Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Malware

Nueva campaña de Malspam asociada al Keylogger Agent Tesla

Publicado: 17/11/2019 | Importancia: Baja

Desde el CSIRT Financiero se han identificado indicadores de compromiso asociados al Keylogger Agent Tesla, el cual se instala en los equipos de los usuarios a través de ingeniería social, el usuario recibe un correo electrónico con un archivo tipo Microsoft Word el cual contiene macros que realizan la descarga del troyano una vez descargado y ejecutado en el sistema. En esta última campaña identificada por el CSIRT Financiero se evidenció que este malware utiliza una vulnerabilidad de Microsoft Office que a pesar de que fue identificada y parcheada por Microsoft hace un poco más de dos años, sigue estando presente en equipos, aumentando la posibilidad de ser infectados por este troyano.

Nueva campaña de malspam asociada al troyano Ursnif

Publicado: 15/11/2019 | Importancia: Media

El CSIRT Financiero ha identificado una nueva campaña asociada al troyano bancario Ursnif utilizado por los ciberdelincuentes a través correos de tipo MalSpam [Correo no deseado con Malware]. Este troyano ha sufrido una constante evolución en sus capacidades de evasión y en sus funciones principales como la exfiltración de información personal del usuario, conexiones con los C2 [Command and Control] y descarga de otras variantes de malware entre otros. Su popularidad dentro de los ciberdelincuentes se debe a la publicación de su código fuente en GitHub en el año 2015.

Actividad reciente grupo FIN7

Publicado: 14/11/2019 | Importancia: Media

El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.

Análisis técnico del malware BitPaymer

Publicado: 14/11/2019 | Importancia: Media

En referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.

Nuevas campañas de phishing buscan distribuir el malware PredatorTheThief.

Publicado: 13/11/2019 | Importancia: Media

El CSIRT Financiero ha identificado una nueva actividad del Malware PredatorTheThief, su distribución se realiza por medio de campañas de correo electrónico de tipo malicioso. No obstante, los ciberdelincuentes pretenden persuadir a los usuarios para que ellos ejecuten un archivo .zip, iniciando con esto la descarga de la carga útil de PredatorTheThief sobre la máquina del usuario.

Nuevos indicadores de compromiso asociados al troyano Ursnif (Gozi)

Publicado: 08/11/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero, se han identificado nuevos indicadores de compromiso relacionados con el troyano Ursnif/Gozi. Este malware es uno de los más destacados en la familia de troyanos dirigidos a la exfiltración de datos sensibles [asociados a información financiera] de los usuarios víctimas, ya que permite la sustracción de información de manera masiva sobre una red de computadoras infectadas.

Identificación de nuevos indicadores de compromiso asociados al Ransomware MegaCortex

Publicado: 08/11/2019 | Importancia: Media

A través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.

Nuevos indicadores de compromiso relacionados con Emotet

Publicado: 08/11/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero, se han detectado nuevos indicadores de compromiso relacionados con el troyano Emotet. Este malware es modular, entre los más destacados está el módulo para la captura y extracción de datos el cual permite a ciberdelincuentes conseguir el acceso a las cuentas de los usuarios que sean afectados con esta amenaza.

Nuevos indicadores de compromiso asociados a Cobalt Group

Publicado: 06/11/2019 | Importancia: Media

El CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].

Nuevos indicadores de compromiso asociados al malware Pony [aka Fareit].

Publicado: 01/11/2019 | Importancia: Media

Por medio de fuentes de información, el CSIRT Financiero relaciona indicadores de compromiso asociados al malware Pony, también conocido como aka Fareit, este es considerado como uno de los ladrones de contraseña más populares.

Xhelper, el nuevo Dropper [Descargador de malware]

Publicado: 31/10/2019 | Importancia: Media

Su posible método de infección es a través de descargas de aplicaciones maliciosas de tiendas de terceros o por medio de engaños realizados por los ciberdelincuentes. Generalmente Xhelper se aloja en los dispositivos móviles de los usuarios y genera persistencia, esto con el fin de que, al momento de ser detectado, no pueda ser eliminado del dispositivo.

Actividad reciente del troyano DanaBot

Publicado: 26/10/2019 | Importancia: Media

Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al troyano DanaBot. Este malware generalmente se distribuye por medio de correo electrónico en la que se adjunta una url, o un archivo comprimido .rar o de office que contiene macros que al ser habilitados descargan este malware.

Nuevos indicadores de compromiso analizados relacionados con Cobalt Group

Publicado: 25/10/2019 | Importancia: Media

Por medio de fuentes de información el CSIRT Financiero ha conocido una nueva campaña de amenazas asociada al grupo de amenazas Cobalt, esta se destaca por el uso del código malicioso llamado CoolPants, una puerta trasera que ha tenido uso desde el año 2018 y es considerado como una evolución del backdoor conocido CobInt. El método de distribución de esta amenaza es a través de spearphishing.

Nuevas campañas del grupo APT TA505

Publicado: 22/10/2019 | Importancia: Media

El CSIRT Financiero a identificado nueva actividad del grupo TA505, en la que se evidencian tres campañas de phishing dirigidas a personas de habla griega, inglesa y francesa, en las que se envían correos con asuntos que pretenden engañar a los usuarios para que abran una URL o archivo adjunto, con el fin de lograr que se descargue la infección de malware llamado Get2.

Nuevos indicadores de compromiso relacionados con el troyano bancario Emotet.

Publicado: 21/10/2019 | Importancia: Media

El CSIRT Financiero mediante sus fuentes de información ha identificado un aumento en las campañas del troyano bancario conocido como Emotet, cada una de las campañas busca obtener información confidencial y privada, sin embargo, cada día han realizado ajustes en el código con el fin de evitar ser detectados, crear persistencia en los sistemas infectados e incluso, ser puente para inyectar nuevos códigos maliciosos.

ATM Boostwrite, descargador de múltiples variantes de malware

Publicado: 19/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero se ha identificado una muestra del malware Boostwrite, el cual está asociado al grupo de amenazas APT FIN7; el malware Boostwrite es un dropper (descargador de malware) dirigido a cajeros automáticos, con el fin de ejecutar diferentes tipos de malware en el ATM infectado, hasta el momento se desconoce el método de propagación de la infección.

Jackpotting, técnica que utilizan los ciberdelincuentes para instalar malware Cutlet Maker

Publicado: 17/10/2019 | Importancia: Baja

Por medio de fuentes de información el CSIRT Financiero ha identificado nuevos detalles de la técnica conocida como Jackpotting, esta ha sido utilizada por ciberdelincuentes para obtener acceso a dispositivos ATM y dar paso a la instalación de Cutlet Maker, un malware que va dirigido a obtener la manipulación de los cajeros automáticos para lograr la expulsión de dinero.

Nuevos indicadores de compromiso asociados a TA505

Publicado: 10/10/2019 | Importancia: Media

El equipo del CSIRT Financiero identificó una campaña del grupo TA505 en la que se presume, debido a la trayectoria del grupo ciberdelincuente, que van por información de los usuarios. El modo de operar de este grupo por lo general es enviando código malicioso por medio de correos no deseados y luego de esto, esperar a que una persona interactúe con el correo electrónico y así poder obtener los datos personales.

Phishing dirigido a Latinoamérica asociado a malware Bandload

Publicado: 09/10/2019 | Importancia: Media

El CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.

Técnicas de infección de malware Nodersok sin uso de archivos

Publicado: 07/10/2019 | Importancia: Media

Se ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.

Nueva campaña de malspam busca distribuir Trickbot

Publicado: 07/10/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva campaña de envío masivo de correos electrónicos que distribuye código malicioso, en este caso, se está distribuyendo el troyano bancario llamado denominado Trickbot.

Nueva actividad del grupo Lazarus

Publicado: 06/10/2019 | Importancia: Media

Gracias a las fuentes de información del CSIRT Financiero, se ha logrado identificar una nueva actividad del grupo Lazarus. En esta ocasión el grupo en mención desarrolló un nuevo malware que está diseñado para afectar de manera directa los procesos de Microsoft Windows, como también realizar la captura de datos a partir de un componente oculto.

Actividad de Malware Casbaneiro que afecta a países de Latinoamérica.

Publicado: 06/10/2019 | Importancia: Media

Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.

Análisis de malware Cerberus

Publicado: 25/09/2019 | Importancia: Media

Cerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.

Nueva campaña de phishing distribuye el troyano Astaroth

Publicado: 24/09/2019 | Importancia: Media

Investigadores de seguridad han detectado y analizado una nueva campaña de phishing la cual se encarga de propagar el troyano bancario de nombre Astaroth; el CSIRT Financiero ha creado una lista de indicadores de compromiso basados en este troyano con el fin de que las entidades asociadas puedan aplicar estos IoC y así minimizar el riesgo de que ocurra un incidente.

Análisis Avanzado de la amenaza Emotet

Publicado: 24/09/2019 | Importancia: Media

Emotet es un malware modular de la familia de los troyanos que funciona como descargador de otros troyanos, el objeto principal de este malware es capturar información. Utiliza técnicas de sniffing e inyección de código en los sistemas comprometidos. Desde CSIRT Financiero se han identificado muestras recientes de este malware y se ha realizado análisis con el objeto de establecer indicadores de compromiso y generar recomendaciones para prevenir y evitar cualquier afectación de este tipo de amenaza.

Nuevo ransomware Kvag busca afectar a los usuarios de internet

Publicado: 20/09/2019 | Importancia: Media

Por medio de diversas fuentes, el CSIRT Financiero obtiene información de un nuevo malware de tipo Ransomware llamado Kvag, el cual amenaza la región y en general a los usuarios de internet; se distribuye por medio de correos electrónicos con archivos adjuntos que camuflan el Ransomware, así como también por medio de la ejecución de activadores de software o actualizaciones falsas de software.

Nuevas campañas de Malware Emotet

Publicado: 18/09/2019 | Importancia: Media

Se han identificado nuevas campañas de spam distribuyendo malware Emotet. Este malware ha puesto su mira tanto en objetivos particulares como en empresas y entidades gubernamentales, todos ellos provenientes de diferentes países como Alemania, Reino Unido, Polonia, Italia y EE. UU.

Nuevas amenazas relacionadas con Ransomware Ryuk

Publicado: 16/09/2019 | Importancia: Media

Se identificaron nuevos indicadores de amenazas relacionados con el Ransomware Ryuk, se tiene conocimiento de que este malware se distribuía como una infección primaria a través de archivos adjuntos de correo electrónico malicioso y conexiones de RDP insuficientemente protegidas, en el segundo trimestre de 2019 afectó empresas y organizaciones a nivel mundial.

Nuevas tácticas del grupo APT FIN6

Publicado: 16/09/2019 | Importancia: Media

En el análisis de amenazas del CSIRT Financiero se ha logrado identificar una campaña reciente del grupo de APT FIN6, quién ha cambiado sus tácticas y se ha orientado a la infección de sitios web de comercio electrónico.