Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2024

Nueva actividad maliciosa de RedLine Stealer distribuida en México

Publicado: 13/01/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero, realizó un monitoreo al ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva campaña en el que ponen a la venta RedLine Stealer para el acceso a dominios de instituciones financieras en México.

IcedID apunta a dominios de Active Directory

Publicado: 12/01/2023 | Importancia: Media

IceID, en una de sus más recientes campañas maliciosas, se evidenció nuevos comportamientos que llevaron a cabo los actores de amenaza para afectar el dominio de Active Directory de un sistema informático, para esto, utilizaron múltiples técnicas de reconocimiento, recopilación de credenciales, movimiento lateral y la implementación de herramientas legitimas como Cobalt Strike.

El skimmer Magecart denominado Mr. SNIFFA

Publicado: 11/01/2023 | Importancia: Media

Los kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.

Nueva variante de RAT denominada Pupy

Publicado: 10/01/2023 | Importancia: Media

Desde el Csirt Financiero se realiza monitoreo al ciber espacio con el objetivo de identificar nuevas amenazas que puedan impactar al sector financiero, durante dichas investigaciones se identificó una nueva variante de RAT (troyano de acceso remoto por sus siglas en inglés) identificado como Pupy, el cual es desplegado en los equipos informáticos a través de un servicio legítimo de Windows conocido como WerFault.exe (utilizado para las notificaciones de errores de Windows).

Actividades maliciosas recientes asociadas al troyano bancario Ursnif

Publicado: 09/01/2023 | Importancia: Media

Durante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.

Nuevos indicadores de compromiso relacionados a Qakbot

Publicado: 09/01/2023 | Importancia: Media

En el observatorio de ciberseguridad, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionado a Qakbot, el cual es un troyano bancario que ha sido utilizado por actores de amenaza motivados financieramente desde 2007, con el pasar de los años se convirtió en una de las amenazas más relevantes por su gran evolución e implementación de capacidades para capturar la mayor cantidad de información confidencial posible de sus víctimas.

Nuevos indicadores de compromiso asociados a TrickBot

Publicado: 08/01/2023 | Importancia: Media

En el ámbito de la ciberseguridad, es frecuente visualizar campañas maliciosas las cuales involucren nuevos indicadores de compromiso vinculados a alguna familia de malware, esto con el propósito de evadir detecciones por parte de herramientas antimalware al implementar muestras diferentes a las ya identificadas previamente y así, lograr impactar el sistema informático objetivo.

Nueva actividad maliciosa que entrega Rhadamanthys

Publicado: 08/01/2023 | Importancia: Media

A principios del presente año, investigadores identificaron nuevas actividades usando el servicio de Google Ads con el objetivo de distribuir a Rhadamanthys, un stealer capacitado para recopilar y exfiltrar información de las infraestructuras informáticas comprometidas como nombre del equipo, modelo, versión del sistema operativo, direcciones IP, credenciales de acceso, entre otros.

Proliferan variantes del ransomware Conti en el panorama de amenazas

Publicado: 07/01/2023 | Importancia: Media

Las variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.

Nueva variante de SpyNote dirigida a Android

Publicado: 07/01/2023 | Importancia: Media

Recientemente se ha identificado una nueva variante de SpyNote también llamada como SpyMax, una amenaza dirigida a sistemas operativos Android que combina capacidades de spyware y troyano bancario. Todo esto luego de que su código se hizo público, ayudando a que actores de amenaza lo capacitaran con nuevas funciones maliciosas para lograr sus objetivos.

El troyano bancario Dridex apunta a usuarios del sistema operativo MacOS

Publicado: 07/01/2023 | Importancia: Media

Dridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.

Nuevo grupo de ciberdelincuentes dirigidos al sector financiero

Publicado: 06/01/2023 | Importancia: Media

En la actividad de observatorio de ciberseguridad en el ciberespacio realizada por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó un nuevo grupo de ciberdelincuentes los cuales generan ataques dirigidos especialmente al sector financiero conocidos como Bluebottle usando diversas técnicas con ayuda de múltiples herramientas para llevar a cabo sus actividades maliciosas.

El grupo de amenazas Blind Eagle distribuye el troyano de acceso remoto Quasar RAT

Publicado: 05/01/2023 | Importancia: Media

El equipo del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o campañas que puedan impactar la infraestructura tecnológica de los asociados, donde se observó actividad del grupo de amenazas conocido como Blind Eagle, distribuyendo el troyano Quasar RAT y afectando a entidades financieras de Latinoamérica.

Reciente campaña maliciosa del troyano de acceso remoto BitRAT

Publicado: 05/01/2023 | Importancia: Media

En un monitoreo realizado por el equipo del Csirt Financiero en busca de amenazas y nuevas campañas que puedan afectar la infraestructura tecnológica de los asociados, se identificó una reciente actividad del troyano de acceso remoto BitRAT.

Se identifica un nuevo stealer en el ciberespacio denominado Mint

Publicado: 04/01/2023 | Importancia: Media

Los stealers son programas maliciosos diseñados para capturar información confidencial de los usuarios, como contraseñas y números de tarjetas de crédito. En el ciberespacio actual, los stealers representan una amenaza constante para la seguridad de la información personal y financiera de los usuarios; es así como mediante actividades de monitoreo el Csirt Financiero, identifico un nuevo stealer denominado Mint, que ofrecen sus operadores a través de un canal de Telegram como el mejor del mercado.

El troyano bancario IcedID alojado en sitios phishing

Publicado: 04/01/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de amenazas y nuevas campañas que puedan afectar a los asociados, donde se identificó una nueva campaña relacionada al troyano IcedID, el cual ha estado activo desde el año 2017, principalmente para capturar información bancaria de las víctimas.

Surge un nuevo ransomware denominado CatB

Publicado: 03/01/2023 | Importancia: Media

El panorama de amenazas continúa proliferando, producto de esta constante actividad es que en la naturaleza surgen nuevas familias de ransomware en poco tiempo; aunado de lo anterior recientemente se identificó el ransomware CatB que implementa técnicas anti-virtualización y evasión mediante el secuestro de una dll.

Nueva variante del ransomware Babuk

Publicado: 02/01/2023 | Importancia: Media

Recientemente, investigadores identificaron una nueva variante del ransomware Babuk debido a que estaba implicado en un ataque sobre una gran organización; esta amenaza fue identificada por primera vez en 2021 gracias a la popularidad ganada gracias a varias afectaciones a entidades y realizar doble extorsión sobre las mismas, posteriormente, en foros rusos se filtró el código fuente.

Ciberdelincuentes emplean Raspberry Robin para atacar entidades financieras de Europa

Publicado: 01/01/2023 | Importancia: Media

Recientemente se han visto ataques cibernéticos orquestados por grupos ciberdelincuentes que utilizan el framework automatizado Raspberry Robin para apuntar a entidades financieras de Europa, dado que les permite a los atacantes evadir la detección y moverse lateralmente, sirviéndose de las infraestructuras en la nube como Discord, Azure y Github para entregar su malware.

Nuevos indicadores de compromiso relacionados a NetSupport RAT

Publicado: 01/01/2023 | Importancia: Media

El equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden llegar a afectar la infraestructura tecnológica de los asociados, se identificó nuevos indicadores de compromiso (IoC) relacionados a NetSupport RAT¸ la cual es una herramienta de acceso remoto, que a pesar de ser legítima es usada por los ciberdelincuentes para obtener acceso no autorizado a los equipos comprometidos.

Nueva campaña de malspam relacionada con el RAT Ekipa

Publicado: 31/12/2022 | Importancia: Media

Los documentos de Office todavía se utilizan en distintas campañas y simbolizan un gran riesgo para las entidades, especialmente cuando los actores de amenazas encuentran continuamente nuevas formas de evitar la detección, este es el caso de EkipaRAT que se actualiza constantemente para lograr ejecutar ataques cibernéticos e impactar exitosamente a los objetivos.

Nueva variante de Nymaim

Publicado: 31/12/2022 | Importancia: Media

En los últimos meses se ha identificado una nueva variante del antes conocido Loader Nymaim, sin embargo, en su nueva etapa fue actualizado hasta convertirse en un troyano que puede generar actividades sin el consentimiento de sus víctimas.

Nuevos indicadores de compromiso asocian actividad maliciosa de Quasar RAT

Publicado: 31/12/2022 | Importancia: Media

En el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha evidenciado un aumento significativo de campañas maliciosas que distribuyen el troyano de acceso remoto Quasar, familia de malware bastante conocida en el mundo del ciberespacio por sus capacidades y porque suele estar dirigida al sector bancario y sus entidades.

Campaña de malvertización por medio de Google Ads distribuye distintas familias de malware

Publicado: 30/12/2022 | Importancia: Media

Recientemente, se descubrió una campaña que abusa de Google Ads para entregar diferentes familias de troyanos como Raccoon Stealer y Vidar, se atribuye en gran parte a un actor de amenazas conocido como Vermux; por otra parte, el objetivo de esta es afectar a usuarios que realicen búsquedas de software que incluyen AnyDesk, Malwarebytes, Microsoft Visual Studio y Zoom entre otros.

Nueva actividad maliciosa asociada a RedLine Stealer

Publicado: 30/12/2022 | Importancia: Media

En el transcurso del presente mes, se ha estado evidenciando múltiples campañas maliciosas de diversas familias de malware relacionadas con stealers, las cuales se caracterizan por capturar información confidencial por medio de técnicas tipo spyware, adicionalmente, permiten la descarga de otras cargas útiles para amplificar su rango de afectación en el sistema informático objetivo.

Nueva actividad maliciosa de Raccoon stealer

Publicado: 29/12/2022 | Importancia: Media

Raccoon Stealer, también conocido como Mohazo o Racealer, comúnmente utilizado para obtener información confidencial y datos bancarios, es una de las amenazas más mencionadas en el presente año por ser un stealer simple que les permitió a diversos grupos de ciberdelincuentes capturar y exfiltrar datos confidenciales en foros de la Deep y Dark web.

Nuevas técnicas asociadas a GuLoader

Publicado: 28/12/2022 | Importancia: Media

Recientemente, un e|quipo de investigadores identificó nuevas técnicas de evasión asociadas a GuLoader, también conocido como CloudEyE, donde utiliza un cargador desarrollado en código Shell de forma polimórfica (Que tiene o puede tener varias formas) con el objetivo de eludir a las herramientas de seguridad instaladas en las infraestructuras informáticas comprometidas como la detección de ser ejecutado en entornos virtualizados para finalizar sus procesos maliciosos.

Una nueva versión del troyano bancario Sova demuestra su constante evolución

Publicado: 27/12/2022 | Importancia: Media

En la naturaleza del panorama de amenazas es constante evidenciar la evolución de distintas familias de malware, debido a que tienden a proliferar en el ciberespacio con exitosas campañas como las del troyano bancario para Android “SOVA”; según la trazabilidad sus orígenes remontan a agosto del 2021, desde entonces se conocían cuatro versiones de esta amenaza, no obstante, recién se descubrió una quinta (V5).

Emergen nuevas variantes de W4SP stealer

Publicado: 26/12/2022 | Importancia: Media

En el ejercicio de monitorear las campañas en curso, relacionadas con actores de amenaza que emergen en la naturaleza descubrimos lo que parece ser el inicio de un nuevo esfuerzo por desplegar paquetes maliciosos a través de PyPI (Python Package Index); puntualmente se pretenden entregar el stealer W4SP, como una nueva variante que tiene nombres diferentes, pero con su mismo código fuente.

Nuevos indicadores de compromiso relacionados al troyano bancario Dridex

Publicado: 26/12/2022 | Importancia: Media

El equipo del Csirt Financiero, en un seguimiento de amenazas potenciales que pueden afectar la infraestructura tecnológica de los asociados, se observó nuevos indicadores de compromiso (IoC) relacionados al troyano bancario Dridex, el cual tiene como principal objetivo la captura de credenciales de acceso a plataformas y cuentas bancarias, tarjetas de crédito y otros servicios adicionales como PayPal y Amazon.