Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actividad de Malware Casbaneiro que afecta a países de Latinoamérica.Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-de-malware-casbaneiro-que-afecta-a-paises-de-latinoamericahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.
Nueva actividad del grupo LazarusGracias a las fuentes de información del CSIRT Financiero, se ha logrado identificar una nueva actividad del grupo Lazarus. En esta ocasión el grupo en mención desarrolló un nuevo malware que está diseñado para afectar de manera directa los procesos de Microsoft Windows, como también realizar la captura de datos a partir de un componente oculto.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-lazarushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gracias a las fuentes de información del CSIRT Financiero, se ha logrado identificar una nueva actividad del grupo Lazarus. En esta ocasión el grupo en mención desarrolló un nuevo malware que está diseñado para afectar de manera directa los procesos de Microsoft Windows, como también realizar la captura de datos a partir de un componente oculto.
Nueva campaña de malspam busca distribuir TrickbotDesde el CSIRT Financiero se ha identificado una nueva campaña de envío masivo de correos electrónicos que distribuye código malicioso, en este caso, se está distribuyendo el troyano bancario llamado denominado Trickbot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-busca-distribuir-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado una nueva campaña de envío masivo de correos electrónicos que distribuye código malicioso, en este caso, se está distribuyendo el troyano bancario llamado denominado Trickbot.
Técnicas de infección de malware Nodersok sin uso de archivosSe ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/tecnicas-de-infeccion-de-malware-nodersok-sin-uso-de-archivoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.
Análisis de amenaza FrameworkPOSEn la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/analisis-de-amenaza-frameworkposhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En la búsqueda constante de nuevas amenazas, El CSIRT Financiero ha identificado un malware de nombre FrameworkPOS, (Point of Sale – Punto de venta). Este malware está orientado al robo de información de tarjetas de pago y se ha logrado encontrar que probablemente sea una variante del malware llamado GratefulPOS, MozartPOS. Investigadores atribuyen esta amenaza al grupo ciberdelincuente llamado FIN6.
Indicadores de amenaza relacionadas a botnet GeostSe ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-amenaza-relacionadas-a-botnet-geosthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.
Phishing dirigido a Latinoamérica asociado a malware BandloadEl CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/phishing-dirigido-a-latinoamerica-asociado-a-malware-bandloadhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.
Nuevos indicadores de compromiso asociados a TA505El equipo del CSIRT Financiero identificó una campaña del grupo TA505 en la que se presume, debido a la trayectoria del grupo ciberdelincuente, que van por información de los usuarios. El modo de operar de este grupo por lo general es enviando código malicioso por medio de correos no deseados y luego de esto, esperar a que una persona interactúe con el correo electrónico y así poder obtener los datos personales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del CSIRT Financiero identificó una campaña del grupo TA505 en la que se presume, debido a la trayectoria del grupo ciberdelincuente, que van por información de los usuarios. El modo de operar de este grupo por lo general es enviando código malicioso por medio de correos no deseados y luego de esto, esperar a que una persona interactúe con el correo electrónico y así poder obtener los datos personales.
Campaña de malspam que distribuye malware Qakbot.CSIRT Financiero a identificado una nueva actividad de malspam que distribuye el malware Qakbot. Este tiene como finalidad infectar a los usuarios de internet para extraer datos personales de sus dispositivos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-que-distribuye-malware-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
CSIRT Financiero a identificado una nueva actividad de malspam que distribuye el malware Qakbot. Este tiene como finalidad infectar a los usuarios de internet para extraer datos personales de sus dispositivos Windows.
Actividad reciente de las amenazas CobInt y Cobalt Strike relacionados a Cobalt GroupDesde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-de-las-amenazas-cobint-y-cobalt-strike-relacionados-a-cobalt-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.
Nuevos indicadores asociados a la APT FIN6Desde CSIRT Financiero se han identificado nuevas amenazas relacionadas con APT FIN6, este grupo de hackers, ha robado datos de tarjetas de pago y los ha vendido en mercados clandestinos para obtener ganancias, tradicionalmente ha hecho sus intrusiones dirigidas a entornos de puntos de venta; aunque sus técnicas de ataques se han visto constantemente modificadas con el fin de apuntar a sitios de comercio electrónico.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-asociados-a-la-apt-fin6http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde CSIRT Financiero se han identificado nuevas amenazas relacionadas con APT FIN6, este grupo de hackers, ha robado datos de tarjetas de pago y los ha vendido en mercados clandestinos para obtener ganancias, tradicionalmente ha hecho sus intrusiones dirigidas a entornos de puntos de venta; aunque sus técnicas de ataques se han visto constantemente modificadas con el fin de apuntar a sitios de comercio electrónico.
Nuevos indicadores de compromiso del troyano bancario EmotetDesde el CSIRT Financiero se ha evidenciado que durante los últimos meses Emotet ha aumentado su actividad delictiva a través de diferentes campañas de malspam, donde los ciberdelincuentes han aprovechado la taxonomía de este troyano para diseminarlo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-del-troyano-bancario-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha evidenciado que durante los últimos meses Emotet ha aumentado su actividad delictiva a través de diferentes campañas de malspam, donde los ciberdelincuentes han aprovechado la taxonomía de este troyano para diseminarlo.
SimJacker, Vulnerabilidad de las tarjetas SIMSimJacker es una vulnerabilidad que puede explotarse de forma remota afectando una amplia gama de tarjetas SIM (Subscriber Identity Module). Desde el CSIRT Financiero se ha identificado que la vulnerabilidad recientemente ha afectado alrededor de 29 países en donde las SIM siguen en uso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/simjacker-vulnerabilidad-de-las-tarjetas-simhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
SimJacker es una vulnerabilidad que puede explotarse de forma remota afectando una amplia gama de tarjetas SIM (Subscriber Identity Module). Desde el CSIRT Financiero se ha identificado que la vulnerabilidad recientemente ha afectado alrededor de 29 países en donde las SIM siguen en uso.
Nueva campaña de correo malicioso distribuyendo malware EmotetSe ha identificado actividad reciente de una nueva campaña de correos maliciosos distribuyendo el malware Emotet, la campaña busca aprovecharse de los usuarios poco precavidos al interactuar con correos de este tipo y de esta manera lograr que los usuarios descarguen el malware en mención y así lograr capturar datos personales y credenciales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-correo-malicioso-distribuyendo-malware-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado actividad reciente de una nueva campaña de correos maliciosos distribuyendo el malware Emotet, la campaña busca aprovecharse de los usuarios poco precavidos al interactuar con correos de este tipo y de esta manera lograr que los usuarios descarguen el malware en mención y así lograr capturar datos personales y credenciales.
Nueva campaña de malspam busca infectar a usuarios con RemcosRATDesde el CSIRT Financiero se han analizado nuevos indicadores de compromiso asociados a la herramienta de administración remota RemcosRAT. Esta herramienta permite a los ciberdelincuentes obtener acceso total a las máquinas de los usuarios una vez han sido infectados por medio de documentos maliciosos, estos documentos son distribuidos por medio de campañas de malspam, donde una vez es ejecutado el archivo malicioso sobre las máquinas de los usuarios, descargan una variante de RemcosRAT que podría ser utilizada para la extracción de información del usuario o incluso credenciales de acceso.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-malspam-busca-infectar-a-usuarios-con-remcosrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han analizado nuevos indicadores de compromiso asociados a la herramienta de administración remota RemcosRAT. Esta herramienta permite a los ciberdelincuentes obtener acceso total a las máquinas de los usuarios una vez han sido infectados por medio de documentos maliciosos, estos documentos son distribuidos por medio de campañas de malspam, donde una vez es ejecutado el archivo malicioso sobre las máquinas de los usuarios, descargan una variante de RemcosRAT que podría ser utilizada para la extracción de información del usuario o incluso credenciales de acceso.
Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet MakerPor medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/jackpotting-tecnica-que-utilizan-los-ciberdelincuentes-para-instalar-malware-cutlet-makerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.
Nueva campaña del grupo TA505 busca diseminar el descargador Get2 en conjunto al RAT SDBbot.Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-del-grupo-ta505-busca-diseminar-el-descargador-get2-en-conjunto-al-rat-sdbbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.
Nuevos indicadores de compromiso asociados a Cobalt GroupDesde las fuentes de información del CSIRT Financiero se han identificado nuevas campañas de distribución del troyano bancario CobInt a través de campañas de malspam, las cuales son asociadas a Cobalt Group. Para estas campañas en específico se utilizaron correos electrónicos maliciosos enviados desde Gateways.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-cobalt-grouphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se han identificado nuevas campañas de distribución del troyano bancario CobInt a través de campañas de malspam, las cuales son asociadas a Cobalt Group. Para estas campañas en específico se utilizaron correos electrónicos maliciosos enviados desde Gateways.
Nueva campaña de phishing distribuye troyano Ursnif/DridexDesde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite asociado al grupo de amenazas APT FIN7; este malware es un dropper (descargador) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-de-phishing-distribuye-troyano-ursnif-dridexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite asociado al grupo de amenazas APT FIN7; este malware es un dropper (descargador) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.
ATM Boostwrite, descargador de múltiples variantes de malwareDesde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/atm-boostwrite-descargador-de-multiples-variantes-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}