Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Malspam

Nueva actividad del troyano bancario Javali

Publicado: 06/05/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado un nuevo proceso en la cadena de infección del troyano bancario Javali, también conocido como Ousaban.

Nuevos indicadores de compromiso del troyano IcedID

Publicado: 23/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario modular IcedID, también conocido como BokBot. Este malware ha estado activo desde el año 2017 y ha sido utilizado para exfiltrar información bancaria y datos confidenciales de equipos comprometidos con sistema operativo Windows.

Indicadores de compromiso asociados a Emotet

Publicado: 21/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, se han encontrado nuevos Indicadores de compromiso asociados al troyano bancario Emotet, el cual tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows. Las capacidades de Emotet han evolucionado en los últimos años, incluyendo la facultad de descargar y ejecutar malware adicional si así lo determina el ciberdelincuente.

Nueva campaña de distribución de AsyncRat

Publicado: 15/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 16/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha observado actividad por parte del troyano modular Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows. Esta amenaza cibernética se distribuye a través de mensajes de correo electrónico malspam con adjuntos maliciosos diseñados para persuadir al usuario a que descargue y acceda al contenido, momento en el cual se inicia el proceso de infección.

Emotet Implementa Técnicas para secuestrar Hilos de Correo Electrónico

Publicado: 22/09/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.

Nuevo módulo de Emotet para exfiltrar información de correos electrónicos

Publicado: 31/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.

Emotet despliega Malspam después de 5 meses de ausencia

Publicado: 21/07/2020 | Importancia: Alta

Luego de 5 meses Emotet ha resurgido con más de 250.000 mensajes de malspam enviados a destinatarios de correo electrónico en todo el mundo. Desde el pasado viernes los usuarios de Microsoft Office han recibido cientos de correos electrónicos maliciosos.

Nuevos indicadores de compromiso relacionados a RATicate

Publicado: 15/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado que el grupo de cibercriminales RATicate ha estado distribuyendo gran variedad de troyanos de acceso remoto, con la intención de obtener control de los equipos infectados. La forma y medios de entrega de malware actual es diferente al implementado tiempo atrás.

Nuevos indicadores de compromiso asociados con Lampion

Publicado: 17/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado actividad reciente del malware Lampion, el cual ha migrado a una nueva versión según lo observado en el mes de mayo del presente año, suplantando facturas bancarias, facturas relacionadas al grupo Vodafone, así como fondos de emergencia otorgados por el gobierno portugués por la presente pandemia COVID-19, todo a través del envio de mensajes correo tipo malspam.

Actualización del ransomware Sodinokibi

Publicado: 14/05/2020 | Importancia: Media

Investigadores han detectado una nueva actualización del ransomware Sodinokibi, consistente en el uso de la API llamada ‘Windows Restart Manager’, con el fin de cerrar o apagar los procesos de los servicios que tienen abiertos o bloqueados los archivos y así poder cifrar una mayor cantidad de archivos.

Nueva campaña de distribución de RemcosRAT

Publicado: 11/05/2020 | Importancia: Media

Reporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.

Maze Team utiliza nuevas formas de extorsión orientada a la afectación reputacional

Publicado: 10/05/2020 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.

Nuevos indicadores de compromiso asociados a una variante de WannaCry

Publicado: 19/02/2020 | Importancia: Media

El Csirt Financiero identificó nuevos indicadores de compromiso asociados a WannaCry que podrían afectar los activos de una entidad.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 14/02/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado un ataque con el troyano modular emotet, utilizado constantemente por parte de los ciberdelincuentes ya que cuenta con múltiples capacidades para la exfiltración de información.

Descargador de Azorult utiliza triple cifrado

Publicado: 05/02/2020 | Importancia: Media

Azorult, es un troyano que se ha visto involucrado en operaciones desde el año 2016, está orientado a la captura de credenciales bancarias y datos de tarjetas de crédito, adicionalmente tiene la capacidad de ser utilizado como dropper.

Nueva técnica de distribución de malware utilizada por el grupo de amenazas TA505.

Publicado: 02/02/2020 | Importancia: Baja

El grupo de amenazas TA505 fue descubierto en 2014 por analistas de malware, donde se identificó la primera versión del malware dridex distribuida por medio de mensajes de correo electrónico masivos de tipo malspam.

Nuevos indicadores de compromiso asociados a Emotet.

Publicado: 02/02/2020 | Importancia: Baja

Emotet es un troyano bancario, que ha tenido actividad durante el año en curso, utilizando diferentes métodos de ingeniería social para comprometer dispositivos y sacar el máximo provecho de los recursos comprometidos.

Nuevos indicadores de compromiso asociados a Trickbot

Publicado: 26/12/2019 | Importancia: Media

Desde el CSIRT Financiero se evidencian nuevos indicadores de compromiso asociados a Trickbot, teniendo en cuenta sus actualizaciones para aumentar capacidades tanto de captura como de evasión, este tipo de troyano bancario tiene por objetivo la exfiltración de credenciales asociadas a portales transaccionales para cometer diferentes clases de fraude, como utilización de credenciales hasta la venta de estos en la Dark web.

Nuevos indicadores de compromiso asociados a Lokibot

Publicado: 26/12/2019 | Importancia: Media

El CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.

Nuevos indicadores de compromiso asociados a Gozi

Publicado: 26/12/2019 | Importancia: Baja

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Gozi/Ursnif, el cual busca capturar credenciales de usuario de sitios web para realizar transacciones bancarias a través de campañas de malspam acompañados de técnicas de ingeniería social que hacen creer a los usuarios que se encuentran ante un correo auténtico de alguna entidad u organización.

Grupo TA2101 (campaña de distribución de IcedID y MAZE)

Publicado: 15/11/2019 | Importancia: Media

A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.

Nuevos indicadores de compromiso relacionados con el grupo de amenazas APT-38

Publicado: 09/11/2019 | Importancia: Media

Se han identificado nuevos indicadores de compromiso asociados a APT-38 o Lazarus Group (grupo de ciberdelincuentes); Con base en el análisis realizado, se considera que la campaña se ha logrado distribuir por varias organizaciones en diversos países entre los que se evidencian Italia, Estados Unidos, Rusia, China, India, entre otros.

Nuevos indicadores de compromiso asociados a Cobalt Group

Publicado: 06/11/2019 | Importancia: Media

El CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].

Nuevos indicadores de compromiso asociados a Cobalt Group

Publicado: 19/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero se han identificado nuevas campañas de distribución del troyano bancario CobInt a través de campañas de malspam, las cuales son asociadas a Cobalt Group. Para estas campañas en específico se utilizaron correos electrónicos maliciosos enviados desde Gateways.

Nueva campaña del grupo TA505 busca diseminar el descargador Get2 en conjunto al RAT SDBbot.

Publicado: 19/10/2019 | Importancia: Baja

Desde las fuentes de información del CSIRT Financiero se ha encontrado que el grupo de amenazas TA505, ha liberado una nueva campaña de tipo malspam hacia los usuarios de internet. De modo que busca afectar diversos sectores, entre ellos el financiero. Esta nueva campaña busca infectar a los usuarios con el troyano RAT SDBbot a partir de su nuevo troyano descargador Get2.

Nueva campaña de phishing distribuye el troyano Astaroth

Publicado: 24/09/2019 | Importancia: Media

Investigadores de seguridad han detectado y analizado una nueva campaña de phishing la cual se encarga de propagar el troyano bancario de nombre Astaroth; el CSIRT Financiero ha creado una lista de indicadores de compromiso basados en este troyano con el fin de que las entidades asociadas puedan aplicar estos IoC y así minimizar el riesgo de que ocurra un incidente.

Campaña de malspam distribuyendo malware Balkandoor y BalkanRAT, dirigida a profesionales y áreas contables en los Balcanes.

Publicado: 01/09/2019 | Importancia: Media

El CSIRT Financiero ha identificado una campaña de correo electrónico malicioso que se encuentra distribuyendo malware de tipo Backdoor y RAT, esta campaña busca tener el control de los equipos víctimas tanto por línea de comandos como por interfaz gráfica.

Nueva campaña de Malspam ‘Proyecto RAT’ dirigida al sector financiero y entidades del gobierno.

Publicado: 17/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta nueva campaña de Malspam dirigida al sector financiero y sector gubernamental de países de América del sur, enfocándose altamente en Colombia. Su característica principal de propagación se basa en el servicio de correo electrónico desechable YOPmail, el cual utiliza como medio de conexión hacia su servidor C2 (Command and Control).

Vulnerabilidad en Outlook explotada por ciberdelincuentes

Publicado: 04/07/2019 | Importancia: Media

Se detecta una campaña de ataques cibernéticos dirigidos a entidades gubernamentales, los cuales explotan la vulnerabilidad CVE-2017-11774 de Outlook, en donde un atacante podría enviar malware a diferentes usuarios y engañarlos para que estos interactuaran con el documento infectado, y así lograr tener acceso al dispositivo. Además, puede descargar complementos de malware o diferentes troyanos que complementen su objetivo.