Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de malware

Nueva actividad maliciosa del infostealer Jupyter

Publicado: 21/09/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nueva actividad maliciosa asociada a Jupyter un infostealer diseñado para recopilar y exfiltrar información confidencial obtenida principalmente de navegadores web.

Nueva campaña de FIN7 para la distribución de JSSLoader

Publicado: 23/07/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva campaña de malspam realizada por el grupo APT FIN7 para la distribución de una variante del troyano de acceso remoto (RAT) JSSLoader.

Nueva familia de malware denominada MosaicLoader

Publicado: 19/07/2021 | Importancia: Media

En el seguimiento a fuentes abiertas de información, para la identificación de nuevas amenazas o vulnerabilidades que pueden llegar a afectar al sector, el equipo del Csirt Financiero ha observado una nueva familia de malware denominada MosaicLoader.

Nuevos indicadores de compromiso asociados al grupo APT FIN7

Publicado: 07/06/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero, ha identificado nuevos indicadores de compromiso asociado al grupo APT FIN7.

Nuevos indicadores de compromiso asociados al troyano AZORult

Publicado: 07/06/2021 | Importancia: Baja

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano AZORult. Este troyano fue detectado por primera vez en julio del año 2016, su función principal es realizar la exfiltración de información confidencial del equipo infectado y enviarla a su servidor de comando y control (C2).

BITS, servicio legítimo de Windows es usado para establecer persistencia de malware

Publicado: 02/04/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de Csirt Financiero ha identificado el uso del servicio BITS por parte de ciberdelincuentes para generar la descarga y carga útil de familias de malware.

Grupo ciberdelincuencial FIN8 regresa con una nueva versión de BadHatch POS

Publicado: 09/03/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad por parte del grupo de ciberdelincuentes identificado como Fin8. Este grupo del cual se conoce actividad maliciosa desde el año 2016 y con motivación financiera es conocido por ejecutar diversas campañas para distribuir principalmente el backdoor PUNCHBUGGY y el malware PUNCHTRACK ambos dirigidos a comprometer sistemas POS (point of sale).

Nuevos indicadores de compromiso asociados a Qakbot

Publicado: 04/03/2021 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado nuevos indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.

Nuevas campañas de malware distribuyen Minebridge RAT

Publicado: 25/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el desarrollo de una nueva campaña maliciosa que realiza la distribución del troyano de acceso remoto MineBridge. Este troyano se evidencio en campañas realizadas en marzo del 2020 y para enero del presente año se identificó una reactivación de este.

Oscorp, nuevo malware que exfiltra credenciales en Android

Publicado: 29/01/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha evidenciado una nueva familia de malware dirigida a sistemas Android. La amenaza denominada Oscorp abusa de los servicios de accesibilidad para exfiltrar credenciales del usuario. La amenaza se embebe en una APK llamada Assistenzaclienti.apk que se encuentra disponible en el dominio supportoapp[.]Com; en el instante de la instalación de la aplicación, se solicitan permisos de manera excesiva.

Retorno del malware Formbook

Publicado: 22/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el retorno del malware FromBook en campañas realizadas de manera global con asuntos de órdenes de compra. FormBook es una familia de malware conocida diseñada para la exfiltración de datos y captura de formularios.

Nuevo grupo cibercriminal se dirige a sistemas SolarWinds

Publicado: 21/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado un nuevo malware denominado SUPERNOVA, malware dirigido a los sistemas SolarWinds. Es un malware WebShell introducido en el código de la red Orion capaz de ejecutar código arbitrario en los sistemas que ejecutan la versión troyanizada del software.

SystemBC troyano de acceso remoto

Publicado: 17/12/2020 | Importancia: Baja

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero evidenció la implementación de un malware denominado SystemBC RAT. Este malware es comercializado en sitios clandestinos con el fin infectar los equipos de los usuarios y redes corporativas, para luego permitirle a los ciberdelincuentes la instalación de ransomware.

Soluciones de Microsoft frente a ataque contra Solarwinds

Publicado: 17/12/2020 | Importancia: Media

El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar nuevas soluciones ejecutadas por Microsoft para hacerle frente a los recientes ataques contra las aplicaciones de SolarWinds; para ello Microsoft han decidido poner en cuarentena las versiones de SolarWinds Orion Platform que sospechan contienen el malware Solorigate (SUNBURST).

Paquetes maliciosos agregados a NPM para distribuir NjRAT

Publicado: 07/12/2020 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero ha observado que los ciberdelincuentes han vuelto a vulnerar NPM, un sistema de gestión de paquetes de JavaScript para la integración de librerías, módulos y dependencias en los proyectos de programación.

Crutch, nuevo backdoor asociado a Turla

Publicado: 06/12/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero identificó un nuevo backdoor asociado al APT Turla, denominada Crutch por sus desarrolladores. Crutch es un backdoor que se comunica con una cuenta de Dropbox, la cual a través del API HTTP oficial, puede ejecutar comandos básicos de escritura y lectura.

Nuevos indicadores de compromiso asociados a NjRAT

Publicado: 28/11/2020 | Importancia: Media

NjRAT es un malware utilizado en gran cantidad de campañas alrededor del mundo, se ha distribuido por varios métodos y cuenta con capacidades para exfiltrar información sensible de los usuarios en el equipo infectado.

Ciberdelincuentes utilizan el estacionamiento de dominios para distribuir malware

Publicado: 31/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de servicios de estacionamiento de dominios utilizados para la monetización a través de anuncios de terceros y distribución de malware. El estacionamiento de dominios es un método para utilizar un dominio que redireccione todas las visitas a otro dominio especifico.

Nuevo servicio web implementado por campañas para la distribución de malware

Publicado: 07/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la implementación de un servicio web similar a Pastebin en múltiples campañas de malware a nivel global. El servicio web paste.nrecom.net es un servicio creado para la publicación de código o texto con el objetivo de compartirlo al público en general. Sin embargo, se identificó que está siendo utilizado para la descarga de diversas amenazas cibernéticas.

Muestras de malware que comprometen Sistemas POS

Publicado: 07/10/2020 | Importancia: Media

En el monitoreo realizado a fuentes abiertas el Csirt Financiero, se han identificado diferentes muestras de malware que comprometen a sistemas de Punto de Venta (POS), están atribuidas a TinyPOS, RtPOS, MMon (también conocido como Kaptoxa) y PwnPOS.

Ransomware Mount Locker exige rescates millonarios

Publicado: 26/09/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el uso del ransomware denominado Mount Locker. Este ransomware antes de cifrar la información del equipo infectado la exfiltra para amenazar con su publicación si no se paga un rescate millonario.

Nueva Actividad del Malware Pos Prilex

Publicado: 10/09/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nueva actividad del malware Prilex, cuyo objetivo es la captura y exfiltración de información en puntos de venta (POS). Tras un breve receso en sus actividades en el 2019, a finales de julio del 2020, se ha evidenció nuevamente la actividad de esta familia de malware en muestras que han sido cargadas en Virus Total.

Malware Lucifer apunta a Distribuciones LINUX

Publicado: 31/08/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.

Grupo APT norcoreano ataca entidades financieras alrededor del mundo

Publicado: 26/08/2020 | Importancia: Alta

En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.

Venta de infostealer Purplewave en la Darkweb

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.

Malware loup extrae dinero de atm-ncr

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.

Malware XCSSET afecta equipos y dispositivos Apple

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuentes

Indicadores de compromiso asociados al grupo APT TA505

Publicado: 09/08/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo TA505, este grupo utiliza diferentes tipos de malware que le permiten obtener acceso remoto, aceptar comandos de un servidor de comando y control (C2), extraer información de los equipos y redes comprometidos.

Herramientas utilizadas por el malware Evilnum

Publicado: 09/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la implementación de nuevas herramientas en el arsenal de EVILNUM, las cuales pueden ser utilizadas para la captura y exfiltración de información

Nuevo módulo de Trickbot conocido como BazarLoader

Publicado: 05/06/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado un nuevo módulo de Trickbot denominado BazarLoader; encargado de inyectar código malicioso a través de API a procesos legítimos del sistema operativo como svchost.exe, adicionando persistencia en su ataque. Esta amenaza puede afectar usuarios del sector financiero ya que TrickBot es un troyano especializado en la exfiltración de credenciales bancarias de los navegadores o cualquier tipo de información sensible en los equipos comprometidos.