Alertas de seguridad

Bat

Nueva campaña de distribución de RemcosRAT

Reporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.

Leer Más

Nefilim / Nephilim Ransomware, sucesor de Nemty ransomware

El equipo del Csirt Financiero ha identificado una nueva variante de Nemty Ransomware denominado Nefilim o Nephilim Ransomware, la cual tiene por objetivo cifrar la información confidencial y exfiltrarla para extorsionar a las empresas vulneradas. En la última campaña realizada se enfocó en empresas privadas como refinerías petroleras, de ingeniería y de construcción.

Leer Más

Malware Evilnum con modificaciones para atacar al sector financiero

El equipo del Csirt Financiero ha identificado una campaña de ataques a empleados y usuarios de entidades financieras extranjeras con una versión mejorada del malware Evilnum, el cual tiene la capacidad de cargar y descargar archivos, recolectar cookies de seguimiento y ejecutar comandos arbitrarios en el equipo comprometido.

Leer Más

Vulnerabilidades de seguridad de SaltStack Salt en VMware vRealize Operations Manager

Se han evidenciado dos vulnerabilidades importantes de seguridad en SaltStack Salt de VMware vRealize Operations Manager, las cuales permiten el acceso sin autenticación de un agente remoto y recorrer el directorio de forma arbitraria.

Leer Más

Vulnerabilidades críticas en Oracle iPlanet Web Server 7.0.

El equipo del Csirt Financiero ha identificado múltiples problemas de seguridad en servidores web iPlanet Web Server 7,0 los cuales ya no cuentan con soporte y actualmente hay 20 servidores en Colombia que ejecutan la versión afectada. Estas vulnerabilidades permiten la exposición de datos confidenciales y la inyección de imágenes para modificar los dominios web.

Leer Más

Nuevo malware puede exfiltrar datos de sistemas Air-Gapped manipulando la fuente de poder.

En el constante monitoreo que realiza el Csirt Financiero se observó un nuevo malware denominado POWER-SUPPLaY con la capacidad de exfiltrar información confidencial de equipos en sistemas Air-Gapped, manipulando la frecuencia de conmutación interna de una fuente de alimentación para reproducir sonidos y usarlo como un altavoz secundario.

Leer Más

Nueva variante de un troyano bancario de origen brasileño

Desde el Csirt Financiero se ha detectado una nueva campaña dirigida a usuarios localizados en Portugal. Dicha campaña está distribuyendo una nueva variante de un troyano bancario de origen brasileño, el cual tiene como objetivo la superposición de ventanas en el navegador del usuario para la exfiltración de las credenciales bancarias.

Leer Más

Indicadores de compromiso relacionados al grupo APT Silence.

El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con campañas de ataques perpetrados por el grupo cibercriminal Silence, el cual tiene como objetivo suplantar entidades financieras en mensajes de correo electrónico haciendo que los empleados de dichas entidades descarguen archivos adjuntos maliciosos y exfiltrar información financiera confidencial.

Leer Más

Actualización del ransomware Sodinokibi

Investigadores han detectado una nueva actualización del ransomware Sodinokibi, consistente en el uso de la API llamada ‘Windows Restart Manager’, con el fin de cerrar o apagar los procesos de los servicios que tienen abiertos o bloqueados los archivos y así poder cifrar una mayor cantidad de archivos.

Leer Más

Nuevos indicadores de compromiso asociados a Dridex

Desde el Csirt Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña de malspam mediante la cual se distribuye al troyano Dridex, también conocido como Cridex, diseñado para capturar información financiera e introducir al equipo infectado en una botnet.

Leer Más

Actualizaciones de seguridad para Adobe DNG, Acrobat y Reader

Dentro del constante monitoreo que realiza el equipo del Csirt Financiero, se identificaron 36 vulnerabilidades en Adobe DNG, Acrobat y Reader, que podrían permitir a un ciberdelincuente la interrupción de la disponibilidad de los servicios e incluso la exfiltración de información.

Leer Más

Servicios expuestos en Colombia

El Csirt Financiero se encuentra monitoreando diferentes fuentes de información públicas relacionadas con las infraestructuras que se localizan en la región, verificando un alto crecimiento del teletrabajo

Leer Más

Spyware Mandrake, malware sin detección por más de 4 años

En el constante monitoreo que realiza el equipo del Csirt Financiero se han identificado campañas de infección del malware Mandrake, el cual es un spyware que había pasado desapercibido por más de 4 años, creando múltiples aplicaciones Android para tomar control total del dispositivo exfiltrando los datos sensibles.

Leer Más

Copperhedge, Taintedscribe y Pebbledash, malware distribuido por Hidden Cobra

El equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.

Leer Más

Nuevos indicadores de compromiso asociados a IcedID

A través del continuo monitoreo realizado por el equipo del Csirt Financiero a nuevos vectores de amenazas, se han identificado nuevos indicadores de compromiso asociados a IcedID, troyano con capacidades para expandirse a través de la red, monitorear la actividad del navegador web mediante la configuración de un proxy local con el fin de crear un túnel de tráfico.

Leer Más

Nuevo grupo Vendetta afecta organizaciones de Europa y Latinoamérica

El nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.

Leer Más

Nueva campaña utilizando el troyano adwind rat

Desde el Csirt Financiero se ha evidenciado una nueva campaña contra entidades bancarias localizadas en la India, en los ataques se ha utilizado el troyano Adwind RAT. Este malware está programado en Java y permite ejecución multiplataforma sin distinción del sistema operativo, siempre y cuando cuente con Java instalado.

Leer Más

Grupo Tropic Trooper utiliza USBFerry en entornos Air gapped

En el constante monitoreo que realiza el Csirt Financiero, evidenció investigación relacionada con el grupo cibercriminal Tropic Trooper, el cual está empleando dispositivos USB para realizar ataques a infraestructuras de tipo air gapped, con el fin de exfiltrar información confidencial

Leer Más

Ransomware ProLock y troyano Qakbot en trabajo colaborativo

El ransomware ProLock se asocia con el conocido troyano bancario Qakbot para ingresar a la red interna, sustraer datos confidenciales, cifrarlos y cobrar un rescate para la devolución de la información exfiltrada. Las nuevas capacidades de Qakbot, convierten este ataque colaborativo en una amenaza persistente, con movimiento lateral para alcanzar más víctimas.

Leer Más

Análisis técnico de amenaza Defensor ID

Desde el Csirt Financiero ha evidenciado un nuevo malware, dirigido principalmente a los usuarios de entidades bancarias localizadas en Brasil. El troyano bancario para dispositivos Android se ha denominado Defensor ID, nombre que utiliza la aplicación para su descarga.

Leer Más

Archivo