Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de exfiltrar datos

Troyano bancario Ursnif ha afectado a más de 100 bancos italianos.

Publicado: 04/03/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la afectación del troyano bancario Ursnif en más de 100 entidades bancarias italianas. Ursnif es un malware de tipo troyano identificado por primera vez en 2007, que con el paso de los años se ha mantenido como una amenaza persistente y constante a nivel mundial.

Nuevos indicadores de compromiso asociados a Trickbot.

Publicado: 24/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se han identificado nuevos indicadores de compromiso asociados a Trickbot, un troyano bancario diseñado para exfiltrar información financiera confidencial de usuarios a través de la infección de equipos. Trickbot también se destaca al ser uno de los primeros malware capaz de exfiltrar datos de billeteras bitcoin.

Campaña del malspam que distribuye a WSH RAT

Publicado: 18/02/2021 | Importancia: Media

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.

Presunta fuga de información confidencial en el sector bancario

Publicado: 09/02/2021 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado en una fuente abierta de información una publicación, en donde un ciberdelincuente asegura tener en su poder información sensible y datos confidenciales de las entidades Banco Pichincha Ecuador, Visa Titanium, Diners Club y Discover. La recopilación de la información presuntamente exfiltrada y accedida se asocia con: • Datos PII de clientes y empleados. • Acceso a los sistemas de intranet. • Tarjetas de crédito.

Ransomware Avaddon utiliza ataques DDoS

Publicado: 25/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una campaña en la que los ciberdelincuentes detrás del ransomware Avaddon utilizan ataques DDoS contra las redes vulneradas como método de coacción, esto para que las víctimas paguen el rescate exigido después de la ejecución del ransomware.

Uso de Runspace en PowerShell para lanzar a REVIL ransomware

Publicado: 25/01/2021 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un script de PowerShell empleado para propagar a REvil ransomware, utilizando la técnica de Runspace para crear subprocesos o hilos a partir de un proceso existente, al cual se agrega código malicioso, logrando ejecutar la amenaza, impactando equipos de cómputo con sistema operativo Windows, impidiendo el acceso a la información.

Bizarro, nuevo troyano bancario brasileño

Publicado: 20/01/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo troyano bancario denominado Bizarro, originario de Brasil, que afecta equipos con sistema operativo Windows. Este troyano ha realizado afectaciones en diferentes países a nivel mundial, afectando a 70 bancos de diferentes países europeos y latinoamericanos como Alemania, Argentina, Brasil, Chile, Ecuador, España, Francia, Italia, México, Perú, y Portugal.

Utilización de Bulletproof hostings por parte de grupos de Magecart

Publicado: 16/01/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado el uso de Bulletproof hosting, un servicio de infraestructura y almacenamiento sin restricciones, brindándole a grupos de ciberdelincuentes la facultad de alojar y utilizar malware en las campañas, muchas de estas teniendo relación con grupos cibercriminales de Magecart. Estos grupos tienen como objetivo exfiltrar información de tarjetas débito, crédito y demás información financiera de víctimas, en el momento que realizan transacciones en sitios web comprometidos por estos ciberdelincuentes.

Campaña de distribución de nueva variante de Ursnif

Publicado: 14/01/2021 | Importancia: Media

En el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.

Nueva campaña de phishing descarga Qrat

Publicado: 06/01/2021 | Importancia: Baja

En el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 29/12/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, se ha evidenciado la reactivación del troyano bancario Emotet en las últimas semanas, por tal razón el equipo del Csirt Financiero ha encontrado nuevos indicadores de compromiso asociados a este troyano. Emotet tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows.

Nuevo Skimmer web apunta a múltiples plataformas de comercio electrónico

Publicado: 29/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un nuevo Skimmer de tarjetas multiplataforma capaz de afectar a Shopify, BigCommerce y otras plataformas de comercio electrónico. Hasta el momento, los investigadores han encontrado este skimmer en una docena de páginas de pago en línea compatibles con los sistemas de gestión alojados en las plataformas previamente mencionadas.

Falsas tarjetas de regalo de Amazon distribuyen al troyano Dridex.

Publicado: 24/12/2020 | Importancia: Alta

En el monitorio realizado por el Csirt Financiero a fuentes abiertas de información, se ha identificado que ciberdelincuentes están realizando una campaña de malspam con temática que hace alusión a supuestas tarjetas de navidad de Amazon para distribuir a Dridex, un troyano bancario modular con capacidades de captura y exfiltración de información sensible.

Vulnerabilidades encontradas en DayByDay 2.1.0 CMR

Publicado: 24/12/2020 | Importancia: Media

En el continuo monitoreo realizado por el equipo de Csirt Financiero, se han logrado evidenciar vulnerabilidades halladas en Daybyday 2.1.0, permitiendo realizar ataques de Cross-Site Scripting (XSS) sobre los sistemas de administración de relación con clientes CRM de DAYBYDAY logrando con esto secuestrar sesiones de navegación, redireccionar al usuario a sitios maliciosos e incluso realizar defacement a los sitios web.

Identificados nuevos indicadores de compromiso asociados a Emotet

Publicado: 22/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha observado actividad en el mes de diciembre por parte del troyano modular Emotet, enfocado en la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.

Retorno del malware Formbook

Publicado: 22/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el retorno del malware FromBook en campañas realizadas de manera global con asuntos de órdenes de compra. FormBook es una familia de malware conocida diseñada para la exfiltración de datos y captura de formularios.

Campaña que exfiltra credenciales bancarias usando stealer desarrollado en AHK

Publicado: 18/12/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas de información realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña en la que se distribuye un malware capaz de exfiltrar credenciales bancarias, esta campaña ha sido dirigida a usuarios en Estados Unidos y Canadá.

Campaña de phishing usa mensaje de migración de Outlook

Publicado: 17/12/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña de phishing, la cual usa el mensaje de migración de Microsoft Outlook, para la recolección y exfiltración de credenciales.

Nuevo malware puede exfiltrar datos de sistemas Air-Gapped manipulando la fuente de poder.

Publicado: 13/05/2020 | Importancia: Media

En el constante monitoreo que realiza el Csirt Financiero se observó un nuevo malware denominado POWER-SUPPLaY con la capacidad de exfiltrar información confidencial de equipos en sistemas Air-Gapped, manipulando la frecuencia de conmutación interna de una fuente de alimentación para reproducir sonidos y usarlo como un altavoz secundario.