Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña masiva de phishing orquestada mediante el Phiskit SwitchsymbRecientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-de-phishing-orquestada-mediante-el-phiskit-switchsymbhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se detectó una campaña de phishing que utiliza un phishkit personalizado llamado "SwitchSymb" que ha estado activa desde diciembre de 2022, dirigida a usuarios corporativos en todo el mundo. Los atacantes crearon sitios web de phishing que se adaptan a los dominios de los destinatarios y algunos sitios de phishing se almacenaron en IPFS( InterPlanetary File System, por sus siglas en inglés). Importancia:
Campaña masiva de ataques a páginas web de WordPress mediante el backdoor Balad InjectorMás un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-masiva-de-ataques-a-paginas-web-de-wordpress-mediante-el-backdoor-balad-injectorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Más un millón de sitios web de WordPress han sido comprometidos durante una campaña que comenzó en 2017 y que utiliza todas las vulnerabilidades de temas y complementos conocidas y recientemente descubiertas para inyectar una puerta trasera que afecta sistemas Linux llamada Balad Injector; esta campaña tiene como objetivo principal redirigir a páginas falsas de soporte técnico, victorias fraudulentas de lotería y realizar estafas de notificación.
Campaña maliciosa utiliza herramientas RMM para distribuir el troyano PatoRATDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha herramientas lícitas de gestión remota (RMM), específicamente LogMeIn Resolve (GoTo Resolve) y PDQ Connect, como medio para propagar un troyano de acceso remoto denominado PatoRAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-utiliza-herramientas-rmm-para-distribuir-el-troyano-patorathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa que aprovecha herramientas lícitas de gestión remota (RMM), específicamente LogMeIn Resolve (GoTo Resolve) y PDQ Connect, como medio para propagar un troyano de acceso remoto denominado PatoRAT.
Campaña maliciosa para distribuir NjRAT a través de phishing impacta a entidades en ColombiaA través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña de ciber espionaje que impacta a entidades en Colombia con la finalidad de distribuir NjRAT, troyano de acceso remoto que logra persistir en los equipos sin ser detectado.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-para-distribuir-njrat-a-traves-de-phishing-impacta-a-entidades-en-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña de ciber espionaje que impacta a entidades en Colombia con la finalidad de distribuir NjRAT, troyano de acceso remoto que logra persistir en los equipos sin ser detectado.
Campaña maliciosa distribuye Wiki ransomwareWiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-wiki-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Wiki es un software malicioso que es identificado como una variante de otro ransomware identificado como Crysis, diseñado con las capacidades de cifrar archivos y así mismo mantenerlos bloqueados gracias a su método de cifrado utilizado, lo cual afecta de forma directa a la disponibilidad de la información y servicios de las organizaciones comprometidas por esta amenaza, además, en el transcurso de su proceso de cifrado, a cada archivo le cambia el nombre agregándole un número de identificación único, dirección de correo electrónico de los actores de amenaza y la extensión .wiki.
Campaña maliciosa distribuye SteelFoxEl equipo del Csirt Financiero identificó una campaña que distribuye el nuevo stealer denominado SteelFox, el cual es capaz de exfiltrar datos sensibles, como información de tarjetas de crédito y detalles sobre el equipo comprometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-steelfoxhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero identificó una campaña que distribuye el nuevo stealer denominado SteelFox, el cual es capaz de exfiltrar datos sensibles, como información de tarjetas de crédito y detalles sobre el equipo comprometido.
Campaña maliciosa distribuye BankBot.Remo mediante aplicaciones fraudulentasDurante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña activa desde agosto de 2024 orientada a la distribución de troyanos bancarios en dispositivos Android en Indonesia y Vietnam, afectando principalmente a usuarios que instalan aplicaciones fraudulentas que imitan plataformas oficiales de identidad digital y pago.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-distribuye-bankbot-remo-mediante-aplicaciones-fraudulentashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo, el equipo de analistas del Csirt Financiero observó una campaña activa desde agosto de 2024 orientada a la distribución de troyanos bancarios en dispositivos Android en Indonesia y Vietnam, afectando principalmente a usuarios que instalan aplicaciones fraudulentas que imitan plataformas oficiales de identidad digital y pago.
Campaña maliciosa denominada Magnat distribuye tres tipos de familia de malwareEn el monitoreo realizado a fuentes abiertas de información para la identificación de amenazas potenciales contra el sector, el equipo de analistas del Csirt Financiero ha observado una campaña maliciosa denominada Magnat, en la que ciberdelincuentes emplean tres diferentes familias de malware para llevar a cabo acciones maliciosas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-denominada-magnat-distribuye-tres-tipos-de-familia-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información para la identificación de amenazas potenciales contra el sector, el equipo de analistas del Csirt Financiero ha observado una campaña maliciosa denominada Magnat, en la que ciberdelincuentes emplean tres diferentes familias de malware para llevar a cabo acciones maliciosas.
Campaña maliciosa asociada al stealer Atomic dirigida a usuarios de MacAtomic es una amenaza cibernética que fue anunciada en el presente año, también conocida como AMOS, un stealer dirigido a entornos Windows, Linux y Mac, que tiene como finalidad recopilar y exfiltrar información sensible alojada en las infraestructuras comprometidas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-maliciosa-asociada-al-stealer-atomic-dirigida-a-usuarios-de-machttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Atomic es una amenaza cibernética que fue anunciada en el presente año, también conocida como AMOS, un stealer dirigido a entornos Windows, Linux y Mac, que tiene como finalidad recopilar y exfiltrar información sensible alojada en las infraestructuras comprometidas.
Campaña emergente del malware Danabot incluye una nueva variante identificada como “669”El equipo de analistas del Csirt Financiero identificó una nueva actividad del malware bancario Danabot “669”, el cual resurge tras la Operación Endgame con una infraestructura C2 reconstruida y capacidades reforzadas para la exfiltración de credenciales, datos y sustracción de criptomonedas, confirmando su alto nivel de resiliencia y peligro operativo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-emergente-del-malware-danabot-incluye-una-nueva-variante-identificada-como-201c669201dhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una nueva actividad del malware bancario Danabot “669”, el cual resurge tras la Operación Endgame con una infraestructura C2 reconstruida y capacidades reforzadas para la exfiltración de credenciales, datos y sustracción de criptomonedas, confirmando su alto nivel de resiliencia y peligro operativo.
Campaña del malspam que distribuye a WSH RATGracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-del-malspam-que-distribuye-a-wsh-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.
Campaña del APT BlindEagle en Colombia distribuye activamente el troyano de acceso remoto AsyncRATUna nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-del-apt-blindeagle-en-colombia-distribuye-activamente-el-troyano-de-acceso-remoto-asyncrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una nueva y peligrosa campaña de ciberataques ha sido detectada en Colombia, perpetrada por el conocido grupo de ciberespionaje APT BlindEagle. Esta organización ha desplegado una sofisticada cadena de operaciones que utiliza técnicas de phishing para distribuir de manera activa el troyano de acceso remoto conocido como AsyncRAT. Con el objetivo de infiltrarse en sistemas sensibles y capturar información confidencial, esta campaña representa una seria amenaza para empresas e individuos en el país.
Campaña de XWorm RAT distribuida mediante shellcode en archivos de OfficeDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente del troyano de acceso remoto XWorm, la cual emplea un proceso de infección en varias etapas que combina correos maliciosos y técnicas para evadir su detección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-xworm-rat-distribuida-mediante-shellcode-en-archivos-de-officehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña reciente del troyano de acceso remoto XWorm, la cual emplea un proceso de infección en varias etapas que combina correos maliciosos y técnicas para evadir su detección.
Campaña de Watering-hole dirigida a usuarios de iPhoneWatering hole es un ataque cibernético que aprovecha sitios web para implantar un programa capaz de buscar vulnerabilidades que se puedan explotar, en esta ocasión se implanto LightSpy para espiar dispositivos iOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-watering-hole-dirigida-a-usuarios-de-iphonehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Watering hole es un ataque cibernético que aprovecha sitios web para implantar un programa capaz de buscar vulnerabilidades que se puedan explotar, en esta ocasión se implanto LightSpy para espiar dispositivos iOS.
Campaña de suplantación dirigida a usuarios de Claro ColombiaEn el monitoreo realizado por el equipo de Csirt Financiero, se evidencia una nueva campaña de suplantación de identidad, donde falsos asesores de la empresa de telecomunicaciones toman contacto telefónico con usuarios desprevenidos, indicando que pertenecen a la empresa de telefonía Claro Colombia y que su servicio requiere de una falsa actualización, por lo que envían un mensaje SMS al usuario indicando que ingrese a la dirección URL para descargar y ejecutar un archivo .apk en el dispositivo móvil.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-dirigida-a-usuarios-de-claro-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero, se evidencia una nueva campaña de suplantación de identidad, donde falsos asesores de la empresa de telecomunicaciones toman contacto telefónico con usuarios desprevenidos, indicando que pertenecen a la empresa de telefonía Claro Colombia y que su servicio requiere de una falsa actualización, por lo que envían un mensaje SMS al usuario indicando que ingrese a la dirección URL para descargar y ejecutar un archivo .apk en el dispositivo móvil.
Campaña de suplantación de empresa Claro ColombiaEn el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencia una nueva campaña dirigida a usuarios de la empresa Claro Colombia. En esta oportunidad los ciberdelincuentes se comunican con los usuarios a través del abonado telefónico (Se puede visualizar en la notificación); en esta interacción, solicitan al incauto descargue una aplicación maliciosa a través de un enlace remitido mediante mensaje de texto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-de-empresa-claro-colombiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo que realiza el equipo de Csirt Financiero, se evidencia una nueva campaña dirigida a usuarios de la empresa Claro Colombia. En esta oportunidad los ciberdelincuentes se comunican con los usuarios a través del abonado telefónico (Se puede visualizar en la notificación); en esta interacción, solicitan al incauto descargue una aplicación maliciosa a través de un enlace remitido mediante mensaje de texto.
Campaña de suplantación a plataformas MicrosoftEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña empleando técnicas de phishing en la cual se han visto suplantadas plataformas de correos asociadas a Microsoft.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-a-plataformas-microsofthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña empleando técnicas de phishing en la cual se han visto suplantadas plataformas de correos asociadas a Microsoft.
Campaña de suplantación a Paypal para capturar credenciales de accesoEn el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-suplantacion-a-paypal-para-capturar-credenciales-de-accesohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.
Campaña de spearphishing por parte del grupo Nobeliumhttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-spearphishing-por-parte-del-grupo-nobeliumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Campaña de spearphishing con cambios en la distribución de AsyncRATEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de distribución del troyano de acceso remoto denominado AsyncRAT con una modificación en su cadena de infección. Cabe recordar que este RAT (Troyano de Acceso Remoto) ha estado presente en constantes campañas en contra del sector financiero colombiano.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-spearphishing-con-cambios-en-la-distribucion-de-asyncrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de distribución del troyano de acceso remoto denominado AsyncRAT con una modificación en su cadena de infección. Cabe recordar que este RAT (Troyano de Acceso Remoto) ha estado presente en constantes campañas en contra del sector financiero colombiano.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}