Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de PowerShell

Nueva amenaza denominada Quantum Builder

Publicado: 23/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Quantum Builder, herramienta que permite a los ciberdelincuentes crear archivos maliciosos de acceso directo de Windows (.LNK).

Nuevos artefactos asociados al troyano QBot

Publicado: 09/06/2022 | Importancia: Media

A través de actividades de monitoreo realizadas a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa relacionada con campañas recientes de QBot, un troyano modular dirigido a sistemas operativos Windows.

Nueva vulnerabilidad en Microsoft Office permite la inyección de código malicioso

Publicado: 29/05/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se ha observado una nueva vulnerabilidad en Microsoft Word que permite a los ciberdelincuentes inyectar código malicioso.

Nuevos artefactos observados en el mes de abril asociados al troyano bancario Qakbot

Publicado: 19/04/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes abiertas de información y en el seguimiento realizado a amenazas potenciales que puedan generar impacto sobre la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso (IoC) asociados al troyano bancario Qakbot.

Ciberatacantes están implementando Systembc en ataques más sofisticados

Publicado: 12/04/2022 | Importancia: Media

A través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una reciente amenaza catalogada como SystemBC, el cual es un malware proxy que está siendo utilizado por muchos ciberdelincuentes para la distribución de otros elementos maliciosos.

Nueva campaña de infección del troyano Remcos RAT dirigido al sector financiero

Publicado: 30/03/2022 | Importancia: Media

En el monitoreo continuo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva campaña de infección del troyano Remcos RAT dirigido específicamente al sector financiero a través de correos electrónicos tipo phishing.

Nueva actividad asociada al troyano STRRAT

Publicado: 23/11/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información y en la identificación de amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de las entidades en Colombia, el equipo de analistas del Csirt Financiero ha observado nueva actividad del troyano de acceso remoto STRRAT.

Nuevos indicadores de compromiso asociados al ransomware Ryuk

Publicado: 17/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt financiero a fuentes abiertas de información, se han identificado varios indicadores de compromiso relacionados con Ryuk, un Ransomware visualizado por primera vez en el año 2018, que tiene como objetivo cifrar los archivos de cada nodo de una red comprometida para exigir el pago a través de transacciones por Bitcoins.

Uso de Runspace en PowerShell para lanzar a REVIL ransomware

Publicado: 25/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.

Ciberdelincuentes alteran las URL para evadir los Sistemas Antimalware

Publicado: 08/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado un método utilizado por los ciberdelincuentes para agregar texto aleatorio a las direcciones URL para evadir la detección antispam.

Nueva variante de FTCode Ransomware

Publicado: 10/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva variante del ransomware FTCode el cual utiliza scripts en Powershell para cifrar los archivos del equipo comprometido sin descargar ningún otro componente adicional.

Malware Sarwent con enfoque en RDP

Publicado: 07/06/2020 | Importancia: Media

A través del monitoreo de fuentes abiertas disponibles en la red, el equipo del Csirt Financiero ha evidenciado el análisis relacionado con el malware de puerta trasera Sarwent; se apoya en el protocolo de escritorio remoto (RDP) para acceder de forma no autorizada al sistema y exfiltrar información confidencial.

Nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia.

Publicado: 03/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.

Sigilo, persistencia y reconocimiento, objetivos del nuevo backdoor PowerTrick.

Publicado: 13/01/2020 | Importancia: Media

El equipo del Csirt Financiero identificó un nuevo backdoor de nombre PowerTrick diseñado por los ciberdelincuentes de TrickBot, cuenta con características de persistencia y reconocimiento dirigido a objetivos de alto valor como entidades financieras.

Técnicas de infección de malware Nodersok sin uso de archivos

Publicado: 07/10/2019 | Importancia: Media

Se ha identificado una campaña de malware denominado Nodersok por Microsoft o Divergent por Cisco Talos, que utiliza técnicas avanzadas como activar malware ejecutando un archivo HTA (Hypertext Application o HTML Application) que actúa conjuntamente con Internet Explorer, el cual inicia el proceso de infección a través de varias etapas que pueden utilizar scripts de JS y PowerShell que generalmente vienen cifrados. El fin del malware es convertir la máquina víctima en un posible zombi proxy para poder ser aprovechada y tener acceso a sus recursos.