Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de 2023

Nueva Actividad Maliciosa De Ransomware Conocida Como EstateRansomware

Publicado: 10/07/2024 | Importancia: Media

Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad maliciosa de ransomware conocida como EstateRansomware, en la cual los actores de amenaza aprovechan una falla de seguridad en el software Veeam Backup & Replication, identificada como CVE-2023-27532 (puntaje CVSS: 7.5), para infectar los sistemas objetivos.

Nueva actividad maliciosa con el infostealer denominado ViperSoftX

Publicado: 09/07/2024 | Importancia: Media

ViperSoftX es un infostealer con capacidad para infiltrarse en los sistemas y extraer información confidencial. Recientemente, se ha observado que este malware se distribuye específicamente como libros electrónicos a través de torrents, engañando a los usuarios para que descarguen e instalen el malware.

Nuevos indicadores de compromiso del RAT FormBook

Publicado: 07/07/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un nuevo troyano llamado FormBook.

Los ciberdelincuentes continúan utilizando DcRAT

Publicado: 07/07/2024 | Importancia: Media

El equipo del CSIRT Financiero ha identificado nuevas actividades relacionadas con DCRAT, también conocido como DarkComet Remote Access Trojan, diseñado para comprometer los equipos y exfiltrar información sensible.

Nueva versión de GootLoader

Publicado: 06/07/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva versión del loader llamado GootLoader 3.

Nuevas Actividad Maliciosa Relacionada con la Botnet Zergeca

Publicado: 06/07/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se han detectado nuevas actividades de Zergeca, una botnet que ha demostrado ser una amenaza sofisticada y multifuncional en el ámbito de la seguridad informática. Desarrollada en Golang, Zergeca se distingue por su capacidad para llevar a cabo ataques de denegación de servicio distribuido (DDoS) junto con otras funcionalidades avanzadas.

Nuevo ransomware Eldorado dirigido a sistemas Windows y Linux

Publicado: 04/07/2024 | Importancia: Media

Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se encontró un nuevo ransomware denominado Eldorado, notable por su capacidad de evadir detección y por las tácticas avanzadas que emplea para infectar sistemas y cifrar datos. Se distribuye principalmente a través de correos electrónicos de phishing y kits de explotación, aprovechando vulnerabilidades no actualizadas en software y sistemas operativos Windows y Linux.

Nueva actividad relacionada con el troyano de acceso remoto AsyncRAT

Publicado: 03/07/2024 | Importancia: Media

Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se observó una nueva actividad relacionada con el troyano de acceso remoto AsyncRAT, en la cual los actores de amenaza están distribuyendo este RAT mediante un archivo comprimido disfrazado de libro electrónico con código malicioso.

Nueva actividad y distribución relacionada con Poseidón

Publicado: 02/07/2024 | Importancia: Media

A través de actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero en busca de nuevas campañas o actividades que puedan afectar la infraestructura del asociado, se ha observado una nueva actividad relacionada con un stealer llamado Poseidón, que tiene la capacidad de capturar y extraer información confidencial de sistemas macOS, incluidos datos financieros.

Nueva campaña phishing en Latinoamérica

Publicado: 02/07/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que distribuye el troyano bancario llamado Mekotio.

Nuevos indicadores de RedLine

Publicado: 01/07/2024 | Importancia: Media

En junio, el equipo de analistas del Csirt Financiero identificó nuevos indicadores de compromiso asociados con RedLine Stealer. Durante el análisis, se detectaron varios artefactos en formatos .zip y .exe que fueron clasificados como maliciosos por el equipo.

Nuevas actividades del troyano IRATA

Publicado: 30/06/2024 | Importancia: Media

IRATA es un troyano de acceso remoto diseñado para dispositivos Android, con capacidades de espionaje y captura de información, mediante ataque de smishing, donde los usuarios recibían mensajes SMS falsos que dirigían a una página web gubernamental falsa .

Nueva variante del gusano P2PInfect

Publicado: 29/06/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva versión del gusano P2PInfect.

Nueva actividad relacionada con Lumma Stealer

Publicado: 28/06/2024 | Importancia: Media

Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha observado nueva actividad del Lumma Stealer, también conocido como LummaC2 Stealer. Este stealer, escrito en C, opera como parte de un servicio de malware-as-a-service (MaaS).

Nuevo ataque de cadena de suministro mediante Polyfill.io

Publicado: 27/06/2024 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha observado un nuevo ataque a la cadena de suministro que utiliza el servicio Polyfill.io. Después de que una empresa china adquiriera el dominio, la biblioteca JavaScript "Polyfill.js" fue modificada con el objetivo de redirigir a los usuarios a sitios maliciosos y fraudulentos.

Nuevo Backdoor denominado HappyDoor

Publicado: 26/06/2024 | Importancia: Media

Se observó un nuevo Backdoor denominado HappyDoor desarrollado por el actor de amenaza (APT) Kimsuky. Contando con capacidad para evadir la detección y realizar actividades maliciosas y realizar técnicas avanzadas de ofuscación y cifrado.

DBatloader: Cambios en sus Métodos y Nuevas Campañas de Distribución

Publicado: 26/06/2024 | Importancia: Media

A través del monitoreo realizado por parte del Csirt Financiero, se ha identificado un aumento en la actividad de DBatLoader, un loader utilizado por múltiples actores de amenaza para distribuir una variedad de malware. Históricamente asociado con cargas útiles como Vidar Stealer y Ursnif, DBatLoader ahora está entregando ejecutables que contienen Remcos RAT y Formbook, según nuevos indicadores de compromiso descubiertos durante un monitoreo reciente.

El troyano bancario Medusa surge con nuevas capacidades

Publicado: 25/06/2024 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura tecnológica de los asociados, se observó un aumento en la actividad del troyano bancario Medusa. Este troyano, identificado por primera vez en 2020, expandió su alcance rápidamente, afectando a varias instituciones financieras en América del Norte y Europa.

UAC-0184 UTILIZA UNA NUEVA TÉCNICA DE ADMINISTRACIÓN DE WINDOWS

Publicado: 24/06/2024 | Importancia: Media

Durante el monitoreo de actividades recientes maliciosas, el equipo del Csirt financiero detectó actividad reciente del grupo de ciberdelincuentes denominado UAC-0184, haciendo uso de una nueva técnica de ataque llamada GrimResourse, que explota archivos de la consola guardada de administración (MSC) para ejecutar código malicioso mediante Microsoft Management Console (MMC).

Meterpreter opera desde la memoria en lugar del disco duro

Publicado: 23/06/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó un troyano llamado Meterpreter que opera exclusivamente en memoria.

Nuevo Stealer denominado Blank Grabber

Publicado: 23/06/2024 | Importancia: Media

se identificó un nuevo Stealer denominado Blank Grabber. Este software malicioso está diseñado para infiltrarse en sistemas con el objetivo de capturar información confidencial y evadir herramientas de antimalware.

Nueva actividad maliciosa del ransomware Blackmatter

Publicado: 23/06/2024 | Importancia: Media

Los analistas del Csirt Financiero han identificado recientemente nuevos indicadores de compromiso asociados con BlackMatter. Estos indicadores incluyen patrones específicos de tráfico de red durante la fase de cifrado de datos, comportamientos anómalos en el acceso a archivos críticos antes del cifrado, y firmas digitales únicas utilizadas en las notas de rescate. Estos hallazgos permiten una detección más temprana y precisa de la actividad de BlackMatter, mejorando así la capacidad de respuesta ante posibles ataques.

Nuevo Backdoor denominado Oyster

Publicado: 22/06/2024 | Importancia: Media

Nuevo Backdoor denominado Oyster

Onnx Store dirigido a cuentas de Microsoft 365 de entidades financieras

Publicado: 21/06/2024 | Importancia: Media

Se ha identificado una nueva plataforma de phishing llamada ONNX Store ha surgido como una amenaza grave para las cuentas de Microsoft 365 en empresas financieras. Este servicio malicioso utiliza archivos PDF con códigos QR para engañar a los empleados, comprometiendo sistemas críticos a través de tácticas sofisticadas y evasivas.

Botnet Zergeca con capacidades avanzadas

Publicado: 20/06/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva botnet llamado Zergeca.

Nueva actividad maliciosa relacionada con Rafel RAT

Publicado: 20/06/2024 | Importancia: Media

A través del monitoreo realizado por el equipo de analistas del Csirt Financiero en búsqueda de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados, se observó una reciente actividad relacionada con el malware de código abierto denominado Rafel RAT, dirigido a dispositivos Android.

Nuevo software malicioso denominado Fickle Stealer

Publicado: 19/06/2024 | Importancia: Media

Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que puedan afectar la infraestructura de los asociados, se ha identificado un nuevo software malicioso denominado Fickle Stealer, desarrollado en el lenguaje de programación Rust.

Satanstealer, una nueva amenaza cibernética

Publicado: 19/06/2024 | Importancia: Media

El equipo del Csirt Financiero ha identificado recientemente una nueva amenaza cibernética conocida como SatanStealer, que ha surgido como una preocupación significativa en el panorama de la ciberseguridad. Este Stealer fue detectado por primera a principios del presente año, cuando comenzó a ser comercializado en foros de la Deep web.

Nueva actividad maliciosa por parte del actor Markopolo entregando diferentes familias de malware

Publicado: 18/06/2024 | Importancia: Media

Se ha identificado una nueva actividad maliciosa por el actor de amenazas denominado Markopolo, haciendo uso de campañas para capturar información de criptomonedas.

Nueva campaña maliciosa con Hijack loader y Vidar stealer

Publicado: 18/06/2024 | Importancia: Media

En los últimos meses ha surgido nueva actividad maliciosa en el panorama de la ciberseguridad, los ciberdelincuentes están utilizando tácticas sofisticadas para distribuir y ejecutar cargas útiles maliciosas en sistemas operativos. Esta nueva actividad se basa en la distribución de software malicioso o versiones modificadas de software libre, que oculta una carga útil maliciosa conocida como Hijack Loader. El cual es utilizado para propagar Vidar Stealer, un conocido stealer diseñado para capturar datos confidenciales como credenciales financieras y criptomonedas.