Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Octubre de 2022

Los troyanos bancarios Sharkbot y Vultur distribuyen droppers en Google Play Store

Publicado: 29/10/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero ha observado una nueva campaña maliciosa en la que implementan droppers en la tienda de Google Play para distribuir troyanos bancarios, se encontraron más de 130.000 instalaciones que distribuyen a los troyanos bancarios Sharkbot y Vultur.

Nueva actividad maliciosa atribuida a STRRAT

Publicado: 29/10/2022 | Importancia: Media

En el ecosistema de ciberseguridad, usualmente los actores de amenaza desarrollan las cargas útiles de sus familias de malware en formatos conocidos. Se han evidenciado diversas campañas maliciosas en donde los ciberdelincuentes utilizan lenguajes de programación poco convencionales para generar estos archivos maliciosos, este tipo de estrategia permite que las soluciones antimalware no detecten dichos artefactos debido a desconocen ese tipo de formatos.

Nuevas campañas implementan ransomware con facilidad mediante Raspeberry Robin

Publicado: 28/10/2022 | Importancia: Media

En el proceso de monitoreo de amenazas a través de fuentes de información abiertas y de herramientas del Csirt Financiero, se identificó nuevas actividades relacionadas al gusano informático Raspberry Robin dirigido a usuarios de Windows que se propaga a través de dispositivos USB extraíbles mediante un archivo .LNK malicioso.

Nueva campaña maliciosa distribuye el troyano bancario Drinik en la India

Publicado: 27/10/2022 | Importancia: Media

El creciente panorama de amenazas continua dando consecución a troyanos bancarios dirigidos a dispositivos Android, los cuales son el presente y futuro de la superficie de ataque para los ciberdelincuentes; es así como las familias de malware sufren una constante evolución gracias a la constante actividad de los actores de amenaza, en ese orden de ideas se identificaron nuevas capacidades en una amenaza latente en la naturaleza conocida como Drinik, que en la campaña en curso está afectando a entidades financieras de la India.

Nuevo ransomware denominado ArcLocker impacta a organizaciones de LATAM

Publicado: 26/10/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero realiza un monitoreo de nuevas amenazas que pueden llegar afectar la confidencialidad e infraestructura de nuestros asociados, donde se encontró una nueva familia de ransomware denominada como ArcLocker. Esta nueva campaña maliciosa ya tuvo actividades en China, Estonia, Turquía, impactando también en organizaciones de LATAM específicamente Chile y recientemente a Colombia.

Nueva actividad maliciosa del ransomware Hive

Publicado: 25/10/2022 | Importancia: Media

Hive, es una de las familias de ransomware más reconocidas a nivel global, donde destaca su gran capacidad de afectación a la infraestructura tecnológica objetivo. Este malware As a Service (MaaS, por sus siglas en inglés) ha impactado a múltiples entidades de América Latina y Colombia, las cuales han estado en riesgo de filtración de información confidencial al haber sido infectadas por el mencionado.

Grupo Lazarus inhabilita herramientas de seguridad mediante la técnica BYOVD

Publicado: 24/10/2022 | Importancia: Media

Se conoce que el grupo APT Lazarus es uno de los más populares en la última década dado a su amplia gama de métodos empleado en sus operaciones maliciosas; recientemente se ha identificado un ataque en el cual este grupo de amenazas utiliza una vulnerabilidad en el producto MagicLine4NX desarrollado por Dream Security con el fin de impactar en mayor manera las redes internas después de ejecutar la técnica de abrevadero (ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización), posteriormente se manipula un controlador vulnerable que se usa para inhabilitar las herramientas de seguridad que se encuentren instauradas en las infraestructuras tecnológicas.

El nuevo ransomware RAR1 como parte del arsenal de una campaña que distribuye distintas amenazas

Publicado: 24/10/2022 | Importancia: Media

Uno de los vectores de infección implementados por los actores de amenaza en la naturaleza es la explotación de vulnerabilidades especialmente las de clasificación crítica dado que rápidamente aparecen exploits para aprovecharse de esta y así obtener acceso a los sistemas; recientemente se descubrió una campaña en curso que explota una vulnerabilidad de VMware que permite la inyección de una carga útil y la ejecución remota de código, con el fin de implantar un nuevo ransomware denominado RAR1, junto a nueva variante del botnet Mirai y un minero en su operación.

Nueva variante de ransomware denominada FARGO

Publicado: 23/10/2022 | Importancia: Media

Recientemente se ha identificado una nueva variante del ransomware conocido como TargetCompany, sin embargo, en esta ocasión es nombrado FARGO; diseñado con funciones para cifrar datos y generar una nota de rescate con la información pertinente para poder iniciar un proceso de rescate. Se conoce que esta amenaza agrega la extensión .FARGO a todos los archivos comprometidos y al final de su proceso de cifrado despliega un archivo en el escritorio conocido como FILE RECOVERY.txt como se puede observar a continuación.

Nueva campaña maliciosa que entrega NetSupport RAT

Publicado: 23/10/2022 | Importancia: Media

Recientemente se ha descubierto una campaña maliciosa dirigida a usuarios de Microsoft Windows denominada “sczriptzzbn inject”, esta tiene operación sobre sitios web comprometidos para persuadir al usuario a descargar un instalador malicioso de Google Chrome que resulta en la implementación de NetSupport RAT.

Nuevos indicadores de compromiso relacionados al troyano IcedID.

Publicado: 23/10/2022 | Importancia: Media

En el monitoreo realizado por el equipo de analistas del Csirt Financiero se encontraron nuevos indicadores de compromiso (IoC) relacionados al troyano bancario IcedID, también conocido como Bokbot que se observó por primera vez en 2017, esta amenaza está dirigida a cualquier organización o entidad que maneje información financiera, incluidas las credenciales de inicio de sesión las aplicaciones bancarias en línea.

Nueva actividad relacionada con el troyano bancario Qakbot

Publicado: 22/10/2022 | Importancia: Media

Uno de los troyanos bancarios más prolíficos en la naturaleza es Qakbot, pues desde su aparición en 2007 los actores de esta amenaza no han detenido su operación, con esto han desarrollado y mantenido campañas dirigidas a entidades financieras a nivel mundial; partiendo de lo anterior la actividad relacionada con este troyano ha hecho que se posicione como una de las amenazas más relevantes, de ahí que durante su evolución implemente capacidades dirigidas a capturar mayor cantidad de información sensible de sus víctimas.

Nueva actividad maliciosa atribuida a la botnet Emotet

Publicado: 21/10/2022 | Importancia: Media

En el ecosistema de ciberseguridad, una de las estrategias más utilizadas por los actores de amenaza en sus campañas maliciosas es la distribución de malspam, utilizando esta técnica se ha identificado una nueva actividad de Emotet donde se adjuntan archivos comprimidos con la carga útil de esta amenaza en mensajes de correo electrónico.

Nueva distribución de InfoStealer a través de instaladores empaquetados

Publicado: 21/10/2022 | Importancia: Media

Se observó una nueva campaña maliciosa de Infostealer distribuida por instaladores empaquetados y que está siendo comercializada por la dark web, este proyecto se denomina “TEMP” el cual viene con un cargador denominado Temp Loader y otro stealer denominado Temp Stealer.

Nueva actualización del troyano bancario Ursnif denominada LDR4

Publicado: 20/10/2022 | Importancia: Media

Ursnif es una variante del malware Gozi, identificado por primera vez en el año 2017 y desde entonces un tipo de amenaza conocido como un troyano bancario, la cual ha sido muy popular entre diversos grupos de ciberdelincuentes ya que se encuentra dirigido específicamente al sector financiero con el objetivo de capturar información y credenciales bancarias principalmente de los sistemas operativos Microsoft Windows.

Nuevos indicadores de compromiso en el mes de octubre del troyano Qakbot

Publicado: 19/10/2022 | Importancia: Media

El troyano conocido como Qakbot, es una amenaza a nivel global muy utilizada por diversos actores de amenaza, recientemente se vio involucrado en una campaña utilizada por el grupo de ciberdelincuentes conocido como BlackBasta en el que implementaron BruteRatel mediante Qakbot y la cual fue reportada por el equipo de analistas del Csirt; en esta ocasión se identificaron nuevos indicadores de compromiso de Qakbot en el cual se han observado varios ataques contra el sector financiero.

Nueva actividad maliciosa del troyano bancario ERMAC

Publicado: 18/10/2022 | Importancia: Media

Los troyanos bancarios, son reconocidos por dirigirse específicamente al sector financiero, donde tienen como objetivo recopilar información confidencial relacionada con cuentas bancarias y/o billeteras, por decir algunas; una vez recopilado esos datos, los actores de amenaza suelen desencadenar múltiples acciones delictivas como actos de extorsión, filtración de data confidencial y fraude financiero.

Nueva actividad maliciosa del ransomware Bian Lian

Publicado: 17/10/2022 | Importancia: Media

En el ámbito de la ciberseguridad se observan nuevas actualizaciones de diversas amenazas donde los ciberdelincuentes intentan llegar a más víctimas con el objetivo de implantar algún tipo de malware, por lo que el equipo de analistas del Csirt Financiero en búsqueda de estas nuevas actualizaciones identifico nuevos indicadores de compromiso relacionados al ransomware BianLian, el cual ha sido reportado en ocasiones anteriores y dirigido principalmente a sistemas operativos Windows.

Venus, nuevo ransomware aparece en la naturaleza

Publicado: 17/10/2022 | Importancia: Media

El ransomware es un tipo de malware muy conocido en el ecosistema de ciberseguridad por su gran capacidad de afectación a la infraestructura tecnológica infectada, donde cifra los archivos almacenados en el sistema, impidiendo el acceso a estos; además, los actores de amenaza utilizan diversas estrategias de persuasión para que las victimas paguen por el rescate de estos datos, entre los más comunes se encuentra la filtración de los mencionados en foros de la Deep y Dark web y la eliminación de esta data.

Nuevo ransomware denominado Ransom Cartel

Publicado: 16/10/2022 | Importancia: Media

A través del monitoreo a fuentes abiertas de información en búsqueda de nuevas actividades que puedan llegar afectar la infraestructura de nuestros asociados el equipo de analistas del Csirt Financiero, identificó un nuevo ransomware denominado Ransom Cartel, esta ciberamenaza cuenta con varias técnicas y similitudes con el código de desarrollo del ransomware REvil, por lo que se infiere que pueden ser los mismos grupos de ciberdelincuentes quienes distribuyen este nuevo malware.

Nuevo ransomware denominado Prestige.

Publicado: 16/10/2022 | Importancia: Media

En el monitoreo realizado por el equipo de analistas del Csirt Financiero se conoció un nuevo ransomware denominado Prestige el cual se implementó el 11 de octubre del 2022 en ciberataques que ocurrieron en los países de Ucrania y Polonia.

Nueva campaña de distribución y actualización del ransomware Magniber

Publicado: 15/10/2022 | Importancia: Media

Aunque el ransomware Magniber ha sido reportado en ocasiones anteriores, el equipo de analistas del Csirt Financiero en un monitoreo a fuentes abiertas de información ha identificado una nueva campaña de dicho ransomware con el que fueron encontrados nuevos indicadores de compromiso (IoC).

Nueva actividad maliciosa del framework denominado Brute Ratel

Publicado: 15/10/2022 | Importancia: Media

Bruteratel también conocido como BRc4, es un conjunto de herramientas similar a cobalt strike con el propósito final de poder ejecutar comandos de forma remota en una red comprometida. Esto otorgaría al atacante acceso al resto de la red de una manera más fácil.

Nueva actividad maliciosa de RedLine stealer

Publicado: 14/10/2022 | Importancia: Media

Cada día, se evidencian nuevas estrategias maliciosas por parte de los actores de amenaza, las cuales tienen como propósito afectar infraestructuras tecnológicas de una persona u organización por medio de la persuasión y el engaño, donde por error las victimas ejecutan o abren un archivo aparentemente legitimo pero que en realidad es la carga útil de alguna familia de malware.

Un nuevo stealer denominado Mitsu es distribuido por medio de sitios phishing

Publicado: 13/10/2022 | Importancia: Media

Los actores de amenazas actúan conforme a sus objetivos, de ahí que empleen técnicas de ingeniería social para persuadir a sus víctimas para que ejecuten acciones involuntarias que resultan comprometiendo su información confidencial; acorde con lo anterior los sitios phishing se ven frecuentemente en la naturaleza suplantando organizaciones de distintos sectores, recientemente se rastreó una nueva campaña en la que se distribuye un nuevo stealer denominado Mitsu a través de una web fraudulenta de Anydesk.

Nueva variante de GuLoader también conocido como CloudEyE

Publicado: 13/10/2022 | Importancia: Media

GuLoader o CloudEyE, es un programa malicioso que tiene como objetivo permitir a los cibercriminales desplegar otras familias de malware más capacitadas como troyanos de acceso remoto (RAT, por sus siglas en ingles) y ransomware. Utilizan esta amenaza como punto de apoyo inicial y así posteriormente con las herramientas anteriormente mencionadas recopilar y exfiltrar información sensible que se encuentre alojada en las infraestructuras comprometidas.

Nuevo framework denominado Alchimist

Publicado: 13/10/2022 | Importancia: Media

En el monitoreo realizado por el equipo de analistas el Csirt Financiero se observó un nuevo framework de comando y control llamada Alchimist, el cual opera junto a un nuevo malware llamado Insekt con capacidades de administración remota y dirigido a equipos con sistemas operativos Windows, Linux y Mac.

NUEVAS ACTUALIZACIONES EN LA CARGA ÚTIL DEL TROYANO BANCARIO ZANUBIS

Publicado: 12/10/2022 | Importancia: Media

El troyano bancario Zanubis apareció en septiembre de este año, desde el momento de su reporte el equipo de analistas del Csirt Financiero continúa monitoreando su actividad, en ese ejercicio se evidenciaron actualizaciones en su código fuente, recientemente se descubrió un artefacto distinto que incluye algunas actualizaciones y la alusión a su presunto autor.

Nuevo troyano bancario denominado Copybara

Publicado: 11/10/2022 | Importancia: Media

En el ciberespacio recientemente se han estado evidenciando múltiples campañas maliciosas donde su vector de infección es a través de dispositivos móviles, las cuales tienen como propósito persuadir a la víctima para que realice la descarga de aplicaciones relacionadas con el sector financiero, pero que en realidad son las cargas útiles de troyanos bancarios; anteriormente, este tipo de ataques se habían presenciado en la India, sin embargo, se han identificado casos similares en Europa, específicamente en Italia.

Un nuevo kit de herramientas de phishing como servicio denominado Caffeine

Publicado: 10/10/2022 | Importancia: Media

Las plataformas de phishing como servicio (PhaaS, Phishing as a Service) son herramientas que cobran más fuerza en la naturaleza gracias a la automatización que les brinda a los ciberdelincuentes en sus campañas maliciosas; recientemente se rastreó la plataforma Caffeine un conjunto de herramientas, que está siendo usado activamente por los atacantes en la orquestación de su vector de distribución en sus ataques cibernéticos por ejemplo en la fase de armamentización.

Archivo