Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de RAT

Campaña de phishing para la distribución de Quasar RAT

Publicado: 25/03/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Quasar RAT.

Nueva campaña del troyano NanoCore RAT

Publicado: 13/03/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado una nueva campaña asociada al troyano Nancrat mejor conocido como NanoCore RAT.

Gootkit RAT distribuye malware a través de sitios web comprometidos

Publicado: 28/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad relacionada a la familia de malware Gootkit RAT, un troyano bancario orientado al robo de credenciales. Documentado por primera vez en 2014, Gootkit es un troyano basado en JavaScript capaz de llevar a cabo una gran variedad de funcionalidades incluidas inyecciones web, captura de pulsaciones de teclas, capturas de pantalla, grabación de video, así como la exfiltración de correos electrónicos y contraseñas.

Yellow Cockatoo ejecuta troyano RAT

Publicado: 08/12/2020 | Importancia: Media

El equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.

Malware Bandook apunta a múltiples sectores

Publicado: 28/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se evidencio una nueva ola de ataques dirigidos a múltiples industrias en las que se ha implementado una versión reestructurada del troyano de puerta trasera Bandook.

Nueva variante del troyano de acceso remoto CRAT con grandes capacidades evasivas

Publicado: 14/11/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado la presencia de una nueva variante del troyano de acceso remoto CRAT que afecta equipos con sistemas operativos Windows. Esta nueva variante se ha caracterizado por sus técnicas de evasión ante los sistemas antimalware al permitirle la ofuscación de código mediante clave XOR, ocultar los llamados a la API utilizadas, ejecutar parches sobre de funciones o rutinas en el momento de la ejecución para evadir los mecanismos de detección y las direcciones URL del servidor de comando y control (C2) con que establece comunicación.

Nuevo ejecutable distribuye AsyncRAT

Publicado: 15/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windows

Nuevo RAT desarrollado en Golang aprovecha vulnerabilidad Oracle Weblogic

Publicado: 11/10/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano de acceso remoto (RAT) desarrollado en el framework Golang. La amenaza cibernética se encarga de explotar la vulnerabilidad CVE-2019-2725 de Oracle WebLogic RCE en las versiones 10.3.6.0.0 y 12.1.3.0.0.0, mediante la ejecución de código remoto dentro de una red sin la necesidad de credenciales, afectando los sistemas de información y servicios tecnológicos de servidores WebLogic.

PyVil Rat, Nuevo Malware del Grupo Evilnum

Publicado: 04/09/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un nuevo troyano de acceso remoto (RAT) distribuido por el grupo cibercriminal Evilnum. Este troyano es denominado PyVil RAT y se ha distribuido a través de mensajes de correo tipo phishing.

TA2719 suplanta entidades financieras para distribuir RAT

Publicado: 27/08/2020 | Importancia: Media

En el monitoreo realizado por parte del equipo del Csirt Financiero a nuevas amenazas, se ha evidenciado que el grupo de cibercriminales TA2719. Realizan ciberataques mediante el envío de mensajes de correos electrónico suplantando entidades privadas del sector comercial y financiero, entidades públicas del sector salud y de las fuerzas militares.

Aumento de actividad cibercriminal de Agent Tesla

Publicado: 10/08/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado el aumento en el uso de Agent Tesla, un troyano de acceso remoto (RAT) que tiene la capacidad de exfiltrar información confidencial en los equipos comprometidos. Gracias a su facilidad de uso y precio en los foros clandestinos, este RAT se encuentra entre los más utilizados. Con la crisis actual generada por el COVID-19, los ciberdelincuentes están realizando la distribución de Agent Tesla a través de archivos adjuntos en mensajes de correo relacionados con la pandemia

Nuevo RAT de la familia Carbanak llamado Gosh para Linux

Publicado: 09/08/2020 | Importancia: Alta

Desde el Csirt Financiero se ha identificado una nueva variante de malware utilizada por Carbanak, llamada GOSH, se trata de una RAT, escrito en Golang (lenguaje de programación concurrente y compilado inspirado en la sintaxis de C, algo dinámico como Python y con el rendimiento de C o C++), dirigido especialmente a Distribuciones Linux.

Nueva campaña de malspam infecta los equipos con NjRAT y AsyncRAT

Publicado: 27/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado el envío masivo de mensajes de correo electrónico distribuyendo a njRAT y AsyncRAT, utilizan como asunto un supuesto pago realizado desde la entidad bancaria del usuario. Los ciberdelincuentes utilizan técnicas para persuadir y engañar a usuarios incautos, logrando que realicen la descarga y ejecución de archivos maliciosos, ya sea a través de URL o documentos adjuntos en los mensajes.

Nueva variante de AsyncRAT

Publicado: 06/07/2020 | Importancia: Media

El Csirt Financiero han identificado una nueva variante del troyano AsyncRAT, herramienta de acceso remoto utilizada en tareas de soporte como ayuda técnica o educativa. Los ciberdelincuentes aprovechando su popularidad la están utilizando para propagar malware en los equipos y exfiltrar información personal y datos sensibles de los usuarios.

Indicadores de compromiso relacionados al nuevo DarkVision RAT

Publicado: 28/06/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una posible amenaza para el sector financiero; DarkVision RAT, herramienta de acceso remoto que ha sido distribuida desde enero del presente año por un precio asequible a través de foros de la deep web.

Indicadores de compromiso relacionados a Parallax RAT

Publicado: 27/06/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se han identificado nuevos indicadores de compromiso asociados a Parallax RAT, un troyano de acceso remoto cuyo objetivo es tomar el control del equipo comprometido para exfiltrar información confidencial que encuentre.

Indicadores de compromiso relacionados al troyano Cerberus

Publicado: 24/06/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso relacionados con el troyano bancario Cerberus, el cual tiene como objetivo exfiltrar información confidencial por medio de acceso remoto a usuarios con dispositivos Android.

Nuevos indicadores de compromiso asociados a NanoCore

Publicado: 20/06/2020 | Importancia: Media

Desde el continuo monitoreo realizado por el Csirt Financiero se han identificado nuevos indicadores de compromiso relacionados con NanoCore, el cual tiene como objetivo acceder a un equipo a través de protocolo de acceso remoto y obtener el control de este.

Última versión del bot Amadey instala malware adicional

Publicado: 05/06/2020 | Importancia: Media

En el constante monitoreo realizado por el equipo del Csirt Financiero, ha evidenciado una nueva versión de Amadey, un bot de origen ruso visto por primera vez en 2018 y que ahora cuenta con nuevas capacidades como: • Modificar archivos del sistema. • Exfiltrar credenciales del equipo comprometido. • Realizar capturas de pantalla. • Enviar información de versión y tipo de sistema operativo en peticiones POST al servidor de Comando y Control (C2).

Nuevo grupo Vendetta afecta organizaciones de Europa y Latinoamérica

Publicado: 23/05/2020 | Importancia: Media

El nuevo grupo de ciberdelincuentes denominado Vendetta, interactúa con las víctimas mediante mensajes de correo electrónico tipo phishing, suplantando autoridades de Europa y México con cartas de investigación relacionada a un aviso de detección de COVID-19, estos documentos señuelos ejecutan puertas traseras e instalan malware en la memoria del equipo comprometido.

RAT RevCode WebMonitor empaquetada en instalador Zoom.

Publicado: 05/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado ataques cibernéticos con instaladores de la plataforma de videoconferencias ZOOM que son infectados con RevCode WebMonitor RAT, este es un gran riesgo para entidades públicas y privadas que utilizan esta herramienta de comunicación ya que se ha incrementado su uso desde el inicio de la emergencia sanitaria provocada por el COVID-19.

Indicadores de compromiso relacionados al troyano Cerberus.

Publicado: 30/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Cerberus, el cual suplanta las aplicaciones móviles para infectar dispositivos Android, tomar acceso remoto y exfiltra información sensible.

Nuevos indicadores de compromiso asociados a .NET RAT.

Publicado: 14/04/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado una muestra de malware que explota la vulnerabilidad CVE-2019-0541 con el fin de lanzar la RAT (Herramienta de acceso remoto) .NET, la cual se conecta al servidor C2 (comando y control) que aloja un documento señuelo de COVID-19.

Indicadores de compromiso relacionados al malware RAT Orcus.

Publicado: 29/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha detectado nueva actividad maliciosa de RAT Orcus que permite a los ciberdelincuentes tomar control de un equipo infectado y exfiltrar la información sensible.

Ciberdelincuentes distribuyen RAT Crimson en documentos maliciosos alusivos a COVID-19.

Publicado: 21/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado que ciberdelincuentes distribuyen el RAT (troyano de acceso remoto) denominado Crimson utilizando documentos maliciosos alusivos a COVID-19, los investigadores creen que este ataque es respaldado por algún gobierno.

Ciberdelincuentes aprovechan COVID-19 para distribuir RAT Ave María.

Publicado: 12/03/2020 | Importancia: Baja

El Csirt Financiero en su constante monitoreo de las nuevas amenazas que podrían afectar al sector, ha identificado que los ciberdelincuentes han aprovechado la alarma generada por COVID-19 para distribuir cargas útiles del RAT Ave María, el cual proporciona acceso y control total al equipo infectado

Nuevas actividades del troyano de acceso remoto Ave María

Publicado: 05/02/2020 | Importancia: Media

El troyano de acceso remoto modular conocido como Ave María se ha visto involucrado en recientes actividades de ciberdelincuentes, el malware tiene capacidades de infostealer, keylogger y es considerado de alto riesgo por su uso para obtener el control de equipos y la captura de datos.

Indicadores de compromiso asociados a Dacls RAT

Publicado: 20/12/2019 | Importancia: Baja

Desde el CSIRT Financiero se ha identificado nueva actividad asociada a Lazarus Group, el cual busca afectar a sistemas operativos Windows y Linux, utilizando un troyano de tipo RAT [Herramienta de Administración Remota, por sus siglas en inglés] el cual se identifica por el nombre de Dacls, buscando tomar control de la máquina comprometida.

Nuevos indicadores de compromiso asociados a BalkanRat.

Publicado: 09/12/2019 | Importancia: Media

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a BalkanRat, un malware de tipo RAT [Remote Access Trojan] que permite a los ciberdelincuentes tomar el control del equipo comprometido mediante línea de comandos para extraer información de tipo financiera y dar paso a otras familias de malware.

PyXie, una RAT escrita en Python

Publicado: 04/12/2019 | Importancia: Media

El CSIRT Financiero ha identificado una RAT (Troyano de acceso remoto), que ha sido escrito en Python llamado por investigadores como “PyXie” y está dirigida al sector industria, se ha visto este malware en conjunto con el malware Cobalt strike y un malware descargador similar al Shifu, en análisis realizados se ha verificado que este intenta realizar entrega de ransomware a usuarios infectados.