Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.
Nueva variante del troyano bancario BRATA, denominado AmextrollEn el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario BRATA, el cual se actualizó agregando nuevas funcionalidades de evasión y ofuscación; además, es distribuido en foros clandestinos como una versión de prueba bajo el nombre Amextroll.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bancario-brata-denominado-amextrollhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario BRATA, el cual se actualizó agregando nuevas funcionalidades de evasión y ofuscación; además, es distribuido en foros clandestinos como una versión de prueba bajo el nombre Amextroll.
Nueva actividad maliciosa atribuida al APT EvilnumEn el monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del grupo de amenaza persistente avanzada (APT, por sus siglas en inglés) Evilnum, donde están distribuyendo un backdoor bajo este mismo nombre, esta familia de malware posee características de evasión y detección de motores antimalware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-al-apt-evilnumhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del grupo de amenaza persistente avanzada (APT, por sus siglas en inglés) Evilnum, donde están distribuyendo un backdoor bajo este mismo nombre, esta familia de malware posee características de evasión y detección de motores antimalware.
Nueva variante del troyano bancario QakBotA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, el equipo de analistas del Csirt Financiero ha identificado una nueva variante del troyano bancario denominado QakBot también conocido como QBot, QuackBot, o Pinkslipbot, este se dirige a equipos con sistema operativo Microsoft Windows.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-bancario-qakbothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar la infraestructura tecnológica de las entidades, el equipo de analistas del Csirt Financiero ha identificado una nueva variante del troyano bancario denominado QakBot también conocido como QBot, QuackBot, o Pinkslipbot, este se dirige a equipos con sistema operativo Microsoft Windows.
Nuevas actividades asociadas al grupo APT29A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevas actividades por parte del grupo ruso APT29 (Cozy Bear), suelen emplear técnicas de phishing, spearphishing o enlaces adjuntos en correos electrónicos que tienen como objetivo comprometer y exfiltrar información de las víctimas.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-actividades-asociadas-al-grupo-apt29http://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevas actividades por parte del grupo ruso APT29 (Cozy Bear), suelen emplear técnicas de phishing, spearphishing o enlaces adjuntos en correos electrónicos que tienen como objetivo comprometer y exfiltrar información de las víctimas.
Nuevo spyware denominado CloudMensis dirigido a usuarios de AppleSe ha descubierto recientemente un nuevo spyware denominado CloudMensis dirigido a equipos con sistema operativo MacOS; los ciberdelincuentes emplean servicios de almacenamiento en nube como un C2 (servidor de comando y control) para desplegar su operación sobre su objetivo.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-spyware-denominado-cloudmensis-dirigido-a-usuarios-de-applehttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Se ha descubierto recientemente un nuevo spyware denominado CloudMensis dirigido a equipos con sistema operativo MacOS; los ciberdelincuentes emplean servicios de almacenamiento en nube como un C2 (servidor de comando y control) para desplegar su operación sobre su objetivo.
Nueva actividad maliciosa atribuida a MagecartA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nueva actividad asociada a Megacart, grupo de ciberdelincuentes que tienen como objetivo la captura y exfiltración de datos bancarios asociados a tarjetas de crédito.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-atribuida-a-magecarthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nueva actividad asociada a Megacart, grupo de ciberdelincuentes que tienen como objetivo la captura y exfiltración de datos bancarios asociados a tarjetas de crédito.
Nueva variante del troyano Joker, denominada AutolycosA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva variante del troyano Joker, el cual afecta a dispositivos Android y es denominado Autolycos.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-variante-del-troyano-joker-denominada-autolycoshttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva variante del troyano Joker, el cual afecta a dispositivos Android y es denominado Autolycos.
Campaña de phishing suplanta a la aplicación de servicio al cliente de entidad financiera en IndiaA través del monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una campaña de phishing que descarga una aplicación que suplanta el servicio al cliente de una entidad financiera en India; esta APP captura y reenvía los mensajes de texto hacia los ciberdelincuentes.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/campana-de-phishing-suplanta-a-la-aplicacion-de-servicio-al-cliente-de-entidad-financiera-en-indiahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una campaña de phishing que descarga una aplicación que suplanta el servicio al cliente de una entidad financiera en India; esta APP captura y reenvía los mensajes de texto hacia los ciberdelincuentes.
Nuevos indicadores de compromiso asociados al troyano GrandoreiroA través del monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) asociados a Grandoreiro, troyano bancario procedente de Brasil desarrollado con el objetivo de exfiltrar información bancaria a través de superposición de ventanas que suplantan a una entidad bancaria, además, de la implementación de una puerta trasera desde la cual recibe nuevas instrucciones y actualizaciones al mismo por parte de comando y control.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-al-troyano-grandoreirohttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través del monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso (IoC) asociados a Grandoreiro, troyano bancario procedente de Brasil desarrollado con el objetivo de exfiltrar información bancaria a través de superposición de ventanas que suplantan a una entidad bancaria, además, de la implementación de una puerta trasera desde la cual recibe nuevas instrucciones y actualizaciones al mismo por parte de comando y control.
Nuevo ransomware denominado BlueSkyEn el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado un nuevo ransomware denominado BlueSky.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-blueskyhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado un nuevo ransomware denominado BlueSky.
Nueva actividad del grupo APT H0lyGh0stLos grupos APT (Advanced Persistent Threat, por sus siglas en inglés) son parte de la naturaleza de la constante ciberguerra que se confronta en la red, en la mayoría de los casos estos actores maliciosos son financiados por los gobiernos de muchos países que se suman a los constantes ataques cibernéticos para capturar información confidencial, afectar infraestructuras críticas como parte de estrategias para ganar poder; de ese modo, se ha visto un nuevo APT denominado H0lyGhost, de origen norcoreano que está llevando a cabo una serie de campañas maliciosas dirigidas a pequeñas y medianas empresas a nivel global, en las cuales buscan infectar a sus víctimas con el ransomware que lleva su nombre.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-del-grupo-apt-h0lygh0sthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Los grupos APT (Advanced Persistent Threat, por sus siglas en inglés) son parte de la naturaleza de la constante ciberguerra que se confronta en la red, en la mayoría de los casos estos actores maliciosos son financiados por los gobiernos de muchos países que se suman a los constantes ataques cibernéticos para capturar información confidencial, afectar infraestructuras críticas como parte de estrategias para ganar poder; de ese modo, se ha visto un nuevo APT denominado H0lyGhost, de origen norcoreano que está llevando a cabo una serie de campañas maliciosas dirigidas a pequeñas y medianas empresas a nivel global, en las cuales buscan infectar a sus víctimas con el ransomware que lleva su nombre.
Nuevo RAT dirigido a Android denominado AIRAVATA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó a AIRAVAT, RAT multifuncional dirigido a Android con el objetivo de capturar y exfiltrar información como registro de llamadas, capturas de pantalla, mensajes de texto, entre otros, además, posee características para emplear funciones de tipo ransomware.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-rat-dirigido-a-android-denominado-airavathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó a AIRAVAT, RAT multifuncional dirigido a Android con el objetivo de capturar y exfiltrar información como registro de llamadas, capturas de pantalla, mensajes de texto, entre otros, además, posee características para emplear funciones de tipo ransomware.
ApolloRAT una amenaza en crecimiento compilada con NuiktaEl panorama de amenazas en la actualidad se encuentra en constante evolución ya que los actores de amenazas desarrollan nuevas familias de malware con capacidades útiles para los ciberdelincuentes que las emplean para perpetrar ataques sobre infraestructuras críticas; asimismo, la venta de malware es un negocio encontrado en diferentes foros de la Deep y Dark Web, en ese orden de ideas, se ha observado un nuevo troyano de acceso remoto denominado ApolloRAT que es ofrecido por $15 dólares.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/apollorat-una-amenaza-en-crecimiento-compilada-con-nuiktahttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
El panorama de amenazas en la actualidad se encuentra en constante evolución ya que los actores de amenazas desarrollan nuevas familias de malware con capacidades útiles para los ciberdelincuentes que las emplean para perpetrar ataques sobre infraestructuras críticas; asimismo, la venta de malware es un negocio encontrado en diferentes foros de la Deep y Dark Web, en ese orden de ideas, se ha observado un nuevo troyano de acceso remoto denominado ApolloRAT que es ofrecido por $15 dólares.
Nuevas TTP asociadas al troyano de acceso remoto NJRATUno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevas-ttp-asociadas-al-troyano-de-acceso-remoto-njrathttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Uno de los troyanos de acceso remoto más utilizados en el ciberespacio es conocido como NJRAT, esto se debe a que cualquier ciberdelincuente e incluso los mismos scripts kiddies tienen acceso a una gran cantidad de contenido multimedia relacionada con el despliegue de esta amenaza; además, las capacidades de este troyano están muy consolidadas en cuanto a su eficiencia; a la hora de infectar los equipos de las víctimas NjRAT le permite al atacante tener diferentes técnicas y tácticas para llevar a cabo su cometido.
Nueva campaña asociada al troyano bancario AnubisA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Anubis, el cual afecta dispositivos móviles Android y que tiene como objetivo capturar y exfiltrar datos bancarios que incluyen credenciales de APP bancarias, números de tarjetas de crédito y débito.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-campana-asociada-al-troyano-bancario-anubishttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al troyano bancario Anubis, el cual afecta dispositivos móviles Android y que tiene como objetivo capturar y exfiltrar datos bancarios que incluyen credenciales de APP bancarias, números de tarjetas de crédito y débito.
Nuevos indicadores de compromiso asociados a MedusaLockerA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a MedusaLocker, ransomware distribuido con la finalidad de cifrar datos, unidades de red compartidas y exigir el pago por el descifrado a través de una nota de rescate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevos-indicadores-de-compromiso-asociados-a-medusalockerhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados a MedusaLocker, ransomware distribuido con la finalidad de cifrar datos, unidades de red compartidas y exigir el pago por el descifrado a través de una nota de rescate.
Nueva actividad maliciosa del ransomware LockBitA través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al ransomware LockBit; esta amenaza fue identificada por primera vez en 2019 y ha ido evolucionando rápidamente siendo distribuido bajo la modalidad de Ransomware como Servicio (RaaS).http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-maliciosa-del-ransomware-lockbithttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada al ransomware LockBit; esta amenaza fue identificada por primera vez en 2019 y ha ido evolucionando rápidamente siendo distribuido bajo la modalidad de Ransomware como Servicio (RaaS).
Nuevo ransomware denominado LilithA través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Lilith, ransomware distribuido con la finalidad de cifrar datos y exigir el pago por el rescate.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-lilithhttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de inteligencia cibernética y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Lilith, ransomware distribuido con la finalidad de cifrar datos y exigir el pago por el rescate.
Nueva actividad relacionada al APT Lazarus en la cual utiliza el malware YamaBotLazarus es un grupo de ciberdelincuentes APT (Amenaza Persistente Avanzada) ha estado activo desde el 2009, durante este tiempo ha sido participe de la ciberguerra dada entre diferentes naciones, en donde ha perpetrado un sinfín de ataques cibernéticos a infraestructuras críticas pertenecientes a diferentes sectores, entre ellos el financiero.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nueva-actividad-relacionada-al-apt-lazarus-en-la-cual-utiliza-el-malware-yamabothttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
Lazarus es un grupo de ciberdelincuentes APT (Amenaza Persistente Avanzada) ha estado activo desde el 2009, durante este tiempo ha sido participe de la ciberguerra dada entre diferentes naciones, en donde ha perpetrado un sinfín de ataques cibernéticos a infraestructuras críticas pertenecientes a diferentes sectores, entre ellos el financiero.
Nuevo ransomware denominado HavanaCryptA través de la distribución de falsas actualizaciones publicadas por los adversarios en sitios de terceros, logran persuadir a las víctimas para que las descarguen e instalen; por lo general estas incluyen algún binario malicioso, para este caso se detectó un nuevo ransomware embebido en una actualización de Google.http://www.csirtasobancaria.com/Plone/alertas-de-seguridad/nuevo-ransomware-denominado-havanacrypthttp://www.csirtasobancaria.com/Plone/@@site-logo/CSIRT Editable (2-)-06.png
A través de la distribución de falsas actualizaciones publicadas por los adversarios en sitios de terceros, logran persuadir a las víctimas para que las descarguen e instalen; por lo general estas incluyen algún binario malicioso, para este caso se detectó un nuevo ransomware embebido en una actualización de Google.
-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}