Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Noviembre de 2019

Nueva campaña asociada a Raccoon Stealer

Publicado: 28/11/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva campaña asociada a la distribución del malware Raccoon Stealer, el cual apareció en el mes de abril de 2019 y ha tenido gran aceptación dentro de los ciberdelincuentes, al contar con una gama amplia de capacidades y por permitir una fácil obtención de dinero al ser un malware MaaS [Malware-as-a-Service]. Este tipo de amenazas podrían afectar al sector financiero ya que tienen la capacidad de exfiltrar la información sensible de la organización, así mismo puede afectar a los usuarios al verse comprometida su información financiera.

Mispadu, el nuevo troyano que se distribuye a través de anuncios publicitarios.

Publicado: 28/11/2019 | Importancia: Media

Mispadu es un troyano de tipo bancario, que está siendo distribuido principalmente mediante campañas de anuncios publicitarios en la red social Facebook. Este tiene como principal objetivo extraer información de los usuarios por medio de extensiones maliciosas instaladas en los exploradores web. Se ha identificado que el foco principal de las campañas en la región ha sido México y Brasil, sin embargo, no se descartan campañas en nuestro país.

Nuevos indicadores de compromiso asociados al troyano Trickbot.

Publicado: 27/11/2019 | Importancia: Media

El malware de tipo troyano conocido como TrickBot, es uno de los códigos maliciosos más usados en la actualidad en las diferentes campañas por los ciberdelincuentes; esto se da puesto que posee funcionalidades destacables y dentro de estas se encuentra la conexión con un Comando y Control que le permite a los ciberdelincuentes instalar otros códigos maliciosos.

Indicadores de compromiso asociados a MageCart

Publicado: 26/11/2019 | Importancia: Media

MageCart, es la unión de grupos de ciberdelincuentes, su principal motivación es de tipo económico, por lo cual su objetivo principal son los sitios web que permiten realizar transacciones electrónicas como lo son los carritos de compras y pasarelas de pago, exfiltrando la información de las tarjetas de crédito que los usuarios ingresan para realizar sus compras o pagos de productos.

Ginp, troyano bancario dirigido a usuarios de plataforma Android

Publicado: 26/11/2019 | Importancia: Baja

El CSIRT Financiero ha identificado campañas de SMS [Short Message Service], con URL maliciosas o por medio de Pop-Up [ventanas emergentes], que redirigen a URL de descarga del troyano Ginp, el cual pretende instalarse en equipos móviles que tengan sistema operativo Android, con el fin de extraer las credenciales de acceso del usuario de las diferentes aplicaciones.

Nueva variante del malware ATM "DispenserXFS"

Publicado: 22/11/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva variante de malware para ATM, la cual es nombrada como DispenserXFS, este malware permite obtener dinero a los ciberdelincuentes a través de la inyección de código malicioso sobre los dispositivos ATM.

Campañas de malspam distribuyendo droppers [descargadores de malware]

Publicado: 22/11/2019 | Importancia: Media

El Dropper es un tipo de malware utilizado por los ciberdelincuentes con el objetivo de descargar y ejecutar diferentes tipos de malware en las máquinas infectadas, su principal característica es evitar la detección de herramientas perimetrales [antivirus].

Actividad asociada a FIN7

Publicado: 22/11/2019 | Importancia: Media

El CSIRT Financiero a través de su continua búsqueda de amenazas dirigidas al sector financiero, ha identificado una nueva campaña de Spear Phishing asociada al grupo de ciberdelincuentes FIN7. Este grupo identificado también como ATK32 y AG-CR1 se encuentra activo desde el año 2013, su principal motivación es de tipo económica por lo cual sus objetivos son los sectores comerciales y financieros, centran sus esfuerzos delictivos en la búsqueda de información como números de tarjetas de crédito y acceso a datos financieros.

Nuevos indicadores de compromiso asociados con el malware bancario Dridex

Publicado: 20/11/2019 | Importancia: Media

Dridex, catalogado como un troyano bancario, su distribución se realiza por medio de campañas de malspam, las cuales traen consigo diferentes métodos de infección para la descarga y ejecución de este, Dridex cuenta con capacidades como la captura de credenciales de acceso a portales bancarios a través de internet.

Nueva campaña de Malspam asociada al Keylogger Agent Tesla

Publicado: 17/11/2019 | Importancia: Baja

Desde el CSIRT Financiero se han identificado indicadores de compromiso asociados al Keylogger Agent Tesla, el cual se instala en los equipos de los usuarios a través de ingeniería social, el usuario recibe un correo electrónico con un archivo tipo Microsoft Word el cual contiene macros que realizan la descarga del troyano una vez descargado y ejecutado en el sistema. En esta última campaña identificada por el CSIRT Financiero se evidenció que este malware utiliza una vulnerabilidad de Microsoft Office que a pesar de que fue identificada y parcheada por Microsoft hace un poco más de dos años, sigue estando presente en equipos, aumentando la posibilidad de ser infectados por este troyano.

Nueva campaña de malspam asociada al troyano Ursnif

Publicado: 15/11/2019 | Importancia: Media

El CSIRT Financiero ha identificado una nueva campaña asociada al troyano bancario Ursnif utilizado por los ciberdelincuentes a través correos de tipo MalSpam [Correo no deseado con Malware]. Este troyano ha sufrido una constante evolución en sus capacidades de evasión y en sus funciones principales como la exfiltración de información personal del usuario, conexiones con los C2 [Command and Control] y descarga de otras variantes de malware entre otros. Su popularidad dentro de los ciberdelincuentes se debe a la publicación de su código fuente en GitHub en el año 2015.

Ransomware Buran, el nuevo malware de tipo RaaS (Ransomware as a service)

Publicado: 15/11/2019 | Importancia: Media

A través del continuo monitoreo e investigación que realiza el CSIRT Financiero, se han identificado nuevos indicadores de compromiso asociados al ransomware Buran. De acuerdo a su comportamiento esta nueva variante de ransomware, es asociada a evoluciones y mejoras entre diversos tipos de ransomware como lo son Jumper y VegaLocker. Es importante informar que Buran se encuentra expuesto comercialmente en diversos foros rusos de la deep web, permitiendo a los ciberdelincuentes tomar sus servicios a cambio de un 25% de las ganancias generadas por los afiliados a este ransomware.

Grupo TA2101 (campaña de distribución de IcedID y MAZE)

Publicado: 15/11/2019 | Importancia: Media

A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.

Actividad reciente grupo FIN7

Publicado: 14/11/2019 | Importancia: Media

El CSIRT Financiero ha identificado que el grupo APT FIN7, continua sus campañas de correo malicioso a través de técnicas y tácticas utilizadas anteriormente como la distribución de archivos de office con macros de VBA (Visual Basic Application), con el único propósito de poder infectar con malware a usuarios y así lograr extraer información sensible para posteriormente ser usada con fines delictivos.

Análisis técnico del malware BitPaymer

Publicado: 14/11/2019 | Importancia: Media

En referencia con los acontecimientos ocurridos a empresas y entidades españolas que fueron afectadas por ataques de Ransomware. El CSIRT Financiero realizó un análisis técnico detallado a la muestra, logrando identificar que se trata del Ransomware BitPaymer; el objetivo de este análisis es establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.

Nuevas campañas de phishing buscan distribuir el malware PredatorTheThief.

Publicado: 13/11/2019 | Importancia: Media

El CSIRT Financiero ha identificado una nueva actividad del Malware PredatorTheThief, su distribución se realiza por medio de campañas de correo electrónico de tipo malicioso. No obstante, los ciberdelincuentes pretenden persuadir a los usuarios para que ellos ejecuten un archivo .zip, iniciando con esto la descarga de la carga útil de PredatorTheThief sobre la máquina del usuario.

Análisis técnico del malware Ryuk

Publicado: 13/11/2019 | Importancia: Media

En los últimos días se detectaron ataques de Ransomware a dos organizaciones de España, las cuales de manera oficial confirmaron el ataque sufrido. Los tipos de Ransomware identificados se tratan de las nuevas versiones de Ryuk y BitPaymer. El CSIRT Financiero ha realizado análisis técnico del ransomware Ryuk, con el fin de establecer TTPs (Técnicas tácticas y procedimientos) e identificar indicadores de compromiso que puedan generar recomendaciones para la prevención ante estas amenazas.

Nueva campaña del grupo TA505 distribuyendo el dropper (descargador de malware) GET2.

Publicado: 12/11/2019 | Importancia: Media

Por medio de fuentes de inteligencia de amenazas del CSIRT Financiero se ha identificado una nueva actividad del grupo TA505, esta nueva campaña utiliza las mismas técnicas de distribución y ofuscación de malware utilizada en campañas anteriores; El método de distribución consiste en el envío de correos maliciosos que pretenden distribuir el dropper GET2, con archivos adjuntos de office que contienen macros maliciosas embebidas.

Nueva actividad de Andariel, uno de los subgrupos más importantes de APT Lazarus.

Publicado: 12/11/2019 | Importancia: Media

El CSIRT financiero a través del continuo monitoreo e investigación de amenazas, ha identificado múltiples campañas de spear phishing (consiste en un ataque dirigido, utilizando técnicas de ingeniería social por medio de correos electrónicos muy personalizados) atribuidas al subgrupo Andariel. las técnicas utilizadas son muy similares a las de Lazarus Group (distribución de documentos con macros diseñadas para la descarga de malware con el objetivo de extraer información).

Pipka el nuevo Skimmer de JavaScript

Publicado: 10/11/2019 | Importancia: Media

El CSIRT Financiero ha identificado un nuevo Skimmer de JavaScript de nombre Pipka, el cual está orientado a la captura de datos ingresados en formularios de las web de comercio electrónico que sean infectadas.

Nuevos indicadores de compromiso relacionados con el grupo de amenazas APT-38

Publicado: 09/11/2019 | Importancia: Media

Se han identificado nuevos indicadores de compromiso asociados a APT-38 o Lazarus Group (grupo de ciberdelincuentes); Con base en el análisis realizado, se considera que la campaña se ha logrado distribuir por varias organizaciones en diversos países entre los que se evidencian Italia, Estados Unidos, Rusia, China, India, entre otros.

Nuevos indicadores de compromiso asociados al troyano Ursnif (Gozi)

Publicado: 08/11/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero, se han identificado nuevos indicadores de compromiso relacionados con el troyano Ursnif/Gozi. Este malware es uno de los más destacados en la familia de troyanos dirigidos a la exfiltración de datos sensibles [asociados a información financiera] de los usuarios víctimas, ya que permite la sustracción de información de manera masiva sobre una red de computadoras infectadas.

Identificación de nuevos indicadores de compromiso asociados al Ransomware MegaCortex

Publicado: 08/11/2019 | Importancia: Media

A través de las fuentes de información del CSIRT Financiero se han identificado nuevos indicadores de compromiso relacionados con el Ransomware MegaCortex. Los ciberdelincuentes en sus últimas campañas asociadas al Ransomware MegaCortex aparte de cifrar datos de los equipos infectados, les solicita una suma de dinero adicional a los usuarios afectados, para que sus datos no sean publicados fuera de la red corporativa.

Nuevos indicadores de compromiso relacionados con Emotet

Publicado: 08/11/2019 | Importancia: Media

Desde las fuentes de información del CSIRT Financiero, se han detectado nuevos indicadores de compromiso relacionados con el troyano Emotet. Este malware es modular, entre los más destacados está el módulo para la captura y extracción de datos el cual permite a ciberdelincuentes conseguir el acceso a las cuentas de los usuarios que sean afectados con esta amenaza.

Nuevos indicadores de compromiso asociados a Cobalt Group

Publicado: 06/11/2019 | Importancia: Media

El CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].

Campaña RDoS dirigida a bancos y entidades financieras

Publicado: 06/11/2019 | Importancia: Media

Por medio de las fuentes de información del CSIRT Financiero, se permite informar acerca de una nueva campaña de denegación de servicios de rescate [RDoS], su ejecución se realizó a finales de octubre del presente año, mencionada campaña fue reportada por organizaciones financieras relacionando la llegada de un correo con mensajes de extorsión.

Ciberataque de Ransomware a empresas españolas afectaron la disponibilidad de sus servicios

Publicado: 05/11/2019 | Importancia: Media

En el análisis constante en búsqueda de amenazas que puedan de algún modo afectar al sector financiero, el CSIRT Financiero identificó indicadores de compromiso asociados al ciberataque de Ransomware que sufrieron empresas españolas.

Campaña de correo electrónico no deseado que distribuye malware para explotar vulnerabilidades de Microsoft Office

Publicado: 05/11/2019 | Importancia: Media

Se identifica una campaña de malspam que explota vulnerabilidades de Microsoft office, de acuerdo a las fuentes de información analizadas, esta campaña ha tenido afectación en países de Asia, específicamente en Hong Kong, Singapur y Malasia; el objetivo de esta campaña es distribuir diversos troyanos con el fin de infectar usuarios y capturar datos como cuentas de usuario y credenciales personales.

Nuevos indicadores de compromiso asociados a Cobalt Strike

Publicado: 04/11/2019 | Importancia: Media

Por medio de fuentes de información el CSIRT Financiero conoce de nueva campaña de phishing que relaciona la herramienta Cobalt Strike; se asocian indicadores de compromiso que relacionan una variante de malware generada con la herramienta. Se distribuye por medio de correo electrónico en la cual han utilizado ingeniería social para engañar a usuarios a que habrá un correo que contiene el malware.

Nuevos indicadores de compromiso asociados al malware Pony [aka Fareit].

Publicado: 01/11/2019 | Importancia: Media

Por medio de fuentes de información, el CSIRT Financiero relaciona indicadores de compromiso asociados al malware Pony, también conocido como aka Fareit, este es considerado como uno de los ladrones de contraseña más populares.