Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Junio de 2022

Nuevos artefactos relacionados al troyano bancario Mekotio

Publicado: 28/06/2022 | Importancia: Media

Mekotio es parte de una serie de troyanos desplegados en Latinoamérica por varios grupos de ciberdelincuentes informáticos, los cuales se han encargado de generar nuevas campañas con vectores diferentes de infección; esta ciberamenaza había estado inactiva durante un periodo de cuatro meses. Recientemente los ciberdelincuentes han realizado cambios en su carga útil con el objetivo de no ser detectados por los sistemas de seguridad de las entidades.

Nuevo troyano bancario denominado Revive afecta a dispositivos Android

Publicado: 27/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo troyano dirigido al sector financiero denominado Revive, el cual tiene como objetivo impactar las aplicaciones bancarias en los dispositivos Android.

Nueva variante de LockBit

Publicado: 27/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva variante de LockBit, ransomware malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo.

Nueva actividad maliciosa asociada al troyano QakBot

Publicado: 26/06/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa del troyano QakBot, donde los ciberdelincuentes, implementan herramientas de seguridad legítimas como Cobalt strike para su vector de infección, que permiten tener el control remoto del equipo.

Nuevos indicadores de compromiso asociados a Formbook

Publicado: 26/06/2022 | Importancia: Media

El grupo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados al troyano Formbook, este puede ser adquirido bajo la modalidad Malware-as-Service (MaaS, por sus siglas en ingles) y suele ser distribuido por los ciberdelincuentes a través de correos electrónicos tipo phishing que contienen archivos adjuntos.

Nuevas TTP relacionadas con el troyano bancario IcedID

Publicado: 25/06/2022 | Importancia: Media

La constante evolución de las diferentes amenazas existentes en el ciberespacio que hacen parte de la incesante ciberguerra es el origen de esta nueva campaña que distribuye enlaces de phishing a través de Google Cloud y Google Firebase que llegan vía correo electrónico para entregar una nueva variante del troyano bancario IcedID que incluye nuevas tácticas y técnicas de detección y respuesta.

Nuevos indicadores de compromiso asociados a BluStealer

Publicado: 25/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nueva actividad asociada a BluStealer, cargador que se distribuye por medio de correos electrónicos que contienen archivos adjuntos o enlaces que redirigen a un sitio web para realizar una descarga.

Nueva variante de Ave Maria RAT con capacidades de stealer.

Publicado: 24/06/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto se ha observado una nueva variante de Ave Maria RAT que contiene capacidades de stealer.

Nueva amenaza denominada Quantum Builder

Publicado: 23/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva amenaza denominada Quantum Builder, herramienta que permite a los ciberdelincuentes crear archivos maliciosos de acceso directo de Windows (.LNK).

Nuevos indicadores de compromiso asociados a Bumblebee

Publicado: 22/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó nuevos indicadores asociados a Bumblebee, un loader empleado para la inyección de códigos maliciosos más sofisticados.

Nueva actividad maliciosa del ransomware Black Basta

Publicado: 21/06/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa del ransomware Black Basta, el cual sigue mejorando sus características para desplegarse rápidamente a más víctimas; una de las últimas actualizaciones es una versión del ransomware dirigida al ecosistema NIX, concretamente al entorno ESXi.

Explotación de vulnerabilidades Log4j para instaurar nuevos artefactos asociados al ransomware Avoslocker

Publicado: 21/06/2022 | Importancia: Media

Durante los últimos meses una de las ciberamenazas que ha sido constante en la red ha sido el ransomware, que continúa sumando víctimas cada día gracias a que los ciberdelincuentes pueden acceder fácilmente al modelo RaaS (Ransomware as a Service, por sus siglas en inglés) puesto que es ofrecido en muchos foros de la Deep y Dark web

Nuevo grupo APT denominado ToddyCat

Publicado: 21/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) denominado ToddyCat, el cual está impactando servidores MS Exchange.

Nuevo ataque de retransmisión denominado DFSCoerce a través del protocolo NTLM

Publicado: 20/06/2022 | Importancia: Media

Los adversarios han logrado vulnerar la seguridad de varios protocolos referentes a la configuración de un dominio incluido en servicios de directorio de red como lo es Active Directory, por lo anterior se da a conocer un nuevo método para la retransmisión del protocolo NTLM, con la ayuda de un relé malicioso controlado por el atacante.

Nueva campaña del ransomware eCh0raix dirigida a los dispositivos de almacenamiento en red

Publicado: 20/06/2022 | Importancia: Media

A través de actividades de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva campaña asociada a eCh0raix, ransomware con la capacidad de cifrar todos los archivos guardados en diversos equipos de TI y pedir el pago de un rescate a cambio de la información.

Nueva versión del ransomware Cerber2021 que aprovecha vulnerabilidades

Publicado: 19/06/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva versión del Ransomware-as-a-Service (RaaS, por sus siglas en inglés) denominado Cerber2021, el cual impacta a sistemas operativos Windows y Linux.

Nueva actividad asociada al troyano bancario de Android Brata

Publicado: 19/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó nueva actividad de Brata, troyano de Android empleado para la exfiltración de información financiera.

Nueva campaña de spam distribuye Matanbuchus con Cobalt Strike

Publicado: 18/06/2022 | Importancia: Media

Una nueva campaña de spam ha estado distribuyéndose durante los últimos días, en la cual el adversario pretende dar la continuidad a respuestas anteriores con asuntos de RE (reply) en el asunto, en un intento de ganar confianza con su víctima; ahora bien, el objetivo principal es infectar los equipos de los usuarios con la carga útil de Matanbuchus que está diseñado para causar infecciones en cadena, con la ayuda de Cobalt strike.

Nueva variante identificada de IceXLoader

Publicado: 17/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó una nueva variante de IceXLoader 3.0, cargador utilizado para descargar e implementar malware adicional en las máquinas infectadas.

Nueva actividad maliciosa de Houdini RAT

Publicado: 16/06/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa relacionada al troyano de acceso remoto Houdini, el cual contiene capacidades utilizadas por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.

Nuevo ransomware denominado Luna

Publicado: 16/06/2022 | Importancia: Media

Se ha identificado un nuevo ransomware dirigido a diferentes sistemas operativos que los ciberdelincuentes han denominado Luna, el cual fue desarrollado bajo el lenguaje de programación Rust, este se ha distribuido a través en foros clandestinos de la red Tor.

PureCrypter, nuevo cargador que distribuye familias de malware

Publicado: 15/06/2022 | Importancia: Media

A través de actividades de monitoreo realizadas a diferentes fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó un nuevo cargador (Loader) denominado PureCrypter, el cual está siendo utilizado por ciberdelincuentes para distribuir troyanos de acceso remoto (RAT, por sus siglas en ingles) y stealers.

Nuevo troyano bancario para Android denominado MaliBot

Publicado: 15/06/2022 | Importancia: Media

A través de inteligencia y monitoreo a diversas fuentes abiertas de información, el grupo de analistas del Csirt Financiero identificó un nuevo troyano bancario dirigido al sistema operativo Android catalogado como MaliBot, su objetivo es la captura y exfiltración de cookies y credenciales bancarias.

Nuevos artefactos asociados al ransomware Chaos

Publicado: 14/06/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes de información en búsqueda de amenazas que puedan afectar al sector, el equipo de analistas del Csirt Financiero identificó nuevos artefactos asociados a Chaos, ransomware que cifra información y sobrescribe archivos bajo Base64 (sistema de numeración posicional que usa 64 como base) con una cadena aleatoria.

Nuevo troyano de acceso remoto denominado PingPull

Publicado: 13/06/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se ha identificado un nuevo troyano de acceso remoto (RAT, por sus siglas en inglés) denominado PingPull, el cual es utilizado por el grupo de amenazas persistentes avanzadas GALLIUM de procedencia China.

Nueva actividad maliciosa del troyano bancario Hydra es distribuida a través de Play Store

Publicado: 13/06/2022 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero ha identificado una nueva actividad maliciosa relacionada al troyano bancario Hydra, el cual tiene gran variedad de capacidades que le permiten capturar y exfiltrar información confidencial de dispositivos con sistema operativo Android.

Nuevos artefactos asociados al Botnet Trickbot

Publicado: 12/06/2022 | Importancia: Media

Derivado de las actividades diarias de los analistas del Csirt Financiero se realiza monitoreo a los nuevos comportamientos relacionados a las amenazas conocidas, que podrían afectar la infraestructura tecnológica de los asociados; con referencia a lo anterior, se han detectado nuevos indicadores de compromiso (IOC) relacionados a la botnet trickbot en lo corrido del mes de junio.

Nuevos indicadores de compromiso asociados al troyano bancario Ursnif

Publicado: 11/06/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano Ursnif, una amenaza diseñada para sistemas Windows y dirigido al sector financiero con el objetivo de capturar información y credenciales bancarias.

Nueva variante de RootKit dirigida a Linux catalogada como Symbiote

Publicado: 10/06/2022 | Importancia: Media

A través de actividades de monitoreo a diferentes fuentes de información en búsqueda de amenazas que puedan afectar al sector, el equipo de analistas del Csirt Financiero identificó una nueva variante de RootKit apodada Symbiote, dirigida a Linux, esta es altamente sofisticada y tiene un comportamiento evasivo altamente sofisticado y se encuentra dirigido a organizaciones latinoamericanas.

Nueva campaña del grupo APT Lyceum distribuye DNS Backdoor

Publicado: 10/06/2022 | Importancia: Media

Se ha detectado una nueva campaña maliciosa por parte del grupo APT Lyceum que contiene un DNS backdoor, que implementa una versión reformada del software libre “Dig.Net”. Este backdoor hace uso del protocolo DNS para realiza la comunicación con el servidor de comando y control (C2) para efectuar diferentes acciones como realizar consultas de DNS.