Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Amenaza

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 30/09/2019 | Importancia: Media

El CSIRT Financiero ha identificado nuevas campañas de malspam asociados al malware bancario Emotet, las cuales están dirigidas a diferentes objetivos internacionales; la finalidad de estas campañas es instalar un malware tipo dropper para lograr ejecutar la carga útil de Emotet dentro del dispositivo infectado.

Campaña de amenazas cibernéticas podrían explotar vulnerabilidad en WordPress.

Publicado: 28/08/2019 | Importancia: Baja

El CSIRT Financiero ha identificado a través de sus fuentes de información una nueva campaña de amenazas cibernéticas enfocadas a la explotación de vulnerabilidades de plugins usados por el famoso CMS WordPress. Estas amenazas tienen como objetivo redirigir a las víctimas a sitios web controlados por los ciberdelincuentes.

Nuevas variantes del Troyano Gh0st RAT

Publicado: 08/08/2019 | Importancia: Media

Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas. Los indicadores identificados pueden generar un incidente de seguridad dentro de la entidad, con capacidad de abrir una brecha de seguridad y comprometer o exponer la Integridad, Confidencialidad o Disponibilidad de información sensible.

Gozi malware bancario

Publicado: 08/08/2019 | Importancia: Media

En la búsqueda de nuevas variantes y ataques de malware dirigido a entidades bancarias el CSIRT Financiero logra identificar actividad reciente acerca de Gozi (troyano bancario que tiene como objetivo el robo de datos confidenciales, además de utilizar a los dispositivos infectados como botnets, para realizar actividades maliciosas).

Troyano Dridex amenaza latente.

Publicado: 09/07/2019 | Importancia: Media

Desde CSIRT Financiero se ha identificado un malware que afecta al sector financiero a nivel internacional.

Indicadores de compromiso identificados que afectan al modelo de ATM: WINCOR PC1500XE.

Publicado: 09/07/2019 | Importancia: Media

Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron se recomienda establecer medidas preventivas.

Campaña de malSpam distribuyendo NetWire

Publicado: 01/07/2019 | Importancia: Alta

Desde el CSIRT Financiero se ha detectado una nueva campaña de malSpam distribuyendo la RAT (herramienta de acceso remoto) NetWire.

Vulnerabilidad de windows update para apache tomcat

Publicado: 25/06/2019 | Importancia: Alta

Desde el CSIRT Financiero se detecta una vulnerabilidad en Apache Tomcat la cual podría terminar en una denegación de servicio (DoS) afectando los servicios y la disponibilidad de la información en una entidad financiera.

El malware FormBook utiliza un nuevo dropper de distribución.

Publicado: 20/06/2019 | Importancia: Alta

Desde el CSIRT Financiero, se ha detectado un nuevo dropper adjunto a documentos PDF, DOC y XLS, distribuido en campañas de spam, que es utilizado como fase inicial de infección del Keylogger FormBook. Este dropper hace aumentar la persistencia y capacidades de ofuscación del malware al ser ejecutado desde la memoria.

Actividad de APT TA505

Publicado: 20/06/2019 | Importancia: Alta

El grupo TA505, el cual lleva realizando operaciones desde los últimos cuatro años en regiones latinoamericanas, ha llevado a cabo una campaña recientemente contra entidades italianas. Algunos de sus objetivos durante su actividad más reciente corresponden a: • Sector Financiero • Retail

Propagación de múltiples Backdoors a través de red de bots

Publicado: 20/06/2019 | Importancia: Alta

El CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.

Nueva campaña que explota servidores de Linux

Publicado: 20/06/2019 | Importancia: Alta

Desde el CSIRT Financiero se ha identificado una nueva campaña que explota servidores de Linux para implantar una nueva variante de Backdoor que no es detectado por los motores de antivirus de los proveedores de seguridad. Se han identificado un total de 39 indicadores de compromiso que pueden afectar las operaciones a nivel Global.

Vulnerabilidad Return of the WIZard.

Publicado: 13/06/2019 | Importancia: Alta

Se detecta amenaza global basada en EXIM, el cual podría afectar arquitecturas físicas financieras. Qualys, empresa estadounidense reporto una vulnerabilidad identificada como CVE-2019-10149 en servidores de correo electrónico basados en EXIM (es un agente de transferencia de mensajes MTA el cual se utiliza en sistemas UNIX) y permitiría ejecutar comando con el usuario de Exim, en el cual en muchos casos es root.

Jasperloader malware bancario

Publicado: 28/05/2019 | Importancia: Alta

Se ha detectado una nueva campaña del malware JasperLoader. Este malware se clasificaría dentro de los droppers esto es, sería el encargado de descargar otras piezas de malware. Habitualmente los droppers contienen un alto nivel de ofuscación y/o técnicas para evitar la detección por parte de motores antimalware.

Retefe troyano bancario

Publicado: 28/05/2019 | Importancia: Alta

Retefe es un troyano bancario, con el objetivo de redireccionar a los usuarios a páginas bancarias falsas y robar sus credenciales.

Nueva variante de troyano Emotet

Publicado: 26/05/2019 | Importancia: Alta

Se ha detectado actividad del malware Emotet, el cual se cataloga como un troyano financiero que apunta al robo de credenciales de usuario.

Malware Trickbot

Publicado: 20/05/2019 | Importancia: Alta

Se ha detectado actividad de malware Trickbot, el cual se cataloga como un troyano financiero que apunta a obtener credenciales de usuario, además podría ser utilizado como dropper para ejecutar otros software maliciosos dentro del dispositivo comprometido.

Troyano Nymeria

Publicado: 20/05/2019 | Importancia: Alta

Se encuentra actividad del virus troyano de alto riesgo llamado Nymeria en Colombia.

Actualización de Red Hat para freeRADIUS

Publicado: 15/05/2019 | Importancia: Media

Se encontraron vulnerabilidades que si son explotadas podrían permitir la evasión de restricciones de seguridad.

Múltiples Vulnerabilidades en Microsoft Internet Explore

Publicado: 15/05/2019 | Importancia: Media

Se han reportado múltiples vulnerabilidades en Microsoft Internet Explorer sobre las versiones 9.x, 0.x, 11.xque de ser explotadas llevarían a ataques tipo spoofing, divulgación de información potencialmente sensible y comprometer sistemas que sean vulnerables.

Vulnerabilidad de Microsoft, ejecución remota de código.

Publicado: 14/05/2019 | Importancia: Media

El 14 de mayo de 2019 Microsoft reporto una vulnerabilidad a la cual catalogó como crítica, en el protocolo RCE (Ejecución remota de código) en el servicio de RDP (Protocolo de Escritorio Remoto).

Múltiples vulnerabilidades en el centro de control de IBM

Publicado: 08/05/2019 | Importancia: Alta

Múltiples vulnerabilidades en el centro de control de IBM, que podrían ser explotados y realizar ataques de scripts entre sitios, divulgar información confidencial, manipular datos, evitar restricciones de seguridad, provocar una DoS (denegación de servicios) y comprometer un sistema vulnerable.

Vulnerabilidades en credenciales SSH

Publicado: 08/05/2019 | Importancia: Alta

Vulnerabilidad en los switch de Cisco Nexus 9000 Series que comprometen las credenciales SSH codificadas, la cual podría ser explotada para evitar restricciones de seguridad.

Vulnerabilidad de ejecución de código en el framework web de Stapler

Publicado: 08/05/2019 | Importancia: Alta

La falla afecta al motor de gestión de solicitudes HTTP, el cual es utilizado por Jenkins en su servidor de automatización para el desarrollo de software de código abierto.

Actualización de Red Hat para rhvm-seup-plugins

Publicado: 08/05/2019 | Importancia: Alta

Actualización para rhvm-setup-plugins

Gh0stRAT

Publicado: 08/05/2019 | Importancia: Media

Gh0stRAT(Open source RAT; Remote Access trojan)

Vulnerabilidad de omisión de la seguridad de la envoltura de la transmisión Phar de Drupal

Publicado: 08/05/2019 | Importancia: Alta

Vulnerabilidad en Drupal, podría ser explotada para evitar restricciones seguridad, la falla en la envoltura de flujo phar se puede explotar para omitir las protecciones de los interceptores y posteriormente ejecutar código malicioso.

Actualización de IBM InfoSphere Information Server OpenSSL

Publicado: 08/05/2019 | Importancia: Alta

Múltiples vulnerabilidades en IBM InfoSphere Information Server, que pueden ser explotadas para divulgar información confidencial y causar una DoS (denegación de servicios).

Actualización a varias vulnerabilidades de múltiples productos de Intel CSME de Lenovo.

Publicado: 07/05/2019 | Importancia: Media

Múltiples vulnerabilidades en múltiples productos Lenovo, que podrían ser explotadas por atacantes

Regreso de Retefe Troyano Bancario

Publicado: 07/05/2019 | Importancia: Alta

Retefe es un troyano bancario que en sus antecedentes ha enrutado en tráfico bancario en línea destinado a los bancos objetivos a través de un proxy para redireccionar a usuarios a páginas bancarias falsas para robo de credenciales.