Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Alerta IoC

  • Publicado: 22/05/2019
  • Importancia: Alta

Recursos afectados

Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan al sector FINANCIERO DE COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión de los ataques identificados, se recomienda establecer medidas preventivas.
Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.
Se han relacionado indicadores con el troyano Emotet. Su principal actividad es infectar los equipos a través de correos electrónicos de malspam.
Se han identificado un total de 134 indicadores de compromiso que pueden afectar las operaciones en la región.
Se han identificado dos tipologías de operables, referenciado los diferentes métodos de ataque y difusión utilizados por los actores a la hora de materializar una amenaza sobre las infraestructuras regionales.

Screenshot_1.png

Tras los procesos de análisis y enriquecimiento de los datos que contienen los indicadores de compromiso se ha podido determinar que las categorías sobre las que operan son las siguientes:

 Screenshot_2.png

Descripción:

 Los indicadores identificados se relacionan con una botnet de distribución de troyanos bancarios, su funcionamiento es el siguiente: 

  • Un usuario recibe un correo al estilo Phishing con un archivo adjunto de Microsoft Word, el cual trae embebido una macro de PowerShell, que realiza una conexión con un servidor de C&C (comando y control) y procede a hacer la descarga del troyano. 
  • El troyano consigue persistencia asociándose a las tareas programadas, al registro y a la carpeta de inicio. 
  • El troyano roba las contraseñas almacenadas en el sistema y el navegador, además recolecta correos de archivos PST de Outlook. 
  • Se aprovecha de las credenciales robadas para enviar correos de phishing a los contactos previamente recogidos. 
  • Intenta infectar los equipos por fuerza bruta a través del protocolo de red SMB de Windows. 

Contexto:

Emotet es un troyano bancario modular que se identificó por primera vez en 2014 y desde entonces continúa infectando sistemas. Su primera versión fue diseñada para robar datos de cuentas bancarias.

Las versiones actuales de Emotet son capaces de instalar otros malwares en los equipos infectados, como servicios de malspam u otros troyanos bancarios.

Análisis:

 Se ha localizado el siguiente indicador que afecta al sector financiero de Colombia, la cual se categoriza como IP dinámica 181.54.202.80

Screenshot_3.png

Etiquetas