Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de phishing

Campaña de phishing para la distribución de Quasar RAT

Publicado: 25/03/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Quasar RAT.

Nuevo método utilizado para distribuir a ObliqueRAT

Publicado: 03/03/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva forma de distribución del troyano de acceso remoto ObliqueRAT que afecta a equipos con sistema operativo Windows. Desde su detección en el año 2020 los ciberdelincuentes han utilizado el envío de mensajes de correo malspam con documentos de ofimática que contiene macros embebidas maliciosas.

Campaña del malspam que distribuye a WSH RAT

Publicado: 18/02/2021 | Importancia: Media

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.

Presunta fuga de información confidencial en el sector bancario

Publicado: 09/02/2021 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado en una fuente abierta de información una publicación, en donde un ciberdelincuente asegura tener en su poder información sensible y datos confidenciales de las entidades Banco Pichincha Ecuador, Visa Titanium, Diners Club y Discover. La recopilación de la información presuntamente exfiltrada y accedida se asocia con: • Datos PII de clientes y empleados. • Acceso a los sistemas de intranet. • Tarjetas de crédito.

Trickbot reactiva su actividad con un nuevo módulo denominado MASRV

Publicado: 01/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.

Campaña de distribución de nueva variante de Ursnif

Publicado: 14/01/2021 | Importancia: Media

En el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.

Nueva campaña de phishing descarga Qrat

Publicado: 06/01/2021 | Importancia: Baja

En el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.

Campaña de suplantación a Paypal para capturar credenciales de acceso

Publicado: 02/01/2021 | Importancia: Media

En el constante monitoreo a fuentes abiertas por parte del equipo del Csirt, se ha evidenciado una campaña de phishing con el objetivo de suplantar a la empresa PayPal y recolectar los datos sensibles y bancarios de los usuarios.

Falsas tarjetas de regalo de Amazon distribuyen al troyano Dridex.

Publicado: 24/12/2020 | Importancia: Alta

En el monitorio realizado por el Csirt Financiero a fuentes abiertas de información, se ha identificado que ciberdelincuentes están realizando una campaña de malspam con temática que hace alusión a supuestas tarjetas de navidad de Amazon para distribuir a Dridex, un troyano bancario modular con capacidades de captura y exfiltración de información sensible.

Campaña de phishing usa mensaje de migración de Outlook

Publicado: 17/12/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña de phishing, la cual usa el mensaje de migración de Microsoft Outlook, para la recolección y exfiltración de credenciales.

Campañas de Phishing con temática de Actualización de Versión Windows

Publicado: 28/09/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado, a través del monitoreo de fuentes abiertas, nuevas campañas de phishing dirigidas a empleados de distintas entidades, donde se ofrece la actualización del sistema operativo Windows 7 a Windows 10, como en su oportunidad lo hizo Microsoft por el fin del ciclo vital de Windows 7 (enero 14 del 2020), cuando Microsoft instaba a actualizar cualquier equipo o dispositivo a Windows 10.

Ciberdelincuentes utilizan direcciones IP Hexadecimales para evadir filtros de Correo Electrónico

Publicado: 20/09/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado una nueva técnica utilizada por los ciberdelincuentes para distribuir spam y evadir los filtros de correo electrónico. La técnica consiste en colocar enlaces adoptando direcciones IP hexadecimales, en la parte del nombre del host dentro de la URL remitida al usuario en un mensaje de correo electrónico para evadir la detección de spam y así redirigir a los usuarios a páginas web de spam controladas por los ciberdelincuentes.

Colección de kits de phishing a la venta en la deep web

Publicado: 20/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado la comercialización de un pack que contiene diversas plantillas para realizar phishing a todo tipo de organizaciones, entre las que se encuentran algunas entidades financieras. En total el pack está compuesto por más de 1300 kits de herramientas para realizar campañas de phishing.

Nueva variante de un troyano bancario de origen brasileño

Publicado: 13/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha detectado una nueva campaña dirigida a usuarios localizados en Portugal. Dicha campaña está distribuyendo una nueva variante de un troyano bancario de origen brasileño, el cual tiene como objetivo la superposición de ventanas en el navegador del usuario para la exfiltración de las credenciales bancarias.

Campaña PerSwaysion; kit de phishing web

Publicado: 05/05/2020 | Importancia: Media

Campaña denominada PerSwaysion, tiene como objetivo principal pequeñas y medianas entidades de servicios financieros, bufetes de abogados e inmobiliarias, sus víctimas localizadas en Estados Unidos, Canadá, Alemania, Reino unido, Hong Kong y Singapur; el 50.64% de sus esfuerzos de ataque se dirigen principalmente al sector financiero.

Grupo “Florentino” usa campañas de phishing utilizando office 365

Publicado: 29/04/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a nuevos ciberdelincuentes, se ha identificado nuevos ataques del grupo banquero denominado Florentino, caracterizado por perpetrar sus ataques hacia el sector financiero de países como Israel e Inglaterra, algunas de sus cuentas bancarias fraudulentas a donde redirigieron las transacciones se localizaron en Hong-Kong. Su vector de ataque es el envío de mensajes de correo electrónico tipo phishing, suplantando a office 365 acompañado de un alto grado de ingeniería social de la entidad objetivo.

Ataque de Phishing para exfiltrar credenciales de Skype

Publicado: 28/04/2020 | Importancia: Media

El equipo del Csirt financiero ha identificado una nueva amenaza de phishing, en donde se informa a los usuarios de Skype acerca de 13 notificaciones que deben revisar, la dirección del remitente es aparentemente valida a primera vista ya que cuenta con un dominio respaldado por Google y además con certificado SSL.

Sitio web malicioso suplanta a entidades financieras colombianas.

Publicado: 17/04/2020 | Importancia: Media

En el constante monitoreo del Csirt Financiero se ha identificado un enlace malicioso el cual redirecciona a sitios fraudulentos que suplantan a diferentes entidades bancarias y su configuración cambia cada día.

Malware bancario Grandoreiro de superposición remota

Publicado: 15/04/2020 | Importancia: Media

El equipo Csirt financiero ha identificado un nuevo troyano denominado Grandoreiro que amenaza al sector bancario en Brasil, también se ha visto que sus últimos ataques fueron dirigidos a la banca española; su metodología hace uso de las técnicas de superposición remota, lo cual facilita a los ciberdelincuentes el proceso de engaño al usuario para realizar transferencias no autorizadas.

Campaña de phishing para capturar credenciales de plataforma Webex

Publicado: 13/04/2020 | Importancia: Baja

El equipo del Csirt Financiero ha identificado un ataque de phishing a través de mensajes de correo electrónico relacionado como señuelo una vulnerabilidad crítica “falsa” de Cisco, para que los usuarios de la plataforma de videoconferencias WebEx ingresen sus credenciales en formularios fraudulentos y de esta forma los ciberdelincuentes obtienen las credenciales de las videoconferencias capturando información y documentación sensible.

Utilizan atributos de CSS para realizar campaña de phishing.

Publicado: 10/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.

Campaña de phishing dirigida a empleados con VPN

Publicado: 03/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una campaña de phishing realizada mediante el envío masivo de mensajes de correo electrónico con enlaces fraudulentos para engañar a usuarios de VPN empresariales y a las personas que están trabajando desde su casa que han recurrido a las VPN para garantizar la privacidad y anonimato de sus empleados en Internet.

Campañas de correos maliciosos asociados al troyano bancario Zeus Sphinx

Publicado: 02/04/2020 | Importancia: Media

Aprovechando la pandemia del COVID-19 se sigue distribuyendo malware, la actividad consistió en el envío de mensajes de correo electrónico con documentos adjuntos que al ejecutar macros abren paso a la descarga del troyano bancario Zeus Sphinx.

Indicadores de compromiso asociadas a campañas COVID-19

Publicado: 22/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado indicadores de compromiso que están relacionados con campañas de phishing a través de mensajes de correos electrónicos con archivos maliciosos adjuntos, páginas web falsas y suplantación de entidades oficiales, utilizando temas relacionados con la emergencia mundial de salud pública sobre COVID-19. Los ataques tienen como objetivo principal obtener una recompensa económica, ya sea vendiendo la información en la dark web, realizando transacciones fraudulentas o la extorsión a las víctimas por la devolución de la información.

Nuevo tipo de ransomware: NetWalker

Publicado: 08/03/2020 | Importancia: Baja

El equipo del Csirt financiero identificó un nuevo tipo de ransomware dirigido a usuarios del sistema operativo Windows 10; este ransomware es distribuido mediante phishing y mensajes masivos de correo electrónico tipo spam.

Actividad de phishing dirigida a usuarios de MasterCard

Publicado: 02/03/2020 | Importancia: Media

En el constante monitoreo que realiza el Csirt Financiero, se ha evidenciado actividad de los ciberdelincuentes a través de la creación de sitios falsos y mensajes de correo electrónico para inducir a los usuarios de MasterCard y hacer la captura de sus datos personales.

Ciberdelincuentes usan SSL para phishing

Publicado: 29/02/2020 | Importancia: Media

Desde el Csirt Financiero se ha detectado un aumento masivo en el uso de SSL (Secure Socket Layer) en ataques de phishing, lo que muestra como los ciberdelincuentes están perfeccionando sus métodos buscando mejores beneficios económicos.

Nuevos indicadores de compromiso asociados a Predator the Thief.

Publicado: 28/01/2020 | Importancia: Media

El malware Predator the Thief esta categorizado como infostealer desde el año 2018, su principal vector de distribución es el spear-phishing y su objetivo principal es exfiltrar información confidencial de los usuarios.

Campaña que distribuye el malware Raccoon Stealer

Publicado: 26/10/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero se ha identificado una nueva campaña que usa el malware Raccoon Stealer, muy utilizado por parte de los ciberdelincuentes desde abril del año en curso, esto ha causado afectaciones en diversos sectores. El método más común para la distribución de este malware se hace a través de phishing, descarga de software comprometido o mediante kits de exploits.

Campaña de Phishing dirigida a usuarios de Colombia.

Publicado: 09/06/2019 | Importancia: Alta

Se detecta campaña de Phishing dirigida a usuarios de Colombia, suplantando identidad de entidad financiera reconocida, con objetivo principal de robar credenciales y datos de tarjetas débito y crédito.