Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Nuevo troyano bancario denominado HelloTeacher

Publicado: 06/06/2023 | Importancia: Media

En el ecosistema de ciberseguridad en el sector financiero, los actores de amenaza implementan diversas familias de malware que tienen como propósito recopilar información bancaria de las víctimas para beneficio económico propio; estas amenazas son comúnmente conocidas como troyanos bancarios.

CMDStealer, operación dirigida al sector financiero

Publicado: 05/06/2023 | Importancia: Media

Un desconocido actor de amenazas con objetivos financieros está desplegando campañas maliciosas a países como Portugal, México y Perú, con la finalidad de exfiltrar información bancaria de sus víctimas, dentro de las cuales se encuentran las credenciales de acceso. Para ello, emplean una táctica conocida como LOLBaS (Living Off the Land Binaries and Scripts) la cual se basa en la manipulación de binarios legítimos de los sistemas operativos para lograr sus actividades maliciosas, además, los cibercriminales se apoyan con scripts basados en CMD para comprometer la información de la víctima.

Nueva actividad maliciosa relacionada con la Botnet TrueBot.

Publicado: 04/06/2023 | Importancia: Media

A través de monitoreo constante a diversas fuentes de información, el equipo de analistas del Csirt Financiero identificó actividades recientes del software malicioso denominado TrueBot, botnet de descarga que ha estado activa desde el 2017.

NoEscape RaaS: amenaza dual para sistemas Windows y Linux

Publicado: 04/06/2023 | Importancia: Media

Recientemente, se ha descubierto una nueva iniciativa de Ransomware-as-a-Service (RaaS) llamada 'NoEscape'. Esta nueva amenaza fue promocionada en un foro de cibercrimen a finales de mayo de 2023, y sus creadores buscaban activamente afiliados para unirse a su red. NoEscape ofrece a los afiliados una variedad de opciones de construcción de ejecutables de ransomware para sistemas Windows y Linux.

IOC recientes del troyano IcedID

Publicado: 04/06/2023 | Importancia: Media

Durante procesos de monitoreo, se identificaron nuevos indicadores de compromiso (IOC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalar y/o ejecutar otras familias de malware para maximizar su impacto.

Nuevos IoC relacionados con el troyano de acceso remoto NjRAT

Publicado: 03/06/2023 | Importancia: Media

Mediante un monitoreo realizado por el equipo de analistas del Csirt Financiero a través de diversas fuentes de información abiertas, en busca de campañas, artefactos o nuevas amenazas que puedan afectar la infraestructura tecnológica de los asociados, se identificaron indicadores de compromiso recientes y relacionados con el troyano de acceso remoto NjRAT.

Makop Ransomware: Un peligroso actor de amenazas en constante evolución

Publicado: 02/06/2023 | Importancia: Media

En el mundo digital actual, los ataques de ransomware representan una amenaza creciente para las empresas y organizaciones de todo el mundo. Entre los diversos actores de ransomware, se encuentra la pandilla Makop, que ha estado activo desde 2020. A pesar de su reputación relativamente baja, Makop ha logrado comprometer infraestructuras tecnológicas con éxito mediante el uso de un arsenal de herramientas híbridas y personalizadas.

Campaña de ciberataque "Horabot" amenaza a usuarios de habla hispana en América Latina

Publicado: 01/06/2023 | Importancia: Media

Una campaña de malware denominada Horabot ha sido descubierta recientemente, afectando a usuarios de habla hispana en América Latina. Este malware de tipo botnet se dirige a usuarios de habla hispana en Latinoamérica, con un enfoque particular en México, Horabot utiliza un troyano bancario y una herramienta de spam para comprometer las cuentas de correo web y controlar el buzón de Outlook de las víctimas. El troyano recopila credenciales de inicio de sesión, información del sistema operativo y pulsaciones de teclas, mientras que la herramienta de spam envía correos electrónicos no deseados a los contactos de la víctima.

IZ1H9: La activa y peligrosa variante Mirai que amenaza la seguridad de dispositivos Linux

Publicado: 31/05/2023 | Importancia: Media

Recientemente se detectó una variante de la botnet Mirai conocida como IZ1H9, que utiliza vulnerabilidades para propagarse y comprometer servidores expuestos y dispositivos de red que ejecutan Linux. Los dispositivos comprometidos se convierten en parte de una botnet y pueden utilizarse para llevar a cabo ataques distribuidos de denegación de servicio (DDoS). Algunas de las vulnerabilidades explotadas incluyen la inyección de comandos en Tenda G103, LB-Link y DCN DCBI-Netlog-LAB, así como la ejecución remota de código en equipos Zyxel.

Nuevos indicadores de compromiso asociados a LockBit y su versión 3.0

Publicado: 31/05/2023 | Importancia: Media

A través del monitoreo realizado a diversas fuentes de información en búsqueda de nuevas amenazas o campañas que puedan afectar el ecosistema de ciberseguridad del sector financiero, se identificaron nuevos indicadores de compromiso relacionados a LockBit y su versión 3.5.

SeroXen: Un nuevo y evasivo troyano de acceso remoto (RAT)

Publicado: 30/05/2023 | Importancia: Media

SeroXen es un nuevo troyano de acceso remoto (RAT) que ha ganado popularidad en 2023. Se presenta como una herramienta legítima que proporciona acceso a los equipos objetivo sin ser detectado por solo $30 al mes o $60 de por vida. Es una RAT sin archivos que combina proyectos de código abierto como Quasar RAT, r77-rootkit y NirCmd. Este RAT evita la detección en análisis estáticos y dinámicos, lo que lo convierte en una amenaza preocupante.

Identificada una nueva familia de ransomware con el nombre de xCor

Publicado: 30/05/2023 | Importancia: Media

xCor es una nueva familia de ransomware que una vez compromete un equipo o sistema asigna un ID a cada víctima, el cual es usado en las extensiones de los diversos elementos afectados. Este ransomware hace parte de la familia de Dharma.

Nuevo ransomware denominado Rhysida

Publicado: 30/05/2023 | Importancia: Media

Recientemente, se ha identificado un nuevo ransomware denominado como Rhysida, el cual ha sido atribuido a un incidente relacionado con el ejército de Chile, donde ha afectado sus servicios y disponibilidad.

Nueva amenaza denominada PixBankBot afecta al sector bancario

Publicado: 29/05/2023 | Importancia: Media

Mediante un monitoreo realizado a través de diferentes fuentes de información, el equipo de analistas del Csirt Financiero, identificó una nueva amenaza denominada PixBankBot dirigido en principio a bancos brasileños; este software malicioso utiliza el framework del Sistema de Transferencia Automatizado (ATS), lo que le permite malicioso realizar transacciones fraudulentas en los dispositivos de las víctimas.

Bandit Stealer: el nuevo InfoStealer que apunta a navegadores y billeteras de criptomonedas

Publicado: 28/05/2023 | Importancia: Media

Bandit Stealer, un nuevo tipo de infostealer que ha surgido recientemente y está ganando terreno al dirigirse a múltiples navegadores y billeteras de criptomonedas, mientras evade la detección. Aunque actualmente se centra en la plataforma Windows, su desarrollo en el lenguaje de programación Go sugiere la posibilidad de una compatibilidad multiplataforma en el futuro.

Nueva amenaza denominada PowerExchange

Publicado: 28/05/2023 | Importancia: Media

PowerExchange es una amenaza identificada recientemente, la cual se encuentra desarrollada bajo PowerShell y con el objetivo de penetrar en servidores de Microsoft Exchange que se encuentre expuestos en la internet o de forma local.

LockBit 3.0: utiliza la técnica de inyección EWM para propagar el ransomware

Publicado: 27/05/2023 | Importancia: Media

En la actualidad, el mundo digital enfrenta constantemente nuevas amenazas de malware que buscan infiltrarse en sistemas y comprometer la seguridad de la información. Recientemente, se ha detectado una nueva variante del ransomware LockBit que utiliza una técnica de infección conocida como EWM (Exploit Windows Memory). Esta técnica ha sido utilizada previamente por otras familias de malware como Gapz y PowerLoader.

Nuevos indicadores de compromiso asociados a Vidar stealer

Publicado: 26/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado, nuevos indicadores de compromiso asociados a Vidar stealer, una amenaza que es reconocida en el ámbito de ciberseguridad en Colombia debido a sus diversas afectaciones al sector financiero.

Buhti: La amenaza emergente que aprovecha vulnerabilidades y utiliza variantes filtradas de ransomware LockBit y Babuk

Publicado: 25/05/2023 | Importancia: Media

En el oscuro mundo de la ciberdelincuencia, una nueva amenaza ha surgido y ha despertado la atención de expertos en seguridad. Se trata de Buhti, un grupo de ransomware que se destaca por su enfoque inusual. A diferencia de otros grupos, no crea su propio malware, sino que utiliza builders de ransomware filtrados de las familias LockBit y Babuk. Esta táctica ha generado preocupación debido a su capacidad para atacar tanto sistemas Windows como Linux. Además, los operadores de Buhti han sido apodados como Blacktail, aunque su afiliación a otros grupos de cibercriminales aún no ha sido confirmada.

Operación Magalenha: Amenaza brasileña dirigida a instituciones financieras portuguesas

Publicado: 24/05/2023 | Importancia: Media

Un actor de amenazas brasileño ha estado llevando a cabo una campaña de larga duración desde 2021, apuntando a más de 30 instituciones financieras portuguesas. En esta campaña, denominada "Operación Magalenha", los atacantes emplean malware para capturar información confidencial y personal de los usuarios. La operación culmina con el despliegue de dos variantes de una puerta trasera llamada PeepingTitle, que forma parte de un ecosistema de malware financiero brasileño más amplio conocido como Maxtrilha.

Evolución del Downloader Guloader

Publicado: 24/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha descubierto una nueva actividad maliciosa relacionada con el downloader conocido como Guloader. Este malware utiliza la herramienta de código abierto NSIS (Nullsoft Scriptable Install System) una herramienta de código abierto que se utiliza para crear instaladores de software en el sistema operativo Windows para desarrollar instaladores en el sistema operativo Windows. Durante la investigación se han identificado nuevos indicadores de compromiso asociados a esta amenaza.

BlackByte NT: La nueva versión del ransomware BlackByte

Publicado: 23/05/2023 | Importancia: Media

BlackByte es un grupo conocido por su uso de su ransomware con el mismo nombre, ofreciendo su servicio a sus afiliados como Ransomware-as-a-Service (RaaS). Han desarrollado diferentes variantes de malware a lo largo del tiempo, implementadas en varios lenguajes de programación. Su última versión, llamada BlackByte NT, Esta nueva implementación agrega controladores adicionales para explotar una vulnerabilidad específica y desactivar herramientas de seguridad que podrían interferir con su funcionamiento.

Nueva campaña maliciosa del ransomware Black Basta

Publicado: 23/05/2023 | Importancia: Media

A medida que avanza el tiempo, los cibercriminales responsables del ransomware Black Basta continúan actualizando de manera constante esta amenaza y sus herramientas maliciosas. No obstante, el equipo de analistas del Csirt Financiero se mantiene vigilante y ha logrado identificar recientemente nueva actividad maliciosa y nuevos indicadores de compromiso.

BlackCat: Ataques de ransomware potenciados por controladores maliciosos

Publicado: 22/05/2023 | Importancia: Media

Recientemente se ha detectado un aumento en la actividad del grupo de ransomware conocido como ALPHV, también llamado BlackCat. Lo preocupante es que este grupo está utilizando controladores de kernel de Windows maliciosos, los cuales están firmados para evadir la detección por parte del software de seguridad durante sus ataques. Esta táctica les ha permitido eludir las defensas y llevar a cabo sus acciones sin ser detectados.

Nuevos IoC asociados al troyano de acceso remoto AveMaria

Publicado: 22/05/2023 | Importancia: Media

AveMaria es un RAT modular con capacidades avanzadas, las cuales le permiten exfiltrar múltiple información de los equipos infectados, cabe resaltar que también es conocido como WARZONE RAT y que además esta amenaza está dirigida a todos los sectores, donde encontramos el ámbito financiero.

Nuevos indicadores de compromiso asociados a Bumblebee

Publicado: 22/05/2023 | Importancia: Media

A través del constante monitoreo a posibles amenazas que afecten el ecosistema de ciberseguridad del sector financiero, se han identificado, correlacionado y sanitizado, nuevos indicadores de compromiso relacionados al loader Bumblebee.

Actualización de IoC asociados a NetSupport RAT

Publicado: 21/05/2023 | Importancia: Media

NetSupport Manager es una herramienta de acceso remoto, el cual está diseñado para que sus usuarios puedan acceder a sus equipos de TI de forma local o remota; es un software legítimo, sin embargo es muy utilizada por ciberdelincuentes que hacen mal uso de este en sus campañas maliciosas y así sustraer información sensible alojada en la infraestructura tecnológica comprometida.

Nuevos indicadores de compromiso relacionados a la botnet Amadey

Publicado: 21/05/2023 | Importancia: Media

Amadey se caracteriza por su capacidad para capturar información confidencial como contraseñas, datos bancarios y credenciales de inicio de sesión, así como realizar acciones no autorizadas en el sistema infectado.

El ransomware Clop es distribuido por el grupo APT Fin7

Publicado: 20/05/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha detectado nueva actividad maliciosa relacionada con el ransomware Clop, llevada a cabo por el grupo de ciberdelincuentes conocido como FIN7. Este grupo, activo desde al menos 2015, se ha destacado por implementar malware en dispositivos de punto de venta (POS) y realizar ataques de phishing dirigidos a numerosas empresas a nivel global.

MalasLocker: Ransomware enfocado en servidores Zimbra

Publicado: 20/05/2023 | Importancia: Media

Una nueva amenaza de ransomware llamada MalasLocker ha surgido, apuntando a servidores Zimbra con el objetivo de capturar correos electrónicos y cifrar archivos. Sin embargo, a diferencia de los ataques convencionales, los perpetradores de esta operación de ransomware no exigen un pago de rescate en criptomonedas, sino que solicitan una donación a una organización benéfica para proporcionar una clave de descifrado y evitar la filtración de datos.