Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Vulnerabilidades en el kernel de Linux afectan distribuciones Ubuntu

Publicado: 16/04/2021 | Importancia: Media

En el monitoreo continúo realizado por el equipo del Csirt financiero, se identificaron las siguientes vulnerabilidades denominadas: CVE-2021-3492 y CVE-2021-3493, las cuales afectan a las versiones del kernel de Linux 4.4.0 hasta la versión 5.8.0, presentes en distribuciones como Ubuntu, que hasta la fecha ha sido quien ha notificado estas vulnerabilidades a la comunidad y está siendo investigado por otras distribuciones para determinar si presentan afectación.

Vulnerabilidad en IBM Spectrum Protect permite ataques DOS

Publicado: 16/04/2021 | Importancia: Media

En el monitoreo continúo realizado por el equipo del Csirt financiero, se ha logrado identificar una vulnerabilidad denominada CVE-2021-20491 que afecta al producto IBM Spectrum Protect en donde se puede producir un ataque de denegación de servicio en el servidor afectado.

Nueva actividad del ransomware Darkside

Publicado: 15/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del ransomware Darkside, de acuerdo con una reciente investigación sus últimos ataques han sido dirigidos a países en Latinoamérica como lo son Chile y Brasil, por lo anterior no se descarta que esta amenaza pueda generar ataques cibernéticos dirigidos a más países en América latina.

Campaña de AsyncRat enfocada en Colombia

Publicado: 15/04/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución de AsyncRAT. La fase de distribución no difiere de otros analizados anteriormente por el Csirt, puesto que los ciberdelincuentes detrás de estas campañas siguen usando mensajes de correo electrónico suplantando entidades con técnicas de phishing, en las que comunican supuestas transacciones bancarias, que pueden ser descargadas desde un repositorio de nube pública como Dropbox.

BRata evoluciona y emplea nuevamente servicios de Google Play

Publicado: 14/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto denominado BRata. Esta amenaza a presentando actividad desde el año 2016 y sus principales ataques han sido dirigidos a entidades financieras en Brasil.

Nueva campaña distribuye troyano de acceso remoto NjRAT

Publicado: 13/04/2021 | Importancia: Alta

Gracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.

Nueva campaña que distribuye a Remcos RAT

Publicado: 12/04/2021 | Importancia: Alta

La fase de distribución no difiere de otros analizados anteriormente por el Csirt, ya que los ciberdelincuentes detrás de estas campañas siguen usando correos electrónicos suplantando entidades para enviar supuestas notificaciones judiciales, que pueden ser descargadas desde otro repositorio.

Vulnerabilidad de RCE en navegadores Chrome, Chromium y Microsoft Edge

Publicado: 12/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha observado la publicación de una vulnerabilidad, que permite la ejecución de código remoto (RCE) a través de los navegadores Chrome, Chromium y Microsoft Edge.

Saint Bot, nuevo Downloader utilizado para descargar y ejecutar malware

Publicado: 09/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo downloader denominado Saint Bot el cual está siendo utilizado para distribuir, descargar y ejecutar malware adicional en un equipo comprometido como lo es el malware Taurus, que consiste en un Stealer de credenciales que afecta a equipos con sistema operativo Windows.

Actividad reciente identificada por parte del Backdoor Vyveva atribuido al grupo Lazarus

Publicado: 09/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado despliegue de ataques cibernéticos empleando la puerta trasera o backdoor denominado Vyveva atribuido al APT Lazarus, debido a que, en el análisis realizado a equipos infectados, se encuentra que posee similitudes en su funcionamiento y código empleados puntualmente con la muestra de Nukeped que fue empleada en campañas anteriores asociadas a este APT; en esta ocasión el backdoor fue detectado en un ciberataque dirigido a una empresa en Sudáfrica.

Revil ejecuta modo seguro de Windows para cifrar archivos

Publicado: 08/04/2021 | Importancia: Alta

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado un nuevo procedimiento previo al cifrado de archivos ejecutado por la familia de ransomware REvil, forzando el sistema operativo a que se reinicie en modo seguro mediante el comando -smode; algunas de las afectaciones ejecutadas por la amenaza cibernética consisten en modificar la llave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon agregando la nueva contraseña denominada “DTrump4ever.”.

Filtración de información sensible de tarjetas de crédito de Swarmshop

Publicado: 08/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha observado una gran filtración de información confidencial y sensible de la tienda de tarjetas de crédito Swarmshop en foros clandestinos. Swarmshop es un mercado de tarjetas de crédito de la darknet que ha estado activo desde el año 2019.

Múltiples vulnerabilidades en SD-WAN y Routers Cisco

Publicado: 08/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se han identificado las siguientes vulnerabilidades a los productos de CISCO, principalmente a la plataforma SD-WAN y a modelos de Routers que están próximos a terminar su vida útil.

Actividad maliciosa por parte del troyano bancario Janeleiro

Publicado: 06/04/2021 | Importancia: Media

Mediante el continuo monitoreo a fuentes abiertas, el Csirt Financiero logró evidenciar el troyano bancario denominado Janeleiro, el cual cuenta con actividad cibercriminal desde el año 2018, con principal enfoque en Brasil en infraestructuras tecnológicas con sistema operativo Windows, afectando sectores como el financiero, salud, educación, Pymes y manufactura. Mantiene similitudes con otros troyanos bancarios como Casbaneiro, Grandoreiro y Mekotio.

Herramienta EtterSilent utilizada para diseñar maldoc

Publicado: 05/04/2021 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero, se ha observado la existencia de una nueva herramienta encargada de diseñar y generar archivos maliciosos para propagar diferentes familias de malware como por ejemplo Bazar Loader y TrickBot.

Backdoor More_Eggs se propaga mediante Spear-Phishing

Publicado: 05/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, se ha identificado el resurgimiento de un backdoor llamado More_Eggs, su desarrollo atribuido al grupo ciberciminal Golden Chickens y ha sido ampliamente usado por los grupos FIN6, Cobalt Group y Evilnum, en anteriores campañas.

Variante actualizada de ransomware Phobos/Fair

Publicado: 04/04/2021 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero a fuentes abiertas, ha identificado una nueva variante del ransomware Phobos denotada como “Fair”, la cual busca reducir su alcance en el momento del cifrado de la información del equipo infectado, eludiendo mecanismos de defensa durante su ejecución.

Nueva actividad de ransomware Avaddon

Publicado: 02/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso de la continua actividad del ransomware Avaddon el cual está catalogado como un Ransomware as a Service (RaaS).

BITS, servicio legítimo de Windows es usado para establecer persistencia de malware

Publicado: 02/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado el uso del servicio BITS por parte de ciberdelincuentes para generar la descarga y carga útil de familias de malware.

Vulnerabilidad crítica en VMware Carbon Black Cloud Workload

Publicado: 31/03/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, se ha identificado una vulnerabilidad de omisión de seguridad sobre dispositivos VMware Carbon Black Cloud Workload, identificada con el CVE-2021-21982, la cual cuenta con una calificación de 9.1 de severidad en la escala CVSSv3.

Nuevo skimmer web afecta sitios de e-commerce

Publicado: 31/03/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado accionar delictivo por parte del Skimmer web denominado Angrybeaver que afecta a sitios web de comercio electrónico. Por la facilidad con que el código del skimmer fue analizado y por el modo en que se desarrolló, se tiene la hipótesis de que se trata de un nuevo tipo de amenaza cibernética distinto a los usualmente empleados por grupos de Magecart.

Ransomware Hades dirigido a grandes compañías

Publicado: 31/03/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo ransomware denominado Hades dirigido a sistemas operativos Windows, que está afectando a grandes empresas multinacionales en diversos países de norte américa y Europa, hechos que representan una potencial amenaza de expansión hacia países en Latinoamérica.

Vulnerabilidades encontradas en VMware vRealize Operations

Publicado: 29/03/2021 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado dos nuevas vulnerabilidades que afectan a VMware vRealize Operations, un gestor de operaciones de TI impulsada por inteligencia artificial para entornos privados, híbridos y de múltiples nubes, disponible como solución local o como (Software como un Servicio) SaaS.

Advertencia sobre ataques de fuerza bruta contra dispositivos QNAP

Publicado: 27/03/2021 | Importancia: Media

En el monitoreo realizado en fuentes abiertas de información, el equipo del Csirt Financiero ha visualizado una advertencia realizada por la compañía QNAP sobre múltiples ataques realizados en contra de dispositivos NAS.

Campaña de phishing para la distribución de Quasar RAT

Publicado: 25/03/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Quasar RAT.

Nueva técnica empleada en el Rootkit Purple Fox para propagarse como gusano

Publicado: 24/03/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva funcionalidad implementada en la herramienta Purple Fox. Esta herramienta lleva operativa desde el año 2018, en donde se distribuía por medio de campañas que empleaban técnicas de phishing y la carga útil en un archivo .MSI. Sin embargo, ahora se está distribuyendo mediante la identificación y explotación de servicios SMB, los cuales vulneran y entregan la carga útil del RootKit.

Múltiples vulnerabilidades en librería XSTREAM de Java

Publicado: 22/03/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se han evidenciado vulnerabilidades en XStream, reconocida librería de Java para serializar objetos a XML y viceversa.

Malware CopperStealer que captura credenciales

Publicado: 22/03/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado un nuevo malware, denominado CopperStealer con capacidades de captura de credenciales, enfocado en los navegadores más populares (Chrome, Edge, Firefox, Yandex, Opera).

Nuevos indicadores de compromiso asociados al troyano Dridex

Publicado: 21/03/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados a actividad cibercriminal por parte del troyano bancario Dridex. Este malware tiene capacidades para exfiltrar credenciales e información bancaria de equipos con sistemas operativo Windows.

Malware XcodeSpy descarga backdoor en MacOs

Publicado: 20/03/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas, se ha evidenciado la aparición de un malware denominado XcodeSpy, el cual consiste en la entrega de una puerta trasera conocida como EggShell que compromete principalmente a usuarios MacOs. De Xcode se sabe que es un entorno de desarrollo integrado (IDE) para aplicaciones y sistemas de información.