Alertas de seguridad

Bat

Nuevos indicadores de compromiso del Malware Spyware Predator The Thief

Por medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre nueva actividad del malware de categoría Spyware “Predator The Thief”, programa malicioso dedicado a la obtención de información personal de usuarios, para luego ser comercializada en redes oscuras.

Leer Más

Nuevos indicadores de compromiso asociados a LokiBot

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario LokiBot, el cual es distribuido por medio de campañas de MalSpam [Malware distribuido a través de correos Spam]. El grupo que utiliza este troyano es Gorgon Group, el cual está involucrado tanto en actividades cibercriminales como en actividades dirigidas contra organizaciones gubernamentales a nivel mundial. El grupo está activo desde 2017 y se cree que opera desde Pakistán.

Leer Más

Nuevos indicadores de compromiso asociados al troyano bancario Emotet.

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Emotet, el cual tiene como objetivo principal exfiltrar las credenciales financieras de los usuarios afectados por este malware, permitiendo a los ciberdelincuentes la comercialización de esta información a través de la Dark web obteniendo beneficios económicos. Emotet se propaga generalmente por medio de MalSpam [Malware distribuido a través de correos Spam], infectando los equipos mediante archivos adjuntos o enlaces maliciosos.

Leer Más

Actividad reciente del malware Emotet

El CSIRT Financiero recientemente identifica una campaña de malware que se distribuye a través de campañas de malspam (correo electrónico con malware adjunto). Según análisis realizado por el equipo se encontraron 2280 indicadores de compromiso relacionados al malware Emotet, esta amenaza está orientada a extraer datos de usuarios que resultaran infectados con el malware.

Leer Más

Ryuk Ransomware que afecta empresas a nivel internacional

Por medio de fuentes de inteligencia del CSIRT Financiero, se advierte sobre el incremento de la distribución del ransomware Ryuk. El último mes se han visto afectadas empresas españolas, con grandes pérdidas de información, este tipo de ciberamenazas podrían ser utilizadas para afectar a usuarios de la región, por lo tanto, se recomienda tener los debidos cuidados, para no ser víctima de ciberdelincuentes.

Leer Más

Indicadores de Compromiso identificados asociados a NanoCore

El CSIRT Financiero identifica indicadores de compromiso asociados al malware NanoCore, este tipo de amenaza utiliza las mismas técnicas mencionadas anteriormente, su distribución la realiza a través de correo electrónico, el cual incluye una URL maliciosa adjunta o documento con macros, con el fin de infectar usuarios de internet y así tomar control remoto de sus equipos.

Leer Más

Mispadu, el nuevo troyano que se distribuye a través de anuncios publicitarios.

Mispadu es un troyano de tipo bancario, que está siendo distribuido principalmente mediante campañas de anuncios publicitarios en la red social Facebook. Este tiene como principal objetivo extraer información de los usuarios por medio de extensiones maliciosas instaladas en los exploradores web. Se ha identificado que el foco principal de las campañas en la región ha sido México y Brasil, sin embargo, no se descartan campañas en nuestro país.

Leer Más

Nueva campaña asociada a Raccoon Stealer

Desde el CSIRT Financiero se ha identificado una nueva campaña asociada a la distribución del malware Raccoon Stealer, el cual apareció en el mes de abril de 2019 y ha tenido gran aceptación dentro de los ciberdelincuentes, al contar con una gama amplia de capacidades y por permitir una fácil obtención de dinero al ser un malware MaaS [Malware-as-a-Service]. Este tipo de amenazas podrían afectar al sector financiero ya que tienen la capacidad de exfiltrar la información sensible de la organización, así mismo puede afectar a los usuarios al verse comprometida su información financiera.

Leer Más

Nuevos indicadores de compromiso asociados al troyano Trickbot.

El malware de tipo troyano conocido como TrickBot, es uno de los códigos maliciosos más usados en la actualidad en las diferentes campañas por los ciberdelincuentes; esto se da puesto que posee funcionalidades destacables y dentro de estas se encuentra la conexión con un Comando y Control que le permite a los ciberdelincuentes instalar otros códigos maliciosos.

Leer Más

Indicadores de compromiso asociados a MageCart

MageCart, es la unión de grupos de ciberdelincuentes, su principal motivación es de tipo económico, por lo cual su objetivo principal son los sitios web que permiten realizar transacciones electrónicas como lo son los carritos de compras y pasarelas de pago, exfiltrando la información de las tarjetas de crédito que los usuarios ingresan para realizar sus compras o pagos de productos.

Leer Más

Ginp, troyano bancario dirigido a usuarios de plataforma Android

El CSIRT Financiero ha identificado campañas de SMS [Short Message Service], con URL maliciosas o por medio de Pop-Up [ventanas emergentes], que redirigen a URL de descarga del troyano Ginp, el cual pretende instalarse en equipos móviles que tengan sistema operativo Android, con el fin de extraer las credenciales de acceso del usuario de las diferentes aplicaciones.

Leer Más

Nueva variante del malware ATM "DispenserXFS"

Desde el CSIRT Financiero se ha identificado una nueva variante de malware para ATM, la cual es nombrada como DispenserXFS, este malware permite obtener dinero a los ciberdelincuentes a través de la inyección de código malicioso sobre los dispositivos ATM.

Leer Más

Campañas de malspam distribuyendo droppers [descargadores de malware]

El Dropper es un tipo de malware utilizado por los ciberdelincuentes con el objetivo de descargar y ejecutar diferentes tipos de malware en las máquinas infectadas, su principal característica es evitar la detección de herramientas perimetrales [antivirus].

Leer Más

Actividad asociada a FIN7

El CSIRT Financiero a través de su continua búsqueda de amenazas dirigidas al sector financiero, ha identificado una nueva campaña de Spear Phishing asociada al grupo de ciberdelincuentes FIN7. Este grupo identificado también como ATK32 y AG-CR1 se encuentra activo desde el año 2013, su principal motivación es de tipo económica por lo cual sus objetivos son los sectores comerciales y financieros, centran sus esfuerzos delictivos en la búsqueda de información como números de tarjetas de crédito y acceso a datos financieros.

Leer Más

Nuevos indicadores de compromiso asociados con el malware bancario Dridex

Dridex, catalogado como un troyano bancario, su distribución se realiza por medio de campañas de malspam, las cuales traen consigo diferentes métodos de infección para la descarga y ejecución de este, Dridex cuenta con capacidades como la captura de credenciales de acceso a portales bancarios a través de internet.

Leer Más

Nueva campaña de Malspam asociada al Keylogger Agent Tesla

Desde el CSIRT Financiero se han identificado indicadores de compromiso asociados al Keylogger Agent Tesla, el cual se instala en los equipos de los usuarios a través de ingeniería social, el usuario recibe un correo electrónico con un archivo tipo Microsoft Word el cual contiene macros que realizan la descarga del troyano una vez descargado y ejecutado en el sistema. En esta última campaña identificada por el CSIRT Financiero se evidenció que este malware utiliza una vulnerabilidad de Microsoft Office que a pesar de que fue identificada y parcheada por Microsoft hace un poco más de dos años, sigue estando presente en equipos, aumentando la posibilidad de ser infectados por este troyano.

Leer Más

Nueva campaña de malspam asociada al troyano Ursnif

El CSIRT Financiero ha identificado una nueva campaña asociada al troyano bancario Ursnif utilizado por los ciberdelincuentes a través correos de tipo MalSpam [Correo no deseado con Malware]. Este troyano ha sufrido una constante evolución en sus capacidades de evasión y en sus funciones principales como la exfiltración de información personal del usuario, conexiones con los C2 [Command and Control] y descarga de otras variantes de malware entre otros. Su popularidad dentro de los ciberdelincuentes se debe a la publicación de su código fuente en GitHub en el año 2015.

Leer Más

Grupo TA2101 (campaña de distribución de IcedID y MAZE)

A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.

Leer Más

Actividad reciente grupo FIN7

El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.

Leer Más

Análisis técnico del malware BitPaymer

En referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.

Leer Más

Archivo