Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Nuevos indicadores de compromiso relacionados con el grupo de amenazas APT-38

Publicado: 09/11/2019 | Importancia: Media

Se han identificado nuevos indicadores de compromiso asociados a APT-38 o Lazarus Group (grupo de ciberdelincuentes); Con base en el análisis realizado, se considera que la campaña se ha logrado distribuir por varias organizaciones en diversos países entre los que se evidencian Italia, Estados Unidos, Rusia, China, India, entre otros.

Nuevos indicadores de compromiso asociados al troyano Ursnif (Gozi)

Publicado: 08/11/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero, se han identificado nuevos indicadores de compromiso relacionados con el troyano Ursnif/Gozi. Este malware es uno de los más destacados en la familia de troyanos dirigidos a la exfiltración de datos sensibles [asociados a información financiera] de los usuarios víctimas, ya que permite la sustracción de información de manera masiva sobre una red de computadoras infectadas.

Identificación de nuevos indicadores de compromiso asociados al Ransomware MegaCortex

Publicado: 08/11/2019 | Importancia: Media

A través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.

Nuevos indicadores de compromiso relacionados con Emotet

Publicado: 08/11/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero, se han detectado nuevos indicadores de compromiso relacionados con el troyano Emotet. Este malware es modular, entre los más destacados está el módulo para la captura y extracción de datos el cual permite a ciberdelincuentes conseguir el acceso a las cuentas de los usuarios que sean afectados con esta amenaza.

Nuevos indicadores de compromiso asociados a Cobalt Group

Publicado: 06/11/2019 | Importancia: Media

El CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].

Campaña RDoS dirigida a bancos y entidades financieras

Publicado: 06/11/2019 | Importancia: Media

Por medio de las fuentes de información del CSIRT Financiero, se permite informar acerca de una nueva campaña de denegación de servicios de rescate [RDoS], su ejecución se realizó a finales de octubre del presente año, mencionada campaña fue reportada por organizaciones financieras relacionando la llegada de un correo con mensajes de extorsión.

Ciberataque de Ransomware a empresas españolas afectaron la disponibilidad de sus servicios

Publicado: 05/11/2019 | Importancia: Media

En el análisis constante en búsqueda de amenazas que puedan de algún modo afectar al sector financiero, el CSIRT Financiero identificó indicadores de compromiso asociados al ciberataque de Ransomware que sufrieron empresas españolas.

Campaña de correo electrónico no deseado que distribuye malware para explotar vulnerabilidades de Microsoft Office

Publicado: 05/11/2019 | Importancia: Media

Se identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.

Nuevos indicadores de compromiso asociados a Cobalt Strike

Publicado: 04/11/2019 | Importancia: Media

Por medio de fuentes de información el CSIRT Financiero conoce de nueva campaña de phishing que relaciona la herramienta Cobalt Strike; se asocian indicadores de compromiso que relacionan una variante de malware generada con la herramienta. Se distribuye por medio de correo electrónico en la cual han utilizado ingeniería social para engañar a usuarios a que habrá un correo que contiene el malware.

Nuevos indicadores de compromiso asociados al malware Pony [aka Fareit].

Publicado: 01/11/2019 | Importancia: Media

Por medio de fuentes de información, el CSIRT Financiero relaciona indicadores de compromiso asociados al malware Pony, también conocido como aka Fareit, este es considerado como uno de los ladrones de contraseña más populares.

Xhelper, el nuevo Dropper [Descargador de malware]

Publicado: 31/10/2019 | Importancia: Media

Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.

Se detectan posibles amenazas en la plataforma SWIFT

Publicado: 31/10/2019 | Importancia: Media

El CSIRT Financiero dentro de las actividades de investigación del observatorio de ciberseguridad, pone en conocimiento nuevos indicadores de compromiso que podrían estar relacionados con una campaña enfocada hacia los usuarios de la plataforma de mensajería de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT).

Malware asociado al grupo Lazarus

Publicado: 31/10/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado malware que se propaga a través de un fichero Excel con macros incrustadas, su distribución se realiza a través de redes sociales como Messenger y Telegram; este malware es atribuido al grupo “Lazarus” (Grupo anónimo de ciberdelincuentes).

Campaña de Malspam distribuyendo TrickBot, IcedID y Ursnif

Publicado: 29/10/2019 | Importancia: Media

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a una nueva campaña que distribuye tres tipos de troyanos bancarios, esta campaña envía correos electrónicos no deseados con las cargas útiles de TrickBot, IcedID y Ursnif, las cuales hacen parte de las familias de troyanos bancarios con más actividad en el año 2019.

Campaña de malspam que distribuyen el malware Negasteal y Ave_Maria.

Publicado: 28/10/2019 | Importancia: Media

Desde el CSIRT Financiero se han evidenciado indicadores de compromiso relacionados con Negasteal y Ave_Maria, los cuales han sido ofuscados y compilados por medio de AutoIT [lenguaje de secuencias de comandos que originalmente es destinado a automatizar tareas básicas en la interfaz de usuario de Windows]

FriedEx, el ransomware BitPaymer

Publicado: 28/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero, se identificó actividad del ransomware FriedEx el cual fue asociado al ransomware conocido como BitPaymer, BitPaymer se enfoca en empresas de alto nivel con el fin de expandirse a todos los dispositivos a través de la red y cifrar sus archivos para obtener claramente beneficios monetarios.

Actividad reciente del troyano DanaBot

Publicado: 26/10/2019 | Importancia: Media

Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.

Campaña que distribuye el malware Raccoon Stealer

Publicado: 26/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.

Nuevos indicadores de compromiso analizados relacionados con Cobalt Group

Publicado: 25/10/2019 | Importancia: Media

Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.

Campaña de grupo Magecart vinculado a malware Carbanak y Dridex

Publicado: 23/10/2019 | Importancia: Media

Se ha identificado una campaña de phishing que emplea avisos de facturas falsas para distribuir el malware Dridex, esta campaña se atribuye al grupo 5 de Magecart, su método principal de propagación es mediante correo electrónico, la relación de atribución a este grupo se hace debido a la relación de indicadores de compromiso identificados en campañas de dridex y magecart5.

Nuevas campañas del grupo APT TA505

Publicado: 22/10/2019 | Importancia: Media

El CSIRT Financiero a identificado nueva actividad del grupo TA505, en la que se evidencian tres campañas de phishing dirigidas a personas de habla griega, inglesa y francesa, en las que se envían correos con asuntos que pretenden engañar a los usuarios para que abran una URL o archivo adjunto, con el fin de lograr que se descargue la infección de malware llamado Get2.

Nuevos indicadores de compromiso, esta vez relacionados con el troyano bancario Gustuff

Publicado: 22/10/2019 | Importancia: Media

Gustuff es un troyano bancario diseñado para dispositivos móviles [Android] capaz de obtener credenciales bancarias de una gran lista de aplicaciones de banca móvil. Su método de infección es a través de mensajes de texto [SMS] con enlaces a archivos APK maliciosos.

Nuevos indicadores de compromiso relacionados con el troyano bancario Emotet.

Publicado: 21/10/2019 | Importancia: Media

El CSIRT Financiero mediante sus fuentes de información ha identificado un aumento en las campañas del troyano bancario conocido como Emotet, cada una de las campañas busca obtener información confidencial y privada, sin embargo, cada día han realizado ajustes en el código con el fin de evitar ser detectados, crear persistencia en los sistemas infectados e incluso, ser puente para inyectar nuevos códigos maliciosos.

Nuevos indicadores de compromiso asociados a campaña de FIN7

Publicado: 20/10/2019 | Importancia: Media

Fin7 es un grupo de ciberdelincuentes, del cual se tiene registro de actividad aproximadamente desde el año 2015. Este grupo desarrolló diferentes campañas enviando de manera masiva código malicioso por correo electrónico, es de aclarar que la gran mayoría de sus campañas han sido dirigidas al sector financiero con el fin de obtener datos sensibles de los usuarios afectados o en el peor de los casos, hasta ejecución de comandos remotos en cajeros automáticos ATM para lograr extraer dinero de los mismos.

ATM Boostwrite, descargador de múltiples variantes de malware

Publicado: 19/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.

Nueva campaña de phishing distribuye troyano Ursnif/Dridex

Publicado: 19/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite asociado al grupo de amenazas APT FIN7; este malware es un dropper (descargador) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.

Nuevos indicadores de compromiso asociados a Cobalt Group

Publicado: 19/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero se han identificado nuevas campañas de distribución del troyano bancario CobInt a través de campañas de malspam, las cuales son asociadas a Cobalt Group. Para estas campañas en específico se utilizaron correos electrónicos maliciosos enviados desde Gateways.

Nueva campaña del grupo TA505 busca diseminar el descargador Get2 en conjunto al RAT SDBbot.

Publicado: 19/10/2019 | Importancia: Baja

Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.

Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet Maker

Publicado: 17/10/2019 | Importancia: Baja

Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.

Nueva campaña de malspam busca infectar a usuarios con RemcosRAT

Publicado: 16/10/2019 | Importancia: Media

Desde el CSIRT Financiero se han analizado nuevos indicadores de compromiso asociados a la herramienta de administración remota RemcosRAT. Esta herramienta permite a los ciberdelincuentes obtener acceso total a las máquinas de los usuarios una vez han sido infectados por medio de documentos maliciosos, estos documentos son distribuidos por medio de campañas de malspam, donde una vez es ejecutado el archivo malicioso sobre las máquinas de los usuarios, descargan una variante de RemcosRAT que podría ser utilizada para la extracción de información del usuario o incluso credenciales de acceso.