Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Malware

Nuevos indicadores de compromiso asociados a Remcos RAT

Publicado: 26/10/2020 | Importancia: Baja

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.

Nuevo malware vizom apunta a clientes bancarios brasileños

Publicado: 20/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.

Nueva variante de GravityRAT afecta sistemas Android, Windows y MacOS.

Publicado: 19/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.

Campaña de Ciberespionage Dukong utiliza temas de COVID 19 para comprometer Dispositivos Android.

Publicado: 02/10/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado una campaña de ciberespionaje denominada DuKong la cual busca comprometer a dispositivos con sistema operativo Android. Mediante canales de Telegram, los ciberdelincuentes distribuyen aplicaciones infectadas con temas del Covid-19 para implantar malware y recopilar información confidencial en los dispositivos comprometidos.

Imagen Firmware UEFI contiene componentes con Malware

Publicado: 22/09/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una reciente campaña dirigida a entidades diplomáticas dirigida a sistemas operativos Windows, mediante una imagen de firmware UEFI con componentes encargados de instalar malware en el disco, el malware funcionaba como descargador de otros componentes adicionales. Los módulos están basados en un kit de arranque conocido como Vector-EDK. Debido a que se hallaron múltiples muestras similares, se determinó que las muestras son generadas en un framework denominado MosaicRegressor.

Campaña de mensajes de correo electrónico Salfram distribuye Malware

Publicado: 07/09/2020 | Importancia: Media

Desde el Csirt Financiero se han evidenciado nuevas actividades maliciosas asociadas a la distribución de malware con funcionalidad de capturar credenciales bancarias de los usuarios.

Código fuente de Cerberus publicado en foros clandestinos

Publicado: 31/08/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se ha identificado nueva información relacionada al malware bancario Cerberus, malware distribuido bajo la modalidad malware-as-a-Service (MaaS) a través de foros clandestinos de la Deep Web.

Nuevo módulo de Emotet para exfiltrar información de correos electrónicos

Publicado: 31/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, la inclusión de un nuevo módulo en Emotet para capturar y exfiltrar documentos adjuntos y contactos de asociados a las cuentas de correo electrónico.

Nuevos indicadores de compromiso asociados a Wastedlocker

Publicado: 26/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, nuevos indicadores de compromiso asociados a WastedLocker. La aparición de esta nueva variante de ransomware posee características que le permite elevar privilegios mediante bypass UAC para modificar la carpeta system32 y de esta manera interactuar con los archivos del sistema.

Thiefquest el malware dirigido a MacOS

Publicado: 23/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado a través del monitoreo de fuentes abiertas, una nueva amenaza dirigida a Sistemas MacOS, se trata del malware conocido como ThiefQuest o EvilQuest. Los ciberdelincuentes introdujeron funcionalidades maliciosas en versiones de aplicaciones de seguridad como Little Snitch y en las aplicaciones Ableton y Mixed In Key utilizadas para la reproducción de música.

Conti ransomware con características avanzadas de cifrado en redes

Publicado: 15/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una nueva variante de ransomware denominado Conti con varias características avanzadas para cifrar objetivos en redes a través del protocolo SMB.

Malware POS “Alina” exfiltra información a través del protocolo DNS.

Publicado: 12/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero ha identificado que el malware Alina, estaría utilizando el servicio de DNS para extraer la información de las tarjetas de crédito capturadas en los puntos de venta de las entidades de comercio comprometidas.

Nuevos indicadores de compromiso asociados a GandCrab

Publicado: 01/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado una posible amenaza para el sector financiero; denominada ransomware GandCrab, malware identificado desde el 2018 que en poco tiempo logró posicionarse entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis.

Nuevos indicadores de compromiso asociados a Snatch Ransomware

Publicado: 01/07/2020 | Importancia: Media

En el constante monitoreo realizado por el Csirt Financiero a fuentes abiertas, se evidencian nuevos indicadores de compromiso asociados al ransomware Snatch. Este ransomware ataca de nuevo bajo la misma modalidad, utilizando la fuerza bruta en servicios de escritorio remoto (RDP) expuestos, exfiltra la información al servidor de comando y control (C2) cifra la información que pueda acceder y deja nota de rescate.

Actualización en módulo de propagación de TrickBot

Publicado: 07/06/2020 | Importancia: Media

Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis de las actualizaciones en los módulos del troyano modular TrickBot, el cual es conocido por exfiltrar información confidencial de los equipos infectados, en especial credenciales bancarias.

Nuevo malware dirigido a dispositivos ATM

Publicado: 21/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha conocido acerca de un nuevo malware dirigido a cajeros automáticos (ATM), este hace parte de la familia del malware conocida como Dispcash.

Copperhedge, Taintedscribe y Pebbledash, malware distribuido por Hidden Cobra

Publicado: 18/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado indicadores de compromiso de nuevos malware asociados al grupo APT Hidden Cobra (conocidos también con el nombre de Lazarus), este grupo de ciberdelincuentes ha sido protagonista de ataques en los que han obtenido grandes sumas de dinero de entidades financieras en todo el mundo; ahora agregaron a su arsenal de malware los troyanos Copperhedge, Taintedscribe y Pebbledas.

Spyware Mandrake, malware sin detección por más de 4 años

Publicado: 18/05/2020 | Importancia: Media

En el constante monitoreo que realiza el equipo del Csirt Financiero se han identificado campañas de infección del malware Mandrake, el cual es un spyware que había pasado desapercibido por más de 4 años, creando múltiples aplicaciones Android para tomar control total del dispositivo exfiltrando los datos sensibles.

Nuevos indicadores de compromiso asociados con Lampion

Publicado: 17/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado actividad reciente del malware Lampion, el cual ha migrado a una nueva versión según lo observado en el mes de mayo del presente año, suplantando facturas bancarias, facturas relacionadas al grupo Vodafone, así como fondos de emergencia otorgados por el gobierno portugués por la presente pandemia COVID-19, todo a través del envio de mensajes correo tipo malspam.

Malware Evilnum con modificaciones para atacar al sector financiero

Publicado: 12/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una campaña de ataques a empleados y usuarios de entidades financieras extranjeras con una versión mejorada del malware Evilnum, el cual tiene la capacidad de cargar y descargar archivos, recolectar cookies de seguimiento y ejecutar comandos arbitrarios en el equipo comprometido.

Nueva campaña de distribución de RemcosRAT

Publicado: 11/05/2020 | Importancia: Media

Reporte de un mensaje de correo electrónico, aparentemente originado por la Fundación Cielo Azul Bogotá, con el asunto “INFORMACION FUNDACION” que a través del enlace realiza la descarga de RemcosRAT.

Servidores MDM vulnerados para instalar malware bancario en dispositivos Android

Publicado: 06/05/2020 | Importancia: Media

Investigadores han detectado que ciberdelincuentes han vulnerado servidores MDM (Mobile Device Manager) de diferentes compañías y así han logrado instalar el malware bancario conocido como Cerberus en el 75% de los dispositivos móviles administrados, el malware bancario tiene la capacidad de recolectar toda la información sensible del dispositivo infectado.

Nueva campaña de phishing distribuyendo Lokibot y Jigsaw ransomware

Publicado: 06/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.

Nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia.

Publicado: 03/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha detectado una nueva campaña de ataques dirigidos a instituciones financieras y de salud en Rusia, en la que se ha utilizado un malware basado en Powershell. Este malware se trata de un backdoor orientado a la captura de información, el cual intenta hacerse pasar por un documento de office en formato .docx, pero realmente se trata de un archivo de acceso directo .lnk.

Indicadores de compromiso relacionados al troyano Anubis

Publicado: 27/04/2020 | Importancia: Media

El equipo del Csirt ha identificado varios indicadores de compromiso relacionados con el troyano bancario Anubis el cual busca capturar la información sensible en dispositivos Android. Entre sus capacidades se destaca capturas de pantalla, envío y recepción de mensajes de texto (SMS) y descargar malware adicional si lo desea.

Nuevo troyano bancario para dispositivos Android BANKER.BR

Publicado: 27/04/2020 | Importancia: Media

El equipo del Csirt Financiero recopila y acompaña a IBM X-Force en la fusión del nuevo troyano bancario para Android BANKER.BR, el cual parece estar dirigido a usuarios de países con habla hispana y portuguesa, como España, Portugal y países de América Latina. Este troyano ha sido creado sobre otro malware de tipo SMSstealer más simple, pero se le han añadido funcionalidades típicas de otros troyanos bancarios, como la superposición de ventanas.

Nueva variante del malware Agent Tesla.

Publicado: 21/04/2020 | Importancia: Baja

Desde el Csirt Financiero se ha identificado una nueva variante del malware Agent Tesla con la implementación de un nuevo módulo que exfiltra contraseñas Wifi de dispositivos infectados.

Malware bancario Lokibot versión 005

Publicado: 20/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado el envío masivo de mensajes de correo electrónico encargados de distribuir al troyano bancario Lokibot, que tiene como objetivo capturar información alojada en los navegadores de internet.

Indicadores de compromiso relacionados al grupo APT TA505.

Publicado: 16/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado ataques cibernéticos con SDBbot RAT relacionados con el grupo Hive0065, mejor conocidos como TA505, este malware tiene la capacidad de realizar acceso remoto, aceptar comandos de un servidor C2 y extraer información de los equipos y redes comprometidos.

Malware bancario Grandoreiro de superposición remota

Publicado: 15/04/2020 | Importancia: Media

El equipo Csirt financiero ha identificado un nuevo troyano denominado Grandoreiro que amenaza al sector bancario en Brasil, también se ha visto que sus últimos ataques fueron dirigidos a la banca española; su metodología hace uso de las técnicas de superposición remota, lo cual facilita a los ciberdelincuentes el proceso de engaño al usuario para realizar transferencias no autorizadas.

Archivo