Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Hojas de cálculo Excel implementadas en campañas de malwareEn el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/hojas-de-calculo-excel-implementadas-en-campanas-de-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.
IcedID apunta a dominios de Active DirectoryIceID, en una de sus más recientes campañas maliciosas, se evidenció nuevos comportamientos que llevaron a cabo los actores de amenaza para afectar el dominio de Active Directory de un sistema informático, para esto, utilizaron múltiples técnicas de reconocimiento, recopilación de credenciales, movimiento lateral y la implementación de herramientas legitimas como Cobalt Strike.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/icedid-apunta-a-dominios-de-active-directoryhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IceID, en una de sus más recientes campañas maliciosas, se evidenció nuevos comportamientos que llevaron a cabo los actores de amenaza para afectar el dominio de Active Directory de un sistema informático, para esto, utilizaron múltiples técnicas de reconocimiento, recopilación de credenciales, movimiento lateral y la implementación de herramientas legitimas como Cobalt Strike.
IceXLoader retorna con una nueva actualizaciónIceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/icexloader-retorna-con-una-nueva-actualizacionhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
IceXLoader es conocido en el ecosistema de ciberseguridad por ser utilizado como un cargador que implementa diversas familias de malware en las campañas maliciosas de los ciberdelincuentes; además, es distribuido a través de foros clandestinos de la Deep y Dark web por el precio de 118 dólares, otorgando una licencia de por vida, lo cual permite que los usuarios puedan usarlo las veces que lo requieran. Anteriormente, se había evidenciado que en su versión 3.0 se encontraba en fase de desarrollo al observar sus comportamientos y actividades.
IDAT loader utilizado por el grupo UAC-0184 para distribuir RemcosRATRecientemente se ha detectado una campaña maliciosa vinculada al actor de amenazas conocido como UAC-0184, en la que los ciberdelincuentes han distribuido el troyano de acceso remoto RemcosRAT a través del loader IDAT.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/idat-loader-utilizado-por-el-grupo-uac-0184-para-distribuir-remcosrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Recientemente se ha detectado una campaña maliciosa vinculada al actor de amenazas conocido como UAC-0184, en la que los ciberdelincuentes han distribuido el troyano de acceso remoto RemcosRAT a través del loader IDAT.
Identificación De Campaña De Phishing Relacionada Con Crowdstrike Y Su Afectación A Sistemas Operativos WindowsEl equipo de analistas del Csirt Financiero ha detectado una campaña de phishing que suplanta la identidad de CrowdStrike, la reconocida empresa de ciberseguridad, aprovechando la reciente falla global que afectó sus servicios el día de hoy.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-campana-de-phishing-relacionada-con-crowdstrike-y-su-afectacion-a-sistemas-operativos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del Csirt Financiero ha detectado una campaña de phishing que suplanta la identidad de CrowdStrike, la reconocida empresa de ciberseguridad, aprovechando la reciente falla global que afectó sus servicios el día de hoy.
Identificación de nueva campaña maliciosa desarrollada por TrickbotEn el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevo accionar malicioso por parte de Trickbot. Un troyano inicialmente bancario, pero luego desarrollado como troyano modular.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-nueva-campana-maliciosa-desarrollada-por-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevo accionar malicioso por parte de Trickbot. Un troyano inicialmente bancario, pero luego desarrollado como troyano modular.
Identificación de nuevos indicadores de compromiso asociados al Ransomware MegaCortexA través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-nuevos-indicadores-de-compromiso-asociados-al-ransomware-megacortexhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.
Identificación de tres módulos clave de la cadena de infección del troyano bancario TrickBotEn el seguimiento a amenazas potenciales cuyo impacto de ataque es a nivel mundial dirigido a grandes empresas y proveedores de servicios en los que se encuentra incluido el sector financiero, el equipo de analistas ha observado tres (3) módulos clave en la cadena de infección del troyano bancario conocido como TrickBot.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-de-tres-modulos-clave-de-la-cadena-de-infeccion-del-troyano-bancario-trickbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el seguimiento a amenazas potenciales cuyo impacto de ataque es a nivel mundial dirigido a grandes empresas y proveedores de servicios en los que se encuentra incluido el sector financiero, el equipo de analistas ha observado tres (3) módulos clave en la cadena de infección del troyano bancario conocido como TrickBot.
Identificación del ransomware vgod en entornos WindowsEl equipo de analistas del CSIRT Financiero ha identificado actividad maliciosa vinculada con el ransomware Vgod. Esta amenaza emplea técnicas avanzadas de cifrado, asignando una extensión única a los archivos comprometidos, además, implementa mecanismos de evasión y persistencia que dificultan su detección y eliminación, lo que representa un riesgo significativo para la integridad de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificacion-del-ransomware-vgod-en-entornos-windowshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo de analistas del CSIRT Financiero ha identificado actividad maliciosa vinculada con el ransomware Vgod. Esta amenaza emplea técnicas avanzadas de cifrado, asignando una extensión única a los archivos comprometidos, además, implementa mecanismos de evasión y persistencia que dificultan su detección y eliminación, lo que representa un riesgo significativo para la integridad de la información.
Identificada una nueva familia de ransomware con el nombre de xCorxCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificada-una-nueva-familia-de-ransomware-con-el-nombre-de-xcorhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
xCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.
Identificadas tres vulnerabilidades en Servidor ApacheEn el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificadas-tres-vulnerabilidades-en-servidor-apachehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero se han identificado tres vulnerabilidades en los servidores de apache que pueden permitir la ejecución de código arbitrario y en situaciones específicas los ciberdelincuentes podrían causar bloqueos o denegación de servicios.
Identificados nuevos indicadores de compromiso asociados a EmotetEn el monitoreo realizado por el Csirt Financiero, se ha observado actividad en el mes de diciembre por parte del troyano modular Emotet, enfocado en la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificados-nuevos-indicadores-de-compromiso-asociados-a-emotethttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha observado actividad en el mes de diciembre por parte del troyano modular Emotet, enfocado en la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.
Identificados nuevos indicadores de compromiso del troyano bancario LokibotEl troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identificados-nuevos-indicadores-de-compromiso-del-troyano-bancario-lokibothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El troyano bancario Lokibot ha sido reportado en ocasiones anteriores por el equipo de analistas del Csirt Financiero siendo una de las amenazas más utilizadas a nivel global por diferentes grupos de ciberdelincuentes debido a sus grandes capacidades, esto con el objetivo principal de capturar datos bancarios confidenciales y exfiltrarlos a servidores de comando y control C2, dicho troyano se encuentra dirigido a equipos con sistemas operativos Windows y dispositivos Android.
Identifican grupo denominado Cranefly que cuenta con altas capacidades de espionajeCranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/identifican-grupo-denominado-cranefly-que-cuenta-con-altas-capacidades-de-espionajehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Cranefly es un grupo cibercriminal que fue identificado en mayo del presente año; estos tienen como objetivo dirigirse a los correos electrónicos de los colaboradores que tienen a su cargo el desarrollo corporativo, adquisiciones y transacciones corporativas empleando un nuevo backdoor llamado Danfuan.
Imagen Firmware UEFI contiene componentes con MalwareEn el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/imagen-firmware-uefi-contiene-componentes-con-malwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.
Incremento de ataques asociados a malware tipo WiperA través de actividades de seguimiento realizadas a diferentes fuentes abiertas de información a fin de identificar amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad de familias de malware tipo Wiper, el cual ha aumentado sus ataques en los últimos dos meses.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/incremento-de-ataques-asociados-a-malware-tipo-wiperhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de seguimiento realizadas a diferentes fuentes abiertas de información a fin de identificar amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad de familias de malware tipo Wiper, el cual ha aumentado sus ataques en los últimos dos meses.
Indicadores de amenaza relacionadas a botnet GeostSe ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-amenaza-relacionadas-a-botnet-geosthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.
Indicadores de compromiso asociadas a campañas COVID-19El equipo del Csirt Financiero ha identificado indicadores de compromiso que están relacionados con campañas de phishing a través de mensajes de correos electrónicos con archivos maliciosos adjuntos, páginas web falsas y suplantación de entidades oficiales, utilizando temas relacionados con la emergencia mundial de salud pública sobre COVID-19. Los ataques tienen como objetivo principal obtener una recompensa económica, ya sea vendiendo la información en la dark web, realizando transacciones fraudulentas o la extorsión a las víctimas por la devolución de la información.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociadas-a-campanas-covid-19http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El equipo del Csirt Financiero ha identificado indicadores de compromiso que están relacionados con campañas de phishing a través de mensajes de correos electrónicos con archivos maliciosos adjuntos, páginas web falsas y suplantación de entidades oficiales, utilizando temas relacionados con la emergencia mundial de salud pública sobre COVID-19. Los ataques tienen como objetivo principal obtener una recompensa económica, ya sea vendiendo la información en la dark web, realizando transacciones fraudulentas o la extorsión a las víctimas por la devolución de la información.
Indicadores de compromiso asociados a AmavaldoEn el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados al troyano bancario Amavaldo; se comunica con el servidor de comando y control (C2) a través de túneles SSH y su principal objetivo es capturar información bancaria de los usuarios.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-amavaldohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados al troyano bancario Amavaldo; se comunica con el servidor de comando y control (C2) a través de túneles SSH y su principal objetivo es capturar información bancaria de los usuarios.
Indicadores de compromiso asociados a Avaddon ransomwareDesde el Csirt Financiero se han identificado indicadores de compromiso asociados a la amenaza Avaddon ransomware, el cual cifra los archivos de los equipos infectados y luego piden a los usuarios el pago por un programa diseñado para descifrar los archivos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/indicadores-de-compromiso-asociados-a-avaddon-ransomwarehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Desde el Csirt Financiero se han identificado indicadores de compromiso asociados a la amenaza Avaddon ransomware, el cual cifra los archivos de los equipos infectados y luego piden a los usuarios el pago por un programa diseñado para descifrar los archivos.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}