Alertas de seguridad

Bat

Nuevos indicadores de compromiso asociados a Remcos RAT

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.

Leer Más

Vectores de infección aprovechados por ciberatacantes

El equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.

Leer Más

Actividad del grupo APT Silent Librarian

En el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.

Leer Más

Skimmer Cardbleed: campaña masiva contra plataformas Magento

El Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.

Leer Más

Emotet utiliza documentos Word con falsas actualizaciones de Microsoft para su distribución

En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.

Leer Más

Nuevos indicadores de compromiso asociados a Agent Tesla

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Agent Tesla. Esta amenaza cibernética pertenece a la familia de troyanos de acceso remoto, con gran variedad de funcionalidades que le permite realizar capturar las pulsaciones de teclado, tomar captura de pantalla, exfiltración de credenciales pertenecientes a múltiples sistemas de información, servicios tecnológicos y navegadores web como Google Chrome o Mozilla Firefox, hurto de credenciales de cuentas correos electrónicos, contraseñas e información bancaria, efectuar robo de identidad y, además, agregar el host infectado a una botnet. Lo que convierte a Agent Tesla en una amenaza con gran potencial de afectación en los equipos vulnerados.

Leer Más

Vulnerabilidad hallada en Moxa Inc VPort 461

En el monitoreo realizado por el equipo del Csirt Financiero se conoció una vulnerabilidad en Moxa Inc VPort 461 que compromete el firmware en versiones 3.4 y anteriores, que podría permitir a un ciberdelincuente remoto ejecutar comandos arbitrarios; vulnerabilidad a la cual se ha asignado el código CVE-2020-23639.

Leer Más

Grupo cibercriminal explota vulnerabilidad zero-day de Solaris

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de una vulnerabilidad zero-day en sistema operativo Solaris. El grupo cibercriminal detrás de este ataque es denominado UNC1945 y sus ataques incluyen entidades del sector de las telecomunicaciones, financiero y compañías de consultoría.

Leer Más

Nuevo ransomware RegretLocker

El equipo del Csirt Financiero ha identificado a través del monitoreo a fuentes abiertas, un nuevo ransomware denominado RegretLocker, el cual cifra los archivos afectados con la extensión .mouse. Cuando el proceso de cifrado se ha realizado en los archivos y directorios, aparecen las notas de rescate “HOW TO RESTORE FILES.txt” en el escritorio del equipo afectado.

Leer Más

Ataque masivo de Ransomware en Brasil

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevos ataques de Ransomware dirigidos contra la corte superior de justicia (STJ) de Brasil. El ataque se llevó a cabo el pasado martes durante las sesiones de juicio que eran llevadas a cabo por videoconferencia.

Leer Más

Campaña de malspam para distribuir el troyano bancario Qbot

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña masiva de envío de mensajes de correo electrónico tipo malspam con temática sobre las elecciones presidenciales de Estados Unidos que tiene por objetivo distribuir el troyano bancario Qbot. Al igual Emotet, Qbot está empleando técnicas de secuestrando los hilos de los correos electrónicos para reenvíalos a los usuarios objetivos para propagarse y aumentando la credibilidad del mensaje malicioso.

Leer Más

Nuevo ransomware Pay2Key compromete compañías israelíes

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña de distribución del ransomware en varias corporaciones israelíes. En estos ataques se pudo identificar varias cepas de ransomware Ryuk y REvil. Además de esto, se encontró una nueva variante de ransomware desarrollada en el lenguaje de programación en C++ denominada Pay2Key.

Leer Más

Vulnerabilidades críticas en Google Chrome

En el monitoreo de fuentes abiertas, el equipo del Csirt Financiero conoció dos vulnerabilidades día cero en el navegador Google Chrome, identificadas con los CVE 2020-16013 y 2020-16017; estas pueden afectar a sistemas operativos Windows, Linux y MacOS.

Leer Más

CostaRicto APT distribuye malware a entidades financieras y de entretenimiento

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.

Leer Más

Nueva variante del troyano de acceso remoto CRAT con grandes capacidades evasivas

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado la presencia de una nueva variante del troyano de acceso remoto CRAT que afecta equipos con sistemas operativos Windows. Esta nueva variante se ha caracterizado por sus técnicas de evasión ante los sistemas antimalware al permitirle la ofuscación de código mediante clave XOR, ocultar los llamados a la API utilizadas, ejecutar parches sobre de funciones o rutinas en el momento de la ejecución para evadir los mecanismos de detección y las direcciones URL del servidor de comando y control (C2) con que establece comunicación.

Leer Más

Aumento de actividad de cibercriminales y explotación de vulnerabilidades en LATAM

Durante los últimos meses, el equipo de analistas del Csirt Financiero ha observado un incremento de publicaciones sobre accesos iniciales a entidades bancarias. Estas publicaciones se han creado en foros asociados con el cibercrimen, donde se venden accesos a diferentes bancos mediante vulnerabilidades descubiertas.

Leer Más

Regresa el envenenamiento de cache de DNS

En el monitoreo realizado por el Csirt Financiero, se ha observado múltiples fallas de seguridad críticas que pueden generar una reactivación de los ataques de envenenamiento de cache de DNS, el cual consiste en obtener control sobre un servidor DNS y realizar modificaciones de direccionamiento IP logrando con esto, redirigir a los usuarios a otros sitios web controlados por los ciberdelincuentes, en donde realizan la captura de información confidencial o descargan en el equipo de la víctima algún tipo de malware.

Leer Más

Nuevos indicadores de compromiso asociados a Emotet

En el monitoreo realizado por el Csirt Financiero, se ha observado actividad por parte del troyano modular Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows. Esta amenaza cibernética se distribuye a través de mensajes de correo electrónico malspam con adjuntos maliciosos diseñados para persuadir al usuario a que descargue y acceda al contenido, momento en el cual se inicia el proceso de infección.

Leer Más

Vulnerabilidades en Cisco Security Manager

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado tres vulnerabilidades que afectan el producto Cisco Security Manager.

Leer Más

Nuevos indicadores de compromiso asociados a Mekotio

En el monitoreo realizado por el Csirt Financiero, se evidenció la existencia de nuevos indicadores de compromiso IoC asociados al malware Mekotio. Esta amenaza cibernética es considerada un troyano bancario dirigido principalmente a países de América Latina como Brasil, Chile, México, España y Perú entre otros y cuya actividad data del año 2015, fecha que desde entonces ha presentado cambios constantes a sus características mejorando funcionalidades para causar mayor impacto en los equipos comprometidos.

Leer Más

Archivo