Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Troyano

Nuevos indicadores de compromiso asociados a Cobalt Group

Publicado: 19/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero se han identificado nuevas campañas de distribución del troyano bancario CobInt a través de campañas de malspam, las cuales son asociadas a Cobalt Group. Para estas campañas en específico se utilizaron correos electrónicos maliciosos enviados desde Gateways.

Phishing dirigido a Latinoamérica asociado a malware Bandload

Publicado: 09/10/2019 | Importancia: Media

El CSIRT Financiero a identificado actividad de phishing que distribuye el malware Banload, el método de infección más común es la distribución a través de correo electrónico, seguido de la ocultación del malware apps y el uso de archivos como “Games of Thrones” o cracks para la activación de programas como office y Windows. El fin de este malware es que el usuario lo descargue para posteriormente ejecutar la descarga de otro tipo de malware que realiza extracción de información.

Indicadores de amenaza relacionadas a botnet Geost

Publicado: 08/10/2019 | Importancia: Media

Se ha identificado una nueva botnet llamada Geost que afecta dispositivos Android y busca capturar datos de las cuentas de los usuarios dueños de los dispositivos. El método de propagación de esta botnet se ha realizado por medio de diferentes APK's infectadas que provienen de tiendas de apps no oficiales, el malware que realiza la infección de esta botnet es conocido como “HTBot”.

Nueva actividad del grupo Lazarus

Publicado: 06/10/2019 | Importancia: Media

Gracias a las fuentes de información del CSIRT Financiero, se ha logrado identificar una nueva actividad del grupo Lazarus. En esta ocasión el grupo en mención desarrolló un nuevo malware que está diseñado para afectar de manera directa los procesos de Microsoft Windows, como también realizar la captura de datos a partir de un componente oculto.

Actividad de Malware Casbaneiro que afecta a países de Latinoamérica.

Publicado: 06/10/2019 | Importancia: Media

Investigadores de la firma ESET descubrieron actividad de malware llamado Casbaneiro y también conocido como Metamorfo que afectó a Brasil y México. La distribución de este malware se cree que se ha realizado a través de correo electrónico malicioso. Utiliza técnicas de ingeniería social con el fin de persuadir usuarios para que ingresen sus datos y poder ser utilizados por los ciberdelincuentes.

Análisis de malware Cerberus

Publicado: 25/09/2019 | Importancia: Media

Cerberus es un malware catalogado como troyano bancario, descubierto en junio de 2019, el troyano cuenta con múltiples técnicas para cumplir su objetivo principal que consiste en obtener credenciales de diferentes tipos de aplicaciones. Desde el CSIRT Financiero se evidenció que el malware Cerberus es alquilado en foros clandestinos, además, el grupo de amenazas de donde proviene el troyano interactúa con la comunidad a través de Twitter.

Nueva campaña de phishing distribuye el troyano Astaroth

Publicado: 24/09/2019 | Importancia: Media

Investigadores de seguridad han detectado y analizado una nueva campaña de phishing la cual se encarga de propagar el troyano bancario de nombre Astaroth; el CSIRT Financiero ha creado una lista de indicadores de compromiso basados en este troyano con el fin de que las entidades asociadas puedan aplicar estos IoC y así minimizar el riesgo de que ocurra un incidente.

Nueva campaña del malware Qakbot

Publicado: 09/09/2019 | Importancia: Media

Investigadores especializados han generado una nueva advertencia respecto al malware Qakbot. Este tiene la capacidad de propagarse como un gusano, infectando a los usuarios y realizando las funciones de un troyano. Se considera que el malware es distribuido por un grupo organizado de cibercrimen, sin embargo, no se ha logrado atribuir este hecho a ningún grupo.

Nuevos indicadores de compromiso relacionados a Trickbot

Publicado: 09/09/2019 | Importancia: Media

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el troyano bancario TrickBot, este troyano busca capturar las credenciales bancarias del usuario víctima.

Campaña mundial contra entidades gubernamentales y financieras con los RAT Orcus y Revenge.

Publicado: 04/09/2019 | Importancia: Media

Detectadas campañas de distribución de malware, en el que se envían correos a las víctimas para qué descarguen herramientas de acceso remoto con el fin de que se instalen en el equipo víctima y así tomar el control de manera remota para obtener información como datos sensibles y obtener beneficios.

Campaña de phishing distribuye Troyano de acceso remoto Quasar

Publicado: 02/09/2019 | Importancia: Media

CSIRT Financiero en la búsqueda de posibles amenazas a identificado una nueva campaña de phishing relacionada con Quasar RAT, el cual se está distribuyendo a través de correo electrónico con el asunto “curriculum” y se hace pasar por un buscador de trabajo en el que adjunta un archivo Word protegido con una contraseña básica “123” con el fin de engañar personas y robar datos.

Nueva campaña de malware NanoCore podría afectar a usuarios en Colombia

Publicado: 30/08/2019 | Importancia: Media

Desde el CSIRT Financiero se han identificado amenazas que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores, se recomienda establecer medidas preventivas contra esta nueva campaña del malware NanoCore RAT.

Nueva campaña del troyano Adwind podría afectar al sector Financiero

Publicado: 30/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva campaña del troyano Adwind, el cual busca afectar a los usuarios del sector de servicios públicos. Sin embargo, dentro de sus funcionalidades está el robo de credenciales de varios aplicativos, también se encuentra relacionada a diferentes campañas de robo de información a usuarios del sector.

Se evidencia nueva actividad de la Botnet de Emotet.

Publicado: 26/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva actividad de la botnet llamada Emotet y en esta nueva campaña, aunque esta botnet no cambia su estructura, está siendo usada para distribuir malware dentro de los que se destacan dos troyanos bancarios. Adicional a esto, cabe destacar que en la actividad detectada desde la reaparición de la campaña no se han identificado nuevos binarios de bot, si no únicamente nueva actividad de los servidores que ya estaban usando.

Silence Group realiza cambios al malware que distribuye en nueva campaña

Publicado: 22/08/2019 | Importancia: Media

El CSIRT Financiero a identificado y analizado nuevos indicadores de compromiso del grupo APT Silence, grupo de habla rusa, presuntos autores del ataque en Bangladesh el pasado mes de mayo quienes en campañas dirigidas contra entidades financieras lograron elevar la cifra de robo a 4,2 millones de dólares en más de 30 países de Europa, África, Asia y América.

Troyano bancario distribuido por medio de sitio web falso NordVPN

Publicado: 18/08/2019 | Importancia: Media

Desde el CSIRT Financiero se identificó un sitio web falso que se hace pasar por sitio oficial del aplicativo NordVPN, el cual distribuye troyano denominado como “win32.bolik2”, utilizado por ciberdelincuentes para recolectar datos de los usuarios a través de registro de pulsaciones e interceptación de tráfico de red.

Campaña de Malspam que distribuye troyano “NanoCore”

Publicado: 19/08/2019 | Importancia: Media

Desde el CSIRT Financiero se identifican indicadores de compromiso con actividad reciente los cuales al ser analizados se detecta troyano NanoCore que se distribuye a través de campaña de Malspam, los cuales mediante esta técnica busca engañar usuarios para que abran un correo electrónico y descargue/ejecuten archivos con el fin de instalar este Malware.

Cerberus: Nuevo troyano bancario para dispositivos móviles.

Publicado: 14/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha encontrado una nueva definición de malware relacionado con un troyano bancario. Esta nueva definición de se apoda Cerberus el cual busca afectar a los dispositivos móviles con diferentes herramientas de administración.

Nueva variante de FlawedAmmy RAT

Publicado: 08/08/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado actividad de FlawedAmmy (troyano de acceso remoto que permite a los atacantes acceder completamente al dispositivo infectado, además, cuenta con las capacidades necesarias para permitir movimiento lateral en la red).

Familia de troyano bancario Amavaldo

Publicado: 06/08/2019 | Importancia: Media

Desde el CSIRT Financiero se identifica una familia de troyanos bancarios latinoamericanos comenzando con una nueva familia de malware Amavaldo.

Nueva variante de TrickBot puede desactivar las defensas de Windows Defender

Publicado: 31/07/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva variante del troyano bancario Trickbot. El cual le permite desactivar las defensas de Windows Defender en dispositivos con el sistema operativo Windows 10.

Notificación Global Regional

Publicado: 29/07/2019 | Importancia: Baja

Desde CSIRT Financiero se han identificado amenazas y ataques organizados que afectan a COLOMBIA de manera directa o indirecta, debido a la criticidad y capacidad de expansión en diferentes sectores a donde se originaron, se recomienda establecer medidas preventivas.

Troyano bancario basado en una extensión de Chrome

Publicado: 26/07/2019 | Importancia: Media

Desde el CSIRT Financiero se identifica un nuevo troyano bancario, el cual se basa en una extensión de Chrome, apuntando directamente al robo de credenciales bancarias en Latinoamérica.

Malware Monokle para dispositivos Android

Publicado: 25/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta Monokle, troyano de acceso remoto, el cual apunta a los teléfonos móvil desde el año 2016, aunque no va dirigido a un sector en específico se puede catalogar como una amenaza para el sector financiero por sus capacidades.

Web falsa de Office 365 descarga del troyano Trickbot

Publicado: 24/07/2019 | Importancia: Media

Una nueva campaña de ataque de malware distribuye el troyano Trickbot a través de un “site” falso de Office 365 solicitando una actualización de los navegadores Chrome y Firefox. El sitio ofrece diferentes alertas diseñadas específicamente para cada usuario según el navegador que está usando. El mensaje de dicha alerta advierte al usuario de que debe actualizar su navegador para evitar errores y pérdidas de datos debido a la versión obsoleta instalada de su navegador.

Metamorfo: Troyano bancario que se oculta en ejecutable de antivirus.

Publicado: 17/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta nueva campaña de Malware que utiliza el Troyano bancario dirigido a organizaciones financieras denominado Metamorfo, el cual utiliza diferentes técnicas, tácticas y procedimientos (TTP) para evadir la detección y posteriormente entregar (descargar/ejecutar) la carga maliciosa.

Nueva campaña de Malspam ‘Proyecto RAT’ dirigida al sector financiero y entidades del gobierno.

Publicado: 17/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta nueva campaña de Malspam dirigida al sector financiero y sector gubernamental de países de América del sur, enfocándose altamente en Colombia. Su característica principal de propagación se basa en el servicio de correo electrónico desechable YOPmail, el cual utiliza como medio de conexión hacia su servidor C2 (Command and Control).

Sitio Web Contiene multiples variantes de malware.

Publicado: 16/07/2019 | Importancia: Media

Desde el CSIRT Financiero se detecta un sitio web el cual opera como repositorio de múltiples tipos de malware. En un análisis a varios de los archivos, se logró detectar diferentes tipos de malware entre los que se encuentran: keylogger (software malicioso encargado de registrar las pulsaciones de teclado y almacenarlas o en su defecto enviarlas a un servidor de comando y control), adware (software no deseado diseñado para mostrar anuncios en la pantalla del usuario) y trojan generic (malware de tipo troyano el cual cuenta con características para su difícil clasificación).

Nueva campaña del troyano Astaroth busca afectar a usuarios de sistemas operativos Microsoft.

Publicado: 10/07/2019 | Importancia: Media

Desde el CSIRT Financiero se ha detectado una nueva campaña de Malspam relacionada con el Troyano Astaroth, el cual busca la captura y robo de credenciales de los usuarios de Windows.

Nueva variante de Gozi podría afectar a usuarios del sector financiero.

Publicado: 08/07/2019 | Importancia: Media

Desde el CSIRT Financiero, se ha detectado una nueva variante del troyano Gozi la cual busca capturar información bancaria como también convierte las máquinas de los usuarios en zombies de una red Botnet.