Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Nueva campaña de phishing dirigida a entidad bancaria de Ecuador podría afectar a usuarios de Colombia.

Publicado: 18/08/2019 | Importancia: Media

En los últimos días el CSIRT Financiero identificó una campaña de phishing en la cual suplantan una entidad financiera de Ecuadorla cual podría afectar a usuarios de Colombia.

Nueva Actividad de Cobalt Group En Kazajistán

Publicado: 17/08/2019 | Importancia: Media

Cobalt Group, la asociación de cibercriminales con motivación financiera activa desde 2016.

Nueva campaña de Ramnit Botnet

Publicado: 17/08/2019 | Importancia: Media

Inicialmente este malware tuvo aparición desde el año 2011, donde se destacaba por utilizar las técnicas de un troyano de tipo “Gusano. Se sabe que este malware es diseminado por diferentes métodos los cuales se basan en utilizar campañas de malspam con códigos maliciosos abiertos. Es decir, se distribuye por medio de correos electrónicos no deseados y/o redes sociales con archivos o URL’s maliciosos, los cuales redirigen al usuario a la descarga del malware Ramnit. No obstante, se ha tenido trazabilidad de campañas anteriores donde se han utilizado servidores FTP para la diseminación del malware.

Análisis avanzado de malware “Troyano bancario Gozi”

Publicado: 15/08/2019 | Importancia: Media

Desde el CSIRT Financiero se realiza análisis avanzado al troyano bancario llamado Gozi, con el fin de examinar su comportamiento y de esta forma generar indicadores de compromiso, para poder establecer recomendaciones y controles adecuados que permitan prevenir y mitigar posibles incidentes de seguridad informática.

Cerberus: Nuevo troyano bancario para dispositivos móviles.

Publicado: 14/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha encontrado una nueva definición de malware relacionado con un troyano bancario. Esta nueva definición de se apoda Cerberus el cual busca afectar a los dispositivos móviles con diferentes herramientas de administración.

Microsoft reporta 4 nuevas vulnerabilidades críticas en el protocolo RDP que permitirían la ejecución de código remoto

Publicado: 12/08/2019 | Importancia: Media

Desde el CSIRT Financiero se han identificado cuatro (4) nuevas vulnerabilidades en el protocolo RDP que permitirían a los ciberdelincuentes la ejecución de código remoto en los equipos infectados.

Nueva campaña del troyano LookBack RAT distribuida por documentos Word con macros embebidas.

Publicado: 18/08/2019 | Importancia: Media

LookBack es un troyano especializado en acceso remoto.

Nueva campaña de Trickbot utiliza un nuevo método de infección.

Publicado: 11/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva campaña del malware Trickbot, el cual utiliza un nuevo método de entrega e infección a partir de un archivo .JS altamente ofuscado.

Más de 40 controladores certificados por Microsoft podrían permitir la instalación de malware persistente en equipos con Windows.

Publicado: 10/08/2019 | Importancia: Media

Desde el CSIRT Financiero se observa que más de 40 controladores de alrededor de 20 proveedores diferentes de hardware, podrían ser aprovechados por ciberdelincuentes para obtener los privilegios más elevados en los sistemas víctimas y así lograr ocultar e instalar malware que no se detectaría por soluciones de seguridad, dando al atacante persistencia en el sistema incluso si se reinstala el sistema operativo.

Nueva variante de FlawedAmmy RAT

Publicado: 08/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado actividad de FlawedAmmy (troyano de acceso remoto que permite a los atacantes acceder completamente al dispositivo infectado, además, cuenta con las capacidades necesarias para permitir movimiento lateral en la red).

Nuevas variantes del Troyano Gh0st RAT

Publicado: 08/08/2019 | Importancia: Media

Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas. Los indicadores identificados pueden generar un incidente de seguridad dentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.

BALDR troyano con capacidades de extracción de credenciales bancarias mediante videojuegos

Publicado: 08/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva actividad de Baldr (troyano especializado en capturar credenciales bancarias de forma no autorizada por medio de videojuegos).

Gozi malware bancario

Publicado: 08/08/2019 | Importancia: Media

En la búsqueda de nuevas variantes y ataques de malware dirigido a entidades bancarias el CSIRT Financiero logra identificar actividad reciente acerca de Gozi (troyano bancario que tiene como objetivo el robo de datos confidenciales, además de utilizar a los dispositivos infectados como botnets, para realizar actividades maliciosas).

Lokibot: Nueva variante que oculta su código con esteganografía

Publicado: 07/08/2019 | Importancia: Media

Desde el CSIRT Financiero se observa una nueva variante de LokiBot, la cual mejora su sistema de persistencia en el equipo víctima y adiciona estenografía para dificultar su detección.

Familia de troyano bancario Amavaldo

Publicado: 06/08/2019 | Importancia: Media

Desde el CSIRT Financiero se identifica una familia de troyanos bancarios latinoamericanos comenzando con una nueva familia de malware Amavaldo.

Nueva variante Echobot Botnet

Publicado: 06/08/2019 | Importancia: Media

Desde CSIRT Financiero se identifica una nueva variante de la botnet Echobot que incluye más de 50 exploits los cuales conducen a vulnerabilidades de ejecución remota de código (RCE) en varios dispositivos de Internet de las cosas (IoT).

Vulnerabilidad en productos de VMware

Publicado: 05/08/2019 | Importancia: Media

Desde el CSIRT Financiero se logran identificar múltiples vulnerabilidades en VMware, que podría afectar a su entidad; Vulnerabilidades que se encuentran en los productos ESXi, Workstation y Fusion de WMware, las cuales se asocian a fallas de lectura y escritura fuera de límites.

Reciente fallo descubierto en tarjetas Visa con tecnología RFID

Publicado: 03/08/2019 | Importancia: Media

Desde el CSIRT Financiero, se ha detectado un reciente fallo en las tarjetas de crédito Visa, la cual permite al atacante realizar pagos superiores al monto limite hecho con la tecnología RFID.

Malware Guildma: Campaña de Malspam dirigida a usuarios financieros y de servicios en línea

Publicado: 03/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva campaña de Malspam dirigido a usuarios de entidades financieras y de servicios en línea a través del Malware Guildma. Afectando principalmente a Brasil, pero desde el mes de mayo de 2019, se ha empezado expandir por el área de Latinoamérica y del mundo, afectando aproximadamente a 130 bancos y 75 servicios en línea.

Nueva variante de troyano Dridex

Publicado: 01/08/2019 | Importancia: Media

En el mes de junio se evidencio una campaña de phishing la cual distribuía Dridex/Cridex, en donde se identifica que utilizaba el método de phishing para su distribución adjuntando documentos Microsoft Word con macros incrustadas las cuales realizaban una conexión a un servidor de C&C (comando y control) para posteriormente realiza el robo de credenciales bancarios. Desde el CSIRT Financiero se logra identificar una nueva variante de Dridex (troyano bancario), la cual como método de propagación sigue utilizando phishing con un documento adjunto, pero está vez utiliza técnicas de enmascaramiento e inyección de código.

Indicadores análisis sobre Malware de ATM

Publicado: 31/07/2019 | Importancia: Media

Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.

Nueva variante de TrickBot puede desactivar las defensas de Windows Defender

Publicado: 31/07/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva variante del troyano bancario Trickbot. El cual le permite desactivar las defensas de Windows Defender en dispositivos con el sistema operativo Windows 10.

Nueva campaña de phishing distribuye el malware Ursnif/Gozi mediante la utilización de dominios alojados en servidores C&C como señuelo.

Publicado: 30/07/2019 | Importancia: Media

Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas. Los indicadores identificados pueden generar un incidente de seguridad adentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.

Notificación Global Regional

Publicado: 29/07/2019 | Importancia: Baja

Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron, se recomienda establecer medidas preventivas.

Venta ilegal de tarjetas de crédito en la DeepWeb

Publicado: 26/07/2019 | Importancia: Media

Desde el CSIRT Financiero de se ha logrado identificar nuevas fuentes de información al respecto de la compra y venta de tarjetas robadas en la DeepWeb.

Troyano bancario basado en una extensión de Chrome

Publicado: 26/07/2019 | Importancia: Media

Desde el CSIRT Financiero se identifica un nuevo troyano bancario, el cual se basa en una extensión de Chrome, apuntando directamente al robo de credenciales bancarias en Latinoamérica.

Badhatch, Malware POS del grupo FIN8, busca robar información de tarjetas de crédito

Publicado: 25/07/2019 | Importancia: Media

Desde el CSIRT Financiero se ha detectado a Badhatch, un nuevo Malware distribuido por el grupo FIN8, enfocado a atacar sistemas POS (punto de venta), para obtener la información de las tarjetas de crédito. Este Malware comparte características con PowerSniff, pero su diferencia radica en que Badhatch tiene la capacidad de dar al atacante acceso remoto, instalar Backdoors (puertas traseras), escanear redes en busca de víctimas y poder descargar cargas útiles adicionales entre otras.

Nuevas variantes de malware MozartPOS

Publicado: 25/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta una actualización de la familia de malware FrameworkPOS (point of sale - punto de venta), el cual se dirige a sistemas que emplean dispositivos físicos en puntos de venta.

Skimmer en plataforma Magento

Publicado: 25/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta robo de datos de tarjetas de crédito y/o débito a través de Skimmer alojado en una plataforma de Magento.

Malware Monokle para dispositivos Android

Publicado: 25/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta Monokle, troyano de acceso remoto, el cual apunta a los teléfonos móvil desde el año 2016, aunque no va dirigido a un sector en específico se puede catalogar como una amenaza para el sector financiero por sus capacidades.