Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Octubre de 2020

Emotet utiliza documentos Word con falsas actualizaciones de Microsoft para su distribución

Publicado: 29/10/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas, el Csirt Financiero ha evidenciado la distribución del troyano bancario Emotet utilizando archivos de ofimática con macros embebidas maliciosas. En este caso, se observó que los ciberdelincuentes agregaron una nueva temática o mensaje en el contenido de los archivos, que trata al respecto de una actualización de Microsoft Word y la necesidad de habilitar las macros para ejecutar dicha actualización. El método de distribución de estos documentos maliciosos es por medio de mensajes de correo electrónico malspam.

Skimmer Cardbleed: campaña masiva contra plataformas Magento

Publicado: 29/10/2020 | Importancia: Media

El Csirt Financiero identificó una campaña masiva, denominada Cardbleed, que ha estado activa desde septiembre de 2020, esta comparte patrones con GSTATICAPI. El Csirt Financiero analizó durante el mes de septiembre el skimmer GSTATICAPI, escrito en JavaScript y reportado a los asociados mediante notificación y alerta. Se ha nombrado así por el nombre de dominio en el que se alojaba este script malicioso, el cual es gstaticapi[.]com.

Actividad del grupo APT Silent Librarian

Publicado: 28/10/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero se ha identificado actividad del grupo APT Silent Librarian, también conocido como TA407. Este grupo ha registrado campañas maliciosas desde el año 2013, en las que su principal motivación es el espionaje y la exfiltración de información.

Vectores de infección aprovechados por ciberatacantes

Publicado: 27/10/2020 | Importancia: Media

El equipo del Csirt Financiero ha observado un aumento en el uso de técnicas y vectores de infección que permiten a los ciberdelincuentes comprometer la seguridad de las entidades.

Nuevos indicadores de compromiso asociados a Remcos RAT

Publicado: 26/10/2020 | Importancia: Baja

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a Remcos RAT. Se considera una amenaza cibernética como un troyano de acceso remoto (RAT) dirigido a Sistemas Operativos Windows identificado por primera vez el año 2016 en foros de piratería.

Katana, nueva variante de la Botnet Mirai

Publicado: 26/10/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero se ha detectado una nueva variante de la botnet Mirai denominada Katana. Esta nueva variante se encuentra en desarrollo y se está utilizando para infectar cientos de aparatos interconectados o Internet de las Cosas (IoT) al día.

Vulnerabilidad hallada en HPE Storeserv Management Console.

Publicado: 26/10/2020 | Importancia: Media

En el monitoreo a fuentes abiertas realizado por el equipo Csirt Financiero, se ha evidenciado de una vulnerabilidad identificada CVE-2020-7197. Esta vulnerabilidad le puede permitir a un ciberdelincuente evadir el proceso de autenticación en las matrices de centros de datos de sistemas HPE STORESERV, que proveen almacenamiento en sistemas Cloud.

URL maliciosa que captura credenciales de Office 365

Publicado: 25/10/2020 | Importancia: Alta

Mediante la colaboración de entidades asociadas del sector Financiero y el Csirt, se obtuvo conocimiento sobre una campaña de mensajes de correo electrónico en los que se insta al usuario a acceder a un sitio que suplanta a Microsoft, haciendo uso de ingeniería social amenazando con la inhabilitación de la cuenta si no se realizaba la autenticación en el enlace contenido en el mensaje.

Ransomware Lockbit emplea Tácticas, Técnicas y Procedimientos para mejorar el cifrado

Publicado: 25/10/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia LockBit, un ransomware con la capacidad de realizar el proceso de cifrado de archivos en corto tiempo y una rápida difusión por la red comprometiendo más equipos de cómputo con Sistema Operativo Windows. Los ciberdelincuentes detrás del ransomware desarrollaron e implementaron tácticas, técnicas y procedimientos encargados de eliminar los archivos utilizados para la infección, luego de realizar la instalación, ejecución e infección de los equipos.

Campaña de phishing enfocada a usuarios de Sendgrid captura datos bancarios

Publicado: 25/10/2020 | Importancia: Media

En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a los usuarios de SendGrid. El vector de ataque utilizado son mensajes de correo tipo malspam que incluyen logotipos y marca de la empresa, dejando entrever su aparente veracidad, en este caso se trata de una empresa en particular.

Campaña de phishing utiliza falsos mensajes de Microsoft Teams

Publicado: 24/10/2020 | Importancia: Alta

En el ejercicio del monitoreo a redes abiertas, el equipo del Csirt Financiero ha evidenciado una reciente campaña phishing dirigida a usuarios de Microsoft Teams, dicha campaña ha afectado por lo menos a 50.000 usuarios de Office 365.

Plataformas CMS afectadas por Botnet Kashmirblack

Publicado: 24/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva botnet denominada KashmirBlack, capaz de explotar una antigua vulnerabilidad en sistemas de administración de contenido (CMS) como por ejemplo WordPress, Joomla, Magneto y Drupal. KashmirBlack es una botnet que ha realizado el secuestro de cientos de miles de sistemas CMS en 30 países.

Vulnerabilidades aprovechadas por cibercriminales chinos

Publicado: 24/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la explotación de 25 vulnerabilidades por parte de grupos cibercriminales patrocinados por el gobierno chino. Algunas vulnerabilidades explotadas aprovechan el acceso a internet en los productos o servicios expuestos en las entidades; las cuales pueden ser utilizadas para la intrusión inicial en la red y movimientos laterales.

Nuevo RAT Abaddon, utiliza la plataforma Discord como C2

Publicado: 23/10/2020 | Importancia: Media

En el monitorio a fuentes abiertas, el equipo del Csirt Financiero ha observado un nuevo troyano de acceso remoto (RAT) denominado Abaddon. Este RAT tiene la capacidad de utilizar como servidor de comando y control (C2) a la plataforma Discord para enviar y ejecutar instrucciones en equipos comprometidos. Además, se ha evidenciado que este RAT tiene un módulo en desarrollo destinado a la propagación de ransomware.

Ransomware Ryuk implementa nuevas técnicas de ataque

Publicado: 22/10/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha constatado una nueva actividad maliciosa del ransomware Ryuk, programa malicioso conocido desde el año 2018 por ser una amenaza altamente peligrosa por su velocidad de ejecución y cifrado de los datos en la red comprometida, además de la evasión frente a herramientas de seguridad y programas antimalware.

Campaña de AsyncRAT dirigida a empleados de entidad financiera

Publicado: 22/10/2020 | Importancia: Media

El Csirt Financiero en colaboración con uno de nuestros asociados, identificó la existencia de una nueva campaña de phishing dirigida a empleados de una entidad financiera.

Ciberdelincuentes donan dinero de rescates obtenidos por ransomware Darkside.

Publicado: 21/10/2020 | Importancia: Media

En el monitoreo a fuentes abiertas, el equipo del Csirt Financiero ha evidenciado que los ciberdelincuentes detrás del Ransomware DarkSide ha donado $10.000 dólares a varias organizaciones sin ánimo de lucro, suma que es parte del dinero recaudado por las extorsiones a empresas víctimas del ransomware.

Vulnerabilidad dirigida a dispositivos Cisco

Publicado: 20/10/2020 | Importancia: Alta

En el constante monitoreo que realiza el equipo del Csirt Financiero conoció una vulnerabilidad que podría afectar dispositivos tecnológicos tipos Routers que ejecutan el software Cisco IOS XR. El parche de actualización fue liberado en febrero. Sin embargo, recientemente se han conocido informes de intentos de explotación de la vulnerabilidad.

Troyano bancario denominado Ghimob

Publicado: 20/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad de los actores detrás de la amenaza Guildma, los cuales han generado un nuevo malware denominado Ghimob. Los ciberdelincuentes han trabajado de manera activa en el desarrollo de nuevas técnicas y herramientas que les permitan afectar a un mayor número de usuarios de aplicaciones móviles financieras en América Latina, Europa y países africanos.

Nuevo malware vizom apunta a clientes bancarios brasileños

Publicado: 20/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo malware denominado Vizom dirigido a clientes de bancos brasileños, tiene funcionalidades que le permiten realizar la superposición de pantalla, acceso remoto y tomar el control del equipo infectado por parte del ciberdelincuente que puede utilizar las credenciales del usuario en transacciones bancarias fraudulentas.

Nuevo Framework troyano afecta usuarios brasileños

Publicado: 19/10/2020 | Importancia: Baja

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de un nuevo framework para la distribución de troyanos especialmente bancarios. Este Framework ha sido denominado SolarSys y su operación principal se encuentra en Brasil. SolarSys: es un framework compuesto principalmente por puertas traseras desarrolladas en lenguajes de programación como JavaScript (JS) y .NET, gusanos de correo electrónico y módulos que permiten capturar información del sistema infectado.

Nueva variante de GravityRAT afecta sistemas Android, Windows y MacOS.

Publicado: 19/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero se ha evidenciado la existencia de nuevas variantes del malware GravityRAT, dirigidas a dispositivos Android y equipos macOS. Malware empleado desde 2015 dirigido principalmente a Sistemas Operativos Windows. En 2018, los ciberdelincuentes encargados del desarrollo realizaron modificaciones importantes en su código, buscando disminuir su detección de las aplicaciones de seguridad y programas antimalware.

Inyecciones Web, principal amenaza cibernética para el sector financiero

Publicado: 18/10/2020 | Importancia: Alta

En el monitoreo realizado por el Csirt Financiero se ha evidenciado que las inyecciones de código a los sitios web bancarios se han convertido en un gran problema para el sector financiero, debido a su gran facilidad para exfiltrar información financiera de clientes de entidades bancarias y la realización de transferencias fraudulentas.

Nuevos indicadores de compromiso asociados a la reactivación de Emotet

Publicado: 18/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de nuevos indicadores de compromiso asociados a la reactivación del troyano bancario Emotet. Se propaga principalmente a través de mensajes de correo electrónico malspam que intentan persuadir a los usuarios para que hagan clic o descarguen los archivos maliciosos adjuntos al utilizar asuntos relacionados a facturas, detalles o envíos de empresas de paquetería.

Vulnerabilidad en VMware Horizon client para Windows

Publicado: 17/10/2020 | Importancia: Media

En el monitoreo a fuentes de información abiertas, el equipo del Csirt Financiero ha evidenciado una vulnerabilidad manifestada en un problema de control de acceso al sistema durante la fase de instalación del producto VMware Horizon Client para Windows.

Nuevo ejecutable distribuye AsyncRAT

Publicado: 15/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva muestra de malware que distribuye AsyncRAT. Este software creado con propósito académico y con repositorio de código libre en GitHub, es utilizado por ciberdelincuentes para comprometer equipos de cómputo con sistema Operativo Windows

Loader Powgoop es atribuido al grupo APT Muddywater

Publicado: 15/10/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha observado una relación entre el grupo APT MuddyWater y la utilización del loader denominado PowGoop, el cuál había sido notificado por distribuir y ejecutar una variante de ransomware Thanos. Puede que este grupo APT sea el responsable de distribuir esta variante de ransomware.

Cargas útiles de Mirai apuntan a vulnerabilidades en dispositivos IOT

Publicado: 14/10/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de cargas útiles que apuntan a vulnerabilidades de dispositivos IoT. Mirai es una botnet activa desde el año 2016, conformada por diversos equipos conectados. Los ciberdelincuentes detrás de esta amenaza cibernética ofrecen el servicio para realizar ataques con malware tipo Spam o denegación de servicios distribuidos DDoS entre otros.

Aumento de actividad de botnet Lemon Duck

Publicado: 14/10/2020 | Importancia: Media

En el mes de agosto de 2020 el equipo del Csirt Financiero notificó sobre LemonDuck, una botnet de criptominería considerada como una de las más avanzadas, ya que los ciberdelincuentes mantienen su código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir las herramientas de seguridad. Este criptominero ha estado activo desde diciembre de 2018 aumentando su actividad maliciosa en los últimos dos meses.

Vulnerabilidad que afecta Google Chrome

Publicado: 13/10/2020 | Importancia: Media

El equipo del Csirt Financiero evidenció una vulnerabilidad que afecta al navegador Google Chrome, uno de los navegadores más populares y utilizados por gran cantidad de usuarios y entidades. La brecha de seguridad podría causar la divulgación o fuga de información.