Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva campaña distribuye la puerta trasera Oyster mediante instaladores de Microsoft TeamsEl equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye la puerta trasera Oyster, también conocida como Broomstick, a través de instaladores troyanizados del software corporativo Microsoft Teams, esta amenaza tiene como propósito obtener acceso remoto persistente en los equipos comprometidos, facilitando además la ejecución de cargas maliciosas adicionales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-la-puerta-trasera-oyster-mediante-instaladores-de-microsoft-teamshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que distribuye la puerta trasera Oyster, también conocida como Broomstick, a través de instaladores troyanizados del software corporativo Microsoft Teams, esta amenaza tiene como propósito obtener acceso remoto persistente en los equipos comprometidos, facilitando además la ejecución de cargas maliciosas adicionales.
Nueva campaña distribuye Medusa RansomwareEl equipo de analistas del Csirt Financiero ha identificado una nueva campaña que distribuye Medusa Ransomware, también conocido como MedusaBlog, una amenaza activa desde junio de 2021 que afecta equipos Windows y aplica una estrategia de doble extorsión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-medusa-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva campaña que distribuye Medusa Ransomware, también conocido como MedusaBlog, una amenaza activa desde junio de 2021 que afecta equipos Windows y aplica una estrategia de doble extorsión.
Nueva campaña distribuye troyano de acceso remoto NjRATGracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-troyano-de-acceso-remoto-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.
Nueva campaña distribuye un troyano bancario a través de WhatsApp.Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa activa en Brasil que distribuye el troyano bancario Eternidade Stealer. Su mecanismo de propagación a través de WhatsApp Web, junto con sus capacidades de exfiltración de información y evasión de controles de seguridad, lo convierte en una amenaza con un elevado potencial de impactohttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-distribuye-un-troyano-bancario-a-traves-de-whatsapphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña maliciosa activa en Brasil que distribuye el troyano bancario Eternidade Stealer. Su mecanismo de propagación a través de WhatsApp Web, junto con sus capacidades de exfiltración de información y evasión de controles de seguridad, lo convierte en una amenaza con un elevado potencial de impacto
Nueva campaña e indicadores de compromiso asociados a Remcos RATEsta investigación que afecta directamente al sector financiero en Colombia se logró gracias al reporte realizado por parte de uno de los asociados, el cual describe la campaña de distribución de la amenaza Remcos RAT junto con nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-e-indicadores-de-compromiso-asociados-a-remcos-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Esta investigación que afecta directamente al sector financiero en Colombia se logró gracias al reporte realizado por parte de uno de los asociados, el cual describe la campaña de distribución de la amenaza Remcos RAT junto con nuevos indicadores de compromiso.
NUEVA CAMPAÑA EJERCIDA POR EL TROYANO LAMPIONEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero pudo evidenciar una nueva campaña de distribución del troyano Lampion. Al momento de la consulta, se puedo observar que la amenaza se dirige hacia Portugal, usando como señuelo temáticas de la pandemia y del proceso actual de vacunación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-ejercida-por-el-troyano-lampionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero pudo evidenciar una nueva campaña de distribución del troyano Lampion. Al momento de la consulta, se puedo observar que la amenaza se dirige hacia Portugal, usando como señuelo temáticas de la pandemia y del proceso actual de vacunación.
Nueva campaña entrega Bumblebee y despliega Akira RansomwareDurante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña en la que, mediante envenenamiento SEO como mecanismo de entrega, se distribuyen herramientas de apariencia legítima asociadas a tecnología y administración de redes, como ManageEngine OpManager, Axis Camera Station y Angry IP Scanner. Estas aplicaciones son presentadas como descargas legítimas a través de sitios web comprometidos o creados específicamente para simular portales oficiales, donde los instaladores han sido modificados para incluir el loader conocido como Bumblebee, el cual actúa como punto de entrada al entorno comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-entrega-bumblebee-y-despliega-akira-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña en la que, mediante envenenamiento SEO como mecanismo de entrega, se distribuyen herramientas de apariencia legítima asociadas a tecnología y administración de redes, como ManageEngine OpManager, Axis Camera Station y Angry IP Scanner. Estas aplicaciones son presentadas como descargas legítimas a través de sitios web comprometidos o creados específicamente para simular portales oficiales, donde los instaladores han sido modificados para incluir el loader conocido como Bumblebee, el cual actúa como punto de entrada al entorno comprometido.
Nueva campaña explota la vulnerabilidad CVE-2017-0199 para propagar FormBookDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing que utiliza un archivo de Excel malicioso para explotar la vulnerabilidad CVE-2017-0199 en versiones anteriores de Microsoft Office. Esta vulnerabilidad permite la ejecución remota de código a través de la funcionalidad OLE (Object Linking and Embedding), facilitando la descarga y ejecución de un archivo HTA malicioso desde un servidor remoto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-explota-la-vulnerabilidad-cve-2017-0199-para-propagar-formbookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una nueva campaña de phishing que utiliza un archivo de Excel malicioso para explotar la vulnerabilidad CVE-2017-0199 en versiones anteriores de Microsoft Office. Esta vulnerabilidad permite la ejecución remota de código a través de la funcionalidad OLE (Object Linking and Embedding), facilitando la descarga y ejecución de un archivo HTA malicioso desde un servidor remoto.
Nueva campaña implementa variante de massloggerNueva campaña implementa una variante del malware troyano Masslogger diseñada para capturar y exfiltrar las credenciales de los usuarios de múltiples fuentes como Outlook, Google Chrome y mensajería instantánea.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-implementa-variante-de-massloggerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña implementa una variante del malware troyano Masslogger diseñada para capturar y exfiltrar las credenciales de los usuarios de múltiples fuentes como Outlook, Google Chrome y mensajería instantánea.
Nueva campaña incorpora HttpTroy y una nueva variante de BLINDINGCAN.El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de dos amenazas sofisticadas: HttpTroy y una nueva variante del troyano de acceso remoto BLINDINGCAN.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-incorpora-httptroy-y-una-nueva-variante-de-blindingcanhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de dos amenazas sofisticadas: HttpTroy y una nueva variante del troyano de acceso remoto BLINDINGCAN.
Nueva campaña llamada OBSCURE#BAT diseñada para distribuir el rootkit R77Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que difunde rootkit R77.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-llamada-obscure-bat-disenada-para-distribuir-el-rootkit-r77http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que difunde rootkit R77.
Nueva campaña maliciosa “Operación Gecko Assault” dirigida a LatinoaméricaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de malware denominada Operación Gecko Assault activa desde agosto del 2024 y dirigida principalmente a países de Latinoamérica.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-201coperacion-gecko-assault201d-dirigida-a-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de malware denominada Operación Gecko Assault activa desde agosto del 2024 y dirigida principalmente a países de Latinoamérica.
Nueva campaña maliciosa asociada al troyano bancario ZloaderEn el constante monitoreo a fuentes abiertas de información y en búsqueda de posibles amenazas que afecten la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado una nueva campaña del troyano bancario Zloader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-asociada-al-troyano-bancario-zloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información y en búsqueda de posibles amenazas que afecten la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado una nueva campaña del troyano bancario Zloader.
Nueva campaña maliciosa con Hijack loader y Vidar stealerEn los últimos meses ha surgido nueva actividad maliciosa en el panorama de la ciberseguridad, los ciberdelincuentes están utilizando tácticas sofisticadas para distribuir y ejecutar cargas útiles maliciosas en sistemas operativos. Esta nueva actividad se basa en la distribución de software malicioso o versiones modificadas de software libre, que oculta una carga útil maliciosa conocida como Hijack Loader. El cual es utilizado para propagar Vidar Stealer, un conocido stealer diseñado para capturar datos confidenciales como credenciales financieras y criptomonedas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-con-hijack-loader-y-vidar-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En los últimos meses ha surgido nueva actividad maliciosa en el panorama de la ciberseguridad, los ciberdelincuentes están utilizando tácticas sofisticadas para distribuir y ejecutar cargas útiles maliciosas en sistemas operativos. Esta nueva actividad se basa en la distribución de software malicioso o versiones modificadas de software libre, que oculta una carga útil maliciosa conocida como Hijack Loader. El cual es utilizado para propagar Vidar Stealer, un conocido stealer diseñado para capturar datos confidenciales como credenciales financieras y criptomonedas.
Nueva campaña maliciosa de DcRAT dirigida a ColombiaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ingeniería social que emplea tácticas de suplantación de identidad del gobierno colombiano para propagar el troyano de acceso remoto DcRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-de-dcrat-dirigida-a-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña de ingeniería social que emplea tácticas de suplantación de identidad del gobierno colombiano para propagar el troyano de acceso remoto DcRAT.
Nueva campaña maliciosa de Lumma StealerEl equipo de analistas del Csirt Financiero ha identificado una reciente campaña que utiliza Lumma Stealer, también conocido como LummaC2.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-de-lumma-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Nueva campaña maliciosa de SEO#LURKER utilizan WinSCP como señuelo para distribuir MalwareRecientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó una nueva campaña maliciosa de tipo malvertising utilizando como señuelos la aplicación WinSCP para engañar a los usuarios y distribuir malware, aprovechándose de los anuncios de búsqueda dinámicos para inyectar su propio código malicioso a fuentes legítimas como las páginas de búsqueda de Google.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-de-seo-lurker-utilizan-winscp-como-senuelo-para-distribuir-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente el equipo de analistas del Csirt Financiero a través de actividades de monitoreo realizada a diferentes fuentes de información identificó una nueva campaña maliciosa de tipo malvertising utilizando como señuelos la aplicación WinSCP para engañar a los usuarios y distribuir malware, aprovechándose de los anuncios de búsqueda dinámicos para inyectar su propio código malicioso a fuentes legítimas como las páginas de búsqueda de Google.
Nueva campaña maliciosa del Grupo TA505En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el ejercicio del monitoreo por parte del equipo del Csirt financiero a fuentes abiertas, se observó una campaña a finales del mes de septiembre del 2020 basada en un script de Powershell dirigida a usuarios de América (Norte, Centro y Sur). Esta campaña es atribuida al grupo de ciberdelincuentes TA505, el cual ha utilizado anteriormente como vector de ataque el correo malspam con el objetivo de infectar equipos con el troyano bancario Dridex o con ransomware Locky, Philadelphia y GlobeImposter.
Nueva campaña maliciosa del ransomware Black BastaA medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-ransomware-black-bastahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.
Nueva campaña maliciosa del troyano bancario Anatsa dirigida a NorteaméricaDurante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó nueva actividad maliciosa asociada al troyano bancario Anatsa, caracterizado por su enfoque altamente dirigido a dispositivos Androidhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-del-troyano-bancario-anatsa-dirigida-a-norteamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero se identificó nueva actividad maliciosa asociada al troyano bancario Anatsa, caracterizado por su enfoque altamente dirigido a dispositivos Android
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}