Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Mayo de 2022

Nueva campaña de phishing que descarga y ejecuta Snake Keylogger

Publicado: 22/05/2022 | Importancia: Media

En el constante monitoreo a diferentes fuentes de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado una nueva campaña de phishing donde se adjunta un archivo embebido que permite la descarga de Snake Keylogger, cuyo objetivo es capturar información gracias a la explotación de una vulnerabilidad.

Campaña maliciosa para distribuir NjRAT a través de phishing impacta a entidades en Colombia

Publicado: 21/05/2022 | Importancia: Media

A través de actividades de monitoreo realizadas a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña de ciber espionaje que impacta a entidades en Colombia con la finalidad de distribuir NjRAT, troyano de acceso remoto que logra persistir en los equipos sin ser detectado.

Aumento de actividad del malware tipo botnet denominado XorDdos

Publicado: 21/05/2022 | Importancia: Media

En el constante monitoreo a diferentes fuentes de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado la actividad creciente de XorDdos, un botnet destinado principalmente a sistemas operativos Linux, cabe destacar que además tiene características de otras familias de malware en particular las de troyano.

Nueva actividad maliciosa relacionada con el stealer Vidar

Publicado: 20/05/2022 | Importancia: Media

A través de actividades de monitoreo realizadas a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha observado nueva actividad del stealer Vidar, el cual se distribuye por medio de sitios web que suplantan la identidad de organizaciones legitimas y por software que posee puertas traseras.

Nuevos indicadores de compromiso asociados botnet Mirai

A través de actividades de monitoreo a diferentes fuentes de información el equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al botnet Mirai, el cual se aprovecha de vulnerabilidades en sus sistemas para implementar esta amenaza y ejecutar otras operaciones como ataques DDOS (Ataque de Denegación de Servicios Distribuido).

Nuevos indicadores de compromiso del ransomware Conti en el mes de mayo

Publicado: 19/05/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten el sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados al ransomware Conti, el cual opera como Ransomware as a Service (RaaS) lo que permite que los desarrolladores lo ofrezcan en foros clandestinos de la Dark y Deep Web para la distribución de la amenaza a cambio de un porcentaje de las ganancias obtenidas por el pago de los rescates.

Ciberdelincuentes distribuyen Bumblebee a través de TransferXL

Publicado: 18/05/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se ha observado un nuevo método para distribuir Bumblebee, cargador utilizado para la entrega de Bazaloader e IcedID.

Nuevos ataques de fuerza bruta presentados en servidores de Microsoft SQL server

Publicado: 17/05/2022 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero han observado nuevas actividades de ciberdelincuentes donde tienen como objetivo impactar a servidores Microsoft SQL Server mediante ataques de fuerza bruta.

Indicadores de compromiso asociados al troyano bancario LokiBot identificados en el mes de mayo

Publicado: 17/05/2022 | Importancia: Media

A través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso asociados a LokiBot, un troyano bancario utilizado para la captura y exfiltración de información confidencial.

Nuevos indicadores de compromiso asociados al troyano Emotet vistos en campañas del mes de mayo

Publicado: 16/05/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano Emotet, donde su principal vector de distribución sigue siendo las campañas de phishing utilizando correos electrónicos con adjuntos.

Nueva campaña de phishing realizada por el grupo APT Armageddon

Publicado: 16/05/2022 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una nueva campaña de phishing atribuida al grupo APT Armageddon.

Nuevos indicadores de compromiso asociados al Troyano de acceso remoto NanoCore

Publicado: 16/05/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero realiza seguimiento a amenazas potenciales que puedan generar impacto sobre la infraestructura tecnológica de los asociados, por lo anterior se han observado nuevos indicadores de compromiso (IOC) relacionados al troyano de acceso remoto NanoCore el cual se dirige a equipos con sistema operativo Microsoft Windows.

Nueva actividad maliciosa relacionada con el RAT Avemaria

Publicado: 15/05/2022 | Importancia: Media

Nueva actividad maliciosa relacionada con el RAT Avemaria

Nuevos artefactos asociados al troyano Remcos RAT observados en el mes de mayo

Publicado: 14/05/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero realiza seguimiento a amenazas potenciales que puedan generar impacto sobre la infraestructura tecnológica de los asociados, por lo anterior se ha observado nuevos artefactos asociados al troyano de acceso remoto denominado Remcos RAT el cual se dirige a equipos con sistema operativo Microsoft Windows.

Actividad maliciosa del troyano bancario TeaBot el cual se distribuye a través de Google Play Store

Publicado: 14/05/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa de TeaBot, troyano bancario que tiene como finalidad la captura de credenciales de acceso y controlar el dispositivo de forma remota.

Nueva variante de la botnet Sysrv afecta a servidores de Windows y Linux por medio de la explotación de vulnerabilidades

Publicado: 14/05/2022 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información en busca de nuevas amenazas que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado una nueva variante de la botnet Sysrv denominada Sysrv-K, la cual está haciendo uso de explotación de vulnerabilidades para impactar servidores Windows y Linux.

Indicadores de compromisos asociados a QakBot identificados en el mes de mayo

Publicado: 14/05/2022 | Importancia: Media

En el monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario QakBot, este tiene como objetivo capturar credenciales bancarias, como inicios de sesión, contraseñas, espiar las actividades de las organizaciones, propagarse a través de la red e instalar familias de ransomware.

Nuevo Crypter distribuido a través de Discord entrega familias de malware

Publicado: 13/05/2022 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información en busca de nuevas amenazas que puedan generar impacto en la infraestructura tecnológica de los asociados el equipo de analistas del Csirt Financiero ha observado una nueva familia de malware denominado SYK de tipo Crypter la cual se distribuye a través de la aplicación de mensajería instantánea Discord.

Eternity, framework utilizado para la distribución de diferentes familias de malware

Publicado: 12/05/2022 | Importancia: Media

A través de actividades de monitoreo realizadas en fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo framework denominado Eternity, el cual se distribuye por medio de sitios web publicados en TOR y Telegram donde ofrecen módulos como stealer, ransomware, mineros, gusanos y clippers.

Afectación a servicios de Active Directory tras actualizaciones emitidas por Microsoft

Publicado: 12/05/2022 | Importancia: Alta

En el seguimiento a las actualizaciones y parches de seguridad emitidas por Microsoft, el equipo de analistas del Csirt Financiero ha observado un problema tras las actualizaciones mensuales emitidas por el fabricante, las cuales pueden causar afectación en servicios de Active Directory.

Nuevo framework denominado IceApple dirigido a servidores de Microsoft Exchange y aplicaciones web de Internet Information Services (IIS)

Publicado: 11/05/2022 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información en busca de nuevas amenazas que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado un nuevo framework denominado IceApple escrito en .NET que se dirige a servidores de Microsoft Exchange y aplicaciones web de Internet Information Services (IIS).

Nerbian, RAT que utiliza técnicas de evasión sofisticadas

Publicado: 11/05/2022 | Importancia: Media

A través de actividades de monitoreo realizadas en fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva variante de la familia de RAT denominado Nerbian, el cual se ha venido distribuyendo mediante campañas dirigidas a diferentes industrias suplantando la OMS (Organización Mundial de la Salud) con asuntos relacionados con temas Covid-19, en el que se adjunta un archivo de Microsoft Word malicioso.

Nueva actividad maliciosa del troyano Agent tesla en el mes de mayo

Publicado: 11/05/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados al troyano de acceso remoto (RAT) Agent Tesla, una amenaza que continúa en constante actualización y que está dirigida a equipos con sistema operativo Microsoft Windows.

Nueva actividad maliciosa relacionada al ransomware Quantum

Publicado: 10/05/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados al ransomware Quantum Locker, el cual está siendo utilizado en ataques que se propagan rápidamente, dejando a las organizaciones con un tiempo reducido para reaccionar y mitigar las afectaciones ocasionadas por estas familias de malware.

Stealer distribuido a través de campañas de phishing denominado Jester

Publicado: 09/05/2022 | Importancia: Media

A través de actividades de monitoreo realizadas a diferentes fuentes de información, el equipo de analistas del Csirt Financiero identificó una nuevo stealer denominado Jester, especializado en la exfiltración de datos confidenciales de múltiples sistemas y servicios al infectar un equipo o dispositivo; por otro lado, las campañas de phishing creadas para su distribución se atribuyen al grupo APT28 (Fancy Bear).

Nueva actividad del ransomware Conti afecta entidades gubernamentales en América latina

Publicado: 09/05/2022 | Importancia: Alta

En el seguimiento realizado en fuentes abiertas de información a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad relacionada con el ransomware Conti, el cual está afectando a varias entidades gubernamentales de América latina.

Nueva actividad maliciosa del troyano joker, distribuido por Google Play Store

Publicado: 08/05/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva campaña de distribución del troyano Joker, el cual se distribuye a través de la plataforma digital de aplicaciones móviles Google Play afectado principalmente a dispositivos Android.

Nuevo framework NetDooka, distribuido mediante servicio de pago por instalación (ppi) PrivateLoader

Publicado: 07/05/2022 | Importancia: Media

En el seguimiento realizado en fuentes abiertas de información a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado un nuevo framework denominado NetDooka, el cual contiene varias partes, incluido un cargador, un dropper, un controlador de protección y un troyano de acceso remoto (RAT).

Nueva actividad maliciosa de Remcos RAT

Publicado: 06/05/2022 | Importancia: Media

En el seguimiento realizado en fuentes abiertas de información a amenazas potenciales, que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad del troyano de acceso remoto (RAT) Remcos, el cual está utilizando como cadena de infección macros maliciosas embebidas en documentos ofimáticos.

Nueva vulnerabilidad identificada en los dispositivos Big-IP de F5

Publicado: 05/05/2022 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas de información y en la búsqueda de vulnerabilidades que puedan llegar a generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado un nuevo fallo de seguridad en productos del proveedor de Servicios F5.

Archivo