Alertas de seguridad

Bat

Nuevas campañas de phishing buscan distribuir el malware PredatorTheThief.

El CSIRT Financiero ha identificado una nueva actividad del Malware PredatorTheThief, su distribución se realiza por medio de campañas de correo electrónico de tipo malicioso. No obstante, los ciberdelincuentes pretenden persuadir a los usuarios para que ellos ejecuten un archivo .zip, iniciando con esto la descarga de la carga útil de PredatorTheThief sobre la máquina del usuario.

Leer Más

Análisis técnico del malware Ryuk

En los últimos días se detectaron ataques de Ransomware a dos organizaciones de España, las cuales de manera oficial confirmaron el ataque sufrido. Los tipos de Ransomware identificados se tratan de las nuevas versiones de Ryuk y BitPaymer. El CSIRT Financiero ha realizado análisis técnico del ransomware Ryuk, con el fin de establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.

Leer Más

Nueva actividad de Andariel, uno de los subgrupos más importantes de APT Lazarus.

El CSIRT financiero a través del continuo monitoreo e investigación de amenazas, ha identificado múltiples campañas de spear phishing (consiste en un ataque dirigido, utilizando técnicas de ingeniería social por medio de correos electrónicos muy personalizados) atribuidas al subgrupo Andariel. las técnicas utilizadas son muy similares a las de Lazarus Group (distribución de documentos con macros diseñadas para la descarga de malware con el objetivo de extraer información).

Leer Más

Nueva campaña del grupo TA505 distribuyendo el dropper (descargador de malware) GET2.

Por medio de fuentes de inteligencia de amenazas del CSIRT Financiero se ha identificado una nueva actividad del grupo TA505, esta nueva campaña utiliza las mismas técnicas de distribución y ofuscación de malware utilizada en campañas anteriores; El método de distribución consiste en el envío de correos maliciosos que pretenden distribuir el dropper GET2, con archivos adjuntos de office que contienen macros maliciosas embebidas.

Leer Más

FriedEx, el ransomware BitPaymer

Desde las fuentes de información del CSIRT Financiero, se identificó actividad del ransomware FriedEx el cual fue asociado al ransomware conocido como BitPaymer, BitPaymer se enfoca en empresas de alto nivel con el fin de expandirse a todos los dispositivos a través de la red y cifrar sus archivos para obtener claramente beneficios monetarios.

Leer Más

Pipka el nuevo Skimmer de JavaScript

El CSIRT Financiero ha identificado un nuevo Skimmer de JavaScript de nombre Pipka, el cual está orientado a la captura de datos ingresados en formularios de las web de comercio electrónico que sean infectadas.

Leer Más

Nuevos indicadores de compromiso relacionados con el grupo de amenazas APT-38

Se han identificado nuevos indicadores de compromiso asociados a APT-38 o Lazarus Group (grupo de ciberdelincuentes); Con base en el análisis realizado, se considera que la campaña se ha logrado distribuir por varias organizaciones en diversos países entre los que se evidencian Italia, Estados Unidos, Rusia, China, India, entre otros.

Leer Más

Nuevos indicadores de compromiso asociados al troyano Ursnif (Gozi)

Desde las fuentes de información del CSIRT Financiero, se han identificado nuevos indicadores de compromiso relacionados con el troyano Ursnif/Gozi. Este malware es uno de los más destacados en la familia de troyanos dirigidos a la exfiltración de datos sensibles [asociados a información financiera] de los usuarios víctimas, ya que permite la sustracción de información de manera masiva sobre una red de computadoras infectadas.

Leer Más

Identificación de nuevos indicadores de compromiso asociados al Ransomware MegaCortex

A través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.

Leer Más

Nuevos indicadores de compromiso relacionados con Emotet

Desde las fuentes de información del CSIRT Financiero, se han detectado nuevos indicadores de compromiso relacionados con el troyano Emotet. Este malware es modular, entre los más destacados está el módulo para la captura y extracción de datos el cual permite a ciberdelincuentes conseguir el acceso a las cuentas de los usuarios que sean afectados con esta amenaza.

Leer Más

Nuevos indicadores de compromiso asociados a Cobalt Group

El CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].

Leer Más

Campaña RDoS dirigida a bancos y entidades financieras

Por medio de las fuentes de información del CSIRT Financiero, se permite informar acerca de una nueva campaña de denegación de servicios de rescate [RDoS], su ejecución se realizó a finales de octubre del presente año, mencionada campaña fue reportada por organizaciones financieras relacionando la llegada de un correo con mensajes de extorsión.

Leer Más

Ciberataque de Ransomware a empresas españolas afectaron la disponibilidad de sus servicios

En el análisis constante en búsqueda de amenazas que puedan de algún modo afectar al sector financiero, el CSIRT Financiero identificó indicadores de compromiso asociados al ciberataque de Ransomware que sufrieron empresas españolas.

Leer Más

Campaña de correo electrónico no deseado que distribuye malware para explotar vulnerabilidades de Microsoft Office

Se identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.

Leer Más

Nuevos indicadores de compromiso asociados a Cobalt Strike

Por medio de fuentes de información el CSIRT Financiero conoce de nueva campaña de phishing que relaciona la herramienta Cobalt Strike; se asocian indicadores de compromiso que relacionan una variante de malware generada con la herramienta. Se distribuye por medio de correo electrónico en la cual han utilizado ingeniería social para engañar a usuarios a que habrá un correo que contiene el malware.

Leer Más

Nuevos indicadores de compromiso asociados al malware Pony [aka Fareit].

Por medio de fuentes de información, el CSIRT Financiero relaciona indicadores de compromiso asociados al malware Pony, también conocido como aka Fareit, este es considerado como uno de los ladrones de contraseña más populares.

Leer Más

Xhelper, el nuevo Dropper [Descargador de malware]

Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.

Leer Más

Malware asociado al grupo Lazarus

Desde el CSIRT Financiero se ha identificado malware que se propaga a través de un fichero Excel con macros incrustadas, su distribución se realiza a través de redes sociales como Messenger y Telegram; este malware es atribuido al grupo “Lazarus” (Grupo anónimo de ciberdelincuentes).

Leer Más

Campaña de Malspam distribuyendo TrickBot, IcedID y Ursnif

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña que distribuye tres tipos de troyanos bancarios, esta campaña envía correos electrónicos no deseados con las cargas útiles de TrickBot, IcedID y Ursnif, las cuales hacen parte de las familias de troyanos bancarios con más actividad en el año 2019.

Leer Más

Campaña de malspam que distribuyen el malware Negasteal y Ave_Maria.

Desde el CSIRT Financiero se han evidenciado indicadores de compromiso relacionados con Negasteal y Ave_Maria, los cuales han sido ofuscados y compilados por medio de AutoIT [lenguaje de secuencias de comandos que originalmente es destinado a automatizar tareas básicas en la interfaz de usuario de Windows]

Leer Más

Archivo