Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Troyano

Última técnica utilizada para distribuir LokiBot.

Publicado: 08/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el Csirt Financiero ha identificado nuevas técnicas utilizadas por los ciberdelincuentes para distribuir la última versión de LokiBot, un troyano bancario diseñado para la captura y exfiltración de datos en un equipo comprometido. Se ha visualizado este troyano desde el año 2015 y en esta ocasión la nueva técnica afecta a equipos con sistema operativo Windows.

Yellow Cockatoo ejecuta troyano RAT

Publicado: 08/12/2020 | Importancia: Media

El equipo del Csirt Financiero en la búsqueda de información en fuentes abiertas, ha identificado una nueva amenaza denominada Yellow Cockatoo, este es un cluster de actividad maliciosa utilizado por los ciberdelincuentes. Nombrada así por el grupo de investigadores, presentando similitudes en sus operaciones con el troyano infostealer Jupyter.

CostaRicto APT distribuye malware a entidades financieras y de entretenimiento

Publicado: 12/11/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado actividad del grupo cibercriminal denominado CostaRicto, el cual ha realizado diversas campañas para la distribución de malware desde el mes de octubre de 2019 y hasta la fecha, este grupo APT ha enfocado parte de sus ataques a instituciones financieras a países en el continente asiático y en otras regiones países como: EEUU, Australia, Francia y Holanda entre otros.

Nuevas funcionalidades del troyano de banca móvil Wroba

Publicado: 30/10/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado nueva actividad del troyano denominado Wroba, el cual ha enfocado sus ataques en la banca móvil. Las nuevas funcionalidades se detectaron en Estados Unidos el pasado 29 de octubre del 2020, fecha en que los ataques cibernéticos fueron dirigidos a usuarios con equipos móviles Android y iPhone, mediante mensajes de texto con temáticas de interés y de urgencia, intentan presionar al usuario a que abra un enlace malicioso.

Nueva variante de GravityRAT afecta sistemas Android, Windows y MacOS.

Publicado: 19/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.

Actividad de Lokibot

Publicado: 09/09/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero, se ha identificado una nueva forma de armado del documento de Microsoft Office enviado al usuario para distribuir al troyano Lokibot. Con este nuevo método los cibercriminales explotan la vulnerabilidad identificada mediante en el CVE-2017-11882.

Nuevos indicadores de compromiso del troyano Grandoreiro

Publicado: 08/08/2020 | Importancia: Media

El equipo del Csirt Financiero han identificado nuevos indicadores de compromiso relacionados con el troyano denominado Grandoreiro. Este se encuentra activo desde el año 2017 y dirige sus ciberataques a países de Latinoamérica y España. El método de propagación consiste en el envío de mensajes de correo electrónico tipo malspam con enlaces para su descarga, simulando un documento. Los mensajes de correo intentan suplantar empresas conocidas y utilizan asuntos que inducen o motivan al usuario a su descarga y visualización.

Troyano Wellmess, experto en exfiltración de información

Publicado: 02/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha detectado actividad del troyano WellMess, este ha sido utilizado por diferentes grupos de ciberdelincuentes desde el año 2018. Fue escrito en lenguaje Go y es compatible con .NET, se distribuye en sistemas operativos Windows de 32 y 64 bits.

Nuevos indicadores de compromiso relacionados a RATicate

Publicado: 15/07/2020 | Importancia: Media

El equipo del Csirt Financiero ha evidenciado que el grupo de cibercriminales RATicate ha estado distribuyendo gran variedad de troyanos de acceso remoto, con la intención de obtener control de los equipos infectados. La forma y medios de entrega de malware actual es diferente al implementado tiempo atrás.

Indicadores de compromiso relacionados a Quasar RAT

Publicado: 01/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero, a nuevas amenazas se han identificado indicadores de compromiso relacionados con el troyano de acceso remoto QuasarRAT. Herramienta que suele ser utilizada por los ciberdelincuentes para finalidades maliciosas y que permiten obtener beneficios económicos a los ciberdelincuentes a través de exfiltración de la información.

Indicadores de compromiso relacionados a Parallax RAT

Publicado: 27/06/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se han identificado nuevos indicadores de compromiso asociados a Parallax RAT, un troyano de acceso remoto cuyo objetivo es tomar el control del equipo comprometido para exfiltrar información confidencial que encuentre.

Indicadores de compromiso asociados a Amavaldo

Publicado: 20/06/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a nuevas amenazas y vectores de ataque, se han identificado indicadores de compromiso asociados al troyano bancario Amavaldo; se comunica con el servidor de comando y control (C2) a través de túneles SSH y su principal objetivo es capturar información bancaria de los usuarios.

Indicadores de compromiso relacionados al troyano IcedID

Publicado: 08/06/2020 | Importancia: Media

A través del continuo monitoreo realizado por el equipo del Csirt Financiero a nuevos vectores de amenazas, se han referenciado nuevos indicadores de compromiso asociados a IcedID, troyano con capacidades para expandirse a través de la red y monitorizar la actividad del navegador web con el fin de exfiltrar información confidencial.

Actualización en módulo de propagación de TrickBot

Publicado: 07/06/2020 | Importancia: Media

Mediante el monitoreo de fuentes abiertas, el equipo del Csirt Financiero ha referenciado un análisis de las actualizaciones en los módulos del troyano modular TrickBot, el cual es conocido por exfiltrar información confidencial de los equipos infectados, en especial credenciales bancarias.

Nueva campaña de phishing distribuyendo Lokibot y Jigsaw ransomware

Publicado: 06/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado envío masivo de mensajes de correo electrónico distribuyendo como carga inicial a Lokibot, encargado de exfiltrar información confidencial y realizar la descarga y ejecución de Jigsaw ransomware, con el fin de cifrar los archivos de usuario del equipo comprometido y solicitar rescate por la recuperación de la información.

Indicadores de compromiso asociados a campaña del troyano EventBot

Publicado: 04/05/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una campaña de suplantación a más de 200 aplicaciones bancarias y financieras reconocidas mundialmente para distribuir troyano bancario EventBot que se caracteriza por exfiltrar los datos sensibles de los dispositivos móviles con sistema operativo Android.

Ransomware MedusaLocker

Publicado: 29/04/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero a nuevos vectores de amenazas se ha evidenciado a MedusaLocker, troyano de tipo ransomware que adicionalmente cuenta con capacidades que lo hacen diferente a otras familias.

Malware bancario Lokibot versión 005

Publicado: 20/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado el envío masivo de mensajes de correo electrónico encargados de distribuir al troyano bancario Lokibot, que tiene como objetivo capturar información alojada en los navegadores de internet.

Malware bancario Grandoreiro de superposición remota

Publicado: 15/04/2020 | Importancia: Media

El equipo Csirt financiero ha identificado un nuevo troyano denominado Grandoreiro que amenaza al sector bancario en Brasil, también se ha visto que sus últimos ataques fueron dirigidos a la banca española; su metodología hace uso de las técnicas de superposición remota, lo cual facilita a los ciberdelincuentes el proceso de engaño al usuario para realizar transferencias no autorizadas.

Análisis de malware troyano Javali

Publicado: 04/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una campaña para la distribución del troyano Javali que aun continua activa y está dirigida a los países de habla española y portuguesa enfocada principalmente a clientes de organizaciones financieras ubicadas en Brasil y Chile.

Análisis de malware Eventbot

Publicado: 27/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha realizado analisis a una muestra del troyano Eventbot el cual se caracteriza por capturar información de las aplicaciones financieras en dispositivos con sistema Android.

Ataques de dns hijacking para descargar app maliciosa de Covid-19

Publicado: 27/03/2020 | Importancia: Baja

Desde el Csirt Financiero se ha identificado actividad del troyano Oski Stealer, el cual puede exfiltrar la información de los navegadores mediante ataques DNS hijacking los cuales modifica los servidores de DNS para redirigir a los usuarios a sitios web fraudulentos y/o maliciosos.

Nuevos indicadores de compromiso asociados al troyano Cerberus

Publicado: 18/03/2020 | Importancia: Media

Desde el Csirt Financiero se han identificado indicadores de compromiso relacionados al troyano bancario Cerberus, el cual suplanta aplicaciones móviles reconocidas mundialmente, infecta el dispositivo, toma acceso remoto y exfiltrar la información sensible del usuario.

Nueva variante de TrickBot

Publicado: 17/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha detectado una nueva variante de TrickBot; no obstante, se mantiene el método principal de distribución mediante el envío masivo de mensajes de correo electrónico con documentos ofimáticos que contienen macros embebidas maliciosas.

Nuevos indicadores de compromiso relacionados con Emotet

Publicado: 06/03/2020 | Importancia: Media

Se han identificado nuevos indicadores de compromiso asociados a Emotet los cuales están relacionados con servicios de envío de spam, descargador de malware, además de una serie de variantes y capacidades para evitar la detección y el análisis de herramientas antimalware.

Nuevos indicadores de compromiso asociados a una variante de WannaCry

Publicado: 19/02/2020 | Importancia: Media

El Csirt Financiero identificó nuevos indicadores de compromiso asociados a WannaCry que podrían afectar los activos de una entidad.

Nuevos indicadores de compromiso asociados a Lokibot

Publicado: 17/02/2020 | Importancia: Media

Actualmente se evidencia distribución de Lokibot usando la técnica de suplantación a una empresa de vídeo juegos, la idea es engañar a los usuarios para que realicen su descarga e instalación.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 14/02/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado un ataque con el troyano modular emotet, utilizado constantemente por parte de los ciberdelincuentes ya que cuenta con múltiples capacidades para la exfiltración de información.

Nueva amenaza silenciosa KBOT

Publicado: 11/02/2020 | Importancia: Media

El equipo del Csirt Financiero a través de la búsqueda e investigación en fuentes de información abierta, identificó un nuevo troyano denominado KBOT, este inicia su cadena de propagación a partir de dispositivos externos infectados, con el propósito de exfiltrar información confidencial de los usuarios.

Nuevos ataques del malware bancario CamuBot, reportados en Brasil

Publicado: 10/02/2020 | Importancia: Media

El equipo del Csirt financiero mediante la búsqueda e investigación en fuentes de información abierta, identificó nuevos ataques de CamuBot dirigidos a usuarios en Brasil. Los ciberdelincuentes utilizan ingeniería social para instalar una variante del troyano, una vez comprometido toma el control del equipo.