Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Actualización de artefactos empleados por NetSupport RATNetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo, es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-de-artefactos-empleados-por-netsupport-rathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo, es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.
Actualización ApacheApache HTTP ha publicado actualizaciones para corregir para múltiples vulnerabilidades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-apachehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Actualización al funcionamiento del troyano EmotetEn el monitoreo continuo a fuentes de información y en búsqueda de potenciales amenazas que puedan impactar sobre la infraestructura tecnología de los asociados, el Csirt Financiero ha identificado una actualización al funcionamiento del troyano Emotet, cuya infraestructura se encuentra en reactivación. Esta amenaza es empleada por los cibercriminales para realizar la captura y exfiltración de información de los equipos infectados con sistemas operativos Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-al-funcionamiento-del-troyano-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes de información y en búsqueda de potenciales amenazas que puedan impactar sobre la infraestructura tecnología de los asociados, el Csirt Financiero ha identificado una actualización al funcionamiento del troyano Emotet, cuya infraestructura se encuentra en reactivación. Esta amenaza es empleada por los cibercriminales para realizar la captura y exfiltración de información de los equipos infectados con sistemas operativos Windows.
Actualización a varias vulnerabilidades de múltiples productos de Intel CSME de Lenovo.Múltiples vulnerabilidades en múltiples productos Lenovo, que podrían ser explotadas por atacanteshttp://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-a-varias-vulnerabilidades-de-multiples-productos-de-intel-csme-de-lenovohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Actualización a funcionalidades de Raccoon StealerA través de actividades de monitoreo de diferentes fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el equipo de analistas del Csirt Financiero identificó actualizaciones al funcionamiento de Raccoon Stealer, el cual está diseñado para capturar información sensible almacenada en los equipos con sistemas operativos Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-a-funcionalidades-de-raccoon-stealerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo de diferentes fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el equipo de analistas del Csirt Financiero identificó actualizaciones al funcionamiento de Raccoon Stealer, el cual está diseñado para capturar información sensible almacenada en los equipos con sistemas operativos Microsoft Windows.
Actualización a característica de evasión asociada al troyano TrickbotEn el monitoreo continuo a fuentes de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el Csirt Financiero ha identificado una actualización en una característica de evasión asociada al troyano Trickbot permitiéndole detectar el entorno en que será ejecutado antes de lanzar el troyano.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actualizacion-a-caracteristica-de-evasion-asociada-al-troyano-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo a fuentes de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el Csirt Financiero ha identificado una actualización en una característica de evasión asociada al troyano Trickbot permitiéndole detectar el entorno en que será ejecutado antes de lanzar el troyano.
Actores detrás del troyano Ermac implementan a Zombinder para expandir sus alcances.El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-detras-del-troyano-ermac-implementan-a-zombinder-para-expandir-sus-alcanceshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizó un monitoreo en el ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de nuestros asociados, donde se observó un nuevo servicio del troyano bancario Ermac denominado Zombinder que se dirige no solamente a usuarios de Android sino también para Windows.
Actores de amenaza venden nuevo Loader llamado ASMCryptMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado ASMCrypt.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-venden-nuevo-loader-llamado-asmcrypthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo loader llamado ASMCrypt.
Actores de amenaza utilizan el movimiento del mouse en plantillas PowerPoint para distribuir malwareMúltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-utilizan-el-movimiento-del-mouse-en-plantillas-powerpoint-para-distribuir-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Múltiples análisis de la seguridad de la información han identificado una técnica basada en el movimiento del ratón (mouse) en documentos de Microsoft PowerPoint con la finalidad de desplegar malware; este procedimiento de infección inicia luego de que el usuario abre estos archivos y no importa si se encuentran en vista protegida ya que dicha acción desencadena un dropper a través de un script de PowerShell contenido en los documentos maliciosos.
Actores de amenaza se encuentran distribuyendo malware a través de falsas actualizaciones en los navegadores webMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la cual están distribuyendo malware mediante notificaciones falsas de actualizaciones de los navegadores web.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-se-encuentran-distribuyendo-malware-a-traves-de-falsas-actualizaciones-en-los-navegadores-webhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una campaña en la cual están distribuyendo malware mediante notificaciones falsas de actualizaciones de los navegadores web.
Actores de amenaza se encuentran distribuyendo el ransomware Phobos mediante RDP.Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ransomware llamado Phobos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-se-encuentran-distribuyendo-el-ransomware-phobos-mediante-rdphttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un ransomware llamado Phobos.
Actores de amenaza implementan inyecciones web en sus troyanos bancariosUsualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-implementan-inyecciones-web-en-sus-troyanos-bancarioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Usualmente, los actores de amenaza agregan nuevos módulos y/o funcionalidades en sus familias de malware, esto con el propósito de amplificar sus capacidades de afectación sobre algún objetivo u organización; aunado a lo anterior, en uno de los más recientes monitoreos, se evidenció la implementación de inyecciones web en aplicaciones móviles del sistema operativo Android para la captura de información confidencial de entidades financieras.
Actores de amenaza desarrollan exploits para la vulnerabilidad CVE-2022-24521Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-desarrollan-exploits-para-la-vulnerabilidad-cve-2022-24521http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una de las superficies de ataque empleadas por los ciberdelincuentes es la explotación de vulnerabilidades ya que les garantiza el acceso sobre el equipo objetivo, para lo cual existen herramientas del lado de la seguridad ofensiva que permiten emplear exploits relacionados con las vulnerabilidades conocidas, remotas y locales; en ese orden de ideas en el mes de abril se dio a conocer la vulnerabilidad CVE-2022-24521 que permite la escalación de privilegios, razón por la cual los actores de amenazas empezaron a desarrollar una forma de explotarla.
Actores de amenaza aprovechan vulnerabilidad de día cero para implementar un backdoorRecientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-aprovechan-vulnerabilidad-de-dia-cero-para-implementar-un-backdoorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.
Actores de amenaza aprovechan el entorno Node.js para afectar la cadena de suministro de las entidadesDurante el primer trimestre del año 2023, investigadores de seguridad identificaron una amenaza cibernética que aprovechaba la herramienta NPM (sistema de gestión de paquetes por defecto para Node.js) con la finalidad de cargar paquetes que alojaban un script, que tiene el propósito de ejecutar software malicioso tras su previa implementación en la infraestructura informática.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actores-de-amenaza-aprovechan-el-entorno-node-js-para-afectar-la-cadena-de-suministro-de-las-entidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el primer trimestre del año 2023, investigadores de seguridad identificaron una amenaza cibernética que aprovechaba la herramienta NPM (sistema de gestión de paquetes por defecto para Node.js) con la finalidad de cargar paquetes que alojaban un script, que tiene el propósito de ejecutar software malicioso tras su previa implementación en la infraestructura informática.
Actor de amenaza vende acceso a más de 5000 enrutadores ClaroEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actor-de-amenaza-vende-acceso-a-mas-de-5000-enrutadores-clarohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la venta de credenciales para el inicio de sesión en más de 5000 Routers operados por el proveedor de servicios de internet colombiano Claro.
Actividades maliciosas recientes asociadas al troyano bancario UrsnifDurante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividades-maliciosas-recientes-asociadas-al-troyano-bancario-ursnifhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.
Actividad troyano bancario Flubot para AndroidEn el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-troyano-bancario-flubot-para-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado actividad cibercriminal realizada por el troyano bancario Flubot, este se encuentra en funcionamiento desde finales de 2020 afectando a dispositivos Android. Esta amenaza, se ha visualizado en países europeos como Reino Unido, Alemania, Hungría, Italia, Polonia y España, pero se ha observado una reciente actividad orientada a Estados Unidos.
Actividad relacionada con el backdoor NPhoneRingMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con NPhoneRing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-el-backdoor-nphoneringhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nuevos IoC relacionados con NPhoneRing.
Actividad relacionada con DarkTortillaMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-relacionada-con-darktortillahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó nueva actividad de DarkTortilla.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}