Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de phishing

Nuevos indicadores de compromiso asociados botnet Mirai

A través de actividades de monitoreo a diferentes fuentes de información el equipo de analistas del Csirt Financiero hace seguimiento a las amenazas potenciales que puedan generar afectación sobre la infraestructura informática de los asociados, de acuerdo con esto, se han observado nuevos indicadores de compromiso (IOC) relacionados al botnet Mirai, el cual se aprovecha de vulnerabilidades en sus sistemas para implementar esta amenaza y ejecutar otras operaciones como ataques DDOS (Ataque de Denegación de Servicios Distribuido).

Nerbian, RAT que utiliza técnicas de evasión sofisticadas

Publicado: 11/05/2022 | Importancia: Media

A través de actividades de monitoreo realizadas en fuentes abiertas de información, el equipo de analistas del Csirt Financiero identificó una nueva variante de la familia de RAT denominado Nerbian, el cual se ha venido distribuyendo mediante campañas dirigidas a diferentes industrias suplantando la OMS (Organización Mundial de la Salud) con asuntos relacionados con temas Covid-19, en el que se adjunta un archivo de Microsoft Word malicioso.

Nueva actividad del ransomware Conti afecta entidades gubernamentales en América latina

Publicado: 09/05/2022 | Importancia: Alta

En el seguimiento realizado en fuentes abiertas de información a amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha identificado nueva actividad relacionada con el ransomware Conti, el cual está afectando a varias entidades gubernamentales de América latina.

Vulnerabilidad en servicio de retransmisión de Google permite la distribución de Phishing.

Publicado: 02/05/2022 | Importancia: Media

A través de actividades de monitoreo realizada a diferentes fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado una vulnerabilidad en el servicio SMTP de Google para la distribución de correos phishing.

Nueva actualización de IoC y distribución del troyano bancario Sharkbot

Publicado: 07/04/2022 | Importancia: Media

En el constante monitoreo a fuentes abiertas de información para la detección de posibles amenazas que afecten al sector, el equipo de analistas del Csirt Financiero, ha identificado una nueva forma de distribución del troyano bancario Sharkbot, del cual a su vez se identificaron nuevos indicadores de compromiso, este está diseñado para comprometer dispositivos móviles con sistema operativo Android.

DarkWatch RAT busca evadir su detección mediante técnicas Fileless

Publicado: 16/12/2021 | Importancia: Media

En el monitoreo a fuentes de información y en búsqueda de posibles amenazas que puedan afectar a los usuarios y al sector, el equipo de analistas del Csirt Financiero ha identificado un troyano de acceso remoto (RAT) bajo el nombre de DarkWatch, el cual empleando técnicas de evasión busca eludir mecanismos de detección presentes en los equipos afectados con sistemas operativos Windows.

Nuevos IoC asociados a Quasar RAT observados en diciembre

Publicado: 04/12/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información y en la búsqueda de amenazas potenciales que puedan generar impacto en la infraestructura tecnológica de los asociados, el equipo de analistas del Csirt Financiero ha observado nuevos indicadores de compromiso (IoC) asociados al troyano de acceso remoto Quasar RAT.

Nueva actividad maliciosa asociada a Emotet

Publicado: 15/11/2021 | Importancia: Media

En el monitoreo continuo a fuentes abiertas de información y en búsqueda de potenciales amenazas que puedan afectar al sector, el Csirt Financiero ha identificado nueva actividad asociada al troyano bancario Emotet, cuya infraestructura se creía desmantelada y que fue empleada por los cibercriminales para realizar la captura y exfiltración de información de los equipos infectados con sistemas operativos Windows.

Nuevos indicadores de compromiso asociados a troyano bancario Dridex

Publicado: 12/11/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información y en búsqueda de posibles amenazas que puedan tener impacto sobre el sector, el Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano bancario Dridex, los cuales fueron obtenidos de 3 diferentes campañas maliciosas que tuvieron como objetivo a usuarios de México.

Nueva actividad asociada al troyano AbstractEMU

Publicado: 28/10/2021 | Importancia: Media

En el monitoreo continuo a fuentes abiertas de información y en búsqueda de amenazas que puedan afectar a los usuarios y al sector, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al troyano AbstractEMU, el cual se encuentra afectando a dispositivos con sistemas operativos Android.

Actividad maliciosa asociada al ransomware GandCrab

Publicado: 15/10/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nueva actividad maliciosa asociada a GandCrab un ransomware detectado por primera vez en enero de 2018 y que en la actualidad cuenta con al menos cinco variantes identificadas.

Nuevos indicadores de compromiso asociados a NjRAT

Publicado: 10/10/2021 | Importancia: Media

El equipo de analistas del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados al troyano de acceso remoto NjRAT, también conocido como Bladabindi o Njworm, este fue detectado por primera vez en junio de 2013 y desde entonces ha registrado actividad maliciosa a través de diversas campañas de distribución dirigidas a distintos sectores económicos y numerosos países.

Indicadores de compromiso asociados al infostealer CryptBot

Publicado: 25/09/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado indicadores de compromiso (IoC) asociados a CryptBot un infostealer (ladrón de información) diseñado para recopilar y exfiltrar datos confidenciales almacenados en los equipos infectados.

Grupo Lazarus hace uso de archivos de acceso directo de Windows

Publicado: 14/09/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el equipo de analistas del Csirt Financiero ha observado nueva actividad llevada a cabo por el grupo Lazarus también conocido como Hidden Cobra, este grupo ha ejecutado sus actividades cibercriminales desde el año 2009 aproximadamente, el cual genera cambios constantes es sus técnicas, principalmente en sus campañas de phishing.

Nueva campaña de distribución de BazarLoader

Publicado: 28/08/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva campaña de envíos masivos de mensajes de correo electrónicos malspam para la distribución del backdoor BazarLoader.

Actividad maliciosa del ransomware WannaMad

Publicado: 07/08/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa asociada al ransomware WannaMad que, al momento de cifrar archivos, agrega la extensión .hacked a estos.

RAT VBA distribuido en campaña de malspam

Publicado: 31/07/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado actividad maliciosa relacionada a un troyano de acceso remoto (RAT) identificado como Crimea, el cual se encuentra activo desde el mes de julio del 2021, mostrando variaciones en su comportamiento con respecto a otras muestras de esta familia.

Nueva campaña de Phishing de BazarBackdoor

Publicado: 16/07/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una nueva campaña de Phishing del malware BazarBackdoor implementando medidas para evadir sistemas de Security Email Gateway (SEG).

Nueva variante del troyano bancario Zloader

Publicado: 10/07/2021 | Importancia: Media

En el seguimiento a fuentes abiertas de información para la identificación de amenazas o vulnerabilidades que puedan llegar afectar a la infraestructura tecnológica de los asociados, el equipo del Csirt Financiero ha observado una nueva técnica agregada a la cadena de infección del troyano bancario Zloader, también conocido como DEloader o Terdot.

Nuevo ransomware denominado Hive

Publicado: 29/06/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado un nuevo ransomware denominado Hive.

Nueva campaña phishing del troyano Agent Tesla

Publicado: 24/06/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información el equipo del Csirt Financiero ha identificado una nueva campaña del troyano Agent Tesla; el cual es conocido también por su capacidad de capturar pulsaciones de teclado (keylogger). Por lo anterior se han observado nuevos indicadores de compromiso asociados a esta amenaza.

Nuevos indicadores de compromiso asociados a Agent Tesla

Publicado: 05/06/2021 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado nuevos indicadores de compromiso asociados a Agent Tesla. Este malware fue descubierto por primera vez finalizando el año 2014 y desde entonces ha tenido constantes evoluciones en su código.

Nueva campaña distribuye troyano de acceso remoto NjRAT

Publicado: 13/04/2021 | Importancia: Alta

Gracias a la colaboración y participación de las entidades asociadas al sector financiero, se ha evidenciado una nueva campaña que distribuye el troyano de acceso remoto NjRAT, bajo modalidad de phishing, en la que suplantan la oficina de Cultura y Turismo de Sotaquirá Boyacá, con asunto "ajuste de consignación", en el que se adjunta un archivo que contiene la amenaza.

Campaña de phishing para la distribución de Quasar RAT

Publicado: 25/03/2021 | Importancia: Alta

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del Troyano de Acceso Remoto denominado Quasar RAT.

Nuevo método utilizado para distribuir a ObliqueRAT

Publicado: 03/03/2021 | Importancia: Media

En el monitoreo realizado a fuentes abiertas de información, el Csirt Financiero ha identificado una nueva forma de distribución del troyano de acceso remoto ObliqueRAT que afecta a equipos con sistema operativo Windows. Desde su detección en el año 2020 los ciberdelincuentes han utilizado el envío de mensajes de correo malspam con documentos de ofimática que contiene macros embebidas maliciosas.

Campaña del malspam que distribuye a WSH RAT

Publicado: 18/02/2021 | Importancia: Media

Gracias a la colaboración entre asociados y el Csirt Financiero, se ha logrado identificar una campaña que tiene como finalidad la distribución del WSH RAT, un troyano de acceso remoto utilizado por los ciberdelincuentes para tomar control de los equipos comprometidos y extraer su información confidencial.

Presunta fuga de información confidencial en el sector bancario

Publicado: 09/02/2021 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado en una fuente abierta de información una publicación, en donde un ciberdelincuente asegura tener en su poder información sensible y datos confidenciales de las entidades Banco Pichincha Ecuador, Visa Titanium, Diners Club y Discover. La recopilación de la información presuntamente exfiltrada y accedida se asocia con: • Datos PII de clientes y empleados. • Acceso a los sistemas de intranet. • Tarjetas de crédito.

Trickbot reactiva su actividad con un nuevo módulo denominado MASRV

Publicado: 01/02/2021 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se han Identificado nuevas campañas de phishing y malspam utilizadas para la distribución de Trickbot, donde se ha evidenciado un nuevo módulo denominado Masrv.

Campaña de distribución de nueva variante de Ursnif

Publicado: 14/01/2021 | Importancia: Media

En el constante monitoreo a fuentes abiertas, el equipo del Csirt Financiero, ha evidenciado una campaña de distribución con una nueva variante del troyano bancario Ursnif, a usuarios de Microsoft Windows en Italia desde el año 2020. Este troyano, también denominado Gozi, se observó por primera vez en 2006 y se especializa en la exfiltración de credenciales bancarias de un equipo afectado.

Nueva campaña de phishing descarga Qrat

Publicado: 06/01/2021 | Importancia: Baja

En el monitoreo realizado por el Csirt Financiero, se ha identificado la distribución de phishing que implementa el troyano QRat, capaz de exfiltrar credenciales y otros datos confidenciales. Esta nueva campaña concede a los ciberdelincuentes control total sobre los equipos con sistema operativo Windows infectados.

Archivo