Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Malspam

Nueva variante de troyano bancario brasilero afecta entidades financieras en Portugal

Publicado: 15/03/2022 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado una nueva variante de troyano bancario que se asemeja en capacidades con los troyanos Maxtrilha, URSA y Javali, la cual fue desarrollada específicamente para afectar a usuarios de entidades financieras en Portugal que dispongan de equipos con sistemas operativos Windows.

Troyano Qbot secuestra hilos de correos electrónicos

Publicado: 10/03/2022 | Importancia: Media

A través de actividades de monitoreo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el equipo del Csirt Financiero ha identificado una nueva capacidad del troyano bancario y botnet Qbot, también conocido como QakBot. En esta oportunidad se evidencia que busca cuentas de correo de los usuarios comprometidos con el objetivo de secuestrar los hilos de los mensajes contenidos en los buzones y reenviar URL maliciosas a los contactos para que ellos descarguen y ejecuten este troyano en sus equipos.

RATDispenser: nuevo cargador empleado para distribuir diferentes familias de troyanos de acceso remoto

Publicado: 24/11/2021 | Importancia: Media

En el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que puedan afectar a los usuarios o al sector, el Csirt Financiero ha identificado un nuevo Loader (cargador) de nombre RATDispenser el cual está siendo utilizado por ciberdelincuentes para distribuir diferentes familias de troyanos de acceso remoto (RAT).

Nuevo loader SQUIRRELWAFFLE empleado en distribución de malware.

Publicado: 25/10/2021 | Importancia: Media

En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan impactar sobre los usuarios y el sector, el equipo del Csirt Financiero ha identificado un nuevo cargador (Loader) de nombre SQUIRRELWAFFLE, el cual se ha utilizado en campañas de distribución de malware durante el segundo semestre de 2021.

Campaña de malspam para la distribución de Hancitor

Publicado: 09/07/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un reciente cambio en la distribución del troyano Hancitor, también conocido como Chanitor o Tordal identificado por primera vez en el año 2014; este se propaga en macros embebidas maliciosas a través de documentos de Microsoft Office y su vector de distribución se realiza a través de campañas de malspam.

Troyano de acceso remoto STR distribuido masivamente

Publicado: 21/05/2021 | Importancia: Media

Campaña para distribución masiva de nueva versión del troyano de acceso remoto identificado como STR.

Nueva actividad del troyano bancario Javali

Publicado: 06/05/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado un nuevo proceso en la cadena de infección del troyano bancario Javali, también conocido como Ousaban.

Nuevos indicadores de compromiso del troyano IcedID

Publicado: 23/04/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario modular IcedID, también conocido como BokBot. Este malware ha estado activo desde el año 2017 y ha sido utilizado para exfiltrar información bancaria y datos confidenciales de equipos comprometidos con sistema operativo Windows.

Indicadores de compromiso asociados a Emotet

Publicado: 21/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, se han encontrado nuevos Indicadores de compromiso asociados al troyano bancario Emotet, el cual tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows. Las capacidades de Emotet han evolucionado en los últimos años, incluyendo la facultad de descargar y ejecutar malware adicional si así lo determina el ciberdelincuente.

Nueva campaña de distribución de AsyncRat

Publicado: 15/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, así como con el trabajo y cooperación inmediata realizado por parte de uno de nuestros asociados, el equipo del Csirt Financiero, ha evidenciado una nueva campaña de distribución e infección relacionada con la amenaza denominada AsyncRAT, que afecta de forma directa equipos de cómputo e infraestructura tecnológica con sistemas operativos Windows.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 16/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha observado actividad por parte del troyano modular Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows. Esta amenaza cibernética se distribuye a través de mensajes de correo electrónico malspam con adjuntos maliciosos diseñados para persuadir al usuario a que descargue y acceda al contenido, momento en el cual se inicia el proceso de infección.

Emotet Implementa Técnicas para secuestrar Hilos de Correo Electrónico

Publicado: 22/09/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una nueva forma para la distribución del troyano bancario Emotet con el objetivo de vulnerar equipos de cómputo con Sistema Operativo Windows. Esta amenaza cibernética fue evidenciada por primera vez en el año 2014 y desde entonces, ha tenido diversas actualizaciones que le permite actuar como un troyano modular con funcionalidades para la instalación de puertas traseras (backdoor) y la descarga de otras familias de malware, también ha implementado tácticas, técnicas y procedimientos que le permiten evadir herramientas de seguridad y causar mayor impacto sobre los equipos afectados.

Nuevo módulo de Emotet para exfiltrar información de correos electrónicos

Publicado: 31/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.

Emotet despliega Malspam después de 5 meses de ausencia

Publicado: 21/07/2020 | Importancia: Alta

Luego de 5 meses Emotet ha resurgido con más de 250.000 mensajes de malspam enviados a destinatarios de correo electrónico en todo el mundo. Desde el pasado viernes los usuarios de Microsoft Office han recibido cientos de correos electrónicos maliciosos.

Nuevos indicadores de compromiso relacionados a RATicate

Publicado: 15/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado que el grupo de cibercriminales RATicate ha estado distribuyendo gran variedad de troyanos de acceso remoto, con la intención de obtener control de los equipos infectados. La forma y medios de entrega de malware actual es diferente al implementado tiempo atrás.

Nuevos indicadores de compromiso asociados con Lampion

Publicado: 17/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado actividad reciente del malware Lampion, el cual ha migrado a una nueva versión según lo observado en el mes de mayo del presente año, suplantando facturas bancarias, facturas relacionadas al grupo Vodafone, así como fondos de emergencia otorgados por el gobierno portugués por la presente pandemia COVID-19, todo a través del envio de mensajes correo tipo malspam.

Actualización del ransomware Sodinokibi

Publicado: 14/05/2020 | Importancia: Media

Investigadores han detectado una nueva actualización del ransomware Sodinokibi, consistente en el uso de la API llamada ‘Windows Restart Manager’, con el fin de cerrar o apagar los procesos de los servicios que tienen abiertos o bloqueados los archivos y así poder cifrar una mayor cantidad de archivos.

Nueva campaña de distribución de RemcosRAT

Publicado: 11/05/2020 | Importancia: Media

Reporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.

Maze Team utiliza nuevas formas de extorsión orientada a la afectación reputacional

Publicado: 10/05/2020 | Importancia: Media

En el monitoreo que realiza el equipo del Csirt Financiero ha identificado que el grupo Maze Team, ciberdelincuentes gestores del ransomware Maze, están implementando las bases de una nueva forma de extorsión a través de la afectación reputacional. Entre los meses de marzo y mayo del 2020 el grupo trató de extorsionar al Banco de Costa Rica, generando una importante afectación reputacional comunicando que había hurtado 11 millones de tarjetas de crédito de los clientes de la entidad.

Nuevos indicadores de compromiso asociados a una variante de WannaCry

Publicado: 19/02/2020 | Importancia: Media

El Csirt Financiero identificó nuevos indicadores de compromiso asociados a WannaCry que podrían afectar los activos de una entidad.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 14/02/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado un ataque con el troyano modular emotet, utilizado constantemente por parte de los ciberdelincuentes ya que cuenta con múltiples capacidades para la exfiltración de información.

Descargador de Azorult utiliza triple cifrado

Publicado: 05/02/2020 | Importancia: Media

Azorult, es un troyano que se ha visto involucrado en operaciones desde el año 2016, está orientado a la captura de credenciales bancarias y datos de tarjetas de crédito, adicionalmente tiene la capacidad de ser utilizado como dropper.

Nueva técnica de distribución de malware utilizada por el grupo de amenazas TA505.

Publicado: 02/02/2020 | Importancia: Baja

El grupo de amenazas TA505 fue descubierto en 2014 por analistas de malware, donde se identificó la primera versión del malware dridex distribuida por medio de mensajes de correo electrónico masivos de tipo malspam.

Nuevos indicadores de compromiso asociados a Emotet.

Publicado: 02/02/2020 | Importancia: Baja

Emotet es un troyano bancario, que ha tenido actividad durante el año en curso, utilizando diferentes métodos de ingeniería social para comprometer dispositivos y sacar el máximo provecho de los recursos comprometidos.

Nuevos indicadores de compromiso asociados a Trickbot

Publicado: 26/12/2019 | Importancia: Media

Desde el CSIRT Financiero se evidencian nuevos indicadores de compromiso asociados a Trickbot, teniendo en cuenta sus actualizaciones para aumentar capacidades tanto de captura como de evasión, este tipo de troyano bancario tiene por objetivo la exfiltración de credenciales asociadas a portales transaccionales para cometer diferentes clases de fraude, como utilización de credenciales hasta la venta de estos en la Dark web.

Nuevos indicadores de compromiso asociados a Lokibot

Publicado: 26/12/2019 | Importancia: Media

El CSIRT Financiero han identificado nuevos indicadores de compromiso asociados a Lokibot, troyano bancario que realiza captura de información sensible del usuario comprometido. Por lo general, es distribuido por medio de campañas de malspam con documentos maliciosos que conllevan a la descarga de este. Adicionalmente, una vez infecta los dispositivos los introduce a su red de Botnets.

Nuevos indicadores de compromiso asociados a Gozi

Publicado: 26/12/2019 | Importancia: Baja

Desde el CSIRT Financiero se han identificado nuevos indicadores de compromiso asociados al troyano bancario Gozi/Ursnif, el cual busca capturar credenciales de usuario de sitios web para realizar transacciones bancarias a través de campañas de malspam acompañados de técnicas de ingeniería social que hacen creer a los usuarios que se encuentran ante un correo auténtico de alguna entidad u organización.

Grupo TA2101 (campaña de distribución de IcedID y MAZE)

Publicado: 15/11/2019 | Importancia: Media

A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.

Nuevos indicadores de compromiso relacionados con el grupo de amenazas APT-38

Publicado: 09/11/2019 | Importancia: Media

Se han identificado nuevos indicadores de compromiso asociados a APT-38 o Lazarus Group (grupo de ciberdelincuentes); Con base en el análisis realizado, se considera que la campaña se ha logrado distribuir por varias organizaciones en diversos países entre los que se evidencian Italia, Estados Unidos, Rusia, China, India, entre otros.

Nuevos indicadores de compromiso asociados a Cobalt Group

Publicado: 06/11/2019 | Importancia: Media

El CSIRT Financiero a través del monitoreo constante de nuevas amenazas, ha identificado nuevos indicadores de compromiso asociados con Cobalt Group [grupo cibercriminal]; se tratan de nuevas variantes utilizadas para realizar actividades maliciosas a través de Malspam [técnica que intenta infectar equipos enviando ficheros adjuntos infectados o enlaces maliciosos].

Archivo