Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de malware

Nueva Actividad del Malware Pos Prilex

Publicado: 10/09/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado nueva actividad del malware Prilex, cuyo objetivo es la captura y exfiltración de información en puntos de venta (POS). Tras un breve receso en sus actividades en el 2019, a finales de julio del 2020, se ha evidenció nuevamente la actividad de esta familia de malware en muestras que han sido cargadas en Virus Total.

Malware Lucifer apunta a Distribuciones LINUX

Publicado: 31/08/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha evidenciado una nueva variante del malware denominado Lucifer que afecta distribuciones Linux.

Grupo APT norcoreano ataca entidades financieras alrededor del mundo

Publicado: 26/08/2020 | Importancia: Alta

En el monitoreo realizado por el equipo del Csirt Financiero a nuevas amenazas, se logró identificar actividades criminales provenientes del grupo denominado BeagleBoyz, un subgrupo que hace parte del conocido grupo norcoreano APT Hidden Cobra, que tiene por objetivo generar ataques cibernéticos a entidades financieras desde el año 2015.

Venta de infostealer Purplewave en la Darkweb

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado una nueva herramienta usada por los ciberdelincuentes para el monitoreo de la actividad realizada en cada equipo comprometido con el malware PurpleWave, un infostelear compilado en C++.

Malware loup extrae dinero de atm-ncr

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado una herramienta de interfaz de línea de comandos (CLI) que podría afectar los cajeros automáticos (ATM) de la compañía NCR. Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de malware, aunque parece ser una herramienta, puede ser fácilmente implementada para fines maliciosos.

Malware XCSSET afecta equipos y dispositivos Apple

Publicado: 17/08/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado un malware denominado XCSSET, capaz de infectar equipos y dispositivos con sistema operativo MAC de la compañía Apple, el cual está siendo distribuido a través de proyectos de XCode o de aplicaciones modificadas por los ciberdelincuentes

Indicadores de compromiso asociados al grupo APT TA505

Publicado: 09/08/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso relacionados con el grupo TA505, este grupo utiliza diferentes tipos de malware que le permiten obtener acceso remoto, aceptar comandos de un servidor de comando y control (C2), extraer información de los equipos y redes comprometidos.

Herramientas utilizadas por el malware Evilnum

Publicado: 09/07/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero a fuentes abiertas, se ha identificado la implementación de nuevas herramientas en el arsenal de EVILNUM, las cuales pueden ser utilizadas para la captura y exfiltración de información

Nuevo módulo de Trickbot conocido como BazarLoader

Publicado: 05/06/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado un nuevo módulo de Trickbot denominado BazarLoader; encargado de inyectar código malicioso a través de API a procesos legítimos del sistema operativo como svchost.exe, adicionando persistencia en su ataque. Esta amenaza puede afectar usuarios del sector financiero ya que TrickBot es un troyano especializado en la exfiltración de credenciales bancarias de los navegadores o cualquier tipo de información sensible en los equipos comprometidos.

Grupo Tropic Trooper utiliza USBFerry en entornos Air gapped

Publicado: 25/05/2020 | Importancia: Media

En el constante monitoreo que realiza el Csirt Financiero, evidenció investigación relacionada con el grupo cibercriminal Tropic Trooper, el cual está empleando dispositivos USB para realizar ataques a infraestructuras de tipo air gapped, con el fin de exfiltrar información confidencial

Nuevos indicadores de compromiso asociados a IcedID

Publicado: 21/05/2020 | Importancia: Media

A través del continuo monitoreo realizado por el equipo del Csirt Financiero a nuevos vectores de amenazas, se han identificado nuevos indicadores de compromiso asociados a IcedID, troyano con capacidades para expandirse a través de la red, monitorear la actividad del navegador web mediante la configuración de un proxy local con el fin de crear un túnel de tráfico.

Nueva variante de un troyano bancario de origen brasileño

Publicado: 13/05/2020 | Importancia: Media

Desde el Csirt Financiero se ha detectado una nueva campaña dirigida a usuarios localizados en Portugal. Dicha campaña está distribuyendo una nueva variante de un troyano bancario de origen brasileño, el cual tiene como objetivo la superposición de ventanas en el navegador del usuario para la exfiltración de las credenciales bancarias.

Nuevo malware puede exfiltrar datos de sistemas Air-Gapped manipulando la fuente de poder.

Publicado: 13/05/2020 | Importancia: Media

En el constante monitoreo que realiza el Csirt Financiero se observó un nuevo malware denominado POWER-SUPPLaY con la capacidad de exfiltrar información confidencial de equipos en sistemas Air-Gapped, manipulando la frecuencia de conmutación interna de una fuente de alimentación para reproducir sonidos y usarlo como un altavoz secundario.

Nueva variante de malware de ATM de la familia CessoATM.

Publicado: 09/05/2020 | Importancia: Media

Investigadores han detectado una nueva variante del malware de la familia CessoATM, en la que en este caso impacta también a cajeros automáticos del fabricante NCR. Esta familia de malware fue descubierta en marzo del 2020, cuando se verificaron unas muestras de malware no conocidas hasta la fecha en VirusTotal. Ha impactado principalmente en Brasil, pero debido a la estructura del malware se evidencia que está preparado para afectar a otros países localizados en Latinoamérica, además de Estados Unidos.

Explotación de la vulnerabilidad de Pulse Secure VPN.

Publicado: 20/04/2020 | Importancia: Media

Se evidencia que ciberdelincuentes están explotando la vulnerabilidad identificada con CVE-2019-11510 a través del acceso a la red por dispositivos VPN, esto con el fin de capturar credenciales del directorio activo y una vez dentro, obtener información de archivos confidenciales los cuales serían comercializados posteriormente en foros del mercado negro.

Nuevos indicadores de compromiso asociados a .NET RAT.

Publicado: 14/04/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado una muestra de malware que explota la vulnerabilidad CVE-2019-0541 con el fin de lanzar la RAT (Herramienta de acceso remoto) .NET, la cual se conecta al servidor C2 (comando y control) que aloja un documento señuelo de COVID-19.

Nuevo malware de Card-skimmer ataca plugin WooCommerce de WordPress

Publicado: 13/04/2020 | Importancia: Media

Desde el Csirt Financiero se ha identificado un nuevo ataque hacia el plugin WooCommerce de WordPress, este complemento es utilizado para implementar tiendas en línea con características como: carrito, mi cuenta y finalizar compra; emplea también métodos de pago como paypal, trasferencia bancaria y Stripe; WooCommerce se convierte entonces en el foco de los atacantes de ciberdelincuentes que buscan afectar a los usuarios, empresas y entidades bancarias.

Utilizan atributos de CSS para realizar campaña de phishing.

Publicado: 10/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una modalidad de phishing en la cual los ciberdelincuentes suplantan correos de Office 365 añadiendo enlaces maliciosos para capturar los datos de las víctimas, invirtiendo las palabras y utilizando una propiedad de CSS para evadir los filtros anti-spam.

Nueva versión del troyano IcedID

Publicado: 06/04/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una nueva versión de IcedID troyano tipo bancario que, desde su descubrimiento en 2017, ha afectado a numerosas entidades financieras de Estados Unidos, Reino Unido y Canadá. Su característica principal es la inyección web, realizando funciones de redirección si la víctima accede a alguno de los sitios web infectados por este malware.

Indicadores de compromiso relacionados al malware RAT Orcus.

Publicado: 29/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha detectado nueva actividad maliciosa de RAT Orcus que permite a los ciberdelincuentes tomar control de un equipo infectado y exfiltrar la información sensible.

Nuevos indicadores de compromiso asociados a Sodinokibi

Publicado: 28/03/2020 | Importancia: Media

Desde el Csirt Financiero se ha evidenciado actividad reciente del ransomware Sodinokibi, también conocido como Sodin o REvil afectando a una entidad financiera en Jamaica, donde decenas de archivos y datos confidenciales de los usuarios fueron publicados en línea como prueba del ataque.

Indicadores de compromiso asociados a campañas maliciosas de Trickbot

Publicado: 28/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una nueva campaña de distribución del troyano modular TrickBot, entregado documentos ofimáticos que tienen macros maliciosas embebidas por medio del envío masivo de mensajes de correo electrónico que pueden afectar tanto a entidades públicas como privadas.

Análisis de malware Eventbot

Publicado: 27/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha realizado analisis a una muestra del troyano Eventbot el cual se caracteriza por capturar información de las aplicaciones financieras en dispositivos con sistema Android.

Troyano bancario GINP para Android utiliza tema COVID-19

Publicado: 25/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado una nueva campaña que utiliza al COVID-19 para difundir el troyano bancario GINP en dispositivos Android.

Amenazas relacionadas con COVID-19

Publicado: 23/03/2020 | Importancia: Baja

El equipo del Csirt Financiero continúa identificado nuevos envíos de mensajes de correo electrónico con supuestos documentos relacionados con COVID-19, engañando a las personas, organizaciones y gobiernos para que los descarguen.

Indicadores de compromiso asociadas a campañas COVID-19

Publicado: 22/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado indicadores de compromiso que están relacionados con campañas de phishing a través de mensajes de correos electrónicos con archivos maliciosos adjuntos, páginas web falsas y suplantación de entidades oficiales, utilizando temas relacionados con la emergencia mundial de salud pública sobre COVID-19. Los ataques tienen como objetivo principal obtener una recompensa económica, ya sea vendiendo la información en la dark web, realizando transacciones fraudulentas o la extorsión a las víctimas por la devolución de la información.

Ciberdelincuentes distribuyen RAT Crimson en documentos maliciosos alusivos a COVID-19.

Publicado: 21/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha identificado que ciberdelincuentes distribuyen el RAT (troyano de acceso remoto) denominado Crimson utilizando documentos maliciosos alusivos a COVID-19, los investigadores creen que este ataque es respaldado por algún gobierno.

Análisis técnico de Malware Azorult mediante mapa COVID-19

Publicado: 18/03/2020 | Importancia: Media

El Csirt Financiero realizó un análisis a la muestra relacionada con el mapa y se identificó que el malware incrustado dentro del archivo ejecutable es Azorult.

Troyano Geost para dispositivos móviles

Publicado: 17/03/2020 | Importancia: Media

El equipo del Csirt Financiero ha detectado un troyano denominado Geost, el malware se encuentra en aplicaciones maliciosas de tiendas no oficiales o de terceros, por lo que la víctima podría descargarlo accediendo en busca de aplicaciones fuera de las tiendas oficiales o a través de un link que los dirija a la APP. Tras su descarga e instalación, la aplicación solicita permisos de administrador al usuario, luego de que son concedidos, oculta su icono para evitar ser detectado y comienza actividades maliciosas en segundo plano.

Nueva variedad de ransomware utiliza el nombre de Coronavirus.

El equipo del Csirt financiero ha identificado una nueva variante de ransomware denominada Coronavirus enfocada en el cifrado de archivos locales del sistema, los ciberdelincuentes dejan una nota con las indicaciones para el pago y rescate de la información.