Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Malware

Trickbot reactiva su actividad con un nuevo módulo denominado MASRV

Publicado: 01/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.

APT TA551 distribuye Qakbot (Qbot)

Publicado: 28/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado que el grupo TA551 conocido como Shathak, ha venido distribuyendo el malware Qakbot (Qbot) en lo que lleva del año.

Hidden Cobra implementa nuevos malware en sus ataques

Publicado: 26/01/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del grupo cibercriminal Hidden Cobra también conocido como Lazarus que ha implementado nuevo malware durante la ejecución de sus ataques. En este caso se han identificado y relacionado dos tipos de malware denominados Torisma y LCPDot.

Nuevo gusano Golang lanza Xrig Miner a servidores

Publicado: 29/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.

Macro que descarga malware desde Github

Publicado: 27/12/2020 | Importancia: Media

En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.

Malware Adrozek afecta miles de equipos al día

Publicado: 13/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia un nuevo malware denominado Adrozek, una familia de malware, descubierta recientemente, que ha incrementado su afectación desde mayo del presente año, llegando a su punto máximo de actividad en el mes de agosto al afectar más de 30.000 equipos todos los días.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 16/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha observado actividad por parte del troyano modular Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows. Esta amenaza cibernética se distribuye a través de mensajes de correo electrónico malspam con adjuntos maliciosos diseñados para persuadir al usuario a que descargue y acceda al contenido, momento en el cual se inicia el proceso de infección.

CostaRicto APT distribuye malware a entidades financieras y de entretenimiento

Publicado: 12/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.

Aumento en los ataques de Smishing a nivel global

Publicado: 01/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el incremento de ataques conocidos como Smishing. Frente a este tipo de ataques, los ciberdelincuentes realizan el envío de mensajes de SMS en el que incluyen falsos enlaces a sitios web que redirigen a sitios maliciosos para captura de credenciales, descarga o propagación de malware. Aunque este tipo de ataques viene en un constante incremento, la situación mundial de la pandemia a causa del Covid-19 generó un aumento del 29% entre los meses de marzo y julio del presente año

Nuevos indicadores de compromiso asociados a Remcos RAT

Publicado: 26/10/2020 | Importancia: Baja

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.

Nuevo malware vizom apunta a clientes bancarios brasileños

Publicado: 20/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.

Nueva variante de GravityRAT afecta sistemas Android, Windows y MacOS.

Publicado: 19/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.

Campaña de Ciberespionage Dukong utiliza temas de COVID 19 para comprometer Dispositivos Android.

Publicado: 02/10/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.

Imagen Firmware UEFI contiene componentes con Malware

Publicado: 22/09/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.

Campaña de mensajes de correo electrónico Salfram distribuye Malware

Publicado: 07/09/2020 | Importancia: Media

Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de malware con funcionalidad de capturar credenciales bancarias de los usuarios.

Código fuente de Cerberus publicado en foros clandestinos

Publicado: 31/08/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.

Nuevo módulo de Emotet para exfiltrar información de correos electrónicos

Publicado: 31/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.

Nuevos indicadores de compromiso asociados a Wastedlocker

Publicado: 26/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, nuevos indicadores de compromiso asociados a WastedLocker. La aparición de esta nueva variante de ransomware posee características que le permite elevar privilegios mediante bypass UAC para modificar la carpeta system32 y de esta manera interactuar con los archivos del sistema.

Thiefquest el malware dirigido a MacOS

Publicado: 23/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una nueva amenaza dirigida a Sistemas MacOS, se trata del malware conocido como ThiefQuest o EvilQuest. Los ciberdelincuentes introdujeron funcionalidades maliciosas en versiones de aplicaciones de seguridad como Little Snitch y en las aplicaciones Ableton y Mixed In Key utilizadas para la reproducción de música.

Conti ransomware con características avanzadas de cifrado en redes

Publicado: 15/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.

Malware POS “Alina” exfiltra información a través del protocolo DNS.

Publicado: 12/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero ha identificado que el malware Alina, estaría utilizando el servicio de DNS para extraer la información de las tarjetas de crédito capturadas en los puntos de venta de las entidades de comercio comprometidas.

Nuevos indicadores de compromiso asociados a GandCrab

Publicado: 01/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una posible amenaza para el sector financiero; denominada ransomware GandCrab, malware identificado desde el 2018 que en poco tiempo logró posicionarse entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis.

Nuevos indicadores de compromiso asociados a Snatch Ransomware

Publicado: 01/07/2020 | Importancia: Media

En el constante monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidencian nuevos indicadores de compromiso asociados al ransomware Snatch. Este ransomware ataca de nuevo bajo la misma modalidad, utilizando la fuerza bruta en servicios de escritorio remoto (RDP) expuestos, exfiltra la información al servidor de comando y control (C2) cifra la información que pueda acceder y deja nota de rescate.

Actualización en módulo de propagación de TrickBot

Publicado: 07/06/2020 | Importancia: Media

Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis de las actualizaciones en los módulos del troyano modular TrickBot, el cual es conocido por exfiltrar información confidencial de los equipos infectados, en especial credenciales bancarias.

Nuevo malware dirigido a dispositivos ATM

Publicado: 21/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha conocido acerca de un nuevo malware dirigido a cajeros automáticos (ATM), este hace parte de la familia del malware conocida como Dispcash.

Copperhedge, Taintedscribe y Pebbledash, malware distribuido por Hidden Cobra

Publicado: 18/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.

Spyware Mandrake, malware sin detección por más de 4 años

Publicado: 18/05/2020 | Importancia: Media

En el constante monitoreo que realiza el equipo del Csirt Financiero se han identificado campañas de infección del malware Mandrake, el cual es un spyware que había pasado desapercibido por más de 4 años, creando múltiples aplicaciones Android para tomar control total del dispositivo exfiltrando los datos sensibles.

Nuevos indicadores de compromiso asociados con Lampion

Publicado: 17/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado actividad reciente del malware Lampion, el cual ha migrado a una nueva versión según lo observado en el mes de mayo del presente año, suplantando facturas bancarias, facturas relacionadas al grupo Vodafone, así como fondos de emergencia otorgados por el gobierno portugués por la presente pandemia COVID-19, todo a través del envio de mensajes correo tipo malspam.

Malware Evilnum con modificaciones para atacar al sector financiero

Publicado: 12/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una campaña de ataques a empleados y usuarios de entidades financieras extranjeras con una versión mejorada del malware Evilnum, el cual tiene la capacidad de cargar y descargar archivos, recolectar cookies de seguimiento y ejecutar comandos arbitrarios en el equipo comprometido.

Nueva campaña de distribución de RemcosRAT

Publicado: 11/05/2020 | Importancia: Media

Reporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.