Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Febrero de 2020

Actividad maliciosa a través de temas y plugins de WordPress.

Publicado: 23/02/2020 | Importancia: Media

El equipo del Csirt Financiero identificó que ciberdelincuentes instalaron archivos maliciosos en temas y plugins premium de WordPress, estos fueron distribuidos en diferentes Markets de la plataforma y pueden llegar a afectar la infraestructura web de las organizaciones que utilicen este tipo de herramientas.

Nuevos indicadores de compromiso asociados con TA505

Publicado: 23/02/2020 | Importancia: Media

Desde el Csirt Financiero se han identificado indicadores de compromiso asociados al grupo de amenazas TA505, el cual se caracteriza por realizar campañas dirigidas al sector financiero en múltiples países a nivel mundial.

Nueva actividad de distribución del malware AzoRult

Publicado: 21/02/2020 | Importancia: Media

El equipo del Csirt Financiero identificó el uso de la aplicación ProtonVPN como medio para la infección o instalación del malware AzoRult, esta cuenta con un sitio web falso que permite descargar esta app infectada que se puede instalar en sistemas operativos Windows.

Nuevos indicadores de compromiso asociados a una variante de WannaCry

Publicado: 19/02/2020 | Importancia: Media

El Csirt Financiero identificó nuevos indicadores de compromiso asociados a WannaCry que podrían afectar los activos de una entidad.

Nuevos indicadores de compromiso asociados a Parallax RAT.

Publicado: 18/02/2020 | Importancia: Media

El Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a Parallax RAT (herramienta de acceso remoto) distribuida por ciberdelincuentes a través de documentos maliciosos (Microsoft Word o Excel), con el fin de tomar el control total de los equipos.

Nuevos indicadores de compromiso asociados a Lokibot

Publicado: 17/02/2020 | Importancia: Media

Actualmente se evidencia distribución de Lokibot usando la técnica de suplantación a una empresa de vídeo juegos, la idea es engañar a los usuarios para que realicen su descarga e instalación.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 14/02/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado un ataque con el troyano modular emotet, utilizado constantemente por parte de los ciberdelincuentes ya que cuenta con múltiples capacidades para la exfiltración de información.

Nuevos indicadores de compromiso asociados al RAT Loda

Publicado: 14/02/2020 | Importancia: Media

Loda es un troyano bancario que ha generado afectación desde el año 2016, del cual se han conocido actualizaciones que potencian su funcionamiento y amplían sus capacidades, todas estas enfocadas a espiar y exfiltrar información en equipos infectados mediante documentos maliciosos que los ciberdelincuentes alojan en sitios web.

Nueva amenaza silenciosa KBOT

Publicado: 11/02/2020 | Importancia: Media

El equipo del Csirt Financiero a través de la búsqueda e investigación en fuentes de información abierta, identificó un nuevo troyano denominado KBOT, este inicia su cadena de propagación a partir de dispositivos externos infectados, con el propósito de exfiltrar información confidencial de los usuarios.

Nuevos indicadores de compromiso de phishing con malware AsyncRAT, dirigido a usuarios del sector financiero de Colombia.

Publicado: 11/02/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, mediante el envío de mensajes de correo suplantando entidad de gobierno con asunto que trata de inducir al usuario para que lo abra y se realice la descarga del malware AsyncRAT.

Ransomware RobbinHood estaría usando un driver vulnerable para evitar la detección de las herramientas antimalware.

Publicado: 11/02/2020 | Importancia: Media

Los ciberdelincuentes detrás del ransomware RobbinHood están haciendo uso de una vulnerabilidad conocida sobre un controlador de GIGABYTE (CVE-2018-19320).

Nuevos ataques del malware bancario CamuBot, reportados en Brasil

Publicado: 10/02/2020 | Importancia: Media

El equipo del Csirt financiero mediante la búsqueda e investigación en fuentes de información abierta, identificó nuevos ataques de CamuBot dirigidos a usuarios en Brasil. Los ciberdelincuentes utilizan ingeniería social para instalar una variante del troyano, una vez comprometido toma el control del equipo.

Anubis apunta a más de 250 aplicaciones móviles

Publicado: 10/02/2020 | Importancia: Media

En el constante monitoreo que realiza el Csirt Financiero frente a las amenazas que puedan afectar al sector, se ha evidenciado el envío masivo de mensajes de tipo malspam y/o phishing, con un enlace que lleva a la descarga de Anubis por medio de una aplicación para Android (APK).

Actividad de troyano Metamorfo dirigida a servicios bancarios de usuarios en línea.

Publicado: 10/02/2020 | Importancia: Media

El equipo del Csirt Financiero a través de búsquedas e investigación en fuentes de información abierta, identificó ataques dirigidos a usuarios de la banca en línea asociados al troyano Metamorfo, la afectación de estos ataques se evidenció en algunos países de América y parte de Europa.

Nuevo método de infección del troyano bancario Emotet

Publicado: 09/02/2020 | Importancia: Media

El equipo del Csirt Financiero a través de fuentes de información abierta, identificó un nuevo método de infección del troyano bancario Emotet, este busca aprovechar redes WiFi vulnerables para expandir su infección sobre los equipos.

IOC de Phishing dirigido a usuarios del sector financiero de Colombia

Publicado: 09/02/2020 | Importancia: Media

Desde el Csirt Financiero se identificó un ataque de phishing dirigido a los usuarios del sector financiero de Colombia, donde se envía un correo suplantando una entidad del gobierno con un asunto que induce al usuario que lo abra, con una imagen adjunta que al dar clic redirecciona a una URL descargando archivos maliciosos o redireccionado a formularios para capturar la información del usuario.

Nuevas actividades del troyano de acceso remoto Ave María

Publicado: 05/02/2020 | Importancia: Media

El troyano de acceso remoto modular conocido como Ave María se ha visto involucrado en recientes actividades de ciberdelincuentes, el malware tiene capacidades de infostealer, keylogger y es considerado de alto riesgo por su uso para obtener el control de equipos y la captura de datos.

Descargador de Azorult utiliza triple cifrado

Publicado: 05/02/2020 | Importancia: Media

Azorult, es un troyano que se ha visto involucrado en operaciones desde el año 2016, está orientado a la captura de credenciales bancarias y datos de tarjetas de crédito, adicionalmente tiene la capacidad de ser utilizado como dropper.

DoppelPaymer ransomware

Publicado: 05/02/2020 | Importancia: Media

DoppelPaymer es un troyano de tipo ransomware, tiene la función capturar y cifrar los archivos en el equipo del usuario, además, amenaza con exponer y/o vender la información en sitios de la darkweb si no realiza el pago del rescate.

Nuevos indicadores de compromiso asociados a Sodinokibi

Publicado: 04/02/2020 | Importancia: Media

El malware conocido como Sodinokibi es catalogado como RaaS (Ransomware como Servicio), su afectación ha sido dirigida a empresas y consumidores de distintos sectores desde principios de mayo de 2019, el objetivo es cifrar información y generar cobros por su rescate.

Nueva técnica de distribución de malware utilizada por el grupo de amenazas TA505.

Publicado: 02/02/2020 | Importancia: Baja

El grupo de amenazas TA505 fue descubierto en 2014 por analistas de malware, donde se identificó la primera versión del malware dridex distribuida por medio de mensajes de correo electrónico masivos de tipo malspam.

Nuevos indicadores de compromiso asociados a Emotet.

Publicado: 02/02/2020 | Importancia: Baja

Emotet es un troyano bancario, que ha tenido actividad durante el año en curso, utilizando diferentes métodos de ingeniería social para comprometer dispositivos y sacar el máximo provecho de los recursos comprometidos.

Nuevos ataques atribuidos al grupo de amenazas APT34

Publicado: 01/02/2020 | Importancia: Media

El troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.

Nuevos indicadores de compromiso asociados a Trickbot

Publicado: 01/02/2020 | Importancia: Media

El troyano TrickBot ha generado afectación al sector bancario desde que se descubrió en el año 2016, es constantemente usado en ataques dirigidos por ciberdelincuentes para obtener información sensible de un equipo comprometido.

Vulnerabilidad de denegación de servicio en IBM WebSphere Application Server

Publicado: 31/01/2020 | Importancia: Baja

El equipo del Csirt Financiero a través de búsqueda e investigación de vulnerabilidades, identificó una nueva brecha de seguridad que podría afectar los aplicativos desplegados en IBM WebSphere Application Server (WAS).

Nueva operación del grupo ciberdelincuente TA505 usando el descargador Get2

Publicado: 31/01/2020 | Importancia: Media

TA505 es un grupo cibercriminal con motivaciones financieras que ha tenido actividad desde el 2014, es conocido por utilizar diferentes tipos de malware para extraer información confidencial de las víctimas. En su última aparición se identificó que TA505 ha estado distribuyendo un dropper llamado Get2.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 31/01/2020 | Importancia: Media

A través del continuo monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso asociados al troyano modular Emotet, cuyo objetivo principal es la captura de información sensible en el equipo víctima.