Alertas de seguridad

Información de Alertas de Ciberseguridad para el sector Financiero

Para información más detallada del ciclo de la vulnerabilidad por favor revise su suscripción ante el CSIRT.

Alertas de Diciembre de 2020

Nuevos indicadores de compromiso asociados a Emotet

Publicado: 29/12/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, se ha evidenciado la reactivación del troyano bancario Emotet en las últimas semanas, por tal razón el equipo del Csirt Financiero ha encontrado nuevos indicadores de compromiso asociados a este troyano. Emotet tiene como objetivo la exfiltración de información sensible y confidencial de equipos con sistema operativo Windows.

Nuevo gusano Golang lanza Xrig Miner a servidores

Publicado: 29/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado nueva actividad del malware gusano desarrollado en Golang. Este malware apunta a servidores Windows y Linux. Es un binario ELF y un script Bash que hasta el momento solo ha sido detectado como malicioso por 1 herramienta antimalware.

Nuevo Skimmer web apunta a múltiples plataformas de comercio electrónico

Publicado: 29/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un nuevo Skimmer de tarjetas multiplataforma capaz de afectar a Shopify, BigCommerce y otras plataformas de comercio electrónico. Hasta el momento, los investigadores han encontrado este skimmer en una docena de páginas de pago en línea compatibles con los sistemas de gestión alojados en las plataformas previamente mencionadas.

Ataque DDOS a dispositivos Citrix

Publicado: 28/12/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo del Csirt Financiero ha identificado una alerta de la compañía Citrix que advierte sobre ataques DDoS contra sus productos Citrix ADC y Citrix Gateway. Los ciberdelincuentes realizan estos ataques que pueden afectar el rendimiento de la red Citrix ADC DTLS, lo que podría provocar el agotamiento del ancho de banda de salida.

Nueva campaña del malware Casbaneiro apunta a México

Publicado: 28/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña de malware dirigida a México con el objetivo de distribuir el malware bancario Casbaneiro.

Backdoor Sunburst afecta cadena de suministro de SolarWinds Orion

Publicado: 27/12/2020 | Importancia: Media

En el monitoreo realizado por el equipo del Csirt Financiero, se ha identificado una campaña de nombre UNC2452, que afecta a diversas organizaciones públicas y privadas a nivel mundial (Norte américa, Europa, Asia y Medio Oriente), donde los ciberdelincuentes obtuvieron acceso a redes privadas mediante actualizaciones del producto de monitoreo y gestión IT Orion Platform de SolarWinds afectando a la librería SolarWinds.Orion.Core.BusinessLayer.dll.

Macro que descarga malware desde Github

Publicado: 27/12/2020 | Importancia: Media

En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar archivos de tipo Microsoft Office principalmente Word que contienen macros maliciosas, las cuales una vez se habilitan, ejecutan scripts de Powershell que realizan la descarga de malware desde un repositorio de GitHub. En seguida, este script descarga un archivo de extensión .png de Imgur (repositorio que aloja imágenes en línea), dicha imagen tiene como finalidad decodificar un script de Cobalt Strike para realizar afectación sobre infraestructura o equipos de cómputo con sistema operativo Windows.

Indicadores de compromiso asociados a Emotet

Publicado: 27/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero a fuentes abiertas de información, se ha evidenciado nuevos indicadores de compromiso asociados al troyano bancario Emotet, enfocado a la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.

Solarwinds Orion, omisión de autenticación de la API, permite ejecución remota de comandos

Publicado: 26/12/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero evidenció una nueva vulnerabilidad en los productos de SolarWinds Orion. Debido a los diferentes eventos ocasionados a los productos de SolarWinds, se ha evidenciado que la API de SolarWinds Orion presenta una vulnerabilidad en la omisión de autenticación, lo que permite la ejecución remota de comandos. La API de SolarWinds Orion, se usa para interactuar con los productos de SolarWinds Orion Platform. El fallo de seguridad permite que la autenticación se pueda omitir al incluir parámetros específicos en la Request.PathInfo en una parte de una solicitud URL, lo que otorgaría la ejecución de comandos de API no autenticados.

Vulnerabilidad encontrada en Parallels Remote Application Server (RAS)

Publicado: 25/12/2020 | Importancia: Media

En el continuo monitoreo que realiza el equipo de Csirt Financiero, se han logrado evidenciar una vulnerabilidad sobre Parallels Remote Application Server (RAS), a la cual se le ha asignado el CVE-2020-35710.

Vulnerabilidad sobre productos Zyxel

Publicado: 25/12/2020 | Importancia: Media

En el monitoreo realizado por el equipo de Csirt Financiero a fuentes abiertas de información, se ha identificado una vulnerabilidad de riesgo critico en algunos de los productos de Zyxel.

Falsas tarjetas de regalo de Amazon distribuyen al troyano Dridex.

Publicado: 24/12/2020 | Importancia: Alta

En el monitorio realizado por el Csirt Financiero a fuentes abiertas de información, se ha identificado que ciberdelincuentes están realizando una campaña de malspam con temática que hace alusión a supuestas tarjetas de navidad de Amazon para distribuir a Dridex, un troyano bancario modular con capacidades de captura y exfiltración de información sensible.

Vulnerabilidades encontradas en DayByDay 2.1.0 CMR

Publicado: 24/12/2020 | Importancia: Media

En el continuo monitoreo realizado por el equipo de Csirt Financiero, se han logrado evidenciar vulnerabilidades halladas en Daybyday 2.1.0, permitiendo realizar ataques de Cross-Site Scripting (XSS) sobre los sistemas de administración de relación con clientes CRM de DAYBYDAY logrando con esto secuestrar sesiones de navegación, redireccionar al usuario a sitios maliciosos e incluso realizar defacement a los sitios web.

Vulnerabilidad de Windows no parchada correctamente

Publicado: 23/12/2020 | Importancia: Alta

En el monitoreo que realiza el Csirt Financiero a fuentes abiertas de información, se ha observado la vulnerabilidad identificada como CVE-2020-0986 no fue parchada correctamente por Microsoft. Esta vulnerabilidad fue reportada desde mayo del presente año y Microsoft lanzó un parche de seguridad en el mes de junio. En su momento, dicha vulnerabilidad permitía un escalamiento de privilegios logrado en el momento que el kernel de Windows no pudiera manejar correctamente los objetos en memoria, logrando así ejecutar código malicioso. A pesar de esto, el equipo Project Zero de Google ha informado que el parche no funcionó correctamente sobre la vulnerabilidad y aún expone a los usuarios de Windows.

Venta de acceso a entidad financiera en Chile.

Publicado: 23/12/2020 | Importancia: Alta

En el monitoreo realizado a fuentes abiertas, el Csirt Financiero ha evidenciado una publicación que menciona la venta de credenciales que permitiría el acceso por parte de ciberdelincuente a infraestructura tecnológica de una entidad bancaria de Chile para cometer algún delito informático.

Ciberdelincuentes intentan retirar dinero de cuentas chilenas

Publicado: 23/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado una publicación en foros de piratería donde un usuario menciona que tiene acceso a la cuenta de un cliente del banco de Chile.

Grupo Ultrarank apunta a sitios de comercio electrónico

Publicado: 23/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha identificado la existencia de un grupo cibercriminal conocido como UltraRank, este grupo recientemente ha realizado una docena de campañas dirigidas a sitios de comercio electrónico para exfiltrar los datos de tarjetas crédito y débito haciendo uso de un rastreador JavaScript.

Nuevos indicadores de compromiso asociados a Qakbot

Publicado: 23/12/2020 | Importancia: Media

En el continuo monitoreo realizado por el Csirt Financiero a nuevas amenazas cibernéticas, se han identificado indicadores de compromiso asociados al troyano bancario Qakbot. Este malware tiene características de gusano, que le permiten propagarse a través de la red infectando equipos de cómputo con Sistema Operativo Windows.

Identificados nuevos indicadores de compromiso asociados a Emotet

Publicado: 22/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha observado actividad en el mes de diciembre por parte del troyano modular Emotet, enfocado en la captura y exfiltración de información financiera, así como la descarga de malware adicional en los equipos comprometidos con sistema operativo Windows.

Vulnerabilidades encontradas en equipos Dell Wyse Thin Client

Publicado: 22/12/2020 | Importancia: Alta

En el constante monitoreo que realiza el equipo de Csirt Financiero a fuentes abiertas, se evidencian vulnerabilidades halladas en los equipos Dell Wyse Thin Client, tomando en cuenta que estos son ampliamente usados en servidores centrales en lugar de un disco duro localizado; se vaticina un riesgo de alta criticidad en las entidades.

Retorno del malware Formbook

Publicado: 22/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado el retorno del malware FromBook en campañas realizadas de manera global con asuntos de órdenes de compra. FormBook es una familia de malware conocida diseñada para la exfiltración de datos y captura de formularios.

Nuevo grupo cibercriminal se dirige a sistemas SolarWinds

Publicado: 21/12/2020 | Importancia: Media

En el monitoreo realizado por el Csirt Financiero, se ha evidenciado un nuevo malware denominado SUPERNOVA, malware dirigido a los sistemas SolarWinds. Es un malware WebShell introducido en el código de la red Orion capaz de ejecutar código arbitrario en los sistemas que ejecutan la versión troyanizada del software.

VMware se añade a las víctimas de Sunburst

Publicado: 21/12/2020 | Importancia: Alta

En el monitoreo diario que realiza el equipo de Csirt Financiero, se constata la vulneración a VMware por parte de Sunburst o Solarigate, amenaza que tanto ha impactado a infraestructuras tecnológicas desde el pasado 14 de diciembre del año en curso.

Nuevos indicadores de compromiso asociados a Pay2Key

Publicado: 19/12/2020 | Importancia: Media

A través del monitoreo continuo por parte del equipo Csirt Financiero a fuentes abiertas, se han identificado nuevos indicadores de compromiso asociados a Pay2Key. A este ransomware se le han atribuido actos ciber delictivos a lo largo del 2020 como: • Penetración a redes internas. • Cifrado de archivos alojados en servidores y equipos. • Exfiltración y fuga de información confidencial.

Campaña que exfiltra credenciales bancarias usando stealer desarrollado en AHK

Publicado: 18/12/2020 | Importancia: Alta

En el monitoreo a fuentes abiertas de información realizado por el Csirt Financiero, se ha evidenciado la existencia de una nueva campaña en la que se distribuye un malware capaz de exfiltrar credenciales bancarias, esta campaña ha sido dirigida a usuarios en Estados Unidos y Canadá.

SystemBC troyano de acceso remoto

Publicado: 17/12/2020 | Importancia: Baja

En el monitoreo realizado a fuentes abiertas de información, el equipo del Csirt Financiero evidenció la implementación de un malware denominado SystemBC RAT. Este malware es comercializado en sitios clandestinos con el fin infectar los equipos de los usuarios y redes corporativas, para luego permitirle a los ciberdelincuentes la instalación de ransomware.

Campaña de phishing usa mensaje de migración de Outlook

Publicado: 17/12/2020 | Importancia: Baja

En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña de phishing, la cual usa el mensaje de migración de Microsoft Outlook, para la recolección y exfiltración de credenciales.

Soluciones de Microsoft frente a ataque contra Solarwinds

Publicado: 17/12/2020 | Importancia: Media

El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar nuevas soluciones ejecutadas por Microsoft para hacerle frente a los recientes ataques contra las aplicaciones de SolarWinds; para ello Microsoft han decidido poner en cuarentena las versiones de SolarWinds Orion Platform que sospechan contienen el malware Solorigate (SUNBURST).

Fraude bancario mediante emuladores móviles

Publicado: 16/12/2020 | Importancia: Media

El equipo de Csirt Financiero en la investigación a fuentes abiertas de información, logró evidenciar una amenaza de fraude bancario en la cual se emplean varios emuladores móviles que simulan un dispositivo de un usuario con una cuenta bancaria legítima. Cabe resaltar que el dispositivo simulado ya había sido comprometido previamente con malware móvil a través de ataques phishing o ejecución de scripts; de esta forma, los ciberdelincuentes poseen las credenciales bancarias para realizar todo tipo de transacciones fraudulentas mediante procesos totalmente automatizados gracias a botnets móviles.

Nueva campaña asociada al troyano bancario Dridex

Publicado: 15/12/2020 | Importancia: Media

En el monitoreo a fuentes abiertas de información, el equipo de Csirt Financiero encontró una nueva campaña del troyano bancario Dridex, distribuido a través de correo electrónico tipo phishing con un documento Excel con macros embebidas.

Archivo