Alertas de seguridad

Bat

Campaña que distribuye el malware Raccoon Stealer

Desde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.

Leer Más

Nuevos indicadores de compromiso analizados relacionados con Cobalt Group

Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.

Leer Más

Actividad reciente del troyano DanaBot

Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.

Leer Más

Campaña de grupo Magecart vinculado a malware Carbanak y Dridex

Se ha identificado una campaña de phishing que emplea avisos de facturas falsas para distribuir el malware Dridex, esta campaña se atribuye al grupo 5 de Magecart, su método principal de propagación es mediante correo electrónico, la relación de atribución a este grupo se hace debido a la relación de indicadores de compromiso identificados en campañas de dridex y magecart5.

Leer Más

Nuevas campañas del grupo APT TA505

El CSIRT Financiero a identificado nueva actividad del grupo TA505, en la que se evidencian tres campañas de phishing dirigidas a personas de habla griega, inglesa y francesa, en las que se envían correos con asuntos que pretenden engañar a los usuarios para que abran una URL o archivo adjunto, con el fin de lograr que se descargue la infección de malware llamado Get2.

Leer Más

Nuevos indicadores de compromiso, esta vez relacionados con el troyano bancario Gustuff

Gustuff es un troyano bancario diseñado para dispositivos móviles [Android] capaz de obtener credenciales bancarias de una gran lista de aplicaciones de banca móvil. Su método de infección es a través de mensajes de texto [SMS] con enlaces a archivos APK maliciosos.

Leer Más

Nuevos indicadores de compromiso relacionados con el troyano bancario Emotet.

El CSIRT Financiero mediante sus fuentes de información ha identificado un aumento en las campañas del troyano bancario conocido como Emotet, cada una de las campañas busca obtener información confidencial y privada, sin embargo, cada día han realizado ajustes en el código con el fin de evitar ser detectados, crear persistencia en los sistemas infectados e incluso, ser puente para inyectar nuevos códigos maliciosos.

Leer Más

Nuevos indicadores de compromiso asociados a campaña de FIN7

Fin7 es un grupo de ciberdelincuentes, del cual se tiene registro de actividad aproximadamente desde el año 2015. Este grupo desarrolló diferentes campañas enviando de manera masiva código malicioso por correo electrónico, es de aclarar que la gran mayoría de sus campañas han sido dirigidas al sector financiero con el fin de obtener datos sensibles de los usuarios afectados o en el peor de los casos, hasta ejecución de comandos remotos en cajeros automáticos ATM para lograr extraer dinero de los mismos.

Leer Más

ATM Boostwrite, descargador de múltiples variantes de malware

Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.

Leer Más

Nueva campaña de phishing distribuye troyano Ursnif/Dridex

Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite asociado al grupo de amenazas APT FIN7; este malware es un dropper (descargador) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.

Leer Más

Nuevos indicadores de compromiso asociados a Cobalt Group

Desde las fuentes de información del CSIRT Financiero se han identificado nuevas campañas de distribución del troyano bancario CobInt a través de campañas de malspam, las cuales son asociadas a Cobalt Group. Para estas campañas en específico se utilizaron correos electrónicos maliciosos enviados desde Gateways.

Leer Más

Nueva campaña del grupo TA505 busca diseminar el descargador Get2 en conjunto al RAT SDBbot.

Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.

Leer Más

Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet Maker

Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.

Leer Más

Nueva campaña de malspam busca infectar a usuarios con RemcosRAT

Desde el CSIRT Financiero se han analizado nuevos indicadores de compromiso asociados a la herramienta de administración remota RemcosRAT. Esta herramienta permite a los ciberdelincuentes obtener acceso total a las máquinas de los usuarios una vez han sido infectados por medio de documentos maliciosos, estos documentos son distribuidos por medio de campañas de malspam, donde una vez es ejecutado el archivo malicioso sobre las máquinas de los usuarios, descargan una variante de RemcosRAT que podría ser utilizada para la extracción de información del usuario o incluso credenciales de acceso.

Leer Más

Nueva campaña de correo malicioso distribuyendo malware Emotet

Se ha identificado actividad reciente de una nueva campaña de correos maliciosos distribuyendo el malware Emotet, la campaña busca aprovecharse de los usuarios poco precavidos al interactuar con correos de este tipo y de esta manera lograr que los usuarios descarguen el malware en mención y así lograr capturar datos personales y credenciales.

Leer Más

SimJacker, Vulnerabilidad de las tarjetas SIM

SimJacker es una vulnerabilidad que puede explotarse de forma remota afectando una amplia gama de tarjetas SIM (Subscriber Identity Module). Desde el CSIRT Financiero se ha identificado que la vulnerabilidad recientemente ha afectado alrededor de 29 países en donde las SIM siguen en uso.

Leer Más

Nuevos indicadores de compromiso del troyano bancario Emotet

Desde el CSIRT Financiero se ha evidenciado que durante los últimos meses Emotet ha aumentado su actividad delictiva a través de diferentes campañas de malspam, donde los ciberdelincuentes han aprovechado la taxonomía de este troyano para diseminarlo.

Leer Más

Nuevos indicadores asociados a la APT FIN6

Desde CSIRT Financiero se han identificado nuevas amenazas relacionadas con APT FIN6, este grupo de hackers, ha robado datos de tarjetas de pago y los ha vendido en mercados clandestinos para obtener ganancias, tradicionalmente ha hecho sus intrusiones dirigidas a entornos de puntos de venta; aunque sus técnicas de ataques se han visto constantemente modificadas con el fin de apuntar a sitios de comercio electrónico.

Leer Más

Actividad reciente de las amenazas CobInt y Cobalt Strike relacionados a Cobalt Group

Desde el CSIRT Financiero se han identificado actividad de los malware CobInt y Cobalt Strike. Programas maliciosos utilizados para descarga de malware y para pruebas de penetración, que tiene funciones propias diseñados para ejecutar ataques dirigidos. Se desconoce exactamente el método de distribución de estas amenazas, pero se tiene evidencia de muestras de estos que han sido propagados mediante correo con archivo de Office adjunto el cual induce mediante técnicas de engaño a usuarios a abrir los permisos de ejecución de macros.

Leer Más

Campaña de malspam que distribuye malware Qakbot.

CSIRT Financiero a identificado una nueva actividad de malspam que distribuye el malware Qakbot. Este tiene como finalidad infectar a los usuarios de internet para extraer datos personales de sus dispositivos Windows.

Leer Más

Archivo