Alertas de seguridad

Bat

Aumento de actividad de cibercriminales y explotación de vulnerabilidades en LATAM

Durante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.

Leer Más

Nueva variante del troyano de acceso remoto CRAT con grandes capacidades evasivas

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado la presencia de una nueva variante del troyano de acceso remoto CRAT que afecta equipos con sistemas operativos Windows. Esta nueva variante se ha caracterizado por sus técnicas de evasión ante los sistemas antimalware al permitirle la ofuscación de código mediante clave XOR, ocultar los llamados a la API utilizadas, ejecutar parches sobre de funciones o rutinas en el momento de la ejecución para evadir los mecanismos de detección y las direcciones URL del servidor de comando y control (C2) con que establece comunicación.

Leer Más

CostaRicto APT distribuye malware a entidades financieras y de entretenimiento

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.

Leer Más

Vulnerabilidades críticas en Google Chrome

En el monitoreo de fuentes abiertas, el equipo del Csirt Financiero conoció dos vulnerabilidades día cero en el navegador Google Chrome, identificadas con los CVE 2020-16013 y 2020-16017; estas pueden afectar a sistemas operativos Windows, Linux y MacOS.

Leer Más

Nuevo ransomware Pay2Key compromete compañías israelíes

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña de distribución del ransomware en varias corporaciones israelíes. En estos ataques se pudo identificar varias cepas de ransomware Ryuk y REvil. Además de esto, se encontró una nueva variante de ransomware desarrollada en el lenguaje de programación en C++ denominada Pay2Key.

Leer Más

Campaña de malspam para distribuir el troyano bancario Qbot

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña masiva de envío de mensajes de correo electrónico tipo malspam con temática sobre las elecciones presidenciales de Estados Unidos que tiene por objetivo distribuir el troyano bancario Qbot. Al igual Emotet, Qbot está empleando técnicas de secuestrando los hilos de los correos electrónicos para reenvíalos a los usuarios objetivos para propagarse y aumentando la credibilidad del mensaje malicioso.

Leer Más

Ataque masivo de Ransomware en Brasil

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.

Leer Más

Nuevo ransomware RegretLocker

El equipo del Csirt Financiero ha identificado a través del monitoreo a fuentes abiertas, un nuevo ransomware denominado RegretLocker, el cual cifra los archivos afectados con la extensión .mouse. Cuando el proceso de cifrado se ha realizado en los archivos y directorios, aparecen las notas de rescate “HOW TO RESTORE FILES.txt” en el escritorio del equipo afectado.

Leer Más

Grupo cibercriminal explota vulnerabilidad zero-day de Solaris

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de una vulnerabilidad zero-day en sistema operativo Solaris. El grupo cibercriminal detrás de este ataque es denominado UNC1945 y sus ataques incluyen entidades del sector de las telecomunicaciones, financiero y compañías de consultoría.

Leer Más

Vulnerabilidad hallada en Moxa Inc VPort 461

En el monitoreo realizado por el equipo del Csirt Financiero se conoció una vulnerabilidad en Moxa Inc VPort 461 que compromete el firmware en versiones 3.4 y anteriores, que podría permitir a un ciberdelincuente remoto ejecutar comandos arbitrarios; vulnerabilidad a la cual se ha asignado el código CVE-2020-23639.

Leer Más

Nuevos indicadores de compromiso asociados a Agent Tesla

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades que le permite realizar capturar las pulsaciones de teclado, tomar captura de pantalla, exfiltración de credenciales pertenecientes a múltiples sistemas de información, servicios tecnológicos y navegadores web como Google Chrome o Mozilla Firefox, hurto de credenciales de cuentas correos electrónicos, contraseñas e información bancaria, efectuar robo de identidad y, además, agregar el host infectado a una botnet. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.

Leer Más

Emotet utiliza documentos Word con falsas actualizaciones de Microsoft para su distribución

En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.

Leer Más

Skimmer Cardbleed: campaña masiva contra plataformas Magento

El Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.

Leer Más

Actividad del grupo APT Silent Librarian

En el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.

Leer Más

Vectores de infección aprovechados por ciberatacantes

El equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.

Leer Más

Nuevos indicadores de compromiso asociados a Remcos RAT

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.

Leer Más

URL maliciosa que captura credenciales de Office 365

Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.

Leer Más

Ransomware Lockbit emplea Tácticas, Técnicas y Procedimientos para mejorar el cifrado

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.

Leer Más

Campaña de phishing utiliza falsos mensajes de Microsoft Teams

En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.

Leer Más

Plataformas CMS afectadas por Botnet Kashmirblack

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.

Leer Más