Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Diciembre de 2019

Emotet cambia la estructura de registro en el C2

Publicado: 29/12/2019 | Importancia: Media

Por medio de fuentes de información, el CSIRT Financiero ha identificado alteraciones en el cliente del troyano Emotet. Este cambio está asociado a la forma como se registra el cliente ante el servidor de comando y control [C2]. Para consultar los indicadores de compromiso asociados a esta variante comuníquese con el CSIRT Financiero.

Nuevos indicadores de compromiso asociados a Trickbot

Publicado: 28/12/2019 | Importancia: Baja

El troyano trickbot ha sido constantemente utilizado por ciberdelincuentes que tienen como objetivo el sector bancario como su fuente de recursos. Por medio de fuentes de información, se ha identificado una campaña de distribución de este malware y se evidencia la modificación de las técnicas y tácticas usadas para su distribución, en esta oportunidad se evidenció el uso de una aparente imagen (en formato png), sin embargo, se trata de un archivo ejecutable con el código malicioso del troyano bancario.

Nueva herramienta loader denominada "Bioload", asociada al grupo FIN7

Publicado: 28/12/2019 | Importancia: Media

Bioload es una herramienta desarrollada por el grupo de amenazas FIN7, este ha realizado múltiples campañas dirigidas principalmente al sector financiero. La herramienta tiene como objetivo cargar la puerta trasera Carbanak, adicionalmente, Bioload tiene la capacidad de evasión y abusa de un método utilizado por Windows para buscar DLL necesarias para cargar programas sin ser detectado.

Nuevas vulnerabilidades halladas en SQLite han sido denominadas como [Magellan 2.0]

Publicado: 26/12/2019 | Importancia: Media

Magellan 2.0 es un paquete de vulnerabilidades encontradas en SQLite [librería de software libre escrita en lenguaje C], las cuales podrían permitir a un atacante ejecutar código de manera remota sobre los equipos de los usuarios de internet.

Nuevos indicadores de compromiso asociados a Trickbot

Publicado: 26/12/2019 | Importancia: Media

Desde el CSIRT Financiero se evidencian nuevos indicadores de compromiso asociados a Trickbot, teniendo en cuenta sus actualizaciones para aumentar capacidades tanto de captura como de evasión, este tipo de troyano bancario tiene por objetivo la exfiltración de credenciales asociadas a portales transaccionales para cometer diferentes clases de fraude, como utilización de credenciales hasta la venta de estos en la Dark web.

Nuevos indicadores de compromiso asociados a Lokibot

Publicado: 26/12/2019 | Importancia: Media

El CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.

Indicadores de compromiso asociados al troyano bancario IcedID

Publicado: 26/12/2019 | Importancia: Media

El CSIRT Financiero ha identificado diferentes URL activas que permiten la descarga de IcedID, un troyano bancario que ha venido generando campañas desde el año 2017, el objetivo de este malware son los bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, sitios de comercio electrónico y web mail.

Nuevos indicadores de compromiso asociados a Gozi

Publicado: 26/12/2019 | Importancia: Baja

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Gozi/Ursnif, el cual busca capturar credenciales de usuario de sitios web para realizar transacciones bancarias a través de campañas de malspam acompañados de técnicas de ingeniería social que hacen creer a los usuarios que se encuentran ante un correo auténtico de alguna entidad u organización.

Kit de exploits Spelevo para distribuir Ursnif y Qbot.

Publicado: 24/12/2019 | Importancia: Baja

Desde el CSIRT Financiero se ha identificado una campaña que utiliza el Kit de explotación Spelevo, el cual mediante sus capacidades de Dropper [Descargador de malware] permite la descarga del malware Ursnif y Qbot, los cuales tienen como objetivo exfiltrar información sensible de los equipos comprometidos.

Emotet busca distribuirse a través de falsa campaña climática.

Publicado: 24/12/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva campaña de malspam distribuyendo el troyano bancario Emotet en documentos de tipo Microsoft Word con macros maliciosas, con el fin de infectar los equipos de cómputo, esta campaña está enfocada a usuarios con intereses afines al medio ambiente ya que hace una invitación a un evento frente al cambio climático.

Nueva campaña denominada [Legion Loader] busca distribuir múltiples variantes de malware.

Publicado: 24/12/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una nueva campaña que distribuye un Dropper [Descargador de Malware] el cual adopta el nombre de Legion Loader. Este Dropper busca distribuir 6 tipos de malware diferentes para afectar a los usuarios de internet, dentro de las topologías de malware distribuidas, se ha detectado Predator de Thief, Raccon Stealer y VIDAR.

El grupo de amenazas APT FIN8 podría estar relacionado con los ataques dirigidos a estaciones de servicio en Estados Unidos

Publicado: 24/12/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una campaña de ataques dirigidos a dispensadores de combustible en estaciones de servicio [Estados Unidos], mediante el envío de correos de tipo phishing, los ciberdelincuentes lograron acceder a la red corporativa y posteriormente a través de movimientos laterales comprometieron los dispositivos POS [Punto de Venta, por sus siglas en inglés], obteniendo la información de las tarjetas de crédito de los usuarios que realizaban el pago por estos medios.

Mozi, la nueva Botnet que utiliza el protocolo DHT.

Publicado: 23/12/2019 | Importancia: Media

Por medio de investigaciones y continuas revisiones en fuentes de información abiertas, el equipo del CSIRT Financiero ha identificado una nueva botnet denominada Mozi. Esta botnet tiene la capacidad de utilizar el protocolo DHT [Data Hash Tables] para crear sus propias redes P2P [red entre pares], aprovechando claves débiles de telnet sobre equipos Netgear, D-Link y los enrutadores de Huawei.

Indicadores de compromiso asociados a Dacls RAT

Publicado: 20/12/2019 | Importancia: Baja

Desde el CSIRT Financiero se ha identificado nueva actividad asociada a Lazarus Group, el cual busca afectar a sistemas operativos Windows y Linux, utilizando un troyano de tipo RAT [Herramienta de Administración Remota, por sus siglas en inglés] el cual se identifica por el nombre de Dacls, buscando tomar control de la máquina comprometida.

Troyano alojado en forma de extensión de Chrome, que extrae información.

Publicado: 19/12/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado un incremento en el uso de extensiones maliciosas en los navegadores web por parte de los ciberdelincuentes. Estas extensiones son diseñadas en su mayoría en código JavaScript y se encuentran alojadas en los markets oficiales de los navegadores web, generando en el usuario confianza para su descarga y posterior infección. En esta ocasión se ha realizado el análisis a un troyano bancario que se distribuye haciéndose pasar por una extensión de Google Chrome.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 18/12/2019 | Importancia: Media

Desde el CSIRT Financiero se ha identificado una campaña de malspam, la cual distribuye el troyano bancario Emotet. Esta campaña tiene en particular, un documento de tipo Microsoft Word con un asunto llamativo alusivo a las festividades navideñas con el fin de engañar a los usuarios.

Nuevos indicadores de compromiso asociados al Ransomware Zeppelin

Publicado: 17/12/2019 | Importancia: Media

El CSIRT financiero a través de sus investigaciones identifica a “Zeppelin”, nuevo tipo de Ransomware de tipo RaaS [Ransomware como Servicio, por sus siglas en inglés] que permite a los ciberdelincuentes alquilar sus servicios para atacar de manera dirigida a objetivos en específico. Por este motivo, es importante tener presente estos indicadores de compromiso con el fin de que no se vea afectada la infraestructura de nuestros asociados.

Nuevos indicadores de compromiso asociados al ransomware Ryuk

Publicado: 15/12/2019 | Importancia: Baja

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados a un ataque realizado al Ayuntamiento de Nueva Orleans por el troyano de tipo ransomware Ryuk.

Variante del Ransomware Snatch afecta el modo seguro de Windows

Publicado: 14/12/2019 | Importancia: Media

En investigaciones realizadas por el CSIRT Financiero, se detecta una variante del ransomware Snatch, que consiste en reiniciar equipos Windows en modo seguro, con el objetivo de no ser detectado por los antivirus. Snatch ha generado campañas de ataques dirigidas contra Estados Unidos, Canadá y algunos países europeos en lo corrido del segundo semestre del año en curso, sin descartar que estén comprometidas organizaciones alrededor del mundo.

Botnet Echobot implementa nuevas vulnerabilidades.

Publicado: 14/12/2019 | Importancia: Media

Echobot es una reconocida variante de la Botnet Mirai. Sus intereses se centran en el aprovechamiento de vulnerabilidades antiguas como recientes. Actualmente, esta botnet, ha reaparecido en internet con nuevas vulnerabilidades que permiten afectar gran diversidad dispositivos.

Vulnerabilidad en complementos de WordPress

Publicado: 14/12/2019 | Importancia: Media

Desde el CSIRT Financiero se han evidenciado dos vulnerabilidades asociadas a los complementos “Elementor y Beaver”, las cuales podrían permitir que un atacante lograra hackear sitios web que se encuentren creados en WordPress.

Indicadores de compromiso relacionados al ransomware LooCipher

Publicado: 14/12/2019 | Importancia: Media

LooCipher, trabaja en conjunto con otros tipos de ransomware para realizar ataques dirigidos; su objetivo principal es la de cifrar la información y exigir a los usuarios un pago por la “liberación” de la misma.

ChinaZ, grupo de ciberdelincuentes actualiza su kit de herramientas.

Publicado: 13/12/2019 | Importancia: Media

El CSIRT Financiero ha identificado indicadores de compromiso asociados al grupo de ciberdelincuentes ChinaZ, el cual es conocido por realizar ataques a Sistemas Linux y Sistemas Windows mediante Botnets DDoS. Este grupo de ciberdelincuentes utiliza herramientas que pueden afectar infraestructuras de organizaciones.

Vulnerabilidades funcionales en tecnologías de “transacciones sin contacto”

Publicado: 13/12/2019 | Importancia: Media

Los pagos o transacciones sin contacto han sido implementados en el año 2007, desde entonces se han venido generando nuevas tecnologías, métodos y estándares para suplir la demanda que se despliega del uso de la tecnología en general, pero transversalmente los ciberdelincuentes transforman sus técnicas con el objetivo de generar ataques en diferentes dispositivos, ámbitos y/o sectores.

Nuevos indicadores de compromiso asociados al infostealer Predator The thief.

Publicado: 12/12/2019 | Importancia: Media

Predator The Thief es un malware de tipo infostealer, este tipo de malware se destaca por exfiltrar información confidencial de un usuario, permitiendo a los ciberdelincuentes, obtener credenciales de acceso que estén almacenados en el navegador web, además, tiene la capacidad de acceder y capturar las billeteras de criptomonedas de la máquina infectada.

Lazarus Group utiliza variante del troyano trickbot para infectar usuarios.

Publicado: 12/12/2019 | Importancia: Media

El CSIRT Financiero identificó que el grupo cibercriminal Lazarus, conocido también como APT38, se encuentra utilizando una variante del troyano trickbot de nombre “Anchor”, utilizada contra objetivos que generan ganancias económicas, hasta el momento se desconoce el vector de la infección.

Nueva campaña de malspam busca distribuir el troyano bancario Trickbot

Publicado: 12/12/2019 | Importancia: Media

El CSIRT Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario TrickBot. Este troyano fue descubierto desde el 2016 y el objetivo principal es el de capturar la información en la máquina víctima.

Skimmer inyectado en sitios web falsos

Publicado: 10/12/2019 | Importancia: Media

Teniendo en cuenta el incremento comercial en este mes de diciembre; el CSIRT Financiero recomienda extremar las medidas de seguridad al realizar compras por internet, verificando que la url del sitio coincide con la web del sitio visitado y que su dirección empieza por https, de la misma forma revisar de manera periódica los estados de cuenta de las tarjetas de crédito, con el fin de identificar cargos por compras fraudulentas. Teniendo en cuenta lo anteriormente mencionado, el CSIRT Financiero se ha identificado un Skimmer [obtención de información de tarjetas de crédito o débito utilizado en el momento de la transacción, con la finalidad de reproducir o clonar las tarjetas], presente en sitios web de compras, el cual podría comprometer los datos de los usuarios en compras realizadas en línea.

Nuevo malware dirigido a equipos con sistema operativo MacOS.

Publicado: 09/12/2019 | Importancia: Media

El CSIRT Financiero ha identificado un nuevo malware con capacidades para realizar espionaje e intrusión de equipos, por sus características y procedimientos se asocia al grupo de amenazas Lazarus Group. Así mismo, este nuevo malware permite la descarga e instalación de otras fuentes de código malicioso, que podrían comprometer la seguridad de los usuarios o entidades del sector financiero.

Nuevos indicadores de compromiso asociados al troyano bancario Dridex.

Publicado: 09/12/2019 | Importancia: Media

Dridex es considerado como uno de los troyanos bancarios con mayor índice de infección sobre los usuarios de internet. Durante los últimos años ha sufrido diferentes cambios y variantes sobre su código, permitiendo a los ciberdelincuentes explotar esta clase de funcionalidades para la captura de credenciales bancarias.