Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Troyano

Nuevos indicadores de compromiso asociados al troyano Dridex

Publicado: 21/03/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados a actividad cibercriminal por parte del troyano bancario Dridex. Este malware tiene capacidades para exfiltrar credenciales e información bancaria de equipos con sistemas operativo Windows.

Nuevo método utilizado para distribuir a ObliqueRAT

Publicado: 03/03/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva forma de distribución del troyano de acceso remoto ObliqueRAT que afecta a equipos con sistema operativo Windows. Desde su detección en el año 2020 los ciberdelincuentes han utilizado el envío de mensajes de correo malspam con documentos de ofimática que contiene macros embebidas maliciosas.

Campaña del malspam que distribuye a WSH RAT

Publicado: 18/02/2021 | Importancia: Media

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.

Campaña de suplantación dirigida a usuarios de Claro Colombia

Publicado: 26/01/2021 | Importancia: Alta

En el monitoreo realizado por el equipo de Csirt Financiero, se evidencia una nueva campaña de suplantación de identidad, donde falsos asesores de la empresa de telecomunicaciones toman contacto telefónico con usuarios desprevenidos, indicando que pertenecen a la empresa de telefonía Claro Colombia y que su servicio requiere de una falsa actualización, por lo que envían un mensaje SMS al usuario indicando que ingrese a la dirección URL para descargar y ejecutar un archivo .apk en el dispositivo móvil.

Indicadores de compromiso asociados a Emotet

Publicado: 21/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, se han encontrado nuevos Indicadores de compromiso asociados al troyano bancario Emotet, el cual tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows. Las capacidades de Emotet han evolucionado en los últimos años, incluyendo la facultad de descargar y ejecutar malware adicional si así lo determina el ciberdelincuente.

Última técnica utilizada para distribuir LokiBot.

Publicado: 08/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.

Yellow Cockatoo ejecuta troyano RAT

Publicado: 08/12/2020 | Importancia: Media

El equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.

CostaRicto APT distribuye malware a entidades financieras y de entretenimiento

Publicado: 12/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.

Nuevas funcionalidades del troyano de banca móvil Wroba

Publicado: 30/10/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.

Nueva variante de GravityRAT afecta sistemas Android, Windows y MacOS.

Publicado: 19/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.

Actividad de Lokibot

Publicado: 09/09/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.

Nuevos indicadores de compromiso del troyano Grandoreiro

Publicado: 08/08/2020 | Importancia: Media

El equipo del Csirt Financiero han identificado nuevos indicadores de compromiso relacionados con el troyano denominado Grandoreiro. Este se encuentra activo desde el año 2017 y dirige sus ciberataques a países de Latinoamérica y España. El método de propagación consiste en el envío de mensajes de correo electrónico tipo malspam con enlaces para su descarga, simulando un documento. Los mensajes de correo intentan suplantar empresas conocidas y utilizan asuntos que inducen o motivan al usuario a su descarga y visualización.

Troyano Wellmess, experto en exfiltración de información

Publicado: 02/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha detectado actividad del troyano WellMess, este ha sido utilizado por diferentes grupos de ciberdelincuentes desde el año 2018. Fue escrito en lenguaje Go y es compatible con .NET, se distribuye en sistemas operativos Windows de 32 y 64 bits.

Nuevos indicadores de compromiso relacionados a RATicate

Publicado: 15/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado que el grupo de cibercriminales RATicate ha estado distribuyendo gran variedad de troyanos de acceso remoto, con la intención de obtener control de los equipos infectados. La forma y medios de entrega de malware actual es diferente al implementado tiempo atrás.

Indicadores de compromiso relacionados a Quasar RAT

Publicado: 01/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.

Indicadores de compromiso relacionados a Parallax RAT

Publicado: 27/06/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se han identificado nuevos indicadores de compromiso asociados a Parallax RAT, un troyano de acceso remoto cuyo objetivo es tomar el control del equipo comprometido para exfiltrar información confidencial que encuentre.

Indicadores de compromiso asociados a Amavaldo

Publicado: 20/06/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados al troyano bancario Amavaldo; se comunica con el servidor de comando y control (C2) a través de túneles SSH y su principal objetivo es capturar información bancaria de los usuarios.

Indicadores de compromiso relacionados al troyano IcedID

Publicado: 08/06/2020 | Importancia: Media

A través del continuo monitoreo realizado por el equipo del Csirt Financiero a nuevos vectores de amenazas, se han referenciado nuevos indicadores de compromiso asociados a IcedID, troyano con capacidades para expandirse a través de la red y monitorizar la actividad del navegador web con el fin de exfiltrar información confidencial.

Actualización en módulo de propagación de TrickBot

Publicado: 07/06/2020 | Importancia: Media

Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis de las actualizaciones en los módulos del troyano modular TrickBot, el cual es conocido por exfiltrar información confidencial de los equipos infectados, en especial credenciales bancarias.

Nueva campaña de phishing distribuyendo Lokibot y Jigsaw ransomware

Publicado: 06/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.

Indicadores de compromiso asociados a campaña del troyano EventBot

Publicado: 04/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.

Ransomware MedusaLocker

Publicado: 29/04/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.

Malware bancario Lokibot versión 005

Publicado: 20/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado el envío masivo de mensajes de correo electrónico encargados de distribuir al troyano bancario Lokibot, que tiene como objetivo capturar información alojada en los navegadores de internet.

Malware bancario Grandoreiro de superposición remota

Publicado: 15/04/2020 | Importancia: Media

El equipo Csirt financiero ha identificado un nuevo troyano denominado Grandoreiro que amenaza al sector bancario en Brasil, también se ha visto que sus últimos ataques fueron dirigidos a la banca española; su metodología hace uso de las técnicas de superposición remota, lo cual facilita a los ciberdelincuentes el proceso de engaño al usuario para realizar transferencias no autorizadas.

Análisis de malware troyano Javali

Publicado: 04/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una campaña para la distribución del troyano Javali que aun continua activa y está dirigida a los países de habla española y portuguesa enfocada principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.

Análisis de malware Eventbot

Publicado: 27/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha realizado analisis a una muestra del troyano Eventbot el cual se caracteriza por capturar información de las aplicaciones financieras en dispositivos con sistema Android.

Ataques de dns hijacking para descargar app maliciosa de Covid-19

Publicado: 27/03/2020 | Importancia: Baja

Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.

Nuevos indicadores de compromiso asociados al troyano Cerberus

Publicado: 18/03/2020 | Importancia: Media

Desde el Csirt Financiero se han identificado indicadores de compromiso relacionados al troyano bancario Cerberus, el cual suplanta aplicaciones móviles reconocidas mundialmente, infecta el dispositivo, toma acceso remoto y exfiltrar la información sensible del usuario.

Nueva variante de TrickBot

Publicado: 17/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha detectado una nueva variante de TrickBot; no obstante, se mantiene el método principal de distribución mediante el envío masivo de mensajes de correo electrónico con documentos ofimáticos que contienen macros embebidas maliciosas.

Nuevos indicadores de compromiso relacionados con Emotet

Publicado: 06/03/2020 | Importancia: Media

Se han identificado nuevos indicadores de compromiso asociados a Emotet los cuales están relacionados con servicios de envío de spam, descargador de malware, además de una serie de variantes y capacidades para evitar la detección y el análisis de herramientas antimalware.