Alertas de seguridad

Bat

Nuevos indicadores de compromiso asociados a IcedID

Por medio del monitoreo constante que realiza el Csirt Financiero, identifica nuevos indicadores de compromiso asociados con IcedID, el cual tiene capacidades para expandirse a través de la red, monitorear la actividad del navegador web mediante la configuración de un proxy local para crear un túnel de tráfico. Entre los objetivos de IceID se encuentran entidades financieras, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web-mail.

Leer Más

Nuevos indicadores de compromiso asociados al troyano Azorult.

En el constante monitoreo de amenazas cibernéticas, el Csirt Financiero identifica nuevos indicadores de compromiso relacionados al troyano de tipo infostealer [Ladrón de información] conocido como Azorult, este es un malware que permite la exfiltración de información de credenciales, tarjetas de pago y datos sensibles de los usuarios.

Leer Más

Nuevos indicadores de compromiso asociados al Ransomware Maze

Por medio del monitoreo constante que realiza el Csirt Financiero, identifica nuevos IOC asociados al Ransomware “Maze”, malware utilizado para cifrar información sensible y posteriormente solicitar un rescate por el descifrado de esta.

Leer Más

Clop Ransomware ha sido actualizado

Ransomware Clop utilizado por grupos de ciberdelincuentes como TA505, han mejorado y actualizado sus capacidades en cuanto a técnicas y tácticas.

Leer Más

Lampion, troyano bancario

Lampión es el nombre del troyano bancario que fue conocido recientemente, según la investigación realizada se puede considerar una versión mejorada del Trojan-Banker.Win32.ChePro.

Leer Más

Nuevos indicadores de compromiso asociados a Predator The Thief

Desde el CSIRT Financiero se ha identificado un ataque que utiliza el malware de tipo infostealer denominado predator the thief, el objetivo principal es la exfiltración de información en los equipos comprometidos.

Leer Más

Emotet cambia la estructura de registro en el C2

Por medio de fuentes de información, el CSIRT Financiero ha identificado alteraciones en el cliente del troyano Emotet. Este cambio está asociado a la forma como se registra el cliente ante el servidor de comando y control [C2]. Para consultar los indicadores de compromiso asociados a esta variante comuníquese con el CSIRT Financiero.

Leer Más

Nuevos indicadores de compromiso asociados a Trickbot

El troyano trickbot ha sido constantemente utilizado por ciberdelincuentes que tienen como objetivo el sector bancario como su fuente de recursos. Por medio de fuentes de información, se ha identificado una campaña de distribución de este malware y se evidencia la modificación de las técnicas y tácticas usadas para su distribución, en esta oportunidad se evidenció el uso de una aparente imagen (en formato png), sin embargo, se trata de un archivo ejecutable con el código malicioso del troyano bancario.

Leer Más

Nueva herramienta loader denominada "Bioload", asociada al grupo FIN7

Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.

Leer Más

Nuevas vulnerabilidades halladas en SQLite han sido denominadas como [Magellan 2.0]

Magellan 2.0 es un paquete de vulnerabilidades encontradas en SQLite [librería de software libre escrita en lenguaje C], las cuales podrían permitir a un atacante ejecutar código de manera remota sobre los equipos de los usuarios de internet.

Leer Más

Nuevos indicadores de compromiso asociados a Trickbot

Desde el CSIRT Financiero se evidencian nuevos indicadores de compromiso asociados a Trickbot, teniendo en cuenta sus actualizaciones para aumentar capacidades tanto de captura como de evasión, este tipo de troyano bancario tiene por objetivo la exfiltración de credenciales asociadas a portales transaccionales para cometer diferentes clases de fraude, como utilización de credenciales hasta la venta de estos en la Dark web.

Leer Más

Nuevos indicadores de compromiso asociados a Lokibot

El CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.

Leer Más

Indicadores de compromiso asociados al troyano bancario IcedID

El CSIRT Financiero ha identificado diferentes URL activas que permiten la descarga de IcedID, un troyano bancario que ha venido generando campañas desde el año 2017, el objetivo de este malware son los bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web mail.

Leer Más

Nuevos indicadores de compromiso asociados a Gozi

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Gozi/Ursnif, el cual busca capturar credenciales de usuario de sitios web para realizar transacciones bancarias a través de campañas de malspam acompañados de técnicas de ingeniería social que hacen creer a los usuarios que se encuentran ante un correo auténtico de alguna entidad u organización.

Leer Más

Kit de exploits Spelevo para distribuir Ursnif y Qbot.

Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.

Leer Más

El grupo de amenazas APT FIN8 podría estar relacionado con los ataques dirigidos a estaciones de servicio en Estados Unidos

Desde el CSIRT Financiero se ha identificado una campaña de ataques dirigidos a dispensadores de combustible en estaciones de servicio [Estados Unidos], mediante el envío de correos de tipo phishing, los ciberdelincuentes lograron acceder a la red corporativa y posteriormente a través de movimientos laterales comprometieron los dispositivos POS [Punto de Venta, por sus siglas en inglés], obteniendo la información de las tarjetas de crédito de los usuarios que realizaban el pago por estos medios.

Leer Más

Emotet busca distribuirse a través de falsa campaña climática.

Desde el CSIRT Financiero se ha identificado una nueva campaña de malspam distribuyendo el troyano bancario Emotet en documentos de tipo Microsoft Word con macros maliciosas, con el fin de infectar los equipos de cómputo, esta campaña está enfocada a usuarios con intereses afines al medio ambiente ya que hace una invitación a un evento frente al cambio climático.

Leer Más

Nueva campaña denominada [Legion Loader] busca distribuir múltiples variantes de malware.

Desde el CSIRT Financiero se ha identificado una nueva campaña que distribuye un Dropper [Descargador de Malware] el cual adopta el nombre de Legion Loader. Este Dropper busca distribuir 6 tipos de malware diferentes para afectar a los usuarios de internet, dentro de las topologías de malware distribuidas, se ha detectado Predator de Thief, Raccon Stealer y VIDAR.

Leer Más

Mozi, la nueva Botnet que utiliza el protocolo DHT.

Por medio de investigaciones y continuas revisiones en fuentes de información abiertas, el equipo del CSIRT Financiero ha identificado una nueva botnet denominada Mozi. Esta botnet tiene la capacidad de utilizar el protocolo DHT [Data Hash Tables] para crear sus propias redes P2P [red entre pares], aprovechando claves débiles de telnet sobre equipos Netgear, D-Link y los enrutadores de Huawei.

Leer Más

Troyano alojado en forma de extensión de Chrome, que extrae información.

Desde el CSIRT Financiero se ha identificado un incremento en el uso de extensiones maliciosas en los navegadores web por parte de los ciberdelincuentes. Estas extensiones son diseñadas en su mayoría en código JavaScript y se encuentran alojadas en los markets oficiales de los navegadores web, generando en el usuario confianza para su descarga y posterior infección. En esta ocasión se ha realizado el análisis a un troyano bancario que se distribuye haciéndose pasar por una extensión de Google Chrome.

Leer Más