Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva actividad del Grupo FIN7 utilizando JavascriptEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero observó una nueva actividad del grupo FIN7 también conocido como Carbanak, para esta ocasión se ha identificado un nuevo código malicioso desarrollado en JavaScript asociado a este grupo, el cual en varias ocasiones ha dirigido sus ataques cibernéticos a entidades del sector financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-fin7-utilizando-javascripthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero observó una nueva actividad del grupo FIN7 también conocido como Carbanak, para esta ocasión se ha identificado un nuevo código malicioso desarrollado en JavaScript asociado a este grupo, el cual en varias ocasiones ha dirigido sus ataques cibernéticos a entidades del sector financiero.
Indicadores de compromiso relacionados al ransomware EgregorEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero logró evidenciar indicadores de compromiso relacionados al ransomware Egregor.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-relacionados-al-ransomware-egregorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero logró evidenciar indicadores de compromiso relacionados al ransomware Egregor.
Ataque dirigido a cadena de suministro afectó 35 empresasEn el monitoreo realizado por el Csirt Financiero, se ha identificado la ejecución de una POC (Prueba de Concepto) de un novedoso ataque dirigido a la cadena de suministro, esta afectación permitió realizar la intrusión de los sistemas internos de varias empresas a nivel mundial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-dirigido-a-cadena-de-suministro-afecto-35-empresashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la ejecución de una POC (Prueba de Concepto) de un novedoso ataque dirigido a la cadena de suministro, esta afectación permitió realizar la intrusión de los sistemas internos de varias empresas a nivel mundial.
NUEVA CAMPAÑA EJERCIDA POR EL TROYANO LAMPIONEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero pudo evidenciar una nueva campaña de distribución del troyano Lampion. Al momento de la consulta, se puedo observar que la amenaza se dirige hacia Portugal, usando como señuelo temáticas de la pandemia y del proceso actual de vacunación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-ejercida-por-el-troyano-lampionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero pudo evidenciar una nueva campaña de distribución del troyano Lampion. Al momento de la consulta, se puedo observar que la amenaza se dirige hacia Portugal, usando como señuelo temáticas de la pandemia y del proceso actual de vacunación.
APT Evilnum regresa con nuevas campañas de PyvilEn el monitoreo a fuente abiertas de información el equipo de Csirt financiero identificó nuevas campañas del grupo APT Evilnum, para distribuir el troyano Pyvil RAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apt-evilnum-regresa-con-nuevas-campanas-de-pyvilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuente abiertas de información el equipo de Csirt financiero identificó nuevas campañas del grupo APT Evilnum, para distribuir el troyano Pyvil RAT.
LodaRat apunta a dispositivos Android y lanza una nueva versión para WindowsLos ciberdelincuentes detrás del troyano conocido como LodaRAT han desplegado campaña con dos enfoques, el primero es la afectación hacía Windows con la nueva versión del malware 1.1.8 y el segundo es la distribución de la aplicación Loda4Android para ampliar su infección hacía Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/lodarat-apunta-a-dispositivos-android-y-lanza-una-nueva-version-para-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los ciberdelincuentes detrás del troyano conocido como LodaRAT han desplegado campaña con dos enfoques, el primero es la afectación hacía Windows con la nueva versión del malware 1.1.8 y el segundo es la distribución de la aplicación Loda4Android para ampliar su infección hacía Android.
Vulnerabilidad encontrada en vSphere Replication de VMwareEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una vulnerabilidad de inyección de comandos sobre la herramienta vSphere Replication de VMware identificada con el CVE-2021-21976 y la cual cuenta con una calificación de 7.2 de severidad en la escala CVSSv3.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-encontrada-en-vsphere-replication-de-vmwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una vulnerabilidad de inyección de comandos sobre la herramienta vSphere Replication de VMware identificada con el CVE-2021-21976 y la cual cuenta con una calificación de 7.2 de severidad en la escala CVSSv3.
Vulnerabilidad de día cero en Windows 10En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una vulnerabilidad de escalamiento de privilegios identificada con el CVE-2021-1732 en Microsoft Win32k. La vulnerabilidad cuenta con una calificación 7.8 de severidad en la escala CVSS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-de-dia-cero-en-windows-10http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una vulnerabilidad de escalamiento de privilegios identificada con el CVE-2021-1732 en Microsoft Win32k. La vulnerabilidad cuenta con una calificación 7.8 de severidad en la escala CVSS.
Presunta fuga de información confidencial en el sector bancarioEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado en una fuente abierta de información una publicación, en donde un ciberdelincuente asegura tener en su poder información sensible y datos confidenciales de las entidades Banco Pichincha Ecuador, Visa Titanium, Diners Club y Discover. La recopilación de la información presuntamente exfiltrada y accedida se asocia con: • Datos PII de clientes y empleados. • Acceso a los sistemas de intranet. • Tarjetas de crédito.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/presunta-fuga-de-informacion-confidencial-en-el-sector-bancariohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado en una fuente abierta de información una publicación, en donde un ciberdelincuente asegura tener en su poder información sensible y datos confidenciales de las entidades Banco Pichincha Ecuador, Visa Titanium, Diners Club y Discover. La recopilación de la información presuntamente exfiltrada y accedida se asocia con: • Datos PII de clientes y empleados. • Acceso a los sistemas de intranet. • Tarjetas de crédito.
Troyano bancario Osiris realiza nuevas campañasEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña del troyano bancario Osiris dirigida en principio a compañías ubicadas en Alemania. El vector de infección se realiza mediante mensajes de correo electrónico tipo malspam que contiene un vínculo para acceder a un sitio web comprometido. Al acceder a la página, se inicia la correspondiente descarga de un archivo .zip malicioso donde se almacena un archivo JavaScript.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/troyano-bancario-osiris-realiza-nuevas-campanashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña del troyano bancario Osiris dirigida en principio a compañías ubicadas en Alemania. El vector de infección se realiza mediante mensajes de correo electrónico tipo malspam que contiene un vínculo para acceder a un sitio web comprometido. Al acceder a la página, se inicia la correspondiente descarga de un archivo .zip malicioso donde se almacena un archivo JavaScript.
Ataque de phishing alojado en Google Firebase.En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado campañas para distribuir a través de correo electrónico técnicas de phishing hacia usuarios de Microsoft Office, con el fin de exfiltrar información confidencial. La temática para esta campaña consiste en el falso detalle de pago de transferencia electrónica de fondos con un asunto denominado "AVISO DE TRANSFERENCIA DE PAGO DE FACTURA" o "TRANSFER OF PAYMENT NOTICE FO R INVOICE".http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ataque-de-phishing-alojado-en-google-firebasehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado campañas para distribuir a través de correo electrónico técnicas de phishing hacia usuarios de Microsoft Office, con el fin de exfiltrar información confidencial. La temática para esta campaña consiste en el falso detalle de pago de transferencia electrónica de fondos con un asunto denominado "AVISO DE TRANSFERENCIA DE PAGO DE FACTURA" o "TRANSFER OF PAYMENT NOTICE FO R INVOICE".
Nuevos indicadores de compromiso asociados a Agent TeslaEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/copy_of_nuevos-indicadores-de-compromiso-asociados-a-agent-tesla-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.
Ransomware Zeoticus se ejecuta offlineEn el monitoreo realizado por el equipo de Csirt Financiero, se encontró un ransomware denominado Zeoticus. Este ransomware visto por primera vez a inicio del año 2020, se caracterizada por brindar sus servicios como RaaS, Ransomware as a Service personalizado para el comprador.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ransomware-zeoticus-se-ejecuta-offlinehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero, se encontró un ransomware denominado Zeoticus. Este ransomware visto por primera vez a inicio del año 2020, se caracterizada por brindar sus servicios como RaaS, Ransomware as a Service personalizado para el comprador.
Vulnerabilidades en Mozilla Firefox y Firefox ESREn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una vulnerabilidad en los productos Mozilla Firefox y Firefox ESR. Dicha amenaza recibe una calificación de 7.7 con criticidad alta y en principio afecta equipos de cómputo con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidades-en-mozilla-firefox-y-firefox-esrhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una vulnerabilidad en los productos Mozilla Firefox y Firefox ESR. Dicha amenaza recibe una calificación de 7.7 con criticidad alta y en principio afecta equipos de cómputo con sistema operativo Windows.
Malware Joker embebido en aplicación de lectura de archivos pdfEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado al troyano Joker embebido en la aplicación denominada Easy PDF Reader (hxxps://play[.]google.com/store/apps/details?id=com.pdfreader[.]for[.]easy). El malware es responsable de usar las aplicaciones alojadas en Google como canal para propagarse, afectando dispositivos móviles con sistema operativo Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-joker-embebido-en-aplicacion-de-lectura-de-archivos-pdfhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado al troyano Joker embebido en la aplicación denominada Easy PDF Reader (hxxps://play[.]google.com/store/apps/details?id=com.pdfreader[.]for[.]easy). El malware es responsable de usar las aplicaciones alojadas en Google como canal para propagarse, afectando dispositivos móviles con sistema operativo Android.
Detección de script que exfiltra información de skimmersEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que varios sitios web de e-commerce que utilizan Magento versión 1.x, han sido comprometidos por ciberdelincuentes que implantaron skimmer web, códigos Javascript maliciosos que se inyectan en sitios de comercio electrónico para exfiltrar información de las tarjetas bancarias de los usuarios en la realización de una compra.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/deteccion-de-script-que-exfiltra-informacion-de-skimmershttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que varios sitios web de e-commerce que utilizan Magento versión 1.x, han sido comprometidos por ciberdelincuentes que implantaron skimmer web, códigos Javascript maliciosos que se inyectan en sitios de comercio electrónico para exfiltrar información de las tarjetas bancarias de los usuarios en la realización de una compra.
Hojas de cálculo Excel implementadas en campañas de malwareEn el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hojas-de-calculo-excel-implementadas-en-campanas-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.
Backdoor Kobalos dirigido a sistemas HPCEn el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware llamado Kobalos, su nombre radica en su tamaño de tan solo 24 KB para muestras de 32/64 bits, además de ser sigiloso mediante técnicas anti forenses y de ofuscación compleja que dificultan su análisis. Pese a que no se obtuvieron datos puntuales acerca del vector de infección, se evidencia que su explotación y propagación se lleva a cabo gracias a la ausencia de actualizaciones de parches de seguridad en los sistemas operativos y aplicativos utilizados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/backdoor-kobalos-dirigido-a-sistemas-hpchttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware llamado Kobalos, su nombre radica en su tamaño de tan solo 24 KB para muestras de 32/64 bits, además de ser sigiloso mediante técnicas anti forenses y de ofuscación compleja que dificultan su análisis. Pese a que no se obtuvieron datos puntuales acerca del vector de infección, se evidencia que su explotación y propagación se lleva a cabo gracias a la ausencia de actualizaciones de parches de seguridad en los sistemas operativos y aplicativos utilizados.
Vulnerabilidad Zero Day en productos de SonicWallEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una vulnerabilidad zero day catalogada como crítica y está presente en los dispositivos de red SonicWall SMA series 100.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/vulnerabilidad-zero-day-en-productos-de-sonicwallhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una vulnerabilidad zero day catalogada como crítica y está presente en los dispositivos de red SonicWall SMA series 100.
Trickbot reactiva su actividad con un nuevo módulo denominado MASRVEn el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/trickbot-reactiva-su-actividad-con-un-nuevo-modulo-denominado-masrvhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}