Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Cobalt Strike

Hojas de cálculo Excel implementadas en campañas de malware

Publicado: 03/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado la implementación de macros maliciosas en documentos de Microsoft Office Excel para la distribución de malware conocidos como SystemBC y Cobalt Strike. Según las investigaciones que se han realizado a estos documentos maliciosos, permite determinar que han sido propagados mediante campañas de distribución de mensajes de correo electrónico que contienen archivos adjuntos, los cuales, al descargar, descomprimir, acceder y habilitar las macros con contenido malicioso, ejecutan la infección en los equipos de cómputo.

Raindrop, nuevo malware vinculado al ataque de Solarwinds

Publicado: 18/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo backdoor denominado Raindrop, el cual está relacionado con la cadena de infección realizada a la plataforma Orion de SolarWinds en 2020. Este backdoor fue utilizado para entregar una carga útil de Cobalt Strike facilitando a los ciberdelincuentes moverse lateralmente en la red comprometida.

Backdoor Sunburst afecta cadena de suministro de SolarWinds Orion

Publicado: 27/12/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una campaña de nombre UNC2452, que afecta a diversas organizaciones públicas y privadas a nivel mundial (Norte américa, Europa, Asia y Medio Oriente), donde los ciberdelincuentes obtuvieron acceso a redes privadas mediante actualizaciones del producto de monitoreo y gestión IT Orion Platform de SolarWinds afectando a la librería SolarWinds.Orion.Core.BusinessLayer.dll.

Macro que descarga malware desde Github

Publicado: 27/12/2020 | Importancia: Media

En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.

Nuevos indicadores de compromiso asociados a Cobalt Strike

Publicado: 19/06/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados a Cobalt Strike, una herramienta utilizada para la emulación de ataques a un sistema con el fin de evaluar el nivel de seguridad de una entidad. Sin embargo, esta herramienta es utilizada por los ciberdelincuentes para desarrollar campañas maliciosas y exfiltrar información sensible de los usuarios.