Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Julio de 2020

Nueva campaña de malspam infecta los equipos con NjRAT y AsyncRAT

Publicado: 27/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado el envío masivo de mensajes de correo electrónico distribuyendo a njRAT y AsyncRAT, utilizan como asunto un supuesto pago realizado desde la entidad bancaria del usuario. Los ciberdelincuentes utilizan técnicas para persuadir y engañar a usuarios incautos, logrando que realicen la descarga y ejecución de archivos maliciosos, ya sea a través de URL o documentos adjuntos en los mensajes.

Nuevos indicadores de compromiso asociados a Wastedlocker

Publicado: 26/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, nuevos indicadores de compromiso asociados a WastedLocker. La aparición de esta nueva variante de ransomware posee características que le permite elevar privilegios mediante bypass UAC para modificar la carpeta system32 y de esta manera interactuar con los archivos del sistema.

Nuevo framework de malware multiplataforma asociado a Lazarus Group

Publicado: 25/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo que el grupo cibercriminal Lazarus, conocido por tener vínculos con el régimen norcoreano, ha creado un nuevo APT Framework multiplataforma con la intención de infiltrarse en entidades corporativas de todo el mundo, capturar datos de los clientes y distribuir Ransomware.

Thiefquest el malware dirigido a MacOS

Publicado: 23/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una nueva amenaza dirigida a Sistemas MacOS, se trata del malware conocido como ThiefQuest o EvilQuest. Los ciberdelincuentes introdujeron funcionalidades maliciosas en versiones de aplicaciones de seguridad como Little Snitch y en las aplicaciones Ableton y Mixed In Key utilizadas para la reproducción de música.

Ataques de Jackpotting en máquinas ATM Diebold

Publicado: 22/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una advertencia producida por la compañía Diebold Nixdorf de ataques Jackpotting sobre máquinas ATM en varios países europeos. La técnica de jackpotting consiste en tener acceso físico de la máquina ATM para alcanzar los puertos USB o unidad de CD-ROM, con el fin de infectarlo y forzarlo a expulsar el dinero.

Emotet despliega Malspam después de 5 meses de ausencia

Publicado: 21/07/2020 | Importancia: Alta

Luego de 5 meses Emotet ha resurgido con más de 250.000 mensajes de malspam enviados a destinatarios de correo electrónico en todo el mundo. Desde el pasado viernes los usuarios de Microsoft Office han recibido cientos de correos electrónicos maliciosos.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 20/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, nuevos indicadores de compromiso relacionados al troyano bancario Emotet, reconocido mundialmente por ser uno de los malware más destructivos debido a sus funcionalidades de captura y exfiltración de credenciales bancarias y su comportamiento similar al de gusano para expandir su propagación a otros equipos conectados.

Colección de kits de phishing a la venta en la deep web

Publicado: 20/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado la comercialización de un pack que contiene diversas plantillas para realizar phishing a todo tipo de organizaciones, entre las que se encuentran algunas entidades financieras. En total el pack está compuesto por más de 1300 kits de herramientas para realizar campañas de phishing.

Troyano bancario Mekotio en Latinoamerica

Publicado: 20/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado la actividad del troyano bancario conocido como Mekotio que afecta sistemas operativos Windows y cuenta con la capacidad para obtener credenciales de portales web financieros y criptomonedas.

Botnet Bigviktor aprovecha vulnerabilidad en routers DrayTek

Publicado: 18/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la Botnet denominada Bigviktor que se propaga a través de la vulnerabilidad CVE-2020-8515, que expone a los dispositivos DrayTek Vigor2960 1.3.1_Beta, Vigor3900 1.4.4_Beta y Vigor300B 1.3.3_Beta, 1.4.2.1_Beta y 1.4.4_Beta, a la ejecución remota de código como root sin autenticación.

Nuevos indicadores de compromiso asociados al troyano Dridex

Publicado: 17/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Dridex. Es un troyano que tiene como objetivo atacar sistemas Microsoft Windows a través de mensajes de correo electrónico tipo malspam, los cuales contienen archivos maliciosos que permiten la infección del equipo y la exfiltración principalmente de información financiera y datos personales.

Análisis Avanzado de APT asociada al Grupo TA505

Publicado: 16/07/2020 | Importancia: Alta

Se ha identificado una nueva campaña del grupo de cibercriminales TA505 en la región de Latino América. Para esta campaña el grupo ha empleado el RAT SDBBot y el ransomware CLOP para exfiltrar y cifrar información de las posibles víctimas y obtener beneficios económicos.

Nuevo malware Blackrock afecta 337 aplicaciones Android

Publicado: 16/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado la existencia de un nuevo malware denominado BlackRock con capacidades de exfiltrar contraseñas e información de tarjetas. Afecta a 337 aplicaciones Android en las que se encuentran aplicaciones de entidades financieras, redes sociales, mensajería instantánea, entre otras.

Conti ransomware con características avanzadas de cifrado en redes

Publicado: 15/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.

Nuevos indicadores de compromiso relacionados a RATicate

Publicado: 15/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado que el grupo de cibercriminales RATicate ha estado distribuyendo gran variedad de troyanos de acceso remoto, con la intención de obtener control de los equipos infectados. La forma y medios de entrega de malware actual es diferente al implementado tiempo atrás.

Malware Anchor_DNS afecta Distribuciones Linux y Sistemas Windows

Publicado: 14/07/2020 | Importancia: Media

En el monitoreo que realiza el Csirt Financiero a nuevas amenazas y vectores de ataque, ha identificado un nuevo troyano denominado Anchor_DNS, el cual tiene como objetivo comprometer distribuciones Linux y sistemas Windows con que tenga comunicación y establecer comunicación con el servidor de comando y control (C2) por medio del protocolo DNS.

Grupo Fxmsp comercializa credenciales corporativas a nivel mundial.

Publicado: 13/07/2020 | Importancia: Media

Un actor conocido como Fxmsp fue identificado entre 2017 y 2019 realizando ventas en foros rusos de la deep web. Las ventas se trataban de accesos a redes corporativas de diferentes países y sectores, encontrándose entre ellos algunas entidades del sector financiero y una de Colombia no identificada.

Nuevos indicadores de compromiso asociados al troyano Dridex

Publicado: 13/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Dridex. Es un troyano que tiene como objetivo atacar sistemas Microsoft Windows a través de mensajes de correo electrónico tipo malspam, los cuales contienen archivos maliciosos que permiten la infección del equipo y la exfiltración principalmente de información financiera y datos personales.

Malware POS “Alina” exfiltra información a través del protocolo DNS.

Publicado: 12/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero ha identificado que el malware Alina, estaría utilizando el servicio de DNS para extraer la información de las tarjetas de crédito capturadas en los puntos de venta de las entidades de comercio comprometidas.

Herramientas utilizadas por el malware Evilnum

Publicado: 09/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la implementación de nuevas herramientas en el arsenal de EVILNUM, las cuales pueden ser utilizadas para la captura y exfiltración de información

Ransomware Try2cry con capacidades de gusano en dispositivos USB

Publicado: 08/07/2020 | Importancia: Media

El Csirt Financiero han evidenciado nuevo ransomware denominado Try2Cry tiene como objetivo cifrar los archivos de equipos con sistema operativo Windows para exigir un pago a cambio de la liberación de los archivos comprometidos. Cuenta con un componente que le otorga capacidades de gusano para propagarse y afectar archivos de los dispositivos extraíbles como USB, extendiendo su vector de ataque.

Nueva variante de AsyncRAT

Publicado: 06/07/2020 | Importancia: Media

El Csirt Financiero han identificado una nueva variante del troyano AsyncRAT, herramienta de acceso remoto utilizada en tareas de soporte como ayuda técnica o educativa. Los ciberdelincuentes aprovechando su popularidad la están utilizando para propagar malware en los equipos y exfiltrar información personal y datos sensibles de los usuarios.

IOC detectados en nueva campaña de Azorult

Publicado: 03/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado nuevos indicadores de compromiso relacinados a Azorult,un malware visto por primera vez en 2016 e identificado como troyano y spyware con capacidades para exfiltrar el historial de navegación, cookies ID / contraseñas, información de criptomonedas, entre otros.

Indicadores de compromiso relacionados a Quasar RAT

Publicado: 01/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.

Nuevos indicadores de compromiso asociados a GandCrab

Publicado: 01/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una posible amenaza para el sector financiero; denominada ransomware GandCrab, malware identificado desde el 2018 que en poco tiempo logró posicionarse entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis.

Nuevos indicadores de compromiso asociados a Snatch Ransomware

Publicado: 01/07/2020 | Importancia: Media

En el constante monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidencian nuevos indicadores de compromiso asociados al ransomware Snatch. Este ransomware ataca de nuevo bajo la misma modalidad, utilizando la fuerza bruta en servicios de escritorio remoto (RDP) expuestos, exfiltra la información al servidor de comando y control (C2) cifra la información que pueda acceder y deja nota de rescate.

Campaña de infección de WastedLocker ransomware en entidades de Estados Unidos

Publicado: 30/06/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque se ha evidenciado una campaña de infección a diferentes organizaciones estadounidenses, dentro de estas algunas entidades financieras. El objetivo de la campaña es instalar el ransomware WastedLocker; atribuido al grupo cibercriminal Evil Corp. Grupo al que se atribuyen otros códigos maliciosos como Dridex y el ransomware BitPaymer.

Skimmers web ocultos en metadatos de imágenes

Publicado: 30/06/2020 | Importancia: Media

En la constante búsqueda de información realiza por el equipo del Csirt Financiero sobre amenazas que puedan afectar al sector, se ha identificado una técnica utilizada para extraer datos de tarjetas bancarias utilizadas en sitios de comercio electrónico a través de códigos maliciosos denominados web skimming.

Archivos con código ofuscado que descargan troyanos bancarios

Publicado: 30/06/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero se evidencian nuevos indicadores de compromiso, asociados a la distribución de múltiples troyanos bancarios a través de archivos adjuntos con código maliciosos Visual Basic Script en mensajes de correo electrónico.