Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Enero de 2023

Nuevos artefactos del troyano Formbook en el mes de enero

Publicado: 29/01/2023 | Importancia: Media

Aunque el troyano conocido como Formbook ha sido reportado en ocasiones anteriores es importante resaltar las nuevas actividades de esta amenaza, ya que ha sido uno de los troyanos más utilizados por grupos de ciberdelincuentes con el objetivo de afectar la confidencialidad de su información, gracias a estas nuevas actividades se identifican nuevos indicadores de compromiso relacionados con el troyano Formbook.

Nueva actividad por parte del Loader Gootkit

Publicado: 29/01/2023 | Importancia: Media

De forma reciente, investigadores de seguridad identificaron nueva actividad asociada a Gootkit que también es conocido como Gootloader, Loader al cual se le han realizado diferentes cambios en su conjunto de herramientas que le permiten comprometer a los servicios y equipos informáticos de las organizaciones, añadiéndole nuevos componentes y ofuscaciones en su sintaxis de infección.

Se identifica nueva actividad maliciosa del ransomware Conti.

Publicado: 28/01/2023 | Importancia: Media

Es evidente que en el día a día grupos de ciberdelincuentes realizan constantes actualizaciones a las diversas amenazas que abundan en el ciberespacio, por lo que en esta ocasión el equipo del Csirt identifico una nueva actividad maliciosa relacionada al ransomware Conti donde se encuentran nuevos indicadores de compromiso relacionados a esta amenaza.

El ransomware Mimic explota Everything en su rutina de cifrado

Publicado: 27/01/2023 | Importancia: Media

En el panorama de amenazas actual encontramos cientos de variantes de ransomware, entre estas las derivadas del constructor de Conti; tal como el nuevo ransomware llamado Mimic, que inicio su operación desde junio de 2022, este se caracteriza por explotar las API del motor de búsqueda de archivos Everything (desarrollado por voidtools), y distribuirse en campañas dirigidas a usuarios de habla rusa e inglesa.

Emotet reaparece con nuevos métodos de evasión y movimiento lateral

Publicado: 24/01/2023 | Importancia: Media

En una de sus más recientes campañas maliciosas, se ha evidenciado nuevos comportamientos y vector de infección de la ya reconocida familia de malware Emotet, donde implementa varios módulos en sus actividades, uno de los que más destaca es en el protocolo del bloque de mensajes de servidor (SMB, por sus siglas en ingles) para realizar principalmente movimiento lateral en la infraestructura tecnológica infectada.

Se identifica una nueva familia de ransomware conocida como TZW

Publicado: 23/01/2023 | Importancia: Media

Investigadores de seguridad recientemente identificaron una nueva familia de ransomware denominada TZW, debido a que esta agrega la extensión .TZW a los archivos comprometidos en su procedimiento de cifrado; desarrollado en lenguaje .NET, el archivo inicial contiene un cargador desde el cual es cargado y ejecutado en la memoria del sistema operativo infectado.

Nueva campaña de GuLoader distribuye Remcos RAT

Publicado: 22/01/2023 | Importancia: Media

La superficie de ataque está en incesante progresión, en especial cuando se trata de familias de malware de acceso inicial con notables capacidades de evasión de herramientas de seguridad e investigación, como es el caso de Guloader; aunado a lo anterior, recientemente se identificó una campaña de phishing que distribuye este downloader apuntando a diferentes industrias y geografías.

Nuevos indicadores de compromiso asociados a LokiBot

Publicado: 22/01/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero en el observatorio de seguridad, identificó nuevos indicadores de compromiso asociados a LokiBot también conocido como Loki PWS, el cual es un troyano bancario visto por primera vez en 2015 y con grandes usos para de los actores de manaza.

Nueva versión de Remcos RAT con capacidades altas capacidades de evadir detecciones en los equipos afectados

Publicado: 21/01/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero ha realizado un monitoreo frente a amenazas y nuevas campañas que puedan afectar la infraestructura de los asociados, donde se observó nuevas actividades del troyano de acceso remoto Remcos con su nueva versión 4.2.0 lanzada el 20 de diciembre de 2022 y usada por diversos actores de amenaza.

Actores de amenaza aprovechan vulnerabilidad de día cero para implementar un backdoor

Publicado: 20/01/2023 | Importancia: Media

Recientemente, se ha identificado una campaña maliciosa en el que diferentes actores de amenaza aprovechan una vulnerabilidad de día cero presentada en la plataforma FortiOS, donde implementan una nueva familia de malware de tipo backdoor denominado “BOLDMOVE”.

Nueva variante del troyano bancario Ermac

Publicado: 19/01/2023 | Importancia: Media

Se ha identificado una nueva versión del troyano bancario Ermac, el cual trae consigo nuevas funcionalidades y capacidades para afectar a dispositivos Android; identificado como Hook, esta amenaza es introducida como una familia de malware creada desde cero, sin embargo, su código fuente y comandos son basados en Ermac, por lo que podría decirse que simplemente se trata de una actualización.

Nuevo RAT denominado Gigabud apunta a dispositivos Android

Publicado: 18/01/2023 | Importancia: Media

Recientemente, se ha observado en tendencia el aumento de campañas maliciosas donde implementan un troyano de acceso remoto que suplanta la identidad de aplicaciones gubernamentales y bancarias, el cual posee grandes capacidades de afectación y un elaborado código fuente que dificulta la detección del mismo en herramientas de seguridad, este es identificado como Gigabud RAT y está dirigido a sistemas operativos Android.

Emerge un nuevo backdoor denominado Xdr33 basado en Hive

Publicado: 17/01/2023 | Importancia: Media

El panorama de amenazas continúa en aumento, en esta ocasión se detectó una nueva variante del kit de ataque CIA Hive en el ciberespacio, la cual se fue denominada Xdr33; es un backdoor dirigido a sistemas Linux, con notorias capacidades con las que buscan afectar a sus víctimas mediante la explotación de vulnerabilidades relacionadas con dispositivos F5.

Raccoon y Vidar stealer distribuidos a través de aplicaciones no legítimas

Publicado: 16/01/2023 | Importancia: Media

Recientemente, se ha evidenciado una nueva tendencia para distribuir los stealer Raccoon y Vidar, conocidos por sus grandes capacidades de afectación y recopilación de data sensible relacionadas con credenciales del equipo objetivo. En esta ocasión, se identificó una infraestructura o botnet que posee más de 250 dominios utilizados para alojar sitios web que realizan la descarga de estas familias de malware. Esta campaña tiene como propósito persuadir a las víctimas de que instalen aplicaciones no legítimas de repositorios de GitHub que en realidad hacen referencia a la carga útil de los mencionados.

Se identifica actividad de un ransomware poco conocido llamado Lorenz

Publicado: 15/01/2023 | Importancia: Media

En la necesidad de proteger los pilares fundamentales de la información y al sector financiero, el equipo de analistas del Csirt Financiero identificaron actividad de una amenaza no vista anteriormente, se trata de un grupo de ransomware denominado Lorenz, del cual se infiere que tienen conexión con otra amenaza conocida como ThunderCrypt, además, que se ha ganado mucha popularidad desde sus inicios debido a la filtración de datos antes del cifrado, explotar vulnerabilidades de VoIP para el acceso a los equipos informáticos y la publicación de dicha data exfiltrada en su sitio web para extorsionar a sus víctimas.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 15/01/2023 | Importancia: Media

Se han evidenciado nuevos indicadores de compromiso que indican que Emotet se encuentra generando diversas campañas maliciosas. Anteriormente, reconocido por sus capacidades de afectación en cuanto a la recopilación de data sensible de cuentas financieras (troyano bancario), ha ido evolucionando a llegar a tal punto de convertirse en una de las botnet más utilizadas por los actores de amenaza.

Nuevo troyano de acceso remoto conocido como VagusRAT

Publicado: 15/01/2023 | Importancia: Media

Últimamente se han descubierto campañas que abusan de la plataforma de Google Ads, específicamente los atacantes utilizan técnicas como dominios squatting y envenenamiento SEO, para distribuir diferentes familias de malware a usuarios que buscan aplicaciones populares como Adobe Reader; asimismo, diferentes actores de amenaza fructifican sus infecciones por medio de la promoción de estos sitios maliciosos, de este modo se identificó un nuevo Troyano de acceso remoto (RAT) conocido como VagusRAT y su posible atribución a una banda de ciberdelincuentes iraníes.

Ciberdelincuentes emplean nueva técnica para la distribución de malware a través de archivos Polyglot

Publicado: 14/01/2023 | Importancia: Media

A medida que se van desarrollando nuevas herramientas de defensa informática, así mismo los cibercriminales encuentran y/o desarrollan nuevas técnicas que les permite seguir siendo vigente con el paso del tiempo, por lo cual, de forma reciente se han identificado campañas que tienen el objetivo de distribuir malware a través de archivos Polyglot, que combinan sintaxis de dos o más formatos diferentes que pueden ser analizados sin que se produzca algún tipo de error.

Nueva actividad maliciosa de RedLine Stealer distribuida en México

Publicado: 13/01/2023 | Importancia: Media

El equipo de analistas del Csirt Financiero, realizó un monitoreo al ciberespacio en busca de nuevas amenazas y campañas maliciosas que puedan afectar la infraestructura de los asociados, donde se identificó una nueva campaña en el que ponen a la venta RedLine Stealer para el acceso a dominios de instituciones financieras en México.

IcedID apunta a dominios de Active Directory

Publicado: 12/01/2023 | Importancia: Media

IceID, en una de sus más recientes campañas maliciosas, se evidenció nuevos comportamientos que llevaron a cabo los actores de amenaza para afectar el dominio de Active Directory de un sistema informático, para esto, utilizaron múltiples técnicas de reconocimiento, recopilación de credenciales, movimiento lateral y la implementación de herramientas legitimas como Cobalt Strike.

El skimmer Magecart denominado Mr. SNIFFA

Publicado: 11/01/2023 | Importancia: Media

Los kits de herramientas maliciosas son parte del panorama de amenazas relacionada con los skimmer, puesto que les brindan a los atacantes mayores posibilidades de tener éxito en sus ataques, estos motivados económicamente por la captura de información financiera asociada a tarjetas de crédito.

Nueva variante de RAT denominada Pupy

Publicado: 10/01/2023 | Importancia: Media

Desde el Csirt Financiero se realiza monitoreo al ciber espacio con el objetivo de identificar nuevas amenazas que puedan impactar al sector financiero, durante dichas investigaciones se identificó una nueva variante de RAT (troyano de acceso remoto por sus siglas en inglés) identificado como Pupy, el cual es desplegado en los equipos informáticos a través de un servicio legítimo de Windows conocido como WerFault.exe (utilizado para las notificaciones de errores de Windows).

Actividades maliciosas recientes asociadas al troyano bancario Ursnif

Publicado: 09/01/2023 | Importancia: Media

Durante los últimos meses, investigadores realizaron monitoreo a un incidente en el cual estaba relacionado Ursnif, también conocido como Gozi o ISFB, es un troyano bancario que a pesar de su antigüedad se ha mantenido activo gracias a las evoluciones en su código que le permiten generar actividades de evasión, recopilación y exfiltración de información sensible alojada en los equipos informáticos infectados.

Nuevos indicadores de compromiso relacionados a Qakbot

Publicado: 09/01/2023 | Importancia: Media

En el observatorio de ciberseguridad, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso relacionado a Qakbot, el cual es un troyano bancario que ha sido utilizado por actores de amenaza motivados financieramente desde 2007, con el pasar de los años se convirtió en una de las amenazas más relevantes por su gran evolución e implementación de capacidades para capturar la mayor cantidad de información confidencial posible de sus víctimas.

Nuevos indicadores de compromiso asociados a TrickBot

Publicado: 08/01/2023 | Importancia: Media

En el ámbito de la ciberseguridad, es frecuente visualizar campañas maliciosas las cuales involucren nuevos indicadores de compromiso vinculados a alguna familia de malware, esto con el propósito de evadir detecciones por parte de herramientas antimalware al implementar muestras diferentes a las ya identificadas previamente y así, lograr impactar el sistema informático objetivo.

Nueva actividad maliciosa que entrega Rhadamanthys

Publicado: 08/01/2023 | Importancia: Media

A principios del presente año, investigadores identificaron nuevas actividades usando el servicio de Google Ads con el objetivo de distribuir a Rhadamanthys, un stealer capacitado para recopilar y exfiltrar información de las infraestructuras informáticas comprometidas como nombre del equipo, modelo, versión del sistema operativo, direcciones IP, credenciales de acceso, entre otros.

Proliferan variantes del ransomware Conti en el panorama de amenazas

Publicado: 07/01/2023 | Importancia: Media

Las variantes del ransomware Conti después de la filtración de sus manuales de operación y códigos fuente continúan proliferando constantemente en la naturaleza, y es que amenazas como Monti y Putin ransomware tienen actividades latentes en el ciberespacio además de otra variante identificada recientemente como Black Hunt que emplea el protocolo RDP en su flujo de acción, para afectar a sus víctimas.

Nueva variante de SpyNote dirigida a Android

Publicado: 07/01/2023 | Importancia: Media

Recientemente se ha identificado una nueva variante de SpyNote también llamada como SpyMax, una amenaza dirigida a sistemas operativos Android que combina capacidades de spyware y troyano bancario. Todo esto luego de que su código se hizo público, ayudando a que actores de amenaza lo capacitaran con nuevas funciones maliciosas para lograr sus objetivos.

El troyano bancario Dridex apunta a usuarios del sistema operativo MacOS

Publicado: 07/01/2023 | Importancia: Media

Dridex es una amenaza conocida en el panorama de amenazas, puesto que es uno de los troyanos bancarios más prolíficos de los últimos años de hecho hace unos meses sus operadores retomaron nuevamente la operación, al desplegar nuevas campañas con distintos artefactos con la carga útil de esta amenaza, entre los intereses de estos tenían ampliar su lista de objetivos y agregar mejoras en su código.

Nuevo grupo de ciberdelincuentes dirigidos al sector financiero

Publicado: 06/01/2023 | Importancia: Media

En la actividad de observatorio de ciberseguridad en el ciberespacio realizada por el equipo del Csirt Financiero a través de fuentes de información abiertas, se identificó un nuevo grupo de ciberdelincuentes los cuales generan ataques dirigidos especialmente al sector financiero conocidos como Bluebottle usando diversas técnicas con ayuda de múltiples herramientas para llevar a cabo sus actividades maliciosas.

Archivo