Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Campaña de Malspam distribuye nueva variante del troyano Ursnif/Gozi.Desde el CSIRT Financiero se detecta una nueva campaña de malspam, la cual distribuye un troyano bancario llamado Ursnif. Como en la mayoría de campañas, los ciberdelincuentes usan técnicas de engaño para lograr que los usuarios descarguen la carga útil del malware y así poder infectar al usuario víctima.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-distribuye-nueva-variante-del-troyano-ursnif-gozihttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se detecta una nueva campaña de malspam, la cual distribuye un troyano bancario llamado Ursnif. Como en la mayoría de campañas, los ciberdelincuentes usan técnicas de engaño para lograr que los usuarios descarguen la carga útil del malware y así poder infectar al usuario víctima.
Campaña de IZH19 Mirai evoluciona e implementa nuevos exploitsMediante el monitoreo realizado por el equipo del Csirt Financiero a través de diversas fuentes de información abiertas, se observó una nueva campaña de la nueva variante de la botnet Mirai, denominada "IZ1H9", que ha intensificado su actividad de manera agresiva.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-izh19-mirai-evoluciona-e-implementa-nuevos-exploitshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo del Csirt Financiero a través de diversas fuentes de información abiertas, se observó una nueva campaña de la nueva variante de la botnet Mirai, denominada "IZ1H9", que ha intensificado su actividad de manera agresiva.
Campaña de infección de WastedLocker ransomware en entidades de Estados UnidosEn el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque se ha evidenciado una campaña de infección a diferentes organizaciones estadounidenses, dentro de estas algunas entidades financieras. El objetivo de la campaña es instalar el ransomware WastedLocker; atribuido al grupo cibercriminal Evil Corp. Grupo al que se atribuyen otros códigos maliciosos como Dridex y el ransomware BitPaymer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-infeccion-de-wastedlocker-ransomware-en-entidades-de-estados-unidoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque se ha evidenciado una campaña de infección a diferentes organizaciones estadounidenses, dentro de estas algunas entidades financieras. El objetivo de la campaña es instalar el ransomware WastedLocker; atribuido al grupo cibercriminal Evil Corp. Grupo al que se atribuyen otros códigos maliciosos como Dridex y el ransomware BitPaymer.
Campaña de grupo Magecart vinculado a malware Carbanak y DridexSe ha identificado una campaña de phishing que emplea avisos de facturas falsas para distribuir el malware Dridex, esta campaña se atribuye al grupo 5 de Magecart, su método principal de propagación es mediante correo electrónico, la relación de atribución a este grupo se hace debido a la relación de indicadores de compromiso identificados en campañas de dridex y magecart5.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-grupo-magecart-vinculado-a-malware-carbanak-y-dridex-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de phishing que emplea avisos de facturas falsas para distribuir el malware Dridex, esta campaña se atribuye al grupo 5 de Magecart, su método principal de propagación es mediante correo electrónico, la relación de atribución a este grupo se hace debido a la relación de indicadores de compromiso identificados en campañas de dridex y magecart5.
Nuevos indicadores de compromiso analizados relacionados con Cobalt GroupPor medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-grupo-magecart-vinculado-a-malware-carbanak-y-dridexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.
Campaña de GONEPOSTAL permite a KTA007 operar de manera encubierta dentro de OutlookDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-gonepostal-permite-a-kta007-operar-de-manera-encubierta-dentro-de-outlookhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña de la amenaza GONEPOSTAL, atribuida al grupo ruso KTA007, también conocido como Fancy Bear o APT28.
Campaña de GOLD SALEM despliega Warlock Ransomware mediante explotación de vulnerabilidadesDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-gold-salem-despliega-warlock-ransomware-mediante-explotacion-de-vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del grupo GOLD SALEM, también conocido como Warlock Group, orientada al despliegue de su ransomware personalizado Warlock.
Campaña de fraude masivo genera eliminación de aplicaciones de la Google Play StoreEl equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-fraude-masivo-genera-eliminacion-de-aplicaciones-de-la-google-play-storehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero identificó una operación masiva de fraude publicitario que se denominó SlopAds, en la cual los actores detrás de la campaña operaron una red de 224 aplicaciones y una extensa infraestructura de servidores C2 y dominios promocionales en más de 228 regiones.
Campaña de FIN7 para infección a equipos con USBEl equipo del Csirt Financiero ha identificado un nuevo método de distribución de malware utilizado por el grupo APT FIN7 que tiene como objetivo enviar por correo postal dispositivos USB infectados a empresas, utilizando ingeniería social con el fin de obtener acceso a los equipos corporativos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-fin7-para-infeccion-a-equipos-con-usbhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado un nuevo método de distribución de malware utilizado por el grupo APT FIN7 que tiene como objetivo enviar por correo postal dispositivos USB infectados a empresas, utilizando ingeniería social con el fin de obtener acceso a los equipos corporativos.
Campaña de Dridex a través de QuickbooksEn el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero, se ha identificado una campaña que distribuye a Dridex a través de Quickbooks, el cual, en campañas previas ha sido objetivo predilecto de los ciberdelincuentes para expandir al troyano bancario.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-dridex-a-traves-de-quickbookshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas, por parte del Csirt Financiero, se ha identificado una campaña que distribuye a Dridex a través de Quickbooks, el cual, en campañas previas ha sido objetivo predilecto de los ciberdelincuentes para expandir al troyano bancario.
Campaña de distribución troyano MirrorBlastEn el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el equipo del Csirt financiero ha identificado una campaña de distribución del troyano MirrorBlast atribuida al APT TA505 dirigida a organizaciones financieras en países como Estados Unidos, Canadá, Hong Kong y Europa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-troyano-mirrorblasthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el equipo del Csirt financiero ha identificado una campaña de distribución del troyano MirrorBlast atribuida al APT TA505 dirigida a organizaciones financieras en países como Estados Unidos, Canadá, Hong Kong y Europa.
Campaña de distribución del troyano de acceso remoto XWorm mediante correos de facturación falsaDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm que utiliza correos electrónicos de facturación para inducir al usuario a abrir un archivo Visual Basic Script adjunto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-del-troyano-de-acceso-remoto-xworm-mediante-correos-de-facturacion-falsahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del troyano de acceso remoto XWorm que utiliza correos electrónicos de facturación para inducir al usuario a abrir un archivo Visual Basic Script adjunto.
Campaña de distribución del cargador BuerEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado una campaña de malspam para la distribución del cargador (loader) Buer, suplantando a grandes empresas reconocidas mundialmente. Buer un cargador de malware (generalmente de troyanos bancarios) que cuenta con características similares a las vistas en Emotet y que ha estado en constante evolución.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-del-cargador-buerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado una campaña de malspam para la distribución del cargador (loader) Buer, suplantando a grandes empresas reconocidas mundialmente. Buer un cargador de malware (generalmente de troyanos bancarios) que cuenta con características similares a las vistas en Emotet y que ha estado en constante evolución.
Campaña de distribución de variante UrsnifEn el monitoreo a fuentes abiertas de información desarrollado por el equipo del Csirt financiero se ha identificado una nueva campaña de distribución del troyano bancario Ursnif localizada en Italia, para ello ha realizado una evolución a las herramientas empleadas en sus afectaciones.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-variante-ursnifhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información desarrollado por el equipo del Csirt financiero se ha identificado una nueva campaña de distribución del troyano bancario Ursnif localizada en Italia, para ello ha realizado una evolución a las herramientas empleadas en sus afectaciones.
Campaña de distribución de un nuevo Stealer denominado EddieStealerDurante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó una nueva campaña de distribución de EddieStealer, una herramienta maliciosa desarrollada en Rust y clasificada como stealer; esta amenaza se propaga mediante sitios web comprometidos que presentan falsos sistemas de verificación CAPTCHA, diseñados para engañar a las víctimas y ejecutar comandos maliciosos en sus equipos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-un-nuevo-stealer-denominado-eddiestealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se identificó una nueva campaña de distribución de EddieStealer, una herramienta maliciosa desarrollada en Rust y clasificada como stealer; esta amenaza se propaga mediante sitios web comprometidos que presentan falsos sistemas de verificación CAPTCHA, diseñados para engañar a las víctimas y ejecutar comandos maliciosos en sus equipos.
Campaña de distribución de troyano brasileño GrandoreiroEn el monitoreo continúo realizado a fuentes de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo del Csirt Financiero ha identificado una nueva campaña de distribución del troyano bancario Grandoreiro, la cual tiene como objetivo afectar a usuarios en América Latina y Europa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-troyano-brasileno-grandoreirohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continúo realizado a fuentes de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo del Csirt Financiero ha identificado una nueva campaña de distribución del troyano bancario Grandoreiro, la cual tiene como objetivo afectar a usuarios en América Latina y Europa.
Campaña de distribución de stealer suplanta a Sora AI en GitHubDurante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa de distribución de malware tipo stealer, la cual aprovecha la creciente popularidad de Sora AI.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-stealer-suplanta-a-sora-ai-en-githubhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante las labores de monitoreo continúo realizadas por el equipo de analistas del Csirt Financiero, se identificó una campaña activa de distribución de malware tipo stealer, la cual aprovecha la creciente popularidad de Sora AI.
Campaña de distribución de RedLine Stealer mediante falsa actualización de Windows 11En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios o al sector, el Csirt Financiero ha identificado una campaña de distribución de RedLine Stealer, la cual está dirigida a infectar equipos con sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-redline-stealer-mediante-falsa-actualizacion-de-windows-11http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios o al sector, el Csirt Financiero ha identificado una campaña de distribución de RedLine Stealer, la cual está dirigida a infectar equipos con sistemas operativos Microsoft Windows.
Campaña de distribución de RAT empleando plataformas en la nubeEn el monitoreo a fuentes abiertas de información y en la búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo del Csirt Financiero ha identificado una campaña de distribución de troyanos de acceso remoto (RAT) que emplean el uso de plataformas en la nube como son AWS (Amazon Web Services) y Microsoft Azure.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-rat-empleando-plataformas-en-la-nubehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información y en la búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo del Csirt Financiero ha identificado una campaña de distribución de troyanos de acceso remoto (RAT) que emplean el uso de plataformas en la nube como son AWS (Amazon Web Services) y Microsoft Azure.
Campaña de distribución de RAT dirigida a organizaciones latinoamericanasEn el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de distribución de troyanos de acceso remoto (RAT) como AsyncRAT y njRAT a través de correos electrónicos tipo malspam dirigida especialmente a organizaciones del sector hotelero en diferentes países latinoamericanos como Brasil, Argentina, Colombia y Costa Rica entre otros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-distribucion-de-rat-dirigida-a-organizaciones-latinoamericanashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una campaña de distribución de troyanos de acceso remoto (RAT) como AsyncRAT y njRAT a través de correos electrónicos tipo malspam dirigida especialmente a organizaciones del sector hotelero en diferentes países latinoamericanos como Brasil, Argentina, Colombia y Costa Rica entre otros.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}