta de ataque con múltiples funciones maliciosas, incluyendo ransomware.EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/evilextractor-herramienta-de-ataque-con-multiples-funciones-maliciosas-incluyendo-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
EvilExtractor es una herramienta de ataque que Incluye varios módulos que funcionan a través de un servicio FTP, diseñados para extraer datos y archivos de equipos con sistemas operativos Windows. Es distribuida por una compañía llamada Kodex, que afirma que es una herramienta educativa. Sin embargo, los ciberdelincuentes lo están utilizando activamente como un infostealer para orquestar ataques hacia víctimas se encuentran principalmente en Europa y América.
Nuevos artefactos relacionados al troyano Agent TeslaEl equipo de analistas del Csirt Financiero ha identificado nuevos indicadores relacionados con el troyano Agent Tesla a través de la monitorización de fuentes abiertas de seguridad. Este tipo de amenazas evolucionan constantemente y pueden desencadenar múltiples campañas maliciosas, impactando diversas infraestructuras tecnológicas en todo el mundo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-relacionados-al-troyano-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores relacionados con el troyano Agent Tesla a través de la monitorización de fuentes abiertas de seguridad. Este tipo de amenazas evolucionan constantemente y pueden desencadenar múltiples campañas maliciosas, impactando diversas infraestructuras tecnológicas en todo el mundo.
Aukill: la nueva hacktool que deshabilita la seguridad de los sistemas y despliega ransomware en ataques BYOVDLa seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/aukill-la-nueva-hacktool-que-deshabilita-la-seguridad-de-los-sistemas-y-despliega-ransomware-en-ataques-byovdhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La seguridad cibernética sigue siendo un tema crítico a medida que los actores de amenazas continúan encontrando nuevas formas de comprometer los sistemas. Recientemente, se descubrió una nueva hacktool denominada AuKill, que los actores malintencionados están utilizando para deshabilitar la detección y respuesta de punto final (EDR) en los sistemas de sus objetivos antes de implementar backdoor y ransomware en ataques BYOVD.
Nueva actividad maliciosa del Loader BumblebeeLa evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero, los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-loader-bumblebeehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La evolución de los malware es inmutable, justamente por ello es natural encontrar que las amenazas más prolíficas del ciberespacio mantienen una cadena evolutiva en la que integran mejoras en sus capacidades y sus TTP; durante los últimos meses se encontró gran actividad relacionada con el loader Bumblebee como se reportó recientemente desde el Csirt Financiero, los nuevos artefactos incluyen capacidades que no habían empleado anteriormente.
Ciberataque de Lazarus X_TRADER afecta a infraestructuras críticas más allá de la vulnerabilidad de 3CXEn los últimos meses, ha habido varias noticias sobre ciberataques a organizaciones con infraestructuras críticas. El grupo de ciberdelincuentes Lazarus, de Corea del Norte, responsable del reciente ataque a la cadena de suministro dirigido a 3CX, también vulnero dos organizaciones del sector energético y dos empresas financieras y otras organizaciones, utilizando el troyano X_TRADER.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberataque-de-lazarus-x_trader-afecta-a-infraestructuras-criticas-mas-alla-de-la-vulnerabilidad-de-3cxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses, ha habido varias noticias sobre ciberataques a organizaciones con infraestructuras críticas. El grupo de ciberdelincuentes Lazarus, de Corea del Norte, responsable del reciente ataque a la cadena de suministro dirigido a 3CX, también vulnero dos organizaciones del sector energético y dos empresas financieras y otras organizaciones, utilizando el troyano X_TRADER.
QakBot continúa evolucionando sus capacidades de afectaciónQakBot (también conocido como QBot) es un troyano bancario que ha estado activo desde hace varios años y se enfoca en capturar información bancaria de los usuarios. Recientemente, se ha detectado una nueva variante del malware que continúa evolucionando y mutando, lo que dificulta su detección y eliminación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/qakbot-continua-evolucionando-sus-capacidades-de-afectacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
QakBot (también conocido como QBot) es un troyano bancario que ha estado activo desde hace varios años y se enfoca en capturar información bancaria de los usuarios. Recientemente, se ha detectado una nueva variante del malware que continúa evolucionando y mutando, lo que dificulta su detección y eliminación.
Nuevos indicadores de compromiso asociados al RAT Ave MariaAve Maria es un troyano de acceso remoto (RAT, por sus siglas en inglés) que permite a los atacantes tomar el control de un sistema de forma remota, esta familia se ha utilizado en diversos ataques cibernéticos, incluyendo campañas maliciosas relacionadas con espionaje cibernético y captura de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-rat-ave-mariahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Ave Maria es un troyano de acceso remoto (RAT, por sus siglas en inglés) que permite a los atacantes tomar el control de un sistema de forma remota, esta familia se ha utilizado en diversos ataques cibernéticos, incluyendo campañas maliciosas relacionadas con espionaje cibernético y captura de información.
Nueva campaña del troyano bancario Guildma a nivel globalEn el transcurso del tiempo una de las amenazas conocidas como los troyanos bancarios han causado enormes daños económicos, afectando tanto a usuarios individuales como a grandes empresas y organizaciones financieras, es por eso el equipo de analistas del Csirt Financiero en su constante monitoreo identifico una nueva campaña del troyano bancario Guildma el cual estaba dirigido a países de Latinoamérica pero en esta ocasión se observó que esta amenaza se está expandiendo a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-troyano-bancario-guildma-a-nivel-globalhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el transcurso del tiempo una de las amenazas conocidas como los troyanos bancarios han causado enormes daños económicos, afectando tanto a usuarios individuales como a grandes empresas y organizaciones financieras, es por eso el equipo de analistas del Csirt Financiero en su constante monitoreo identifico una nueva campaña del troyano bancario Guildma el cual estaba dirigido a países de Latinoamérica pero en esta ocasión se observó que esta amenaza se está expandiendo a nivel mundial.
Nueva variante del ransomware RTM Locker apunta a servidores ESXiEn una reciente investigación a amenazas potenciales que puedan afectar el ecosistema de ciberseguridad, se identificó una nueva variante del ransomware RTM Locker, el cual, por sus actividades y comandos, ahora tiene como objetivo impactar distribuciones Linux, NAS y principalmente servidores ESXi.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-ransomware-rtm-locker-apunta-a-servidores-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En una reciente investigación a amenazas potenciales que puedan afectar el ecosistema de ciberseguridad, se identificó una nueva variante del ransomware RTM Locker, el cual, por sus actividades y comandos, ahora tiene como objetivo impactar distribuciones Linux, NAS y principalmente servidores ESXi.
Nueva variante de PingPull dirigida a sistemas LinuxPingPull es una amenaza que fue identificada por primera vez en 2022 que, a pesar de ser un RAT muchos investigadores lo han definido como una puerta trasera muy compleja de detectar, debido al uso de protocolos de mensajes de control de internet (ICMP) para generar la comunicación con su comando y control (C2).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-de-pingpull-dirigida-a-sistemas-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
PingPull es una amenaza que fue identificada por primera vez en 2022 que, a pesar de ser un RAT muchos investigadores lo han definido como una puerta trasera muy compleja de detectar, debido al uso de protocolos de mensajes de control de internet (ICMP) para generar la comunicación con su comando y control (C2).
ViperSoftX: un infostealer que captura contraseñas y criptomonedasViperSoftX es un infostealer capaz de capturar información valiosa, como criptomonedas y contraseñas de diferentes tipos de billeteras y administradores de contraseñas. Aunque inicialmente se creía que el objetivo principal de este stealer eran los usuarios habituales, investigaciones más recientes han revelado que el sector empresarial también ha sido fuertemente afectado por este malware en Australia, Japón, EE. UU. e India.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vipersoftx-un-infostealer-que-captura-contrasenas-y-criptomonedashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
ViperSoftX es un infostealer capaz de capturar información valiosa, como criptomonedas y contraseñas de diferentes tipos de billeteras y administradores de contraseñas. Aunque inicialmente se creía que el objetivo principal de este stealer eran los usuarios habituales, investigaciones más recientes han revelado que el sector empresarial también ha sido fuertemente afectado por este malware en Australia, Japón, EE. UU. e India.