-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.
Nuevo stealer denominado "Gomorrah" distribuido como Malware-as-a-Service (MaaS)
Publicado: 13/09/2024 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un stealer sofisticado denominado Gomorrah, que opera como una herramienta de Malware como Servicio (MaaS) y está diseñado principalmente para capturar y exfiltrar información sensible, como contraseñas, detalles de tarjetas de crédito. cookies de navegadores web y otras aplicaciones.
Loader Hadooken ataca Oracle Weblogic
Publicado: 12/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que distribuye el loader llamado Hadooken.
Nuevo troyano bancario dirigido a dispositivos Android
Publicado: 12/09/2024 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado un nuevo troyano dirigido a dispositivos Android, denominado Ajina.Banker, que posee grandes capacidades para capturar datos financieros y eludir la autenticación de dos factores a través de Telegram.
Nueva actividad maliciosa con el stealer Lumma
Publicado: 11/09/2024 | Importancia: Media
Se ha detectado una nueva amenaza del stealer LummaC2 y una extensión maliciosa de Google Chrome. Esta amenaza tiene la capacidad de robar información sensible de plataformas financieras y redes sociales, así como manipular el contenido web y ejecutar transacciones financieras fraudulentas.
Nueva cepa de ransomware denominada ScRansom implementada por el grupo APT CosmicBeetle
Publicado: 10/09/2024 | Importancia: Media
Este ransomware, una evolución del conocido Scarab y ahora denominado ScRansom, está dirigido principalmente a pequeñas y medianas empresas. La amenaza se caracteriza por su capacidad para cifrar archivos de manera efectiva y exigir rescates significativos, lo que puede resultar en interrupciones graves para las organizaciones afectadas.
Nueva actividad relacionada con los troyanos bancarios Mekotio y BBtok
Publicado: 10/09/2024 | Importancia: Media
A través de las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña maliciosa dirigida a usuarios de América Latina, vinculada a los troyanos bancarios Mekotio y BBtok. Los ciberdelincuentes responsables de esta campaña emplean correos electrónicos de phishing con señuelos basados en transacciones comerciales y judiciales, buscando persuadir a las víctimas para que descarguen los archivos maliciosos.
Nueva campaña del grupo Earth Preta
Publicado: 09/09/2024 | Importancia: Media
El equipo de analistas del CSIRT Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.
Nueva amenaza de tipo backdoor denominado Loki
Publicado: 08/09/2024 | Importancia: Media
A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó un nuevo malware de tipo backdoor denominado Loki. Este malware es detectado por las soluciones de seguridad de Kaspersky como Backdoor.Win64.MLoki, diferenciándose de otras familias como Loki Bot, Loki Locker, entre otros.
BlindEagle ataca el sector financiero de Colombia con BlotchyQuasar
Publicado: 08/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña que afecta el sector financiero de Colombia.
Nuevo malware para Android
Publicado: 06/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo malware llamado SpyAgent.
NUEVA ACTIVIDAD MALICIOSA PARA DISTRIBUIR HAVOC, BRUTE RATEL Y PHANTOMCORE
Publicado: 06/09/2024 | Importancia: Media
MacroPack, está siendo utilizados para distribuir malware avanzado como Havoc, Brute Ratel y PhantomCore. Se identifican las capacidades de evasión y persistencia, así como los métodos empleados por actores de amenazas para comprometer sistemas mediante macros maliciosas.
Nueva actividad maliciosa del Ransomware Mallox
Publicado: 05/09/2024 | Importancia: Media
Se ha detectado una nueva actividad vinculada al ransomware Mallox, el cual sigue evolucionando y utilizando tácticas avanzadas para comprometer redes empresariales. Este ransomware emplea métodos de cifrados complejos y evade medidas de seguridad, afectando gravemente los sistemas comprometidos. A través de su modelo Ransomware-as-a-Service (RaaS), Mallox ha incrementado su alcance, permitiendo que actores maliciosos ejecuten ataques.
Nueva puerta trasera para Microsoft Windows y Linux
Publicado: 04/09/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo backdoor llamado KTLVdoor.
Nueva actividad del troyano bancario Mispadu.
Publicado: 03/09/2024 | Importancia: Media
Nueva actividad del troyano bancario Mispadu presente en América Latina mediante correos electrónicos de tipo phishing y el uso de scripts VB para llevar a cabo su proceso de infección por etapas.
Nuevo ransomware como servicio Cicada3301
Publicado: 02/09/2024 | Importancia: Media
Nuevo grupo de ransomware como servicio (RaaS) denominado Cicada3301 emplea tácticas de doble extorsión: cifra datos y amenaza con filtrar información confidencial para presionar a las víctimas.
Malware Voldemort utiliza Google Sheets para exfiltrar datos
Publicado: 01/09/2024 | Importancia: Media
El malware "Voldemort" es una amenaza avanzada que afecta una variedad de entornos corporativos y gubernamentales. Su principal objetivo son sistemas informáticos en los que se infiltra a través de correos electrónicos que suplanta autoridades fiscales en Europa, Asia, y EE. UU.
Nueva campaña de distribución de WikiLoader
Publicado: 01/09/2024 | Importancia: Media
Ciberdelincuentes están utilizando técnicas de envenenamiento de SEO para engañar a los usuarios y hacer que descarguen WikiLoader a través de un ejecutable que aparenta ser el software de VPN GlobalProtect de Palo Alto.
Nueva variante de Lumma Stealer
Publicado: 30/08/2024 | Importancia: Media
LummaC2 es un stealer escrito en C el cual es identificado como Malware as a Service (MaaS) con la capacidad de detectar si se encuentra ejecutando en un entorno seguro (sandbox), este está diseñado específicamente para obtener información sensible.
Ransomware como servicio RansomHub
Publicado: 29/08/2024 | Importancia: Media
RansomHub es un ransomware como servicio RaaS que cuenta con un programa de afiliados creado en 2024, desde entonces ha afectado al menos a 210 organizaciones de múltiples sectores.
Malware Rocinante tiene como objetivo clientes de instituciones financieras
Publicado: 28/08/2024 | Importancia: Media
Rocinante es un malware emergente que se infiltra en dispositivos a través de aplicaciones ilegitimas que suplantan entidades bancarias.
NUEVAS VARIANTES DEL KEYLOGGER DENOMINADO SNAKE
Publicado: 28/08/2024 | Importancia:
Se identifico una nueva variante Snake Keylogger diseñado para capturar y exfiltrar información sensible de los sistemas comprometidos, incluyendo credenciales de inicio de sesión y pulsaciones de teclas. Se propaga principalmente a través de campañas de phishing que utilizan correos electrónicos maliciosos, con archivos adjuntos o enlaces que instalan el keylogger cuando son abiertos por la víctima.
Técnica AppDomainManager ejecuta malware en Windows
Publicado: 28/08/2024 | Importancia: Media
El equipo del Csirt Financiero evidenció la inyección de AppDomainManager es una técnica avanzada utilizada por cibercriminales para ejecutar malware en sistemas Windows, aprovechando la redirección de versiones en .NET Framework. Al crear un archivo de configuración específico, los actores malintencionados pueden manipular un archivo EXE legítimo para cargar una DLL maliciosa. Esta DLL contiene una clase que hereda de AppDomainManager, lo que permite ejecutar código malicioso a través de la función InitializeNewDomain.
Nuevo loader denominado UULoader con grandes capacidades de evasión
Publicado: 27/08/2024 | Importancia: Media
Mediante actividades de monitoreo y búsqueda de amenazas, el equipo de analistas del Csirt Financiero ha identificado un nuevo software malicioso de tipo loader denominado UULoader, que aprovecha el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar, distribuyéndose principalmente a través de campañas de phishing a hablantes de coreano y chino.
Nueva actividad maliciosa del ransomware BlackSuit
Publicado: 26/08/2024 | Importancia: Media
Atacantes utilizan balizas de Cobalt Strike para lograr implementar el ransomware BlackSuit, destacando técnicas como acceso inicial, movimiento lateral, escalada de privilegios, y medidas de evasión para comprometer los sistemas infectados y ejecutar el despliegue del ransomware.
Nueva versión del backdoor HZ Rat
Publicado: 26/08/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva revisión del backdoor llamado HZ Rat.
Nuevo troyano de acceso remoto denominado Lilith RAT
Publicado: 25/08/2024 | Importancia: Media
Se identifico un archivo LNK denominado CURKON, relacionado con informes de evasión fiscal, se utiliza para descargar y ejecutar troyano de acceso remoto Lilith RAT desde servidores controlados por atacantes.
Qilin exfiltra credenciales almacenadas en Google Chrome
Publicado: 25/08/2024 | Importancia: Media
El equipo del Csirt Financiero evidenció que el grupo de ransomware Qilin llevó a cabo una actividad maliciosa que resultó en la exfiltración masiva de credenciales almacenadas en el navegador Google Chrome en un subconjunto de puntos finales de una red comprometida.
Nuevo Loader para Windows que se oculta en memoria
Publicado: 24/08/2024 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado PEAKLIGHT.
Nueva actividad relacionada con Angry Stealer
Publicado: 23/08/2024 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha detectado una nueva actividad maliciosa relacionada con Angry Stealer, un software malicioso ofrecido en canales clandestinos de Telegram a un precio de 250 dólares.
NGate: Nuevo Malware Para Dispositivos Android Que Captura Datos De Tarjetas De Crédito
Publicado: 22/08/2024 | Importancia: Media
Mediante actividades de monitoreo y seguimiento de amenazas realizado por el equipo de analistas del Csirt Financiero, se observó un nuevo software malicioso llamado NGate, diseñado para dispositivos Android con el objetivo de capturar datos de tarjetas de crédito.