Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Febrero de 2023

Indicadores de compromiso recientes del troyano IcedID

Publicado: 26/02/2023 | Importancia: Media

Durante procesos de inteligencia, se identificaron nuevos indicadores de compromiso (IoC) asociados al troyano bancario IcedID, caracterizado por ser modular y contar con capacidades que le permiten recopilar información sensible de los equipos infectados, además, de descargar, instalas y/o ejecutar otras familias de malware para maximizar su impacto.

El downloader Pure crypter descarga diversas familias de malware

Publicado: 25/02/2023 | Importancia: Media

Recientemente el equipo de analistas del Csirt Financiero identificó nueva actividad relacionada a Pure Crypter un downloader el cual está reapareciendo y realizando afectaciones a organizaciones gubernamentales a nivel mundial, generando la descarga de diversos tipos de malware como ransomware y troyanos de acceso remoto, gracias a estas nuevas actividades se generan nuevos indicadores de compromiso relacionados a Pure Crypter.

Nueva actividad maliciosa del troyano bancario Lokibot

Publicado: 24/02/2023 | Importancia: Media

A través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt financiero identifico nuevos indicadores de compromiso relacionados con Lokibot, una de las amenazas más utilizadas por grupos de ciberdelincuentes gracias a sus altas capacidades, por lo que es importante realizar las actualizaciones correspondientes a este tipo de actividades que ayuden a prevenir cualquier tipo de afectación a su entidad.

El ransomware Magniber reaparece con nuevas capacidades para generar persistencia.

Publicado: 23/02/2023 | Importancia: Media

Mediante diferentes fuentes de información abiertas, el equipo de analistas del Csirt Financiero realizó un monitoreo en busca de campañas y amenazas que puedan afectar la infraestructura de los asociados, donde se identificó actividades recientes del ransomware Magniber implementando técnicas para generar persistencia en los equipos comprometidos.

Nueva actividad maliciosa del troyano de acceso remoto Quasar RAT

Publicado: 22/02/2023 | Importancia: Media

Aunque el troyano de acceso remoto Quasar RAT ha sido reportado anteriormente por el Csirt, es importante resaltar sus recientes actividades maliciosas, donde a través de fuentes de información abierta se han identificado nuevos indicadores de compromiso relacionados a Quasar RAT, el cual se encuentra dirigido a entidades financieras y en sus últimas campañas a estado dirigida a Colombia.

Nuevos indicadores de compromiso asociados a BitRAT

Publicado: 22/02/2023 | Importancia: Media

Mediante actividades de monitoreo a fuentes abiertas de información en busca de nuevas campañas y/o amenazas que puedan afectar la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionados con actividades recientes de BitRAT, el cual es un troyano de acceso remoto comercializado desde febrero del 2021 en foros clandestinos de la Deep y Dark web.

El nuevo Stealer Stealc toma popularidad entre ciberdelincuentes

Publicado: 20/02/2023 | Importancia: Media

Últimamente emergen nuevas familias de malware casi a diario en el panorama de amenazas, es así como se ha rastreado Stealc un nuevo stealer que ha ganado popularidad en la web oscura debido a su agresiva promoción de capacidades de captura de datos, además de tener funcionalidades basadas en los stealer Vidar, Raccoon, Mars y Redline.

Nueva actividad maliciosa del ransomware Blackcat

Publicado: 19/02/2023 | Importancia: Media

El ransomware BlackCat ha sido una de las amenazas más utilizadas por grupos de ciberdelincuentes generando grandes afectaciones a organizaciones en Latinoamérica, con un gran impacto en la disponibilidad de la información de organizaciones públicas y privadas como universidades y fuerzas militares, por lo que es importante realizar un seguimiento constante de esta amenaza donde se logran identificar nuevos indicadores de compromiso relacionados a BlackCat.

Nuevo troyano de acceso remoto denominado M2RAT

Publicado: 19/02/2023 | Importancia: Media

Se ha identificado recientemente una nueva familia de malware, presentado como M2RAT, es un troyano de acceso remoto que es distribuido a través de la vulnerabilidad (CVE-2017-8291), adicionalmente, agrega técnicas de esteganografía, backdoor, inyección de código malicioso y exfiltración de data sensible del sistema informático comprometido.

Plugx entregado a través de dispositivos USB

Publicado: 18/02/2023 | Importancia: Media

En una reciente investigación se identificó que el troyano de acceso remoto PlugX es distribuido a través de unidades de almacenamiento externo (USB) para infectar sistemas informáticos. Este RAT, ha estado tomando gran relevancia en estos últimos meses debido a sus capacidades para ser implementado como una puerta trasera en diversas campañas maliciosas, por supuesto, sin ignorar sus funcionalidades de recopilación de información.

Nueva actividad maliciosa del stealer Vidar

Publicado: 18/02/2023 | Importancia: Media

Vidar es un stealer que en estos últimos meses se ha convertido en una de las familias de malware más relevantes en el ámbito de ciberseguridad, no solo por su capacidad de captura de información sino por el impacto que ha generado en el sector financiero; así mismo, se ha presenciado múltiples participaciones de este en diversas filtraciones de credenciales de cuentas bancarias en Colombia, las cuales se han comercializado en la Deep y Dark web, lo cual conlleva a tener presente esta amenaza y en constante monitoreo.

Nuevo backdoor rastreado como Frebniis abusa de Microsoft ISS

Publicado: 17/02/2023 | Importancia: Media

El panorama de amenazas continúa proliferando nuevas familias de malware, en esta ocasión se ha detectado un nuevo backdoor llamado Frebniis que aprovecha una característica de los Servicios de información de Internet de Microsoft (IIS) para ejecutar comandos sigilosamente a través de solicitudes web e implementarse en sistemas específicos.

Nueva actividad maliciosa del troyano bancario Mekotio

Publicado: 17/02/2023 | Importancia: Media

Recientemente el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso del troyano bancario conocido como Mekotio, esta nueva campaña está dirigida a países de Latinoamérica con el objetivo de capturar datos confidenciales de entidades financieras, en donde los actores detrás de amenaza implementan nuevas (TTP) con el fin de no ser detectadas por soluciones de seguridad y tecnologías de detección antimalware.

Nuevo criptominero denominado ProxyShellMiner explota vulnerabilidades de Microsoft Exchange

Publicado: 16/02/2023 | Importancia: Media

Recientemente se identificó una nueva campaña distribuyendo el criptominero 'ProxyShellMiner' que afecta equipos con sistemas Microsoft Windows, esta amenaza utiliza las vulnerabilidades de Microsoft Exchange ProxyShell para implementar cargas útiles de mineros de criptomonedas en toda la red de una organización, permitiendo a los atacantes tomar el control completo del servidor de Exchange y pivotar a otras partes de la red.

Nueva variante de la botnet Mirai denominada V3G4

Publicado: 16/02/2023 | Importancia: Media

Mirai es una botnet activa desde el año 2016, los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS, entre otros. Recientemente se han identificado nuevas variantes de esta botnet y en esta ocasión se observó una nueva denominada V3g4, la cual viene realizando explotaciones a vulnerabilidades en servidores basados en el sistema operativo Linux y dispositivos IoT para usarlos en ataques DDoS.

Dark Caracal APT emplea una nueva versión del spyware Bandook en objetivos de América Latina

Publicado: 15/02/2023 | Importancia: Media

El grupo de Dark Caracal APT ha reaparecido con una nueva campaña de infección de computadoras en América Central y Latina. La campaña está activa desde marzo de 2022, desde entonces han conseguido establecerse en cientos de equipos en más de una docena de países. El grupo utiliza una nueva versión del spyware Bandook para apuntar a sistemas operativos Microsoft Windows, teniendo como foco principal la República Dominicana y Venezuela.

Surge una campaña maliciosa con nuevas amenazas

Publicado: 15/02/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero realizó un monitoreo al ciberespacio en busca de nuevas amenazas y/o actividades maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una campaña motivada financieramente distribuyendo dos amenazas nuevas, siendo una de ellas un ransomware denominado MortalKombat y el otro una variante del clipper Laplas.

Nueva actividad de ShadowPad RAT dirigido a organizaciones de Latinoamérica

Publicado: 14/02/2023 | Importancia: Media

El troyano de acceso remoto Shadowpad RAT fue inicialmente publicado como una herramienta legítima de acceso remoto en el 2021, en ese mismo año varios actores de amenaza la empezaron a implementar con fines delictivos; en esta ocasión, se observó a un grupo de ciberdelincuentes con origen en china conocido como DEV-0147 apuntando a organizaciones en América latina distribuyendo esta familia de malware.

Nuevos métodos de distribución relacionado con el troyano AsyncRAT

Publicado: 13/02/2023 | Importancia: Media

El panorama de amenazas tiene una gran diversificación de familias y por consiguiente de sus variantes, asimismo es común evidenciar que los actores maliciosos empleen nuevos métodos de distribución; de acuerdo con lo anterior se ha detectado que AsyncRAT se ha estado entregando a través de CHM(archivo de Ayuda de Windows) y documentos de OneNote.

Nueva amenaza de tipo dropper denominada Beep

Publicado: 13/02/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero, en un monitoreó realizado al ciberespacio en busca de nuevas amenazas o campañas que puedan impactar a los asociados, se identificó un nuevo software malicioso tipo dropper denominado Beep, el cual implementa una gran cantidad de técnicas para evadir la detección en los sistemas comprometidos.

Nueva actividad relacionada con el ransomware Trigona

Publicado: 12/02/2023 | Importancia: Media

El ransomware es un tipo de malware que se ha vuelto cada vez más prevalente en los últimos años, es importante destacar que, a nivel global, sigue siendo una amenaza constante y que en América Latina también se ha visto un aumento en los ataques. Es así como se ha identificado actividad reciente relacionada con la variante de ransomware Trigona.

Nuevos indicadores de compromiso asociados a Agent Tesla

Publicado: 11/02/2023 | Importancia: Media

Comúnmente, las grandes familias de malware se encuentran en constante evolución de sus capacidades y funcionalidades, donde luego desencadenan múltiples campañas maliciosas a llegar a tal punto de volverse tendencia por ciertos intervalos de tiempo, llegando a impactar a diversas infraestructuras tecnológicas en todo el mundo.

Nueva actividad maliciosa del troyano bancario Dridex

Publicado: 11/02/2023 | Importancia: Media

En el ámbito de ciberseguridad, es frecuente evidenciar la generación de nuevas campañas maliciosas asociadas a diversas familias de malware, algunas con más relevancias que otras, estas amenazas tienen como propósito implementar técnicas, estrategias y métodos de infección diferentes con el propósito de impactar a todo tipo de organizaciones a nivel global.

Backdoor con capacidades para realizar inteligentes capturas de pantalla

Publicado: 10/02/2023 | Importancia: Media

Es muy frecuente evidenciar que diversas familias de malware implementen funcionalidades para amplificar el impacto de afectación sobre el sistema informático objetivo, no solo eso, en la gran mayoría de las mencionadas, tienen como propósito recopilar data sensible como credenciales de acceso, bancarias, etc. Donde utilizan diversas técnicas tipo spyware para llevar a cabo su objetivo.

El troyano Qbot es distribuido a través de archivos de Microsoft OneNote

Publicado: 09/02/2023 | Importancia: Media

Qbot también conocido como QuakBot o Pinkslipbot fue identificado por primera vez en el año 2009, desde entonces los grupos de ciberdelincuentes detrás de esta amenaza han estado en constantes actualizaciones en su código llegándolo a convertir en una de las amenazas más utilizadas en distintos ataques a nivel global, en una de sus nuevas actualizaciones se observó una nueva campaña denominada QakNote, el cual utiliza archivos adjuntos maliciosos de Microsoft OneNote con extensión .one para su proceso de infección.

Nueva campaña maliciosa relacionada con Gootloader

Publicado: 08/02/2023 | Importancia: Media

El despliegue de ataques que involucran GootLoader, implementan archivos JavaScript ofuscados, diseñados para evadir la seguridad y la carga de grandes payloads, disfrazados como legítimos. Recientemente se identificó una campaña de este loader, dirigida principalmente a entidades en países de habla inglesa, como Estados Unidos, Reino Unido y Australia, con un énfasis en el sector salud y financiero.

Se identifica nueva actividad maliciosa de Emotet

Publicado: 08/02/2023 | Importancia: Media

Aunque Emotet ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero identificó una reciente actividad maliciosa de esta amenaza, recopilando nuevos indicadores de compromiso (IoC) los cuales están siendo distribuidos por diversos grupos de ciberdelincuentes con fines delictivos para capturar información confidencial.

Royal ransomware es dirigido a servidores VMware ESXi

Publicado: 08/02/2023 | Importancia: Media

Durante las últimas semanas diversos actores de amenazas han realizado ataques a servidores de VMware ESXi en gran parte del mundo, en esta ocasión royal ransomware se ha sumado a esta ola de amenazas que han afectado cientos de servidores VMware ESXi a nivel global, por lo que es importante destacar este tipo de actividades que pueden afectar la confidencialidad de su información.

Variante de Clop ransomware afecta sistemas Linux

Publicado: 07/02/2023 | Importancia: Media

Los operadores de Clop han diseñado una variante de su ransomware dirigida a sistemas operativos Linux, aunque con un algoritmo de cifrado deficiente, por lo cual es posible descifrar los archivos bloqueados si es afectado por esta versión.

Nueva actividad maliciosa de Guloader

Publicado: 06/02/2023 | Importancia: Media

A través de un monitoreo a fuentes abiertas de información el equipo de analistas del Csirt Financiero identificó una nueva actividad maliciosa del downloader conocido como Guloader, el cual está realizando nuevas campañas utilizando una herramienta de código abierto denominada NSIS (Nullsoft Scriptable Install System), basada en secuencias de comandos que se utiliza para desarrollar instaladores para el sistema operativo Windows, junto con ello se identificaron nuevos indicadores de compromiso asociados a Guloader.

Archivo