Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Jasperloader malware bancarioSe ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/jasperloader-malware-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.
JasperLoaderTroyano que se distribuía a través de campañas de spam malicioso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/jasperloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet MakerPor medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/jackpotting-tecnica-que-utilizan-los-ciberdelincuentes-para-instalar-malware-cutlet-makerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.
IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos LinuxRecientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/iz1h9-la-activa-y-peligrosa-variante-mirai-que-amenaza-la-seguridad-de-dispositivos-linuxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.
IronNetInjector nueva herramienta asociada al grupo TurlaEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ironnetinjector-nueva-herramienta-asociada-al-grupo-turlahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero identifico una nueva herramienta desarrollada en IronPython que es usada para inyección de malware, asociada al grupo de amenazas Turla.
IOC relacionados al troyano Ursnif dirigido al robo de información bancariaDentro del amplio análisis y monitoreo desplegado por el equipo de analistas del CSIRT Financiero a fuentes abiertas en búsqueda de amenazas se encontraron nuevos indicadores de compromiso (IOC) de Ursnif, el cual es un troyano bancario desarrollado bajo Microsoft Visual C ++ también es conocido con otros nombres como IAP, ISFB, Gozi, Rovnix y Papras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-relacionados-al-troyano-ursnif-dirigido-al-robo-de-informacion-bancariahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Dentro del amplio análisis y monitoreo desplegado por el equipo de analistas del CSIRT Financiero a fuentes abiertas en búsqueda de amenazas se encontraron nuevos indicadores de compromiso (IOC) de Ursnif, el cual es un troyano bancario desarrollado bajo Microsoft Visual C ++ también es conocido con otros nombres como IAP, ISFB, Gozi, Rovnix y Papras.
IOC Relacionados al descargador GuLoaderEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IOC) asociados a GuLoader, el cual es un descargador de malware entre los cuales se ha evidenciado anteriormente la descarga de familias como FormBook, Nanocore, LokiBot, Remcos y Azorult.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-relacionados-al-descargador-guloaderhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IOC) asociados a GuLoader, el cual es un descargador de malware entre los cuales se ha evidenciado anteriormente la descarga de familias como FormBook, Nanocore, LokiBot, Remcos y Azorult.
IOC recientes del troyano IcedIDDurante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-recientes-del-troyano-icedidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.
IOC detectados en nueva campaña de AzorultEn el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado nuevos indicadores de compromiso relacinados a Azorult,un malware visto por primera vez en 2016 e identificado como troyano y spyware con capacidades para exfiltrar el historial de navegación, cookies ID / contraseñas, información de criptomonedas, entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-detectados-en-nueva-campana-de-azorulthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado nuevos indicadores de compromiso relacinados a Azorult,un malware visto por primera vez en 2016 e identificado como troyano y spyware con capacidades para exfiltrar el historial de navegación, cookies ID / contraseñas, información de criptomonedas, entre otros.
IOC de Phishing dirigido a usuarios del sector financiero de ColombiaDesde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-de-phishing-dirigido-a-usuarios-del-sector-financiero-de-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.
IOC asociados al troyano bancario CerberusEn el monitoreo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a Cerberus, un troyano bancario detectado en el año 2019 y que está diseñado para comprometer dispositivos móviles con sistema operativo android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-asociados-al-troyano-bancario-cerberushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a Cerberus, un troyano bancario detectado en el año 2019 y que está diseñado para comprometer dispositivos móviles con sistema operativo android.
IOC asociados al troyano AzorultEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IOC) asociados a AZORult, un troyano diseñado para recopilar y exfiltrar datos confidenciales de las víctimas objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ioc-asociados-al-troyano-azorulthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IOC) asociados a AZORult, un troyano diseñado para recopilar y exfiltrar datos confidenciales de las víctimas objetivo.
Inyecciones Web, principal amenaza cibernética para el sector financieroEn el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/inyecciones-web-principal-amenaza-cibernetica-para-el-sector-financierohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.
Intrusión del ransomware BlackCat a través del malware NitrogenSe identificó el uso del malware Nitrogen para desplegar el ransomware BlackCat. Los ciberdelincuentes implementaron balizas, realizaron descubrimiento de red y utilizaron herramientas para obtener credenciales y distribuir el ransomware en el dominio.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/intrusion-del-ransomware-blackcat-a-traves-del-malware-nitrogenhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identificó el uso del malware Nitrogen para desplegar el ransomware BlackCat. Los ciberdelincuentes implementaron balizas, realizaron descubrimiento de red y utilizaron herramientas para obtener credenciales y distribuir el ransomware en el dominio.
Instalador malicioso de aplicación ZOOMEl equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/instalador-malicioso-de-aplicacion-zoomhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado que ciberdelincuentes están utilizando el instalador original de la aplicación de videoconferencias ZOOM para introducir código malicioso que descarga una serie de tareas maliciosas para realizar minería de criptomonedas en el equipo infectado.
Infostealer Kpot la nueva herramienta del grupo RevilEl equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/infostealer-kpot-la-nueva-herramienta-del-grupo-revilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha evidenciado que el grupo de ciberdelincuentes denominados REvil quienes son los autores detrás del ransomware Sodinokibi, han adquirido la última versión del InfoStealer KPOT.
Información publicada asociada a usuarios de cuentas American ExpressEn el monitoreo realizado por el Csirt Financiero a diversas fuentes, se ha evidenciado la publicación gratuita de 10,000 datos de clientes pertenecientes a American Express en México, donde también se afirma tener datos de otras entidades financieras mexicanas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/informacion-publicada-asociada-a-usuarios-de-cuentas-american-expresshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a diversas fuentes, se ha evidenciado la publicación gratuita de 10,000 datos de clientes pertenecientes a American Express en México, donde también se afirma tener datos de otras entidades financieras mexicanas.
Infección de Akira ransomware a través de cámaras para evadir detecciónEl equipo de analistas del Csirt Financiero ha identificado una nueva modalidad de ataque relacionada con Akira ransomware, el cual se distribuye a través de cámaras web con el objetivo de evadir detección. Estos ataques han sido atribuidos a un grupo APT que lleva el mismo nombre del ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/infeccion-de-akira-ransomware-a-traves-de-camaras-para-evadir-deteccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha identificado una nueva modalidad de ataque relacionada con Akira ransomware, el cual se distribuye a través de cámaras web con el objetivo de evadir detección. Estos ataques han sido atribuidos a un grupo APT que lleva el mismo nombre del ransomware.
Indicadores de compromiso identificados que afectan al modelo de ATM: WINCOR PC1500XE.Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-identificados-que-afecta-al-modelo-de-atm-wincor-pc1500xehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.
Indicadores de compromisos asociados a QakBot identificados en el mes de mayoEn el monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario QakBot, este tiene como objetivo capturar credenciales bancarias, como inicios de sesión, contraseñas, espiar las actividades de las organizaciones, propagarse a través de la red e instalar familias de ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromisos-asociados-a-qakbot-identificados-en-el-mes-de-mayohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario QakBot, este tiene como objetivo capturar credenciales bancarias, como inicios de sesión, contraseñas, espiar las actividades de las organizaciones, propagarse a través de la red e instalar familias de ransomware.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}