Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Backdoor con capacidades para realizar inteligentes capturas de pantallaEs muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-con-capacidades-para-realizar-capturas-inteligentes-de-pantallahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Es muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.
El troyano Qbot es distribuido a través de archivos de Microsoft OneNoteQbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-troyano-qbot-es-distribuido-a-traves-de-archivos-de-microsoft-onenotehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Qbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.
Nueva campaña maliciosa relacionada con GootloaderEl despliegue de ataques que involucran GootLoader, implementan archivos JavaScript ofuscados, diseñados para evadir la seguridad y la carga de grandes payloads, disfrazados como legítimos. Recientemente se identificó una campaña de este loader, dirigida principalmente a entidades en países de habla inglesa, como Estados Unidos, Reino Unido y Australia, con un énfasis en el sector salud y financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-relacionada-con-gootloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El despliegue de ataques que involucran GootLoader, implementan archivos JavaScript ofuscados, diseñados para evadir la seguridad y la carga de grandes payloads, disfrazados como legítimos. Recientemente se identificó una campaña de este loader, dirigida principalmente a entidades en países de habla inglesa, como Estados Unidos, Reino Unido y Australia, con un énfasis en el sector salud y financiero.
Se identifica nueva actividad maliciosa de EmotetAunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-actividad-maliciosa-de-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.
Royal ransomware es dirigido a servidores VMware ESXiDurante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/royal-ransomware-es-dirigido-a-servidores-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.
Variante de Clop ransomware afecta sistemas LinuxLos operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/variante-de-clop-ransomware-afecta-sistemas-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.
Nueva actividad maliciosa de GuloaderA través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt Financiero identificó una nueva actividad maliciosa del downloader conocido como Guloader, el cual está realizando nuevas campañas utilizando una herramienta de código abierto denominada NSIS (Nullsoft Scriptable Install System), basada en secuencias de comandos que se utiliza para desarrollar instaladores para el sistema operativo Windows, junto con ello se identificaron nuevos indicadores de compromiso asociados a Guloader.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-de-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt Financiero identificó una nueva actividad maliciosa del downloader conocido como Guloader, el cual está realizando nuevas campañas utilizando una herramienta de código abierto denominada NSIS (Nullsoft Scriptable Install System), basada en secuencias de comandos que se utiliza para desarrollar instaladores para el sistema operativo Windows, junto con ello se identificaron nuevos indicadores de compromiso asociados a Guloader.
Nuevos indicadores de compromiso asociados con el troyano bancario IcedIDEl equipo de analistas del Csirt financiero realizó un monitoreo al ciberespacio en busca de amenazas y campañas que puedan afectar la infraestructura de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados al troyano bancario IcedID, el cual fue descubierto por primera vez en 2017 y con el objetivo principal de capturar información financiera.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-con-el-troyano-bancario-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt financiero realizó un monitoreo al ciberespacio en busca de amenazas y campañas que puedan afectar la infraestructura de los asociados, donde se identificaron nuevos indicadores de compromiso relacionados al troyano bancario IcedID, el cual fue descubierto por primera vez en 2017 y con el objetivo principal de capturar información financiera.
Nueva campaña maliciosa utilizando el Loader Malvirt Para implementar FormBookEl equipo del Csirt Financiero realizó un monitoreo al ciberespacio con el objetivo de identificar nuevas amenazas o actividades maliciosas que puedan llegar a afectar la infraestructura de los asociados, donde se identificó una nueva campaña específicamente de publicidad, donde utilizan un loader conocido como Malvirt para implementar el troyano FormBook.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-maliciosa-utilizando-el-loader-malvirt-para-implementar-formbookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero realizó un monitoreo al ciberespacio con el objetivo de identificar nuevas amenazas o actividades maliciosas que puedan llegar a afectar la infraestructura de los asociados, donde se identificó una nueva campaña específicamente de publicidad, donde utilizan un loader conocido como Malvirt para implementar el troyano FormBook.
El ransomware ESXiArgs es identificado explotando vulnerabilidades de servidores VMware ESXIEl equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/el-ransomware-esxiargs-es-identificado-explotando-vulnerabilidades-de-servidores-vmware-esxihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó un nuevo ransomware denominado ESXiArgs, el cual está realizando constantes campañas a nivel mundial explotando una vulnerabilidad de ejecución remota de código a los servidores VMware ESXi, con el objetivo de cifrar información confidencial de los equipos infectados.
Emerge la nueva botnet llamada Medusa en el panorama de amenazasLa botnet Mirai se ha actualizado para descargar y propagar una nueva botnet llamada Medusa, afectando dispositivos de red vulnerables que ejecuten Linux para de este modo comprometerlos y llevar a cabo acciones maliciosas como ataques DDoS y descarga de malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/emerge-la-nueva-botnet-llamada-medusa-en-el-panorama-de-amenazashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La botnet Mirai se ha actualizado para descargar y propagar una nueva botnet llamada Medusa, afectando dispositivos de red vulnerables que ejecuten Linux para de este modo comprometerlos y llevar a cabo acciones maliciosas como ataques DDoS y descarga de malware.
Nuevo troyano bancario denominado HookBot dirigido a dispositivos móvilesLa mayoría de la población posee un dispositivo móvil, un hecho que también beneficia a los ciberdelincuentes y a los actores de amenazas dirigido a sistemas móviles, cuyo principal objetivo es capturar datos confidenciales. Un ejemplo de esto es el nuevo troyano bancario HookBot, diseñado para obtener acceso a información privada como contraseñas bancarias, cuentas de correo electrónico, billeteras de criptomonedas, y sitios de redes sociales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-denominado-hookbot-dirigido-a-dispositivos-movileshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
La mayoría de la población posee un dispositivo móvil, un hecho que también beneficia a los ciberdelincuentes y a los actores de amenazas dirigido a sistemas móviles, cuyo principal objetivo es capturar datos confidenciales. Un ejemplo de esto es el nuevo troyano bancario HookBot, diseñado para obtener acceso a información privada como contraseñas bancarias, cuentas de correo electrónico, billeteras de criptomonedas, y sitios de redes sociales.
Nuevo troyano bancario para Android denominado PixPirateEl equipo de analistas del Csirt financiero realizó un observatorio de seguridad con el fin de compartir información de nuevas campañas y amenazas que puedan afectar al sector financiero o la infraestructura de los asociados, donde se identificó un nuevo troyano bancario para dispositivos móviles conocido como PixPirate que impacto en Brasil y está dirigido a países de Latinoamérica (LATAM).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-troyano-bancario-para-android-denominado-pixpiratehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt financiero realizó un observatorio de seguridad con el fin de compartir información de nuevas campañas y amenazas que puedan afectar al sector financiero o la infraestructura de los asociados, donde se identificó un nuevo troyano bancario para dispositivos móviles conocido como PixPirate que impacto en Brasil y está dirigido a países de Latinoamérica (LATAM).
Nueva campaña de BATLoader distribuye RAT y otros software maliciososEl equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas o campañas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva actividad relacionada con el loader (cargador) BatLoader y que está siendo utilizado por diversos actores de amenaza para distribuir diferentes RAT y otras familias de software malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-batloader-distribuye-rat-y-otros-software-maliciososhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas o campañas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva actividad relacionada con el loader (cargador) BatLoader y que está siendo utilizado por diversos actores de amenaza para distribuir diferentes RAT y otras familias de software malicioso.
Nuevo ransomware denominado NevadaRecientemente se ha evidenciado la comercialización de una nueva familia de malware a través de un foro clandestino de la Deep web conocida como Nevada, un ransomware que ofrece funcionalidades bastantes interesantes para los afiliados a este servicio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-nevadahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha evidenciado la comercialización de una nueva familia de malware a través de un foro clandestino de la Deep web conocida como Nevada, un ransomware que ofrece funcionalidades bastantes interesantes para los afiliados a este servicio.
Qakbot renueva sus estrategias de infecciónQakbot, es uno de los troyanos bancarios más reconocidos en el ámbito de ciberseguridad, esto por ser una familia de malware que evoluciona constantemente a llegar a tal punto de convertirse en una botnet; así mismo, se evidencia la constante implementación de nuevas actualizaciones y estrategias en sus campañas maliciosas, con el propósito de afectar sistemas informáticos objetivos y, por ende, organizaciones de alto nivel.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/qakbot-renueva-sus-estrategias-de-infeccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Qakbot, es uno de los troyanos bancarios más reconocidos en el ámbito de ciberseguridad, esto por ser una familia de malware que evoluciona constantemente a llegar a tal punto de convertirse en una botnet; así mismo, se evidencia la constante implementación de nuevas actualizaciones y estrategias en sus campañas maliciosas, con el propósito de afectar sistemas informáticos objetivos y, por ende, organizaciones de alto nivel.
Actores de amenaza implementan inyecciones web en sus troyanos bancariosUsualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-implementan-inyecciones-web-en-sus-troyanos-bancarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Usualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.
Systembc utilizado por actores de amenaza que distribuyen ransomwareSystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/systembc-utilizado-por-actores-de-amenaza-que-distribuyen-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SystemBC es un troyano de acceso remoto (RAT), el cual es utilizado por diversos grupos de ciberdelincuentes como una herramienta para acceder remotamente al equipo comprometido, permitiendo así, realizar múltiples actividades maliciosas como recopilar información del sistema, capturar data sensible o implementar cargas útiles de ransomware.
Se identifica nueva amenaza denominada Titan StealerEl equipo de analistas del Csirt Financiero realizó un observatorio de ciberseguridad, con el objetivo de reconocer y compartir nuevas campañas o amenazas que puedan afectar la infraestructura de los asociados, en la que se identificó un nuevo software malicioso de tipo stealer (ladrón de información) denominado Titan stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/se-identifica-nueva-amenaza-denominada-titan-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un observatorio de ciberseguridad, con el objetivo de reconocer y compartir nuevas campañas o amenazas que puedan afectar la infraestructura de los asociados, en la que se identificó un nuevo software malicioso de tipo stealer (ladrón de información) denominado Titan stealer.
Nuevos artefactos del troyano Formbook en el mes de eneroAunque el troyano conocido como Formbook ha sido reportado en ocasiones anteriores es importante resaltar las nuevas actividades de esta amenaza, ya que ha sido uno de los troyanos más utilizados por grupos de ciberdelincuentes con el objetivo de afectar la confidencialidad de su información, gracias a estas nuevas actividades se identifican nuevos indicadores de compromiso relacionados con el troyano Formbook.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-artefactos-del-troyano-formbook-en-el-mes-de-enerohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Aunque el troyano conocido como Formbook ha sido reportado en ocasiones anteriores es importante resaltar las nuevas actividades de esta amenaza, ya que ha sido uno de los troyanos más utilizados por grupos de ciberdelincuentes con el objetivo de afectar la confidencialidad de su información, gracias a estas nuevas actividades se identifican nuevos indicadores de compromiso relacionados con el troyano Formbook.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}