Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Ataque

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 30/09/2019 | Importancia: Media

El CSIRT Financiero ha identificado nuevas campañas de malspam asociados al malware bancario Emotet, las cuales están dirigidas a diferentes objetivos internacionales; la finalidad de estas campañas es instalar un malware tipo dropper para lograr ejecutar la carga útil de Emotet dentro del dispositivo infectado.

Nueva actividad de grupo de amenazas panda

Publicado: 24/09/2019 | Importancia: Media

Desde el CSIRT Financiero se ha observado actividad del grupo de amenazas panda el cual se identifica por ser el primer grupo en lanzar ataques con exploits embebidos en documentos adjuntos en correos electrónicos, con el fin de engañar a los usuarios y obtener información confidencial.

Nueva campaña de Trickbot utiliza un nuevo método de infección.

Publicado: 11/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva campaña del malware Trickbot, el cual utiliza un nuevo método de entrega e infección a partir de un archivo .JS altamente ofuscado.

Troyano Dridex amenaza latente.

Publicado: 09/07/2019 | Importancia: Media

Desde CSIRT Financiero se ha identificado un malware que afecta al sector financiero a nivel internacional.

Nueva variante del Malware JavaDispCash busca afectar servicios de ATM en Colombia y México

Publicado: 01/07/2019 | Importancia: Alta

Desde el CSIRT Financiero se reporta una nueva variante del malware JavaDispCash, el cual está orientado a afectar cajeros automáticos de México y Colombia a través de ataques de inyección de código a las API, afectando la confidencialidad y disponibilidad de la información de las entidades financieras

Campaña de malSpam distribuyendo NetWire

Publicado: 01/07/2019 | Importancia: Alta

Desde el CSIRT Financiero se ha detectado una nueva campaña de malSpam distribuyendo la RAT (herramienta de acceso remoto) NetWire.

Vulnerabilidad de windows update para apache tomcat

Publicado: 25/06/2019 | Importancia: Alta

Desde el CSIRT Financiero se detecta una vulnerabilidad en Apache Tomcat la cual podría terminar en una denegación de servicio (DoS) afectando los servicios y la disponibilidad de la información en una entidad financiera.

El malware FormBook utiliza un nuevo dropper de distribución.

Publicado: 20/06/2019 | Importancia: Alta

Desde el CSIRT Financiero, se ha detectado un nuevo dropper adjunto a documentos PDF, DOC y XLS, distribuido en campañas de spam, que es utilizado como fase inicial de infección del Keylogger FormBook. Este dropper hace aumentar la persistencia y capacidades de ofuscación del malware al ser ejecutado desde la memoria.

Actividad de APT TA505

Publicado: 20/06/2019 | Importancia: Alta

El grupo TA505, el cual lleva realizando operaciones desde los últimos cuatro años en regiones latinoamericanas, ha llevado a cabo una campaña recientemente contra entidades italianas. Algunos de sus objetivos durante su actividad más reciente corresponden a: • Sector Financiero • Retail

Propagación de múltiples Backdoors a través de red de bots

Publicado: 20/06/2019 | Importancia: Alta

El CSIRT Financiero a través de la búsqueda de indicadores de amenazas se detecta red de bot que distribuye 4 backdoors de diferente tipos, los cuales permite lo siguiente ejecución con propiedades root para configuración de hadware Linux, apertura de archivos con propiedades de administrador en sistemas Windows, apertura de puerta trasera para acceso remoto a sitios web y apertura de archivos asociados a ransonware Dharma, estas amenazas podrían afectar la confidencialidad, disponibilidad e integridad de la información de las entidades financieras.

Nueva campaña que explota servidores de Linux

Publicado: 20/06/2019 | Importancia: Alta

Desde el CSIRT Financiero se ha identificado una nueva campaña que explota servidores de Linux para implantar una nueva variante de Backdoor que no es detectado por los motores de antivirus de los proveedores de seguridad. Se han identificado un total de 39 indicadores de compromiso que pueden afectar las operaciones a nivel Global.

Malnet AESDDoS malware

Publicado: 14/06/2019 | Importancia: Alta

Desde CSIRT Financiero se detecta amenaza global que podría impactar sobre el sector financiero. Un malware de red de bots de Linux AESDDoS capturado por honeypots de la empresa de seguridad de Trend Micro fue verificado, el cual aprovecha vulnerabilidades en las API de Docker que se ejecuten en host de contenedor, para establecer comandos relacionados con el contenedor Daemon con permisos de root.

Vulnerabilidad Return of the WIZard.

Publicado: 13/06/2019 | Importancia: Alta

Se detecta amenaza global basada en EXIM, el cual podría afectar arquitecturas físicas financieras. Qualys, empresa estadounidense reporto una vulnerabilidad identificada como CVE-2019-10149 en servidores de correo electrónico basados en EXIM (es un agente de transferencia de mensajes MTA el cual se utiliza en sistemas UNIX) y permitiría ejecutar comando con el usuario de Exim, en el cual en muchos casos es root.

Nueva variante de troyano Emotet

Publicado: 26/05/2019 | Importancia: Alta

Se ha detectado actividad del malware Emotet, el cual se cataloga como un troyano financiero que apunta al robo de credenciales de usuario.

Malware GozNym

Publicado: 21/05/2019 | Importancia: Alta

Se ha detectado actividad del malware GozNym, el cual se cataloga como un troyano financiero que apunta al robo de credenciales de usuario.

Malware Trickbot

Publicado: 20/05/2019 | Importancia: Alta

Se ha detectado actividad de malware Trickbot, el cual se cataloga como un troyano financiero que apunta a obtener credenciales de usuario, además podría ser utilizado como dropper para ejecutar otros software maliciosos dentro del dispositivo comprometido.

Troyano Nymeria

Publicado: 20/05/2019 | Importancia: Alta

Se encuentra actividad del virus troyano de alto riesgo llamado Nymeria en Colombia.

Vulnerabilidad de Microsoft, ejecución remota de código.

Publicado: 14/05/2019 | Importancia: Media

El 14 de mayo de 2019 Microsoft reporto una vulnerabilidad a la cual catalogó como crítica, en el protocolo RCE (Ejecución remota de código) en el servicio de RDP (Protocolo de Escritorio Remoto).

Gh0stRAT

Publicado: 08/05/2019 | Importancia: Media

Gh0stRAT(Open source RAT; Remote Access trojan)

Malware de Microsoft Exchange

Publicado: 07/05/2019 | Importancia: Alta

Nueva puerta trasera desarrollada por el grupo de espionaje Turla

Ransomware MegaCortex

Publicado: 07/05/2019 | Importancia: Alta

Campaña de rescate se registro su primer indicio el 1 de mayo de 2019 en todo el mundo, incluyendo Italia, Estados Unidos, Irlanda y Francia.

JasperLoader

Publicado: 04/05/2019 | Importancia: Alta

Troyano que se distribuía a través de campañas de spam malicioso.

Qakbot sube de nivel con nuevas técnicas de ofuscación

Publicado: 03/05/2019 | Importancia: Alta

Qakbot es un troyano bancario descubierto en 2008

Ataque de DDoS mediante Botnet

Publicado: 30/04/2019 | Importancia: Alta

Ataque de DDoS mediante Botnet en Electrum toma 152,000 hosts bajo su control

Campaña de correo electrónico que distribuye el malware Lokibot.

Publicado: 29/04/2019 | Importancia: Alta

Campaña de correo que distribuye el malware Lokibot a través de un archivo adjunto .docx

Malware Beapy.

Publicado: 28/04/2019 | Importancia: Alta

Beapy nueva campaña de criptominería que utiliza el exploit EternalBlue

Exploits en WordPress Social Warfare

Publicado: 28/04/2019 | Importancia: Alta

Ataques dirigidos a un complemento de WordPress llamado " Social Warfare".

Malware Financiero alojado en Google Sites

Publicado: 27/04/2019 | Importancia: Alta

De acuerdo a un análisis realizado por netskope un ataque de descarga desde un drive-by encontrado en los sitios de Google. “https: //sites.google [.] Com / site / detailsreservations / Reserva-Manoel_pdf.rar? Attredirects = 0 & d = 1.”

Nueva técnica de evasión Emotet

Publicado: 26/04/2019 | Importancia: Alta

La nueva técnica adoptada por Emotet permite el uso de dispositivos comprometidos como servidores C&C de proxy y redirige el tráfico al servidor que opera por parte de los atacantes. Engaña al software de seguridad para ocultar el tráfico de infección y evadir la detección.

TA505 se dirige a entidades financieras de todo el mundo

Publicado: 25/04/2019 | Importancia: Alta

TA505 es un grupo organizado de cibercrimen de origen ruso, motivado por el factor económico dirigido a entidades financieras alrededor del mundo, utilizando técnicas como la conversión de herramientas de administración remota en herramientas legítimas, está relacionado con el troyano bancario Dridex, Locky Ransomware, RAT tRAT, Ransomware Philadelphia y GlobeImposter. En el último trimestre del año introdujeron nuevos malware identificados como FlawedAmmy y ServHelper.