Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Panorama cibernético en el marco del conflicto Irán–IsraelDurante el monitoreo continuo realizado por los analistas del Csirt Financiero, se detectó un incremento notable en las actividades cibernéticas relacionadas con el conflicto entre Irán e Israel. Esta confrontación ha estado marcada por la participación de diversos grupos APT y colectivos hacktivistas con posturas políticas definidas, cuyas acciones se han orientado a operaciones de sabotaje, vigilancia digital y afectación de servicios estratégicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/panorama-cibernetico-en-el-marco-del-conflicto-iran2013israelhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante el monitoreo continuo realizado por los analistas del Csirt Financiero, se detectó un incremento notable en las actividades cibernéticas relacionadas con el conflicto entre Irán e Israel. Esta confrontación ha estado marcada por la participación de diversos grupos APT y colectivos hacktivistas con posturas políticas definidas, cuyas acciones se han orientado a operaciones de sabotaje, vigilancia digital y afectación de servicios estratégicos.
Panel de control denominado TeslaGun es utilizado por el grupo TA505El grupo TA505 se encuentra activo desde 2014, desde entonces se ha enfocado en sectores minoristas y principalmente el financiero. En la mayoría de sus actividades maliciosas emplean un backdoor (puerta trasera) llamado ServHelper, el cual han estado actualizando con nuevas funcionalidades desde 2019, no obstante, recientemente se detectó que están usando un panel de control denominado TeslaGun para administrar la puerta trasera, que actúa como servidor de comando y control.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/panel-de-control-denominado-teslagun-es-utilizado-por-el-grupo-ta505http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El grupo TA505 se encuentra activo desde 2014, desde entonces se ha enfocado en sectores minoristas y principalmente el financiero. En la mayoría de sus actividades maliciosas emplean un backdoor (puerta trasera) llamado ServHelper, el cual han estado actualizando con nuevas funcionalidades desde 2019, no obstante, recientemente se detectó que están usando un panel de control denominado TeslaGun para administrar la puerta trasera, que actúa como servidor de comando y control.
P2PInfect: nuevo gusano Peer-to-Peer que amenaza instancias de Redis en entornos de nubeRecientemente se identificó un nuevo gusano peer-to-peer (P2P) denominado P2PInfect. Este gusano, escrito en el lenguaje de programación Rust, es altamente escalable y compatible con la nube. P2PInfect se dirige a instancias de Redis, una popular aplicación de base de datos de código abierto ampliamente utilizada en entornos de nube, con presencia en sistemas operativos Linux y Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/p2pinfect-nuevo-gusano-peer-to-peer-que-amenaza-instancias-de-redis-en-entornos-de-nubehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se identificó un nuevo gusano peer-to-peer (P2P) denominado P2PInfect. Este gusano, escrito en el lenguaje de programación Rust, es altamente escalable y compatible con la nube. P2PInfect se dirige a instancias de Redis, una popular aplicación de base de datos de código abierto ampliamente utilizada en entornos de nube, con presencia en sistemas operativos Linux y Windows.
Oscorp, nuevo malware que exfiltra credenciales en AndroidEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/oscorp-nuevo-malware-que-exfiltra-credenciales-en-androidhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.
OriginLogger, un nuevo keylogger que es considerado el sucesor de Agent TeslaOriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/originlogger-un-nuevo-keylogger-que-es-considerado-el-sucesor-de-agent-teslahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
OriginLogger es el nombre de un nuevo registrador de pulsaciones de teclas que es usado por los ciberdelincuentes para la obtención de información sensible; este se ha catalogado como el sucesor de Agent Tesla. Dentro de la información capturada se identifican credenciales de acceso y/o data asociada a la identificación de las víctimas.
Organización colombiana afectada por Ransomware LockBit 2.0En el monitoreo continuo de fuentes abiertas de información y en la búsqueda de actividad maliciosa que pueda impactar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero, ha identificado un ciberataque del ransomware LockBit 2.0 a una caja de compensación colombiana.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/organizacion-colombiana-afectada-por-ransomware-lockbit-2.0http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo continuo de fuentes abiertas de información y en la búsqueda de actividad maliciosa que pueda impactar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero, ha identificado un ciberataque del ransomware LockBit 2.0 a una caja de compensación colombiana.
Orca, el nuevo ransomware procedente de la familia de ZeppelinUna de las nuevas amenazas conocidas esta semana por el equipo de analistas del Csirt Financiero ha sido identificada como Orca, una amenaza de tipo ransomware y proveniente de la familia del ransomware Zeppelin debido a sus capacidades y funciones similares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/orca-el-nuevo-ransomware-procedente-de-la-familia-de-zeppelinhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Una de las nuevas amenazas conocidas esta semana por el equipo de analistas del Csirt Financiero ha sido identificada como Orca, una amenaza de tipo ransomware y proveniente de la familia del ransomware Zeppelin debido a sus capacidades y funciones similares.
Oracle publica parches de seguridad para contrarrestar 297 vulnerabilidades.Oracle lanzó 297 actualizaciones con parches para corregir vulnerabilidades de sus productos en las cuales algunas son críticas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/oracle-publica-parches-de-seguridad-para-contrarrestar-297-vulnerabilidadeshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Operadores de Emotet implementan nuevas tácticas en la cadena de infecciónRecientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/operadores-de-emotet-implementan-nuevas-tacticas-en-la-cadena-de-infeccionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se había identificado el retorno del troyano polimórfico conocido como Emotet clasificado como un botnet gracias a sus constantes actualizaciones, ya que inicialmente se categorizo como un troyano bancario, sin embargo la implementación de un módulo de botnet spam hizo que evolucionara; desde su aparición en 2014 los atacantes que han distribuido esta amenaza a través de campañas que entregan la carga útil de Emotet, en documentos maliciosos para impactar empresas de distintos sectores económicos.
Operación Magalenha: Amenaza brasileña dirigida a instituciones financieras portuguesasUn actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/operacion-magalenha-amenaza-brasilena-dirigida-a-instituciones-financieras-portuguesashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Un actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.
Onnx Store dirigido a cuentas de Microsoft 365 de entidades financierasSe ha identificado una nueva plataforma de phishing llamada ONNX Store ha surgido como una amenaza grave para las cuentas de Microsoft 365 en empresas financieras. Este servicio malicioso utiliza archivos PDF con códigos QR para engañar a los empleados, comprometiendo sistemas críticos a través de tácticas sofisticadas y evasivas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/onnx-store-dirigido-a-cuentas-de-microsoft-365-de-entidades-financierashttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva plataforma de phishing llamada ONNX Store ha surgido como una amenaza grave para las cuentas de Microsoft 365 en empresas financieras. Este servicio malicioso utiliza archivos PDF con códigos QR para engañar a los empleados, comprometiendo sistemas críticos a través de tácticas sofisticadas y evasivas.
Omisión de identidad de seguridad de WildflyUna vulnerabilidad en Wildfly, que puede ser explotada por atacantes para evitar ciertas restricciones de seguridad.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/omision-de-seguridad-de-identidad-de-seguridad-de-wildflyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Odyssey Stealer utiliza portal fraudulento de Microsoft Teams para infectar macOSDurante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/odyssey-stealer-utiliza-portal-fraudulento-de-microsoft-teams-para-infectar-macoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña del stealer Odyssey dirigida a usuarios de macOS.
Odyssey Stealer se distribuye mediante la técnica ClickfixMediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad de Odyssey Stealer.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/odyssey-stealer-se-distribuye-mediante-la-tecnica-clickfixhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva actividad de Odyssey Stealer.
OceanLotus utiliza la esteganografía para ocultar carga útil de malware.Se descubre una carga útil novedosa El Grupo OceanLotus APT, utiliza la esteganografía para leer una carga útil encriptada oculta dentro de un archivo de imagen .png. en la que se utiliza el bit menos significativo para minimizar las diferencias visuales en comparación con el original, evitando ser descubierto y una vez decodificado, descifrado y ejecutado, un cargador ofuscado con XOR 0x3B, cargará uno de las puertas traseras.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/oceanlotus-utiliza-la-esteganografia-para-ocultar-carga-util-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se descubre una carga útil novedosa El Grupo OceanLotus APT, utiliza la esteganografía para leer una carga útil encriptada oculta dentro de un archivo de imagen .png. en la que se utiliza el bit menos significativo para minimizar las diferencias visuales en comparación con el original, evitando ser descubierto y una vez decodificado, descifrado y ejecutado, un cargador ofuscado con XOR 0x3B, cargará uno de las puertas traseras.
Nuevos vectores de distribución utilizados por Ryuk ransomwareEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso de dos nuevas técnicas en el vector de distribución por parte de los ciberdelincuentes que utilizan Ryuk ransomware, las cuales han implementado en sus ciberataques.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-vectores-de-distribucion-utilizados-por-ryuk-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado el uso de dos nuevas técnicas en el vector de distribución por parte de los ciberdelincuentes que utilizan Ryuk ransomware, las cuales han implementado en sus ciberataques.
Nuevos troyanos bancarios generan afectación a usuarios de BrasilEn el monitoreo realizado a fuentes abiertas de información para la búsqueda de nuevas amenazas o vulnerabilidades que puedan llegar a generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado dos troyanos bancarios que se encuentran generando impacto en Brasil dirigidos a dispositivos móviles con sistema operativo Android, denominados PixStealer y MalRhino, cuyas tácticas técnicas y procedimientos son muy similares en su cadena de infección.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-troyanos-bancarios-generan-afectacion-a-usuarios-de-brasilhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información para la búsqueda de nuevas amenazas o vulnerabilidades que puedan llegar a generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado dos troyanos bancarios que se encuentran generando impacto en Brasil dirigidos a dispositivos móviles con sistema operativo Android, denominados PixStealer y MalRhino, cuyas tácticas técnicas y procedimientos son muy similares en su cadena de infección.
Nuevos ransomware identificados en la naturalezaEl ransomware, es un tipo de malware comúnmente implementado por los actores de amenaza en sus campañas maliciosas, esto debido a su gran capacidad de cifrar archivos almacenados en la infraestructura tecnológica objetivo, algunas de estas familias destacan por poseer comportamientos únicos que las diferencian entre las demás y que suelen afectar organización de alto nivel.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ransomware-identificados-en-la-naturalezahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El ransomware, es un tipo de malware comúnmente implementado por los actores de amenaza en sus campañas maliciosas, esto debido a su gran capacidad de cifrar archivos almacenados en la infraestructura tecnológica objetivo, algunas de estas familias destacan por poseer comportamientos únicos que las diferencian entre las demás y que suelen afectar organización de alto nivel.
Nuevos Ransomware denominados AXLocker, Octocrypt y Alice.El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-ransomware-denominados-axlocker-octocrypt-y-alicehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero realizo un monitoreo en el ciber espacio de nuevas amenazas que puedan llegar a afectar la infraestructura y pilares de la información de nuestros asociados, donde se encontraron tres nuevas familias de Ransomware denominadas AXLocker, Octocrypt y Alice.
Nuevos parches para vulnerabilidades en productos de MicrosoftEn el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-parches-para-vulnerabilidades-en-productos-de-microsofthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado la publicación de nuevos parches de seguridad que mitigan vulnerabilidades presentadas sobre productos o servicios de Microsoft.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}