Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de JavaScript

Campaña del malspam que distribuye a WSH RAT

Publicado: 18/02/2021 | Importancia: Media

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.

Grupo Ultrarank apunta a sitios de comercio electrónico

Publicado: 23/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un grupo cibercriminal conocido como UltraRank, este grupo recientemente ha realizado una docena de campañas dirigidas a sitios de comercio electrónico para exfiltrar los datos de tarjetas crédito y débito haciendo uso de un rastreador JavaScript.

Biblioteca maliciosa de JavaScript abre puertas traseras

Publicado: 02/11/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero se conoció la actividad relacionada con la creación de una biblioteca maliciosa llamada twilio-npm, dicha biblioteca se publicó el pasado 30 de octubre del 2020 en el sitio NPM y pese a que se retiró del portal el mismo día a su descubrimiento, se pudo detallar que se descargó más de 370 veces; además de incluirse en los proyectos de JavaScript creados y administrados desde Node Package Manager (NPM).

Skimmer Web Exfiltra Datos a través de Telegram

Publicado: 01/09/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se ha identificado un nuevo Skimmer web que implementa técnicas modernas para evitar la detección de sus acciones. Entre las capacidades que utilizan, se pueden encontrar desde tiendas de comercio electrónico hasta archivos JavaScript, dominios y direcciones IP maliciosas. El objetivo es posteriormente realizar la exfiltración de datos financieros.

Skimming usado en ataques de Homoglyph

Publicado: 06/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha identificado un kit de skimming que usa ataques de homoglyph y mensajes de phishing para la realizar la infección de equipos. La amenaza consiste en registrar dominios IDN de entidades reconocidas, sustituyendo algún carácter de la URL de tal modo que a simple vista no se evidencie el cambio y pueda pasar desapercibido para el usuario.

Campaña de infección de WastedLocker ransomware en entidades de Estados Unidos

Publicado: 30/06/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque se ha evidenciado una campaña de infección a diferentes organizaciones estadounidenses, dentro de estas algunas entidades financieras. El objetivo de la campaña es instalar el ransomware WastedLocker; atribuido al grupo cibercriminal Evil Corp. Grupo al que se atribuyen otros códigos maliciosos como Dridex y el ransomware BitPaymer.

Nuevo malware de Card-skimmer ataca plugin WooCommerce de WordPress

Publicado: 13/04/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado un nuevo ataque hacia el plugin WooCommerce de WordPress, este complemento es utilizado para implementar tiendas en línea con características como: carrito, mi cuenta y finalizar compra; emplea también métodos de pago como paypal, trasferencia bancaria y Stripe; WooCommerce se convierte entonces en el foco de los atacantes de ciberdelincuentes que buscan afectar a los usuarios, empresas y entidades bancarias.

Troyano alojado en forma de extensión de Chrome, que extrae información.

Publicado: 19/12/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado un incremento en el uso de extensiones maliciosas en los navegadores web por parte de los ciberdelincuentes. Estas extensiones son diseñadas en su mayoría en código JavaScript y se encuentran alojadas en los markets oficiales de los navegadores web, generando en el usuario confianza para su descarga y posterior infección. En esta ocasión se ha realizado el análisis a un troyano bancario que se distribuye haciéndose pasar por una extensión de Google Chrome.

Técnicas de infección de malware Nodersok sin uso de archivos

Publicado: 07/10/2019 | Importancia: Media

Se ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.

Skimmer en plataforma Magento

Publicado: 25/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta robo de datos de tarjetas de crédito y/o débito a través de Skimmer alojado en una plataforma de Magento.