Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nuevos indicadores de compromiso asociados a campaña de FIN7Fin7 es un grupo de ciberdelincuentes, del cual se tiene registro de actividad aproximadamente desde el año 2015. Este grupo desarrolló diferentes campañas enviando de manera masiva código malicioso por correo electrónico, es de aclarar que la gran mayoría de sus campañas han sido dirigidas al sector financiero con el fin de obtener datos sensibles de los usuarios afectados o en el peor de los casos, hasta ejecución de comandos remotos en cajeros automáticos ATM para lograr extraer dinero de los mismos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-campana-de-fin7http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Fin7 es un grupo de ciberdelincuentes, del cual se tiene registro de actividad aproximadamente desde el año 2015. Este grupo desarrolló diferentes campañas enviando de manera masiva código malicioso por correo electrónico, es de aclarar que la gran mayoría de sus campañas han sido dirigidas al sector financiero con el fin de obtener datos sensibles de los usuarios afectados o en el peor de los casos, hasta ejecución de comandos remotos en cajeros automáticos ATM para lograr extraer dinero de los mismos.
Nuevos indicadores de compromiso relacionados con el troyano bancario Emotet.El CSIRT Financiero mediante sus fuentes de información ha identificado un aumento en las campañas del troyano bancario conocido como Emotet, cada una de las campañas busca obtener información confidencial y privada, sin embargo, cada día han realizado ajustes en el código con el fin de evitar ser detectados, crear persistencia en los sistemas infectados e incluso, ser puente para inyectar nuevos códigos maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-troyano-bancario-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero mediante sus fuentes de información ha identificado un aumento en las campañas del troyano bancario conocido como Emotet, cada una de las campañas busca obtener información confidencial y privada, sin embargo, cada día han realizado ajustes en el código con el fin de evitar ser detectados, crear persistencia en los sistemas infectados e incluso, ser puente para inyectar nuevos códigos maliciosos.
Nuevos indicadores de compromiso, esta vez relacionados con el troyano bancario GustuffGustuff es un troyano bancario diseñado para dispositivos móviles [Android] capaz de obtener credenciales bancarias de una gran lista de aplicaciones de banca móvil. Su método de infección es a través de mensajes de texto [SMS] con enlaces a archivos APK maliciosos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-el-troyano-bancario-emotet-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Gustuff es un troyano bancario diseñado para dispositivos móviles [Android] capaz de obtener credenciales bancarias de una gran lista de aplicaciones de banca móvil. Su método de infección es a través de mensajes de texto [SMS] con enlaces a archivos APK maliciosos.
Nuevas campañas del grupo APT TA505El CSIRT Financiero a identificado nueva actividad del grupo TA505, en la que se evidencian tres campañas de phishing dirigidas a personas de habla griega, inglesa y francesa, en las que se envían correos con asuntos que pretenden engañar a los usuarios para que abran una URL o archivo adjunto, con el fin de lograr que se descargue la infección de malware llamado Get2.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-campanas-del-grupo-apt-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a identificado nueva actividad del grupo TA505, en la que se evidencian tres campañas de phishing dirigidas a personas de habla griega, inglesa y francesa, en las que se envían correos con asuntos que pretenden engañar a los usuarios para que abran una URL o archivo adjunto, con el fin de lograr que se descargue la infección de malware llamado Get2.
Campaña de grupo Magecart vinculado a malware Carbanak y DridexSe ha identificado una campaña de phishing que emplea avisos de facturas falsas para distribuir el malware Dridex, esta campaña se atribuye al grupo 5 de Magecart, su método principal de propagación es mediante correo electrónico, la relación de atribución a este grupo se hace debido a la relación de indicadores de compromiso identificados en campañas de dridex y magecart5.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-grupo-magecart-vinculado-a-malware-carbanak-y-dridex-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una campaña de phishing que emplea avisos de facturas falsas para distribuir el malware Dridex, esta campaña se atribuye al grupo 5 de Magecart, su método principal de propagación es mediante correo electrónico, la relación de atribución a este grupo se hace debido a la relación de indicadores de compromiso identificados en campañas de dridex y magecart5.
Nuevos indicadores de compromiso analizados relacionados con Cobalt GroupPor medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-grupo-magecart-vinculado-a-malware-carbanak-y-dridexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.
Campaña que distribuye el malware Raccoon StealerDesde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-que-distribuye-el-malware-raccoon-stealer-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.
Actividad reciente del troyano DanaBotPor medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/actividad-reciente-del-troyano-danabothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.
FriedEx, el ransomware BitPaymerDesde las fuentes de información del CSIRT Financiero, se identificó actividad del ransomware FriedEx el cual fue asociado al ransomware conocido como BitPaymer, BitPaymer se enfoca en empresas de alto nivel con el fin de expandirse a todos los dispositivos a través de la red y cifrar sus archivos para obtener claramente beneficios monetarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/friedex-el-ransomware-bitpaymerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero, se identificó actividad del ransomware FriedEx el cual fue asociado al ransomware conocido como BitPaymer, BitPaymer se enfoca en empresas de alto nivel con el fin de expandirse a todos los dispositivos a través de la red y cifrar sus archivos para obtener claramente beneficios monetarios.
Campaña de malspam que distribuyen el malware Negasteal y Ave_Maria.Desde el CSIRT Financiero se han evidenciado indicadores de compromiso relacionados con Negasteal y Ave_Maria, los cuales han sido ofuscados y compilados por medio de AutoIT [lenguaje de secuencias de comandos que originalmente es destinado a automatizar tareas básicas en la interfaz de usuario de Windows]http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-que-distribuyen-el-malware-negasteal-y-ave_mariahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han evidenciado indicadores de compromiso relacionados con Negasteal y Ave_Maria, los cuales han sido ofuscados y compilados por medio de AutoIT [lenguaje de secuencias de comandos que originalmente es destinado a automatizar tareas básicas en la interfaz de usuario de Windows]
Campaña de Malspam distribuyendo TrickBot, IcedID y UrsnifDesde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña que distribuye tres tipos de troyanos bancarios, esta campaña envía correos electrónicos no deseados con las cargas útiles de TrickBot, IcedID y Ursnif, las cuales hacen parte de las familias de troyanos bancarios con más actividad en el año 2019.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-malspam-distribuyendo-trickbot-icedid-y-ursnifhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña que distribuye tres tipos de troyanos bancarios, esta campaña envía correos electrónicos no deseados con las cargas útiles de TrickBot, IcedID y Ursnif, las cuales hacen parte de las familias de troyanos bancarios con más actividad en el año 2019.
Malware asociado al grupo LazarusDesde el CSIRT Financiero se ha identificado malware que se propaga a través de un fichero Excel con macros incrustadas, su distribución se realiza a través de redes sociales como Messenger y Telegram; este malware es atribuido al grupo “Lazarus” (Grupo anónimo de ciberdelincuentes).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/malware-asociado-al-grupo-lazarushttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el CSIRT Financiero se ha identificado malware que se propaga a través de un fichero Excel con macros incrustadas, su distribución se realiza a través de redes sociales como Messenger y Telegram; este malware es atribuido al grupo “Lazarus” (Grupo anónimo de ciberdelincuentes).
Xhelper, el nuevo Dropper [Descargador de malware]Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/xhelper-el-nuevo-dropper-descargador-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.
Nuevos indicadores de compromiso asociados al malware Pony [aka Fareit].Por medio de fuentes de información, el CSIRT Financiero relaciona indicadores de compromiso asociados al malware Pony, también conocido como aka Fareit, este es considerado como uno de los ladrones de contraseña más populares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-malware-pony-aka-fareithttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información, el CSIRT Financiero relaciona indicadores de compromiso asociados al malware Pony, también conocido como aka Fareit, este es considerado como uno de los ladrones de contraseña más populares.
Nuevos indicadores de compromiso asociados a Cobalt StrikePor medio de fuentes de información el CSIRT Financiero conoce de nueva campaña de phishing que relaciona la herramienta Cobalt Strike; se asocian indicadores de compromiso que relacionan una variante de malware generada con la herramienta. Se distribuye por medio de correo electrónico en la cual han utilizado ingeniería social para engañar a usuarios a que habrá un correo que contiene el malware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-cobalt-strike-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de fuentes de información el CSIRT Financiero conoce de nueva campaña de phishing que relaciona la herramienta Cobalt Strike; se asocian indicadores de compromiso que relacionan una variante de malware generada con la herramienta. Se distribuye por medio de correo electrónico en la cual han utilizado ingeniería social para engañar a usuarios a que habrá un correo que contiene el malware.
Campaña de correo electrónico no deseado que distribuye malware para explotar vulnerabilidades de Microsoft OfficeSe identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-correo-electronico-no-deseado-que-distribuye-malware-para-explotar-vulnerabilidades-de-microsoft-officehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.
Ciberataque de Ransomware a empresas españolas afectaron la disponibilidad de sus serviciosEn el análisis constante en búsqueda de amenazas que puedan de algún modo afectar al sector financiero, el CSIRT Financiero identificó indicadores de compromiso asociados al ciberataque de Ransomware que sufrieron empresas españolas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/ciberataque-de-ransomware-a-empresas-espanolas-afectaron-la-disponibilidad-de-sus-servicioshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el análisis constante en búsqueda de amenazas que puedan de algún modo afectar al sector financiero, el CSIRT Financiero identificó indicadores de compromiso asociados al ciberataque de Ransomware que sufrieron empresas españolas.
Campaña RDoS dirigida a bancos y entidades financierasPor medio de las fuentes de información del CSIRT Financiero, se permite informar acerca de una nueva campaña de denegación de servicios de rescate [RDoS], su ejecución se realizó a finales de octubre del presente año, mencionada campaña fue reportada por organizaciones financieras relacionando la llegada de un correo con mensajes de extorsión.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-rdos-dirigida-a-bancos-y-entidades-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Por medio de las fuentes de información del CSIRT Financiero, se permite informar acerca de una nueva campaña de denegación de servicios de rescate [RDoS], su ejecución se realizó a finales de octubre del presente año, mencionada campaña fue reportada por organizaciones financieras relacionando la llegada de un correo con mensajes de extorsión.
Nuevos indicadores de compromiso asociados a Cobalt GroupEl CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-cobalt-group-1http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].
Nuevos indicadores de compromiso relacionados con EmotetDesde las fuentes de información del CSIRT Financiero, se han detectado nuevos indicadores de compromiso relacionados con el troyano Emotet. Este malware es modular, entre los más destacados está el módulo para la captura y extracción de datos el cual permite a ciberdelincuentes conseguir el acceso a las cuentas de los usuarios que sean afectados con esta amenaza.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-relacionados-con-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde las fuentes de información del CSIRT Financiero, se han detectado nuevos indicadores de compromiso relacionados con el troyano Emotet. Este malware es modular, entre los más destacados está el módulo para la captura y extracción de datos el cual permite a ciberdelincuentes conseguir el acceso a las cuentas de los usuarios que sean afectados con esta amenaza.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}